최근 년초에 들어서 보안 이슈중에 강력한 이슈 두가지가 대두 되었습니다. 하나는 D일보에서 [단독 보도]라고 하면서 보도한 " 노트북 도청" 에 대한 이슈이고 또 다른 하나는 "아이폰 원격제어" 에 대한 H일보에 대한 언론 기사입니다.
검색사이트에서 검색하면 나오기에 굳이 언급하지 않겠습니다. 이 두가지 언론 기사를 바라 보면서 몇가지 개인적인 생각을 한번 정리해 보려고 합니다.
1. IT(보안)언론 매체가 아닌 일반 매체이용
저도 기자분들과 이야기 해 보면 사실, 대부분 보안에 대하여 잘 모르는 경우가 많습니다. 그러다 보니 아무래도 기사 내용이 자극적으로 보여 질수 있습니다. 두 사건 모두 일반 매체이다 보니 기사화 하기 전에 조금 더 신중하게 확인 사실을 주변(또 다른) 보안전문가에게 검증을 해 보고 기사화 하면 좋겠다라는 아쉬움이 있었습니다. 그저 보안에 대한 지식이 없는 분들에게 원격 제어 할수 있는 방법을 조금만 수정하여 보여 주면 해킹,해커라는 아주 자극적으로 비추어지게 되지요. 굳이 해커와 크랙커를 구분하지 않더라도 국내에서 해커라고 불리면 무조건 선입견부터 가지고 있는 것이 사실이니까요.
조금 과장하여 예를든다면 윈도우 원격터미널 프로그램을 모르는 사람에게 그 사람이 사용하고 있는 IP를 넣고 원격 핸들링 하는 것을 보여 준다면 아마도 처음 접하는 사람들은 이를 가지고 해킹이라고 할지 모릅니다. 뭐,,그렇다고 해서 IT매체라고 해서 달라질 것은 없겠지만 이 두사건 모두 IT및 보안언론매체에서 함구 하고 있는 것은 왜 일까요?
2. 보안관련 글을 쓰는 기자는 전공이나 보안자격증 정도는 가지고 있어야
국내 3대 메이져 언론에 단독이니 뭐니 하면서 아주 자극적인 문구로 지속적인 기사화 한다면 더 많은 혼란을 가져 옵니다. IT관련 매체나 일부 보안매체를 이용해도 잘 움직이지 않는 기관도 국내3대 언론은 그만한 힘이 있는 것이겠지요..이는 일부 기자들에게도 문제가 있다고 봅니다. 그것은 보안 기사를 취재하면서 보안에 대한 일반적인 지식이 없기 떄문입니다. 최근에는 의료전문기자, 기상전문 리포터, 법률전문기자등등 전문기자들이 있습니다. 최소한 보안에 대한 기사를 취급하는 기자분들은 자기 계발 차원에서라도 보안 전공한 기자나 최소 보안관련 자격증이라도 보유하고 있는 분이 쓰는게 맞지 않을까 생각합니다. 그래야 올바른 언론에 기사가 전달이 될 것입니다. 그렇지 않을 경우 결국 노트북에 마이크차단 버튼을 달라고 하는 아주 웃지못할 헤프닝이 나오기도 합니다. 일부는 연예부 기자가 취재한 내용도 있다는 네티즌도 있었습니다.
어떤 사이버수사대에 근무하시는 분중에 더 많은 공부를 하기 위해 정보보호관련 대학원에 다닌다고 하는 지인이 있습니다. 그래서 제가 물어 보았습니다.
그런데 그 수사관분 하시는 말씀이
" 법원 판결때 판사님이 수사관이 작성한 조서를 법적 효력을 어떻게 믿을수 있나? "
즉 다시말해서 당신 맘대로 유리하게 작성하였다 하더라도 그 법적효력을 어떻게 증빙 할수 있는가? 라고 하면 그렇지 않지만 솔직히 할말이 없다고 하시더군요.
"그래서 최소한 정보보호관련 대학원이라도 나오고 보안관련 자격증도 몇개 가지고 있고 하면 그 말에 대한 신뢰성을 높일수 있어 어렵게 다니고 있지요..." 라고 말하더군요
3. 보안 취약성 발표는 신중해야 하고 관련 컨퍼런스나 세미나에서 해야
늘 우리는 알지 못하는 또는 알려지지 않는 보안 취약성은 지속적으로 대두가 될 것입니다. 그때마다 언론에 특종을 잡겠다고 언론 플레이를 해 버리면 일반 사용자는 상당히 놀라고 혼란 스러워 할수 밖에 없습니다. 이러한 취약점들은 보안 세미나 또는 컨퍼런스를 통하여 자연스럽게 제기하고 대처해 나가는 방법이 더 나은 방법이 아닌가 생각합니다. 그러면 관련 분야에 여러 사람들로 하여금 또 다른 의견이나 조언을 받아 더 나은 대책을 마련할 수 있으니까요.
또한 보안에 대한 윤리의식도 상당히 중요하다고 생각합니다. 흔히 양날의 검이라고 이야기를 하지요. 그것으로 방어를 할수도 있고 살인을 할수도 있으니까요. 바로 백지 한장 차이입니다. 그래서 국내에선 유독 왜곡된 시각으로 바라봅니다. 이제는 사회적 인식을 바꿀 필요가 있습니다. 그럴려면 관련 지식이 있는 분들이 조금 더 신중하게 접근 하는 것이 중요합니다.
4. 언더그라운드, 보안전문가, 사이버보안관..공부할 곳은 없는데 인력 요구는 완벽한 보안전문가 원해
보다 개방적이고 다양한 의견을 서로 나누고 공유하고 수렴할수 있어야 하는 가운데 자신의 분야에서 능력있는 인재들을 어떻게 잘 갈고 다듬어 갈것인가에 중점을 맞추어야 합니다. 그렇치 못할 경우 점점 깊숙한 곳으로 숨어 들어 가던지 아니면 이 세계를 청산하고 떠나려 하겠지요..
이들에게 억압하고 왜곡된 시각으로 바라보고 하기 보단 조금 더 이끌어 양지로 이끌어 내어 그 실력을 잘 사용할수 있는 사회적 기반을 마련해야 하겠습니다. 국내 보안연구를 하는 사람들이 해외 데프콘에서 여러번 본선 진출을 하고 하는 것을 언론을 통하여 많이 접했을 것입니다. 그런 인재를 잘 보살피고 가꾸어 줄수 있는 사회적 인식과 기반이 필요합니다.
보안전문가는 맨날 남에 싸이트만 뚫고 나쁜짓만 하는 사람이 아닌 전반적인 국가나 조직내에서 올바른 인터넷 사용과 비보안전문가로하여금 안전한 사이버 관리를 위하여 노력하고 보람도 갖을수 있는 문화와 인식의 정착에 앞장서는 사람으로 보는 시간을 갖어야 합니다.
이러한 기반은 마련되지 않은채 조직이나 기업에서 요구 하는 인력 스펙을 보면 아주 초 울트라 수퍼급을 요구합니다. 보안 공부를 해 본 사람은 아시겠지만 분야도 광범위 하고 자기가 관심 있는 분야만 잘 한다고 해서 전문가 일수 없습니다. 다양한 노하우와 경험 그리고 지식을 요구 하니까요. 쉽게 말하면 보안전문가들이 놀 만한 장소가 없다는 것이지요. 그러면서 국가나 사회는 유능한 보안인력을 요구 하고 있지요. 조금은 개방적이고 오픈된 마인드로 아..이제는 정말 보안이 중요하구나..저 사람들이 있기에 안전하게 인터넷을 사용할수 있구나 하는 인식의 확대가 시급합니다.
5. 정보보호전문가, 보안전문가, 기준마련도 중요해
이러한 인력을 확보하기 위하여 가장 먼저 해야 할 일이 관련 인력에 대한 기준 마련이 중요하다고 생각이 듭니다. 그런 기준이 마련이 되어 있지 않는다면 누구나 전문가라고 하면서 자신만이 알고 있는 그 기술만 가지고 일반 대중에게 다가서다가 커다란 오류를 범할수 있기 때문입니다. 제가 개인적으로 생각하는 기준은 다음과 같습니다.
- 정보보호, 보안에 대한 전공을 한 사람
- 정보보호 관련 업무에 3년 이상 종사한 사람
- 보안관련 최소 1개 이상의 자격증을 보유한 사람
- 정보보호나 보안관련 특허를 가지고 있는 사람
- 보안이나 정보보호 관련 논문을 1편 이상 발표한 사람
- 정보보호나 보안 윤리에 대한 확고한 신념이 있는 사람
- 무엇보다 보안에 남다른 열정을 가지고 노력하고 연구 하는 사람
정도가 아닐까 생각합니다. 너무 까다롭나요?
관련 기관에서나 국가에서도 이러한 부분을 잘 관리 해 주어야 할 것입니다. 11일 국방부에서는 사이버부대를 창설 한다고 하니 한번 지켜 보도록 하겠습니다. 좋은 롤 모델이 되어 사회에 그 인력이 훤원이 되었으면 하는 바램을 가져 봅니다.
마무리
정보화 사회에 살고 있는 우리는 점점 인터넷과 정보화를 실생활에서 사용하고 있기에 그 편리성과 보안은 trade-off 관계에 놓이게 됩니다. 이에 따라 미래 직업중에 정보보안전문가는 유망직종으로 이야기 하고 있고, 어린 청춘들은 장미빛 청사진을 가지고 이쪽에 발을 들여 놓습니다. 이래 저래 이상과 현실에서 갈망하는 시기를 지나 나이를 먹고 나면 이젠 이 바닥도 못해 먹겠다고 하면서 무엇하나 돈 된다고 하면 금새 생겨나 시장의 포화로 제 살 갂아 먹기로 되어 버립니다. 그러다 나이가 들면 살아 남은 사람은 살아 남고 그렇지 못한 사람은 이런 세태를 한탄하며 업계를 떠나겠지요. 그런 악순환이 되는 가운데 국가의 안전은 누가 지키겠는지요?
당부드립니다. 국가에서 이젠 보안을 관심 갖어 주시고 보안에 일하는 사람이 자부심을 가질수 있는 토대를 마련해 주시기 바랍니다. 그렇지 않으면 노트북에 마이크 방지 버튼뿐만 아니라 그보다 더한 장치도 부착해야 할지도 모릅니다. 보안을 바라볼때 올바른 시각을 바라보며, 보다 든든한 버팀목이 필요한 것입니다. 꼭 관련업계나 이제 막 보안 공부에 발을 들여 놓은 모든 분들이 비젼과 희망 그리고 자부심을 가지고 일하고 공부 할수 있도록 제도권에 계신분들이 꼭 힘써 주셨으면 하는 바램을 가져봅니다. @엔시스.
이올린에 북마크하기
이올린에 추천하기'Lecture&Comlumn' 카테고리의 다른 글
| [전자신문기고] ISMS 수립과 그 의미 (2) | 2010/02/05 |
|---|---|
| 스마트폰과 보안 (0) | 2010/01/20 |
| 보안 위협성을 바라보는 시각 -노트북 도청, 아이폰 원격제어 (8) | 2010/01/11 |
| 보안뉴스,보안닷컴..따로 또 같이..보안인(人)닷컴은 소통 (1) | 2009/12/23 |
| 2009 함께@넷세상 인터넷 미디어대전 우수상 받던날 - (2) (9) | 2009/12/10 |
| 2009 함께@넷세상 인터넷 미디어대전 우수상 받던날 - (1) (8) | 2009/12/10 |
- 보안인닷컴 대표운영자 (http://www.boanin.com)
- 보안인닷컴 팀블로그 치프로거 (http://blog.boanin.com)
- 한국정보보호진흥원 ISMS 인증심사원
- 한국CISSP협회 홍보분과 이사/ 지경부 IT멘토링 멘토
**********************************************************************************************************
본 포스팅의 저작권은 엔시스에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는
반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
**********************************************************************************************************
-한RSS추가를 하시거나 추천을 하시면 더 많은 분들에게 전달되어 구독될수 있습니다.
트랙백 주소 :: http://www.sis.pe.kr/trackback/2995
-
Subject: '잠재된 위협' PC 도청..백신으로 해결
Tracked from 인터넷과 보안 2010/01/12 08:49 삭제연합뉴스에서 이번에는 해결 가능 반박 뉴스가 나왔네요. http://news.naver.com/main/hotissue/read.nhn?mid=hot&sid1=105&gid=321625&cid=298842&iid=162243&oid=001&aid=0003066290&ptype=011 [참고] http://viruslab.tistory.com/1440
-
Subject: 백신 방어·IP추적 불가능… 해킹범 못찾아
Tracked from 인터넷과 보안 2010/01/12 08:49 삭제http://news.hankooki.com/lpage/economy/201001/h20100111023809111720.htm http://news.hankooki.com/lpage/economy/201001/h20100111023906111720.htm 내장마이크에 이어 이번에는 아이폰이 도/감청, 몰래 카메라 등으로 확인되었네요! 그렇다면 아이폰 사용자들은 스파이?? 이미 모바일 스마트 폰용 원격 제어 서비스는 상용화 된 제품들이 다수 있고,..
댓글을 달아 주세요
좋은 내용 잘 보았습니다.^^
사실 비 전문분야 기자분들의 경우 이러한 내용을 접하면 쉽게 놀라고 많이 알려야 한다고 생각하시면서 생기는 오해와 착오가 아닐까 싶습니다. 그러한 것을 악용(?)해서 언론 플레이에 활용하는 것도 사실 관계자분들이 함께 정화할 수 있도록 노력해야 하는 부분이고요.
보안 기자분들 모임에 가끔 참석하면서 느끼는 것은 보통 신입 또는 비전문가 기자분들이 그러한 단계, 과정(?)을 거치시고, 중간 중간 따끔한 여론들을 수렴해 가시면서 성숙(?)해 가는 경우를 많이 접하는 것 같기도 합니다.^^
다만.. 그러한 시행착오 과정이 마치 정상적으로 거쳐야 하는 단계로 비춰질까 우려스럽지만요.
아무튼 이번 언론 내용들과 관련해 해당 기자분들께 많은 의견이 전달되어 차후 기사 작성에 큰 밑거름이 되었을 것이라 생각됩니다. 서울은 엄청 추워졌네요. 건강 주의하시고요.
그럼 이만..
관련 기사를 쓰는 기자분들이 관련 지식이 없다보면 결국 왜곡된 의사 전달로 잘못 전달되는 경우도 있고 너무 과장될수도 있습니다. 또한 이러한 부분을 잘 다듬어 전달하는 전문가의 노력도 필요하겠지요. ^^ 댓글 감사합니다.
viruslab님께서 좋은 말씀을 해 주셨네요.
저도 그러한 과정(?)을 거쳐서 성숙해 가는 경우를 많이 접했는데, 문제는 예나 지금이나 똑같은 경우가 계속해서 반복을 한다는 것이죠. 문제는 과장되거나 왜곡된 정보의 전달에 의해서 누군가는 피해를 입게 된다는 것입니다. 다들 경험해 보셨겠지만 잘못된 보도에 대해 단순히 "죄송하다"라는 식으로 끝난 경우가 대부분이었고, 기자 스스로가 스스로 잘못을 인식하지 못하고 그냥 넘어 가는 경우도 부지기수이죠.
개발 프로젝트에서 실력이 없으면 회사에서 잘리기도 하고 위압금을 물기도 하는 등 그에 대한 책임을 지게 되어 있는데, 기자와 언론들에게는 일종의 특권(잘못해도 책임을 지지 않는)이 주어 지는 것 같아서 안타깝습니다.
네..감사합니다..
저야 잘 모르는 분야여서 뭐라 말하기 힘들지만 노트북 앞에서 전화하는 말을 다 도청 할 수 있다는
뉴스를 듣고 놀랐습니다. 정말 그런가요?
무조건 모두 노트북 도청을 당하는 것은 아니니 걱정하지 마세요. 다만, 그런 개연성이 충분히 있다고 보시면 되겠구요..기본적인 윈도우에서 방화벽과 백신..그리고 메일을 오픈할때 항상 첨부파일과 본문들을 유심히 보시고 클릭하여 오픈하는 것이 좋습니다.
무심코 클릭한 첨부파일이 악성코드를 심는 역할을 하는경우가 많습니다.
참고하시기 바랍니다.
http://www.gilgil.net/2532
추운데 잘 지내시는지요? 정말 오랜만에 댓글을 남겨보네요
좋은글 잘 읽었습니다. 이런글은 기자분들이 꼭 읽어 보셔야 되는데..