2014년 12월 26일 금요일

아주 중요한 거짓말

2005년에 '너는 내 운명'이란 영화를 보고, 특히 마지막 장면에서 정말 펑펑 울었던 기억이 난다. (옆자리의 그녀는 물론이고 앞사람, 뒷사람, 남자, 여자 할 것 없이 전부 펑펑 울고 있어서 전혀 창피하지 않았음)

실화를 소재로 한 영화라고 해서 에이즈에 걸린 게 감옥에 갈 죄인가? (매춘땜에 감옥간 건가?) 에이즈에 걸린 여주인공의 남편은 괜찮나? 애는 안 낳았나? 이런 의문이 잠깐 들기도 했었다.

책 말미에 그 영화의 소재로 추정되는 사례가 소개된다. (친절하게도 한국 출판을 위해 추가 집필을 했나 봄)

사회적 혼란(?)을 일으켰다는 이유로 그녀는 감옥에 가야했지만 그녀의 남편도, 아이들도, 그녀가 매춘을 했다는 지역에서 검사를 받은 3만여 명의 남자들도 모두 '음성' 판정을 받았다고.

2014년 12월 8일 월요일

Lemons Market

브루스 슈나이어(Bruce Schneier)는 암호화 알고리즘(Blowfish와 Twofish)을 개발한 암호학자로도, 보안회사를 창업해서 성공적으로 exit한 이력으로도 유명하지만, 일반적인 (주로 기술적 이슈만을 얘기하는) 보안전문가와는 다른 차원의 언행으로 특히 유명한 보안전문가이다. 그런 그가 최근에 이런 얘길 했다.

"For most of its life, the security industry has been plagued with the problems of a 'lemons market', akin to the market for second-hand cars, Schneier maintained."

자세한 내용은 여기를 참조. 요약하면 보안 시장이 (재화나 서비스의 품질을 알 수 없기 때문에 불량품만 나돌아다니는) '레몬 시장'과 같다는 얘기인데, 이미 2009년 '보안 연극(security theater)'로 업계를 긴장시켰던 슈나이어만이 할 수 있는, 뼈 있는 주장이 아닐까 싶다.

2014년 12월 4일 목요일

알고보면 쉬운 정보보안

정보보안이 어렵다고 한다. 사람은 부족하고, 기술은 어렵고, 사고나면 실무자는 잡혀가고(..) 왜 이렇게 어려운 것일까?

첫번째로 눈에 보이지 않고, 손에 잡히지 않는다. 인간은 원래 본 적이 없고, 경험한 적이 없는, 한마디로 예측이 어려운 분야를 싫어한다. 어떤 위험이 도사리고 있는지 알 수 없기 때문이다.

그래서 인간은 (알려진 위험보다 덜 위험할 가능성이 있음에도) 모르는 위험보다 알려진 위험을 선호하는 쪽으로 태고적부터 프로그래밍되어 왔다. 그런 인간이 0과 1의 전기신호로 만들어진 사이버 세상에서, 역시 0과 1의 전기신호로 만들어진 공격과 방어를 논하려니 이게 쉬울리가 없다.

두번째로 인간의 본능이 그렇다보니 정보보안 분야는 (다른 분야도 마찬가지지만) 의식, 무의식적으로 눈에 보이는 상황을 유도하게 되었다. 누군지 알 수 없는 해커보다는 북한, 뭘 하는지 알 수 없는 보안관제보다는 비상근무.

2014년 11월 17일 월요일

생각하지 않는 사람들

정보가 몰리면 (당연히) 뇌가 산만해진다고 한다. 언제부턴가 이 일을 하는데 자꾸 저 일이 떠오르는 식으로 업무 집중력이 떨어짐을 느낀다. 일이 몰려서 뇌가 산만해진게야(..)

책을 볼 때도 눈에 띄는 문장 위주로 대충 훑어보는 버릇이 생긴 것 같고.. 내 잘못이 아니었어. 다행이야.-_-

책 말미에 이런 글이 나온다. '우리는 도구를 만들고, 그 후에는 도구들이 우리를 만든다.'

무려 1967년에 누군가가 이런 얘기를 했다고 한다. 산업혁명 이후 기술만능주의와 기술비관주의는 항상 대척점을 이루어 왔나보다.

기술이 모든 문제를 해결해줄 거라는 기술만능주의나, 결국 기술이 문제라는 기술비관주의 모두 들어보면 제법 일리가 있다.

2014년 10월 12일 일요일

대접받는 보안인력이 되는 방법?

보안인력이 제대로 대접받지 못하는 이유는 '경영진에게 보안이 비즈니스에 중대한 영향을 미친다는 점을 제대로 설명하지 못해서'라는, 그럴듯한 기사를 보게 되었다. 실제 강연을 듣지 못해서 내가 곡해하는 것일 수도 있지만, 기사는 '너네만 잘하면 되'라는 뉘앙스를 풍겼다.

법령 지식 습득 등을 강조하는 문구로 보아, 강연자는 국제인증 취득 등 경영진이 좋아하는(왜 좋아할까? 티내기 쉬워서?) 업무 실적을 쌓아 승승장구한 경험을 통해 본인이 가장 잘 알고, 가장 잘 하는 분야가 정보보호에서 차지하는 중요성을 설파하고 싶었었나 보다.

이미 2008년에 ISO 27001이라는 국제 보안인증을 취득했던 현대캐피탈의 완벽했던 정보유출 사례는 뒤로 하고, 경영진의 비위를 맞추지 않고는 출세하기 힘든 세상에서 강연자의 말은 사실 진리에 가깝다.

2014년 9월 22일 월요일

원숭이도 이해하는 마르크스 철학


어렸을 때 선배들 무서워서 보는 척 했던 빨간책류. 그때도 참 이해 안갔는데 지금도 어렵다. 원숭이도 이해한다고?

사실 마르크스 하면 투쟁, 혁명, 적화, 종북 이런 단어가 막 떠오르지만 그건 색깔론으로 먹고 사는 분들 영향이 크고, 서구 사회에서는 아직도 위대한 철학자, 사상가로 이름을 날리는 인물이 마르크스.

2014년 9월 14일 일요일

세계 최고의 인재들은 왜 기본에 집중할까

골드만삭스, 맥킨지, 하버드 등 단어에 낚여서 봤는데, 너무 뻔한 자기계발서라 순식간에 읽어버렸다. '인맥 관리'를 강조하던데, 개인적으로 부정적이다.

뭐 저자는 풍요로운 인간 관계의 중요성을 강조하고 싶었는지 몰라도 결국 일을 편하게 하기 위해 친해지려는 '인맥 관리'를 너무 많이 봐왔기 때문이다.

일을 잘하는 것과 편하게 하는 것은 다르다. 업무 파악과 체계 확립이 된 상태에서 친하게 지내는 것은 일을 잘하는데 도움이 될 거라고 본다.

그런데 현실은 그런 전제 조건이 충족되지 않은 상태에서 친해지는 노력부터 하는 경우가 많다.

결과적으로 업무 체계가 없는 상태에서 친숙한 관계가 형성되면 업무와 상관없이 서로 봐주기 시작한다. 심할 경우 실패한 업무는 없던 일이 돼버리는 경우도 있다.

2014년 9월 12일 금요일

이런 맛에 책 쓰나 보다































병은 알려야 빨리 낫는다고, 기술 전달만이 아닌, 내가 종사하는 분야의 문제점을 알리고 싶었고, 얼마나 공감을 얻어낼 수 있을지 궁금했다. 근데 책이 워낙 안 팔려서 당최 피드백을 받기가 어렵다.ㅡㅡ; 

그래서 종종 제목 검색을 해보는데 너무 감사한 평이라 자랑하고 싶어졌다.ㅎ 사실 리뷰때 업계의 '불편한 진실'을 까발려서 좋을 게 뭐냐는 평이 많아서 책내기가 좀 두려웠다. 

최초 계약했던 출판사와도 '기술 교과서'를 원하는 편집 방향때문에 마찰끝에 계약해지를 당했었고, 그 때는 꽤나 힘들었었는데, 이제는 잘했지 싶다. 

2014년 9월 3일 수요일

해커의 윤리?

해킹 범죄에 물든 보안 꿈나무, 윤리의식 '절실'이란 기사를 보았다. (제목에 낚인 기분은 잠시 무시하고) 해킹 범죄를 저지르는 학생이 늘고 있으니 윤리 교육을 시키고, 걸리면 일벌백계 해야 한단다.

죄를 지으면 벌을 받는 게 마땅하다. 하지만 이건 좀 아닌 것 같다. 사이버전쟁 운운하면서 해커를 양성해야 한다고, 해커가 유망한 분야라고 분위기 띄워놓고, 취업 전쟁에 내몰린 학생들에게 해킹 기술이 유망하니 배우라고 해놓고, 이제와서 윤리 타령이라니?

일단 윤리는 교육으로 해결될 문제가 아니다. 학교에서 착한 사람, 나쁜 사람 타령하는 것보다는 투명하고 공정한 사회 구현에 필요한 제도를 정착시키고, 그 사회의 구성원이 되고자 노력해야만 생존에 유리해지는 사회적 분위기를 형성하는 것이 먼저다. (밑천도 드러나고, 주제와도 벗어나니 이쯤에서 끝내야겠다.)

2014년 8월 18일 월요일

Cyber Security Summer 2014

광고글 올리는 거 아주 별로인데 좋은 기회를 드릴 수도 있을 것 같아 염치불구하고 올립니다. '침입탐지를 위한 로그분석 방법(정규표현식을 이용한 로그 분석)'에 관심 있으시면 www.itlkorea.kr/ta.php 읽어보시고 연락주세요. 딱 한 분만 파격가로 모십니다. 5% 할인 쿠폰 필요하신 분도 모십니다.^^; 커리큘럼은 아래와 같습니다.(http://www.itlkorea.kr/itl/m330.php)


2014년 7월 5일 토요일

정보보안이 중요하다면 - 두 번째

몇 달 전, '정보보안이 중요하다면'이란 글을 올렸었다. 특정 취약점에 의해 모든 홈페이지가 위험하다는 식의 어느 기사에 대해 자세한 배경 설명 없이 공포를 조장한다고 지적한 일반인에게 레벨(?)이 안 맞는다, 모르면 가만히 있어라 식의 반론이 이어지는 걸 보면서 느꼈던 점을 정리한 글이었다.

그런데 얼마 전 '보안전문가들이여, 꼰대를 넘어 스승으로!'란 기사를 접하게 되었다. 배경 지식을 공부하고, 기술을 익히고, 그 기술을 유지하고, 발전까지 시키는 걸로는 모자라니 기술만 내세우지 말고, 모른다고 무시하지 말고, 눈높이 교육을 통해서 끈질기게, 그리고 상냥하게 일반인들을 만족시켜야 한다는 내용.

보안을 중요하게 생각하지 않는 사회적 분위기(또는 직장 상사?)를 바꾸기 위해서는 설득하고, 또 설득해야 한다는 내용.

글쓴이는 보안전문가들이 기술 우월주의라는 그들만의 세상에 빠져서 누구나 이해할 수 있는 쉬운 언어로 사용자를 이해시키려는 노력을 게을리하고 있다는 메시지를 전달하려고 했다. 보안전문가들이 보안의 중요성이 인정받는 문화를 형성하는 노력을 게을리하고 있다는 것.

2014년 4월 27일 일요일

정보보안이 중요하다면

몇 해 전 오일 교환때문에 방문했던 자동차 정비소에서 경험했던 일이다. 당시 타이밍벨트를 교환해야 한다는 권고에 생각해 보겠다는 말을 남기고 자리를 뜨려던 나에게 정비 담당자는 이런 말을 했다.

제발 기술자 말 좀 들으세요

그 말을 듣는 순간 나는 살짝 놀랐다. 정보보안 분야에 종사하면서 고객들에게 수없이 (마음속으로) 외쳐왔던 말이었기 때문. 기술자 말을 듣지 않는다는, 기술자에게 결정권은 고사하고 발언권도 주지 않는다는 불만을 오랫동안 가져왔으면서도, 나 역시 다른 분야 기술자의 말을 무시하고 있었던 것이다.

난 왜 자동차 정비 담당자의 말을 무시했던 것일까? 사농공상 따위의 문화에 나도 모르게 길들여져 있었던 것일까? 아니면 생명과 직결되는 자동차 안전의 중요성을 무시해서? 그것도 아니면 그 담당자의 커뮤니케이션 능력이 떨어져서?

2014년 3월 10일 월요일

왜 네트워크 보안인가? - 세번째

네트워크가 발전하지 않았다면 세상은 어떻게 변했을까? 최소한 지금처럼 해킹이 만연하지는 않았을 것이다. 미션 임파서블의 톰 크루즈는 네크워크 연결이 되지 않은 컴퓨터를 해킹하기 위해서는 정말 많은 고생을 해야 한다는 사실을 몸소 보여주었다

그러나 현실은 너무나 발전해버린 네트워크 덕분에 목숨을 걸지 않고도 언제, 어디서나 해킹이 가능하다. 우리가 네트워크 보안에 집중해야 하는 이유가 되겠다.



2014년 3월 9일 일요일

왜 네트워크 보안인가? - 두번째

1987, 미국 등 주요 정부기관을 해킹하여 정보를 유출시킨 해커의 침입 증거를 찾느라 클리포드 스톨(http://en.wikipedia.org/wiki/Clifford_Stoll) 1년여의 시간을 시스템 로그를 분석하는데 할애해야 했다. 왜 그렇게 많은 시간이 걸렸을까?

세상에는 수 많은 컴퓨터 시스템이 동작하고 있으며, 네트워크를 통해서 많은 정보를 주고 받고 있다. 이 과정에서 당연히 많은 로그가 발생하는데, 이 로그를 일반로그라고 칭해보자

일반로그에는 시스템의 상태나 동작을 표시하는 로그는 물론, 시스템끼리 정보를 주고 받으면서 발생하는 트래픽도 포함이 된다. 이러한 일반로그는 두 가지 특징을 갖는다.

   대량 발생한다.
   보안측면에서 정확도가 낮다.


2014년 2월 27일 목요일

왜 네트워크 보안인가?


세상 모든 사람이 착해지면 어떻게 될까? 두말할 필요 없이 이 세상은 천국이 될 것이다. 그리고 천국에서는 범죄도, 전쟁도, 그리고 해킹 사고도 발생하지 않을 것이다. 하지만 그런 세상은 오지 않는다.

모든 사람이 착해질 수 없는 것처럼 모든 시스템, 애플리케이션의 보안이 완벽해지는 날 역시 오지 않는다. 사람은 결코 완전하지 않으며, 매일 매일 신기술과 그 기술의 취약점이 함께 발견되는 것처럼, 사람이 만드는 기술 역시 완벽하지 않기 때문이다. 결국 해킹은 전쟁이나 범죄처럼 인류 문명이 유지되는 한 근절할 수 없는 사회병리 현상이다.

2014년 2월 18일 화요일

Access from the view of big data, Perfection of IDS and MSS


This book pays an attention to a overlooked problem of security solutions and MSS(Managed Security Services) for more than 30 years. 


2014년 1월 12일 일요일

빅데이터는 과연 보안 분야에도 통찰력을 선사해줄까?

여기저기서 빅데이터를 표방한 보안솔루션들을 구축하고 로그를 수집한다고 아우성이다. 이해관계가 얽힌 조직들이 서로 먼저 로그를 가져가겠다고 소유권(?) 다툼을 벌이는 모습들도 심심찮게 보이고 ㅡㅡ

작년부터 이슈였던 빅데이터가 올해는 본격적으로 보안 분야에 접목이 되는 듯 하다. 과연 빅데이터는 보안 분야에 도움이 될까? 일단 빅데이터를 표방한 보안솔루션 벤더들의 주장은, 다 모아서 보니까 정확하다?이다.
-> 보안시스템 및 일반시스템 로그의 연관 분석 
-> 또는 일반시스템 로그만 수집해도 빅데이터 분석으로 보안 수준이 향상된다고. 과연?

크리에이티브 커먼즈 라이선스