물론 내가 모든 보안관제 현장을 다 둘러본 적이 없으니 장담할 수는 없는 노릇이다. 하지만 최소한 내가 경험한 현장들은 그랬다.
나는 뭐가 달랐을까?
1. 웹과 데이터베이스를 연동해본 경험 덕에, HTML과 ASP 코딩 정도를 해본 덕에 웹과 데이터베이스의 동작 구조에 대한 이해가 있었으며, 덕분에 웹을 향한 또는 웹을 통한 공격을 이해하기 쉬웠다.
2. 리눅스와 VIM을 써본 덕에 로그 가공 및 분석에 나름 익숙했고, 데이터베이스를 이용한 데이터 조회 및 통계 분석 경험을 가지고 있었다.
- 덕분에 보안장비의 불편한 로그 분석 기능에 짜증(?)을 낼 수 있었고, 로그를 저장하는 데이터베이스만 있으면 마음대로 로그를 꺼내서 지지고 볶을 수 있었다.
3. 서른넷 먹고 처음 보안관제 업무를 시작한 금융사에서 수억 들여 보안관제센터를 구축해놓고 정작 담당 인력은 한 명만 뽑는 바람에 3교대 업무를 안 할 수 있었다. (3년 만에 저녁이, 그리고 주말이 보장된 삶이라 행복했음)
4. 모든 보안장비의 운영 권한과 책임이 나에게 있었다. 주도적으로 보안관제 업무를 할 수 있는 환경이 마련된 셈. 덕분에 다른 현장, 오히려 규모가 큰 현장이었다면 개입하지 못했을 분야까지 개입 수준을 넘어서, 그야말로 내 마음대로 운영할 수 있었다.
5. 엑셀의 필터링, 피벗 테이블 등의 기능을 사용할 줄 알었던 덕분에 로그 분석 결과를 수치나 그래프로 표현할 수 있었다.
6. 보안관제 업무를 하면서, 보안장비에 대해 너무 실망한 나머지 보안장비 회사에 직접 지원하게 됐고, 그 때의 경험을 통해 보안장비의 한계에 대해 더 잘 알게 됐다.
7. 분석하지 못하고 남은 로그에서 실제 공격 시도가 얼마나 존재할지 궁금했고, 그럼에도 모르고 넘어가야 한다는 사실이 항상 찜찜했다.
이상하게 찜찜하네 |
다른 곳은 어땠을까?
내가 경험했던 보안관제 현장들은 이랬다.
1. 규모가 클수록 업무 프로세스가 나뉘면서 운영, 유지보수, 정책 등의 업무에 관여하지 못하고, 로그 분석만 해야 했다. 개인의 역량과 관계없이 오로지 보안장비에서 제공하는 기능만을 이용해야 했으며, 데이터베이스 접근 등은 상상불가였다.
2. 정보보안 분야에서 3교대 보안관제 업무에 대한 인식은 한마디로 별로다. (2교대도 해봤는데 정말 별로) 그 결과 진입장벽이 낮아졌고, 만만한 정보보안 출발점이란 인식이 많아졌으며, 많은 종사자들이 모의해킹이나 컨설팅 등으로의 이직이나, 관리직으로 가기를 원했다. (경력이 쌓이면 가기 싫어도 회사에서 보내기도 하고)
덕분에 인력 이동이 잦고, 자연스레 노하우가 쌓이기 힘든 환경이 돼버렸다. 이런 상황에서 서른넷이란 나이에, 4년의 시스템 운영 경력을 가지고 보안관제 분야로 간 나는 꽤 특이한 케이스가 아닐까 싶다.
3. 결정적으로 처리 역량을 초과하고 있는 로그 발생량에 대해 아무도 관심을 갖지 않았다. 실무자들은 처리하지 못한 로그에 대해 찜찜해했지만 고객도, 회사도 관심없어 하는 사항에 대해 문제를 제기할 이유를 찾을 수 없었다.
가장 큰 차이
기존 보안관제 업계의 업무 환경과 내 경험의 차이점을 나열해봤지만, 결국 가장 큰 차이점은 나도, 내가 일했던 곳도 보안관제를 처음 해봤다는 사실이 아닐까 싶다.
회사는 몰랐기 때문에 정해진 프로세스나 지침을 내려주지 못했고, 나는 기존 업계에서 배운 게 없었기 때문에, 아무 것도 몰랐기 때문에 '남이 하던 대로' 하지 않고, 내가 문제라고 생각했던 부분에 집중할 수 있었던 것.
2005년에 시작한 일을 책으로 쓸 수 있겠다는 생각을 처음 했을 때가 (내 방식이 업계의 관행과 다르다는 사실을 알게 된) 2007년이었다. 그러나 2013년에 겨우 책을 완성하기까지, 나와 같은 아이디어를 가지고 누군가 먼저 책을 쓸 수도 있다는 생각에 조바심이 났었다.
책의 기반이 된 텍스트 정규화 같은 건 데이터베이스 분야에서 오래된 개념이었고, VIM이나 정규표현식, 데이터베이스를 이용한 로그 분석 역시 전혀 새롭지 않았으며, 나보다 더 잘 다루는 사람을 이미 많이 봐왔었기 때문.
지금 생각해보면 참 쓸데없는 걱정을 했지 싶다. 운좋게도 보안관제 분야의 환경이 열악했던 탓에 그런 일이 일어날 가능성은 참 희박했는데(..)
나가며
가장 큰 차이
기존 보안관제 업계의 업무 환경과 내 경험의 차이점을 나열해봤지만, 결국 가장 큰 차이점은 나도, 내가 일했던 곳도 보안관제를 처음 해봤다는 사실이 아닐까 싶다.
회사는 몰랐기 때문에 정해진 프로세스나 지침을 내려주지 못했고, 나는 기존 업계에서 배운 게 없었기 때문에, 아무 것도 몰랐기 때문에 '남이 하던 대로' 하지 않고, 내가 문제라고 생각했던 부분에 집중할 수 있었던 것.
첫번째 실험에 참여한 사람들은 사고방식이 고착되어 두번째 실험의 새롭고 손쉬운 해결책에 눈을 뜨지 못했다. 그러나 두번째 실험에 곧바로 참여한 사람들은 더 간단한 해결책을 찾아냈다. - 우리는 왜 실수를 하는가 (258페이지)
책의 기반이 된 텍스트 정규화 같은 건 데이터베이스 분야에서 오래된 개념이었고, VIM이나 정규표현식, 데이터베이스를 이용한 로그 분석 역시 전혀 새롭지 않았으며, 나보다 더 잘 다루는 사람을 이미 많이 봐왔었기 때문.
지금 생각해보면 참 쓸데없는 걱정을 했지 싶다. 운좋게도 보안관제 분야의 환경이 열악했던 탓에 그런 일이 일어날 가능성은 참 희박했는데(..)
나가며
귀순자가 노크를 하기도 하고, 북한군이 비무장지대에 지뢰를 심어놓고 유유히 돌아갈 때도 있지만, 왜 아무도 발견하지 못했냐는 비판은 그 때 잠깐일 뿐이다. 몇몇 담당자가 문책을 당하기도 하고, 향후 대책방안 같은 걸 내놓기도 하지만 근본적인 변화는 일어나지 않는다.
우리가 휴전선에 바라는 게 딱 그 정도 수준이기 때문은 아닐까? 더 잘 할 필요가 없는 것은 아닐까? 우리가 보안관제 분야에 바라는 수준은 어느 정도일까? 가끔 궁금해진다.
관련 글
우리가 휴전선에 바라는 게 딱 그 정도 수준이기 때문은 아닐까? 더 잘 할 필요가 없는 것은 아닐까? 우리가 보안관제 분야에 바라는 수준은 어느 정도일까? 가끔 궁금해진다.
관련 글
댓글 없음:
댓글 쓰기