보안시스템을 마련할 때 안전 책임자는 자사의 실정에 비추어 최선인 것을 선택하기보다는 유명한 것, 차후 문제되더라도 쉽게 책임을 회피할 수 있는 것을 선정하려는 성향을 가져... - '우물 밖 인터넷' 중
빅데이터나 인공지능은 초등학생도 좋은 거라고 생각한다. 모든 매체에서 좋다고 떠들기 때문. 너무 유명해서 왜 좋은지에 대한 설명이나 설득은 필요 없다.
훈련도 마찬가지
인류는 반복된 전쟁사를 통해 훈련의 중요성을 뼛속 깊이 새겼다. 그래서 굳이 왜 훈련을 해야 하는지 설명할 필요가 없다.
군 시절 내 주특기는 81mm 박격포였는데 비가 오지 않는 한 매일 포 방열 훈련을 했다.전방에 차려포! 원래 90초내에 끝내면 합격인데 우리 중대는 60초 넘기면 불합격을 줘서 매번 후달렸던 기억이 남.
인류는 반복된 전쟁사를 통해 훈련의 중요성을 뼛속 깊이 새겼다. 그래서 굳이 왜 훈련을 해야 하는지 설명할 필요가 없다.
군 시절 내 주특기는 81mm 박격포였는데 비가 오지 않는 한 매일 포 방열 훈련을 했다.
이 훈련을 하는 이유는 전쟁이 벌어졌을 때 적을 향해 빠르게 포를 쏘기 위해서. 이런 훈련이 일상적으로 가능한 이유는 아직 전쟁이 터지지 않았기 때문이다. 전쟁이 터지지 않았을 때 전쟁을 대비하는 것.
전쟁이 터지면?
당연하게도 전투를 해야 한다. 실전 상황에서 훈련은 하고 싶어도 할 수 없다. 그럴 시간에 한 발이라도 더 쏴야지. 그런데 현실 세계에서 당연한 이 상식이 사이버 세상에서는 잘 통하지 않는다.
매일 발생하는 수백, 수천 만 건의 보안 이벤트가 전부 다 공격일리 없다. 그게 전부 진짜면 IT 세상은 진작에 망했겠지. 장담하는데 90% 이상은 오탐. 그럼 무시해도 될까? 나머지 10% 때문에 그럴 수 없다.
보안 이벤트 모두 확인해서 진짜 공격 여부를 가린 후, 대응까지 끝내야 안심할 수 있다. 그런데 현실은 '인력과 시스템의 한계'로 극히 일부만이 분석되고 있다.
이런 상황임에도 과거 매년 빠지지 않았던 업무가 비상근무와 훈련. 특히 훈련은 분위기(?)에 따라 유동적이었던 비상근무와 달리 웹해킹, DDoS, 그리고 을지훈련까지 매년 최소 3회는 실시했었다.
왜?
'하루 수백~수천 만건의 보안 이벤트'는 새로운 보안장비 도입의 당위성을 주장하는 과정에서 우연히 드러났을 뿐이고, 평소엔 누구도 엮이고 싶어하지 않는 이슈이기 때문.
게다가 실무자 아니면 모니터에 표시되는 수백, 수천 만의 숫자는 솔직히 별로 실감도 안 난다. 별거 아닌 것 같다. 주식해본 사람은 안다. 잃어도 잃은 것 같지 않은 기분(..)
결정적으로 국경을 맞대고 대치하는 전쟁의 개념이 사람들 머릿속에 너무나 뚜렷이 각인되어 있기 때문에 '눈에는 눈, 이에는 이' 전략을 사이버 세상에서도 고수한다.
사이버 세계는 국경이 없는 인터넷을 기반으로 거미줄처럼 연결된 세계. 국경이 없으니 허락 없이 국경을 침입하는 ‘적’을 정의할 수 없고, 적을 정의할 수 없으니 ‘누가’, ‘언제’, ‘어디서’, ‘무엇을’, ‘어떻게’, ‘왜’ 공격하는지 알기 힘들다
군인 많고, 탱크 많으면 전쟁 잘 할 수 있을 것 같다. 열심히 훈련하는 군인들 보고 있으면 든든하다. 매년 해커가 부족하다는 주장이 제기되고, 매년 보안장비 늘리고, 매년 훈련을 독려하는 이유.
여러 보안 요소 중 가장 약한 부분이 전체 보안 수준을 결정한다고 한다. 하나 더 추가하면 보스의 인식 수준이 전체 보안 수준을 결정한다.
보스가 사이버 보안을 물리적 전쟁 개념으로 이해하는 한 기술자는 별 수 없다. 실적으로 인정해주는 훈련 열심히 하고, 보안장비 열심히 늘려야지.
설득하면 되지 않냐고?
길고 긴 결정권자 라인의 첫 단계부터 막히기 일쑤더라. 내심 동조해주는 보스도 최종 보스를 떠올리면서 설레설레 고개를 젓는다.
감독 분야에 대한 이해도가 낮은 감독자는 당연하게도 어려운 설명을 싫어한다. 덩달아 어렵게 설명하는 사람도 싫어함. 그리고 감독자에게도 설명하고, 설득해야 하는 상급자가 있다. 한마디로 모두의 밥줄이 걸린 문제
설득도 어렵고, 실행은 더 어렵다. 쉽게 설득하고 쉽게 실행할 수 있는 길이 있는데 누가 멀리 돌아가려고 할까?
비슷한 얘기를 했었지만 자본주의 세상에서 돈으로 평가하기 힘든 분야는 보스 역량에 따라 평가 기준이 널뛰게 마련이다. '바람직한 최종 상태'를 정의하고, 어렵더라도 그 상태를 지향하는, 그런 조직 문화를 장려하는 보스를 만나면 좋고, 아니면(..)
역대 최대 규모의 민간 사이버 위기대응 모의훈련이 끝났다는 기사를 보고 이런저런 생각이 들어 주절거려봤다. 뭐 그렇다고 훈련이 전혀 쓸모 없다는 얘기는 아니다. 해킹 메일 훈련같은 건 경각심도 심어주고 등등 꽤 유익함.
하지만 '하루 수백~수천 만건의 보안 이벤트'는 뒤로 한 채, 해킹 대응을 잘 해보자는 훈련은 모르겠다. 대응이 뭐가 어렵다고.
대응은 감시 업무의 연장선상에 있으며, 감시만 제대로 된다면 어려울 게 전혀 없다. 피아식별이 어려워서 문제지, 식별이 끝난 이후는 어려울 게 없는 것과 마찬가지다. 적이면 방아쇠만 당기면 그만 아닌가? - IDS와 보안관제의 완성 (72페이지)
나가며
문제를 해결할 수 있는 간단한 방법은 없을까? 보안의 의도는 안전이고, 안전을 확인하려면 보안 이벤트를 뒤져야 한다. 보안 이벤트 분석 할 때마다 비트코인같은 거 생기면 딱인데(..)
작전계획이 유용하다고 믿는다. '계획을 수립했음 '을놀지 않고 일했음을입증하는 증거로서... 하지만 콜디츠 대령은 계획 그 자체에 대해서는 '솔직히 실제 전투 현장에서 아무런 쓸모도 없다 '고 말한다. 이에 따라 1980년대에 미군은 군사계획 절차를 수정하고 (바람직한 최종 상태를 의미하는) '지휘관의 의도 '라는 신개념을 도입했다 - 스틱 (50페이지)
댓글 없음:
댓글 쓰기