태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

* 9.14일의 점검 결과로 추가 보강 하였습니다. 9.10일 3개 사이트 5개의 링크에서 국내만 현재 19800여개의 페이지로 확산 되어 있습니다. 자동화된 공격이 얼마나 일반적인지 확인 하시기 바랍니다. 더불어 구글의 검색 수집과 정렬의 시간차가 있고 공격자들은 이미 이 패턴을 가볍게 벗어난다는 것이죠. 9.14 현재에도 새로운 fake av 유포 URL이 발견 되었습니다.  
fake av를 설치하는 링크가 추가된 사이트들 모두 DB의 데이터는 모두 유출 되었다고 봐야 됩니다. 이제는 그 가치도 없어서 다만 fake av를 설치하는 껍데기로 전락한 사례가 되겠죠.  근본 문제 수정 없이는 계속될 이야기 입니다.

------------------------------------------------------------------------------

이틀전 올린 허위백신 설치 통로인  bookmonn.com/ur.php가 구글 검색에 반영되기도 전에 어제( 2011 9,9)부로 새로운 경로로 변경이 되고 있다. 현재 모니터링 대상에서만 70여곳 (국내사이트 ) 이상인데 불구하고 구글 검색에는 10개 정도 나온다. ~ 

구글 검색 믿지 마시라.~ 그냥 자료 찾는 정도로만 활용하자. 구글의 세이프 브라우저도 마찬가지이다. 크롬이나  파이어팍스 사용중에 붉은색으로 화면 전환 되는 것들 몇 번 경험들 하셨을텐데.. 그 실체가 구글의 데이터 기반 ( stopbadware.org 참고) 이다. 과연 믿을만 한 것인가에 대한 의심은 누구도  하지 않았을 것이다. 또 실제로 구글 같은 규모의 회사와 서비스에 검증할 만한 용기를 가질 곳도 없을 것이다. 전 세계  누구라도..


데이터와 증명이 가능한 수치만 있다면 동일 모집단 대상으로 하였을 경우에도 충분한 설득력을 가질수 있다.
이미 데이터는 누적이 되어 있고.. 잠시 여유 있다면 더 진행 할 예정이나 단순히 눈에 보이는 몇 가지 만으로도 부분적인 확인들은 가능하다.

과연 실제 위험은 무엇인가? 하는 질문도 가져야 할 것이고 빙산의 일각은 정말 운이 좋아야 걸리는 정도라고 해야 될까?  
 
검색을 통해 나오는 공격의 흔적은 이미 검색에 나오는 이상으로 대규모 확산되어 있는 것이 기본이다. 성공한 공격은 통계에 나오지도 않는다.  일부 실패한 것들만 어쩌다 걸릴뿐인거다. 검색어 기반의 패턴을 이용한 매칭은 초기 자료의 정렬에도 많은 시간이 소요 될 수 밖에 없다. 그리고 패턴매핑에 걸려드는 데이터들도 시일이 지나야만 정리가 될 것이고 의미 있는 자료가 될 수 있다. 이때는 이미 공격은 한차례 지나가고 또 다른 변화를 가진 다음일 것이다.

 
이틀전 9.7일에 발견된 bookmonn.com/ur.php 를 이용한 허위백신 경로가 대폭 변경이 되고 있다.
bookgusa.com/ur.php 로 변경 되었다.  그리고 이 데이터는 지금 이순간 전 세계 어느 누구도 모른다. 오직 공격자와 우리만 알고 있을 뿐이다. 그 결과를 살펴보자.

이미지 상으로 보면 중복제외하고 국내는 세곳이 나온다. 그리고 전세계를 통털어도 10곳 미만이 나온다. (중복제외).. 그러나 빛스캔의 대규모 유포 탐지에는 이미 70곳 이상의 웹서비스에서 유포가 되고 있다. 

성공한 공격은 나타나지 않으며 무작위로 대입하다 실패한 것들만 일부 드러나는 현실이라는 점을 인식해야 한다. 또 fake av 설치로 유도하는 경우는 대부분 다운로드 없이 이슈가 발생하고 있어서 탐지나 대응은 아주 한참 뒤에나 가능해 진다.  대체 사전 대응. 즉 선제적 대응이라는 말은 이 분야에서 가당키나 한 것일까?

체계를 위협하는 진짜 위험한 것들은 검색 정도에 걸리지 않는다. 대놓고 공격하는 조무래기들 조차도 제대로 찾지 못하는 마당에 무얼 할 수 있을까?

 
구글 보다 나은게 뭐냐는 질문이 있어서 .. 신속, 정확, 현실적 위험도를 보는 관점이 다름을 알려 드리기 위해 잠시 소개한다.





또 하나의 그림을 보도록 하자. 9.10일자로 감지된 빛스캔 탐지 체계의 일부 화면은 다음과 같다.
큰 차이를 보이고 있음을 알 수 있다.  웹소스를 분석하는 구글조차도 결과가 형편 없을진대 다른 보안업체들은 말해 무엇하랴.. ( 국내는 비교할 필요 없이 전 세계 주요 기업들 모두 마찬가지이다. ) 현재 거의 할 수 있는 일이 없을 것이다.  한참 지난 후 침해사고 분석이나 여러 자료를 통해서 확인을 할 뿐이고...



  좀 더 재밌는건 현재도 유일하게 잡아내는 체계이지만 곧 탐지이후 분석 단계까지 자동화 단계로 돌입 된다는 점이다. 공격하는 자들과 경쟁이 될 수 있을것 같다. 전 세계를 무대로... 

다른 기업들과 경쟁 하는 것은 관심이 없다. 공격하는자들, 조롱하는 자들과의 승부가 가능한가에는 관심이 있다. 또 그것이 궁극적으로 최선의 길에 이르게 할 것임을 이미 잘 알고 있다. 그 길에 열정을 다할 뿐인것이다.

* 추가 확인을 위해 9.14일 오후에 확인된 구글 검색 결과를 올려 드립니다.
현재 국내 도메인만 19,800 여개의 페이지에 걸려 있음을 확인 할 수 있습니다. 불과 4일전만 해도 3개 사이트 5개의 페이지만 나오던것에서 말이죠. 현재 공격의 심각성을 분명히 인지해야 할 것입니다.


- 바다란 


Posted by 바다란

진짜 SaaS (Security as a service)는 무엇인가? – 서비스 시작에 부쳐

-바다란

지금의 시기에 Saas의 필요성이란 공격자 우위의 현재 인터넷 상황에서 절대적으로 필요하다. 고급화되고 차별화된 진입장벽을 유지하고 있는 현재의 보안서비스로는 대중적으로 넓게 퍼지고 있고 빠른 확산력을 가지고 있는 공격도구와 기법에 대해 무기력 하기만 하다.

현재 상태에서 공격자들은 대규모적이고 자동화된 공격 방법을 다양하게 가지고 있으며 실제 활용하고 있는 상황이나 대응의 측면에서는 매우 제한적인 영향력을 가질 수 밖에 없다.

첫째는 비용의 문제

“ 보안 서비스를 받는 다는 것은 양질의 서비스를 고급화된 인력으로부터 받기 때문에 그만한 가치를 지불해야만 한다. 자주 변경 되는 웹서비스에 대해 매번 보안진단과 서비스를 받는다는 것은 배보다 배꼽이 더 큰 경우를 자주 양산하게 될 수 밖에 없다. 현재 국내의 상태에서도 보안서비스를 받는 기업의 비율은 전체 웹 서비스에서 10% 미만 이라고 볼 수 밖에 없다. 여력이 있고 지켜야 할 그 무엇이 있는 기업 군에 한해서만 서비스가 이루어 질 수 밖에 없는 환경 이기 때문이다. “

둘째는 기간의 문제

“ 일반적으로 웹 서비스의 개발기간은 그리 길지 않다. 정형화된 형태에 이미지 작업들이 다수 추가 되기 때문이며 아주 특화된 서비스가 아닌 경우에는 항상 일정 기한 내에 끝나게 마련이다. 대부분의 웹 서비스 개발의 문제는 제한된 기한내에 개발을 하되 보안성, 가시성, 편의성을 만족 시켜야 된다고 한다. 기한이 촉박한 경우에는 눈에 보이는 것만을 가지고 평가 할 수 밖에 없다. 즉 눈에 보이지 않는 보안성은 항상 뒷전에 물러날 수 밖에 없고 보이는 것만으로 평가를 할 수 밖에 없으며 개발 업체에서도 가시성과 편의성에 중점을 둔 개발을 할 수 밖에 없다.

잦은 변경이 있는 웹 서비스에서 일반적으로 보안진단을 하기 위해서는 웹 개발자보다 비용이 높은 보안전문가들을 투입하여 개발하는 기간 이상의 정밀 진단과 문제점 파악이 필요한 현 상황에서 비용대비 효과를 맞추기란 쉽지 않다.

잦은 변경과 점검에 걸리는 기간의 문제는 현재 웹 서비스의 보안성을 단순한 도구에 의존하게 하고 있으며 이 도구들은 우회 공격에 취약함을 보이고 있다. 근본 원인 제거 없이는 계속 될 수 밖에 없는 문제라는 것이다.”

셋째는 이해의 문제

“ 한 서비스에 대해서 진단이 되었을 때 그 서비스의 기술적인 보안 문제들을 장문의 결과 보고서에 기록하여 보내준들 그 문제를 이해 할 수준의 개발자들은 거의 없다. 사전식으로 정의 되는 모든 보안 문제들에 대해 일반적인 이야기를 할 때 개발자들은 어느 것을 먼저 해야 하는지? 또 이걸 했을 때 서비스에는 지장이 없는지를 확인 하기가 어렵다. 전문가들 조차도 제대로 이해하기 어려운 보고서의 내용들을 분야가 다른 비전문가들이 읽고 이해 하며 적용을 할 것이라는 것은 상당한 거리감이 있는 이야기 라고 보아야 된다.

문제의 포인트는 가장 시급하면서도 공격자들에게 가장 많이 이용되는 문제들을 지적하고 고칠 수 있는 방안을 실시간으로 제시 할 수 있는가 이다.  보고서와 가이드를 보고 자신의 코드에 적용 시킬 수 있는 사람들은 많지 않다. 그러나 어떤 개발 습관이 또 어떤 코딩이 문제가 있는지를 문제 부분을 지정하여 확인을 시켜 주고 또 재 검증을 할 수 있다면 문제가 달라 질 수 있다.

현재까지의 웹서비스에 대한 보안 방법들의 문제들은 모두 동일한 문제점을 가지고 있다. 사용자 친화적이지 못하며 근본 원인 해결을 위해 부족한 점 ( 비용, 기간, 인력)들이 많을 수 밖에 없다.”

비용과 기간, 이해의 문제를 해결 하기 위해서 필요한 것이 SaaS 서비스이며 보안서비스를 위탁받아 관리를 해주는 것과는 다른 부분이다.  전 세계적으로 가장 필요한 부분이며 가장 대중화된 서비스인 웹서비스 자체를 안전하게 만들기 위해서는 빠르고 직시적이며 바로 반영 할 수 있는 서비스가 절대적으로 필요 할 수 밖에 없다.  국내만의 문제가 아닌 전 세계적인 문제이다.


서비스로서의 보안은 문제 해결을 할 수 있어야 SaaS라 불려져야 한다.


실시간으로 URL을 입력하고 웹서비스의 문제점을 확인 한 후 문제점을 해결 하는 방안을 직시적으로 적용한다. 이후 제대로 적용이 되었는지를 다시 한번 확인을 하게 되면 된다. 숙련된 개발자에게는 이 모든 문제를 해결 하는 시간이 빠르면 30분 늦어도 하루 이내에 완료가 되어야 한다. 그래야 현재의 위기에 처한 인터넷 서비스 상황을 반전 시킬 수가 있다.


SaaS란 지금까지의 패러다임을 바꾸어야만 가능한 모델일 수 밖에 없다.

아무도 모를 취약성이란 없다. 더군다나 공개적으로 오픈 될 수 밖에 없는 웹서비스에 대한 취약성은 데이터베이스까지도 직접 위험에 노출 시킴으로 더 심각한 상황에 처하게 되는 것이다.  이 문제의 해결은 접근성의 확대 , 저렴한 비용, 필요 부분에 대한 직접 가이드 제공이 되어야 가능 할 것이고 이때에야 우리는 문제 해결을 시작 할 수 있게 될 것이다.

전문가라면 스스로가 알고 있는 지식과 경험을 가장 낮은 수준에서 널리 이해 할 수 있도록 만드는 사람이 진짜 전문가라 할 수 있다. 보안전문가라면 알고 있는 기술과 경험을 대중에게 제공 할 수 있는 매커니즘을 고민해야 다음 단계로 갈 수 있다고 생각 한다.

이제 공격자들의 적극적 공세에 맞설 수 있는 가이드가 필요한 시대가 되었다.

세계에서 처음 시도되는 과정까지 보여주는 실시간 점검 서비스

국내의 90% 이상의 웹서비스들은 10분 이내에 점검이 완료 되도록 한 속도

가장 많은 공격도구들이 이용하는 웹 애플리케이션 취약성에 대한 집중진단

더불어 구글도 탐지하기 어려운 유포지 탐지는 덤으로 제공한다.

널리 세상을 이롭게 만들자는 가치 아래 시작되는 프로젝트

https://scan.bitscan.co.kr

https://scan.bitscan.co.kr
빛스캔- 세상을 바꿀 플랜
Posted by 바다란

zdnet 컬럼입니다.

 한때 소니라고 불리는 영원할 것 같은 제국이 있었다. 워크맨으로 부터 시작한 거대 IT 제국은 각 영역의 거센 도전자를 만나 점차 힘을 잃어 가고 있었고 부활을 꿈꾸기 위해 시작한 PSP ( Play station ) 사업은 일순간의 영화를 재현하는 것 처럼 보였고 재기를 꿈꾸게 만들었다.

전자기기와 엔터테인먼트 산업의 거인이던 소니는 그 각 산업의 결과물을 결집 하였고 거대한 네트워크를 형성 하였다. 무너지지 않는 성처럼 보이던 거인의 보금자리는 단 한번의 손짓에 완전히 무너지는 과정에 접어 들었다.

 

무려 7500만에 달하는 전 세계 사용자의 정보와 신용카드 정보의 유출은 앞으로의 미래를 예측 할 수 없는 어둠으로 밀어 넣었으며 어쩌면 소니의 재기를 꿈꾸던 산업은 앞으로 더 험난하고 어두운 미래속으로 진입을 한 것이다. 단 하나의 뛰어난 해킹 그룹에 의해 무너졌다고 보기는 어렵다. 그 어떤 누군가에 의해서도 당할 수 밖에 없는 취약한 부분이 있었고 그 부분은 이제 거인의 무릎을 꿇게 하고 있다. 일인당 피해 배상 금액의 한도를 100만 달러 (11)으로 책정한 소니의 사건은 경우에 따라 한 거대기업의 몰락을 직접적으로 볼 수 있게 할 것이다.

 

나뭇잎이 붙은 단 하나의 지점이 치명적인 약점으로 작용한 아킬레스의 건처럼 거인의 온 몸은 튼튼하고 강했지만 사소한 작은 부분 하나가 내부의 혈관을 멈추게 한다. 지금의 기술적 보안의 현실과 다르지 않다. 정문만을 철저하게 보호하고 지키는 것은 당연히 공격자들을 우회하게끔 만들고 그 우회의 결과는 모든 노출 부분이 일정 수준 이상을 항상 유지 하지 않으면 언제든 치명적인 결과를 초래함을 목격하고 있다.

 

n  위험의 시작

 

The register에서 언급된 소니의 해명기사를 보면 사건의 전말을 유추 할 수 있다.

 

Sony: 'PSN attacker exploited known vulnerability'

Sonys Shinji Hasejima, Sonys CIO, told Sonys apologetic news conference that the attack was based on a known vulnerability in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, to improve and enhance such aspects.

 

The Register http://www.theregister.co.uk/2011/05/01/psn_service_restoration/

 

<소니의 해명 기자회견 장에서 공개된 침입 개요도 근본은 달라지지 않는다.>

 

PSN과 연결된 네트워크 영역에 위치한 웹서버가 알려진 공격에 의해 권한을 획득 당했음을 알 수 있다. 일반적은 웹서비스들은 데이터베이스 서버와 연동하여 정보를 웹페이지에 표시를 한다. 즉 웹서비스들은 데이터베이스와 연결 할 수 있는 권한을 가지고 있으며 만약 외부에 노출되어 서비스를 하고 있는 웹서비스가 해킹을 당한다면 이것은 데이터베이스의 정보도 반드시 외부로 유출 될 수 밖에 없다는 점을 의미한다. 소니에게 일어난 최악의 정보유출 사고는 그들의 관리영역 아래에 있는 웹서비스들중 어쩌면 중요도가 떨어지는 서비스가 직접적인 공격을 받고 권한을 이용해 데이터베이스의 전체 내용을 유출한 것이라고 보아야 할 것이다.

 

n  시나리오의 재구성

 

PSN ( Play Station Network) 영역에 대한 공격을 기반으로 간략하게 도식화한 침입 과정과 경로는 다음과 같이 예상 할 수 있다.


 

그림상에 나오는 1,2,3의 순서대로 되었을 것이고 동일 데이터베이스에서 연동되는 형태 였다면 2,3은 같이 묶이는 형태가 될 것이다. 외부에 노출된 서비스 영역에 존재하는 모든 웹서비스를 일정 수준이상 유지를 해야 위험성을 예방 할 수 있지만 개편이 진행 중이거나 통합이 진행중인 상황에서 개발보다 시간이 오래 걸릴 수 있는 보안점검은 오히려 장애물이 될 뿐이였을 것이다.

 

보안규정을 준수하고 모든 보안장비를 설치한다고 하여도 문제의 근원을 제거하지 못한다면 소용이 없다.  보안진단을 꾸준히 받고 많은 비용을 들여 컨설팅을 받는다 하여도 상시적인 수정과 개편이 일상화된 웹서비스에서는 안정성을 계속해서 보장 받는다는 것은 현실적으로 불가능하다.

 

거대기업이든 보안적인 역량이 충분한 기업이든 현재 상태에서는 안정성을 보장하기가 어렵다.

모든 외부 노출 부분에 대해 상시적인 진단과 문제점을 확인 할 수 있는 과정은 아직 출현하지 않았기 때문이며 그만큼 공격자들의 우위는 보다 높은 곳에 있다. 지켜야 할 곳은 많고 잠시의 여유와 한가로움은 치명적인 결과로 돌아오기에 지키는 자들도 힘든 과정에 돌입해 있다.

 

n  무엇이 문제인가?

 

간단하게 말해서 소니의 몰락은 아주 작은 부분에서 부터 시작이 되었으며 그 과정에 며칠이 걸리지도 않았다. 위험으로 부터 보호하기 위한 단계별 조치들은 모두 이루어 졌다 하여도 지켜야 할 범위의 광범위함과 끊임없는 변화 ( 웹서비스의 개편)는 수시로 공격자들에게 기회를 준다. 아주 오래전 부터 알려진 공격이 가능한 문제들이지만 지금의 공격자들은 이미 자동화된 공격도구로 모든 범위를 호시탐탐 노리고 있다. 문제의 수정을 위해서 다양한 도구와 전문성 있는 진단 도구를 활용하여도 전체 범위를 수시로 커버하지 못하는한 문제 해결은 요원한 길이다.

 

모든 개발자를 교육 시키는 것도 어려우며 모든 범위를 안전하게 보호하는 것도 어렵다. 대체 무엇을 할 수 있을 것인가? 소니의 공격 사례는 현대캐피탈의 해킹 이슈와 다른점이 하나도 없다. 국내는 해외든 여기에서 안전할 기업이 있을까? 목표가 되면 거기가 끝이 된다.

 

아킬레스의 생존을 위해서는 온 몸의 구석구석을 일정수준 이상 유지 할 수 있는 실효적인 서비스와 이상 부분을 가장 빠르고 단기간에 확인 할 수 있도록 체계를 유지 하지 않으면 내일의 희생자는 바로 자신이 될 수 밖에 없다. 소니의 몰락을 잊지마라.

 

웹서비스 보안과 관련 하여서는 http://p4ssion.com/241 컬럼을 참고하고 필요 부분에 대해서는 2008년에 작성한 Mass sql injection 대응과 현실이라는 컬럼 (http://p4ssion.com/200)의 내용을 참고 하면 무엇이 필요한지에 대해서 인지 할 수 있다.

 

이미 오래전 예상 되었던 것들이 현실화 된것에 지나지 않으며 국내는 물론이고 전 세계적으로 대응이 되지 않아 앞으로도 오랜기간 유사한 기사와 사례를 다수 접하게 될 것이다. 그때마다 인터넷은 위기의 상황에서 어둠 속의 파도타기를 계속 하게 될 것이다.  바다란

Posted by 바다란

위기의 인터넷은 본궤도에.. 4월의 교훈

-bloter.net 기고컬럼입니다.

국내외적으로 유사한 해킹 사례가 거의 동시에 발생을 하고 국내는 물론 세계적으로 이슈가 된 사례는 흔치 않다. 국내의 금융사와 국제적 IT기업이라고 할 수 있는 소니에 대한 해킹과 피해 사례는 앞으로의 대응에 있어서 많은 시사점을 던져준다.

정확하게는 앞으로의 대응 보다는 지금 당장의 대응이 더 시급한 측면을 가지고 있다. 일전 언론사 기고 컬럼에서 홈페이지 해킹과 악성코드 유포 및 대응방식에 대한 경고를한 적이 있다.

1. 신규 공격코드를 이용해 SQL Injection 자동화 공격도구로 취약한  서비스들에 대해 직접적인 공격이 발생 된다.

2.  서비스를 통해 악성코드가 유포된다.

A. 유관기관에서는 악성코드 신고 접수 시에 악성코드 유포하는 도메인에 대한 차단을진행한다.

B. 백신업체에서는 악성코드의 패턴을 이용해 대응하는 백신을 제작하거나 업데이트 한다.

C. 신규 취약성을 이용할 경우에는 패치를 설치 하라고 언급이 되고 패치가 나오지 않을경우에는 그냥 기다린다.

D. 악성코드가 웹을 통해 감염이 되고 주변 네트워크로도 확산이 되는 것과 같은 특이한상황의 경우 별도의 방안들을 강구하도록 한다.  ( ARP Spoofing)

3. 악성코드의 변형이 유포  경우 – 2 항에 있는 A,B,C 항목은 계속 반복이 된다.


2011년 현재도 악성코드의 유포와 대응에서 사용되고 있는 일반적인 시나리오라고 할 수 있다. 이 시나리오 상에서 이미 사전단계로 생략하고 넘어가는 부분은 이미 공격이 성공하여 악성코드를 유포할 때에는 내부망에 있는 Database에 관한 정보는 다 유출된 것과 마찬가지이고 내부로 침입 할 수 있는 통로는 이미 열려져 있는 것과 마찬가지라는 점이다.     ( http://p4ssion.com/261 마이너리티 리포트 참고)


무엇이 문제?

일반적으로 웹서버에 대한 공격에 성공을 하게 되면 언제든 간편하게 들어 올 수 있도록 통로를 만들어 둔다. 이를 백도어라고 부른다.  백도어를 통한 피해사례는 아직 끝나지 않은 현대캐피탈의 사례에서 확인이 가능하다.

소니의 사례라고 다를까? (소니의 사례는 외신에서 언급한 기사를 참고)

현대캐피탈은 보안인증을 받았고 미국에서 사업을 하고 있는 소니의 경우는 PCI-DSS라는 기본적인 보안 절차를 모두 준수할 정도로 두 회사 모두 보안에 신경을 쓰고 역점을 두었음에도 불구하고 결론적으로 최악의 해킹 피해를 당했다고 볼 수 있다. 금융회사의 내부 고객 정보가 유출이 되고 신용카드 내역을 저장한 데이터와 모든 고객정보가 유출되는 사례들은 발생 할 수 있는 최악의 사례라고 보아야 한다. 소니의 경우 정보유출로 인해 피해를 입는 고객에게는 일인당 최대 100만불 (11억원)의 피해보상을 한다는 보도도 있었으며 앞으로의 향방이 더욱 큰 관심을 끌고 있다.

거대기업을 침몰시킬 수도 있는 단초가 인터넷에 노출된 별로 중요하지 않은 웹서버 하나를 통해서도 제공 될 수 있다는 증거로서 목격 하게 될 것이다.

4월에 대표적인 해킹 피해를 입은 두 회사 모두 피해의 지점은 동일하다. 외부에 노출된 웹서버들을 통해 내부망으로 침입이 된 사례이며 웹서비스에 대한 상시적인 보안관리와 문제점 해결을 위한 노력이 모든 외부 노출 서비스 부분에 대해 이루어 지지 않을 경우 막대한 피해와 자칫하면 몰락으로도 이어질 수 있는 사례라 할 수 있다.


문제부분

일반적으로 IT 서비스를 운용하는 회사에서는 여러 종류의 서비스를 활용하고 있다.  예전과 같은 Client/ Server 모델이 아닌 웹을 활용한 정보교환과 업무 활용이 일반적인 상황에서 외부에 노출된 웹 서비스들은 항상 위험을 내포하고 있다.

대표적으로 URL 상에서 SQL ( 데이터베이스 질의 언어) 구문을 입력하여 데이터베이스의 자료를 빼내거나 조작하는 유형의 취약성인 SQL Injection의 경우가 가장 큰 예로 들 수 있는데 직접적으로 내부망에 침입하고 자료를 빼내어 갈 수 있다는 점에서 가장 치명적인 문제라고 할 수 있다. 해결 방안으로는 특수문자의 입력을 막거나 길이제한을 모든 URL 상의 인자들에 대해서 적용을 해야 하는데 사람이 개발하는 이상 항상 빈틈은 있게 마련이다. 또한 웹서비스 운영 Application 자체의 취약성을 이용한 공격들도 일반적인데 이 문제의 경우 정기적인 진단으로도 충분히 문제 해결을 할 수 있으나 잦은 변경이 있는 웹페이지의 경우에는 정기 진단으로 하기에는 변화의 폭이 커서 어려움이 있다.

보안을 강화하고 중요시 하는 기업들의 경우에는 정기적인 진단과 점검을 일상적으로 수행한다. 여기에서 발생하는 문제는 예산과 인력, 시간상의 문제로 인해 우선순위를 정해서 점검을 하게 마련이다. 항상 1순위는 대표 사이트 및 고객이 직접 접근 하는 사이트 및 정보가 저장되는 사이트가 된다. 그 뒤의 순위는 업무용 시스템이나 중요도에서 ( 고객 접근 관점의 중요도) 떨어지는 시스템들이 된다. 여기에서 근본적인 문제가 발생 된다. 지금까지는 사용자들이 많은 즉 정문에 대해서만 이중, 삼중의 진단과 도구들이 설치가 되었다고 봐야 한다. 그러나 공격자들도 정문만을 이용할까?

지금의 공격자들이 보유한 공격도구의 상태는 전문화 되어있고 대규모적인 공격이 가능하도록 되어 있다.  즉 모든 범위에 대해서 단 한가지의 문제점을 찾는 것이 일반적으로 되어 있다는 것이다.  외부에 노출된 모든 부분에 대해 문제점이 있는지를 수시로 점검하고 문제가 발견되면 직접 침입을 시도하게 된다.  지금까지 보안점검을 받던 기업에서는 중요성 있는 서비스와 우선순위에 대한 기준점을 모두 바꾸어야만 가능한 상황에 처해 있다.


해결방안?

외부에 노출된 모든 서비스를 1순위로 놓아야 하고 그 이후 내부에 있는 서비스들에 대해서 선별적으로 순위를 조정 하는 것이 바람직하다. 그리고 한 가지 더 중요한 것은 일년에 몇 차례 하기도 힘든 전체 서비스에 대한 보안 점검을 상시적으로 해야만 현재 기업들과 인터넷이 처한 문제점을 해결 할 수 있는데 사실상 한계가 존재 할 수 밖에 없다.  단 몇 시간 만에도 코드상에 변경이 일어날 수 있는 웹 서비스에 대해 정기진단으로 가능 할 수 있을까 하는 의문을 가져야 한다.

이제 보안 진단과 서비스에 대한 시각과 패러다임을 바꾸어야만 생존이 가능하며 기업의 서비스를 안전하게 유지 할 수 있는 상황에 직면해 있다. 그 누구도 안전하지 않은 상황.. 특히 IT기업 및 인터넷을 활용한 비즈니스가 일반적인 기업이라면 대단한 경각심과 준비를 하지 않으면 안될 것이다. 보안기업들 조차도 웹 서비스가 해킹을 당해 정보가 유출 되는 마당에 안전할 곳은 대체 어디인가?

몇 년 전 경고한 위기의 인터넷은 이제 본 궤도에 올랐다. 4월은 시작이였을 뿐이다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란


지디넷 컬럼 기고본입니다. 2011.5

 

 

일반적으로 마이너리티 리포트라고 하면 톰크루즈 주연의 영화를 떠올리게 마련이다. 
범죄가 일어나기 전 범죄를 예측해 범죄자를 단죄하는 최첨단 치안 시스템이 언급된 영화로 알고 있다.

전체적으로는 진실로 통용되는 치안시스템의 예지와 무시되는 소수의 진실을 예견하는 의견의 충돌로 훼손되는 한 개인의 가치를 조명하고 회복하는 과정을 나타내고 있는 영화라 할 수 있다
.

지금의 상황에서의 마이너리티 리포트에 대한 이야기를 꺼내는 것은 무한한 신뢰가 부여한 시스템이 깨어질때의 충격들이 있는 지금의 시점이 적합한 시점이라 보기 때문이다
.


가려진 눈속에서 볼려고 하는 진실은 어디에 있고 무엇을 말하고자 하는 것인지 또 지금과 같은 위기의 인터넷 상황에서 소수의 의견은 무엇인지 알아 보도록 하자.

 본 컬럼에서는 물론 영화 이야기를 하고자 하는 것이 아니다. 현재의 IT 서비스의 위험 상황에 대해 좀 더 치열하고 전문적이며 문제의 근본이 무엇인가에 대해 정확한 이야기들이 없어 소수의견이 때론 진실에 가까울수 있다는 점을 빌리고 싶을 뿐이다. 보안전문가는 무엇이고 해커는 또 무엇인가?

 보안전문가라는 업종은 보안전문가와 보안관리자의 차이라는 컬럼(http://p4ssion.com/231) 에서 상세하게 구분을 한 적이 있다. 전문가의 관점에서 바라보는 지금의 여러 보안 이슈들은 분명히 가쉽거리와는 다른 관점에서 바라볼 것을 이야기 한다.
 
해킹사고가 빈발하고 이제는 왠만큼 큰 이슈가 아니면 화제거리에도 오르지 못하는 상황에서 언론에 기사화 된 많은 내용들은 실제 인과관계와 상당히 다른 관점의 이야기들을 많이 하고 있다. 정확한 의견과 그 의견에 기반한 문제점을 해결하는 과정을 통해 만들어야 될 많은 가치들이 있음에도 그릇된 길과 방향으로 목표를 설정하게 되면 한참 틀어지게 마련이다.

 
지금의 시점이 틀어지기 직전의 시점이라고 보인다.



사설
IP ( Private area)는 안전한가?

 

일반적으로 내부에서 구축하는 인터넷 환경을 인트라넷이라 부른다. 외부에서는 접근할 수 없는 영역이고 안전하다고 알려져 있다. 접근이 되지 않는데 어떤 침입을 받을 수 있겠는가? 대부분의 전문가가 아니거나 실무자가 아닌 많은 사람들은 외부자가 접근 할 수 없는 영역의 데이터가 유출 되었다고 할때 의심을 가진다. 내부자가 공모하여 내부로 들어 올 수 있도록 만들지는 않았을까? 아니면 정보가 공개적으로 바깥에 나와 있지는 않았을까? 하는 등등..

 

실상은 내부에 있는 모든 정보들도 외부와 연결을 하거나 연동을 하는 지점이 반드시 존재하고 연동이 되어야만 가치를 지니는 정보들이 대부분이라 연결이 될 수 밖에 없는 것이 사실이다.
이 연결 되는 지점의 대부분은 일반적으로 웹 서비스에서 맡고 있으며 대부분의 중요 데이터들은 내부에 있는 데이터베이스 서버에 보관 되곤 한다. 웹 서비스는 그럼 무었일까? 외부에도 공개되어 있으며 내부의 인트라넷 영역에도 접근이 가능한 지점에 위치하는 웹 서비스 및 대외 서비스들이 위치한 영역을 DMZ 영역이라 부른다. 이 영역에 있는 대부분의 서비스들은 IP 주소를 두가지를 가지게 된다. 외부에서 연결이 가능한 외부 IP 주소와 내부로 연결을 하기 위한 IP 주소를 가지게 된다. 외부 IP라는 것은 인터넷으로 연결이 가능하고 단일하고 유일한 주소를 인터넷 상에서 가지게 됨을 의미한다. 내부 IP는 인위적으로 내부 통신 연결을 위해 사용한 것으로 회사로 따지면 회사내의 주소 체계에서만 유일성이 보장되면 된다.

 

내부에서만 은밀하게 (?) 공유가 되고 접근 할 수 있다고 하는 정보들은 사실상 외부와 연결된 통로를 항상 지니게 되고 더 이상 은밀하다고 볼 수가 없다. 현대캐피탈과 소니 해킹의 사례가 증명을 한다. 설마 고객정보와 신용카드 정보등을 외부 인터넷에 올려두고 공유하였겠는가? ..

외부에서 직접 접근이 가능한 내부 IP는 없으며 인터넷상의 직접적인 공격으로 부터 보호된다 할 수 있다. 공격자들은 내부 정보를 빼내어 가기 위해 내부의 정보와 연결된 지점을 공격하여 내부로 들어가는 통로를 확보한다.

 정확하게는 웹서비스를 직접 공격하여 (외부 IP 및 내부 사설 IP를 동시에 가지는 웹서비스) 권한을 획득하고 웹서비스의 상태를 이용하여 내부망으로 직접 공격이 가능해 진다. 내부에 존재하는 데이터베이스의 정보를 빼내어 가는 것은 웹 서비스상에 내부 영역의 데이터베이스와 통신을 하고 데이터를 빼내어 웹서비스를 통해 사용자에게 제공하는 부분이 있기 때문에 가능한 것이다.

 

결론적으로 웹서비스를 공격하게 되면 웹 서비스와 연결된 데이테베이스는 그것이 어디에 있든 직접적인 피해를 입게 되고 거점으로 삼게 되면 더 은밀한 정보들이 저장된 곳에도 접근 할 수 있는 거점이 된다는 것이다. 웹서비스에 대한 해킹과 악성코드 유포지로 사용되는 웹 서비스들은 이미 데이터베이스에 대한 제어권을 상실 했다는 의미와도 동일한 것이다.

 

방화벽은 데이터를 보호하는가?

 

항상 내부의 데이터를 보호 한다는 것을 강조하기 위해 몇중의 방화벽으로 데이터가 보호 되고 있다는 언급을 많이 쓴다. 여기에서 몇단계의 수치가 높을 수록 보호되는 강도가 높다고 인식하는 경향이 있는데 전부 오해다.

방화벽의 역할상으로 보면 접근제어 이외에는 전혀 역할을 할 수가 없다
. 접근제어라는 것은 접근이 가능한 서비스나 특정 IP 에서만 접근이 가능하도록 통제하는 역할을 수행하는데 앞서 언급 했던 웹서비스의 역할은 데이터베이스와 연결하여 정보를 서비스를 통해 대외에 표시하는 역할이다. 방화벽에서도 웹서비스와 데이터베이스의 연결은 차단 할 수가 없다. 데이터베이스와 웹서비스를 연결하는 지점을 방화벽에서 막을 경우 정상 서비스는 될 수가 없는 것이다. 정상서비스를 한다는 의미는 웹서비스에 대한 공격과 권한 획득을 통해 데이터베이스에 대한 접근까지도 손쉽게 이루어 진다는 것이다.

 

데이터베이스의 암호화에 대해서 언급을 한다.

 

저장 되는 값들을 암호화 한다는 것은 공격자를 한번쯤 더 귀찮게 하는 것일뿐 그것은 절대 장애물이 될 수 없다. 앞서 언급 했듯이 웹서비스의 권한을 획득한다는 것은 모든 권한을 다 가지고 있는 것과 마찬가지이다. 데이터베이스에 암호화된 값들이 들어 있다 하여도 이 모든 값들을 비교하고 정상값 유무를 확인 하는 것은 모두 웹서비스의 코드에서 담당을 하고 있다. 공격자는 이미 웹서비스의 모든 권한을 가지고 있다. 과연 이게 장애물이고 보호 대책이 될 수 있을까? 황당한 이야기일 뿐이다.

 내부IP를 가지는 것도 또한 암호화도 데이터베이스 앞의 방화벽도 보호의 의미가 완전하지 않음을 앞서 설명 하였다.  데이터베이스의 기능제한을 위한 모든 것들도 조회 ( Select  구문) 구문을 막을 수는 없다. 단지 삭제와 테이블 변경 정도의 치명적인 문제들에 대해 일부 제한을 할 수 있을뿐이다.

 
 
내부에 있는 정보를 지키기 위해서는 외부에 노출된 모든 서비스를 안전하게 유지 하여야 하나 항상 일정수준 이상을 유지하는 것은 서비스 종류가 많을 수록 불가능 할 수 밖에 없다.
예산이 많고 가용한 전문인력이 많아도 항상 한계에 부딪힐 수 밖에 없도록 되어 있다. 기존의 보안기술의 관점에서는 항상 한계를 가질 수 밖에 없을 것이다.

문제 해결을 위해서는 전체의 안정성을 일정수준 이상 올려야 하며 대상은 모든 대외 노출 서비스가 되어야만 한다. 날로 발전하는 공격기술의 수준을 따라가면 모든 서비스의 수준을 높이고 꾸준한 관리가 된다는 것은 병적인 집착과 집요함이 없이는 어렵다.  한 분야만을 깊게 공격하는 공격자들로 부터 모든 범위를 지키기 위해서는 지금과는 다른 관점의 논의가 필요하고 서비스의 패러다임이 필요한 때라 할 수 있다.

 

무엇을 해야 하는가?

 

2007 11월쯤에 “IT 서비스의 현재 위험과 향후 대응에 대하여라는 종합 문서를 작성한 적이 있다. (http://p4ssion.com/199 ) 이미 4년전에 제시한 내용이나 현재까지도 제대로 이루어진 케이스는 없다. 국가전체, 산업 전체적인 대응방향을 제시 하였으나 이 부분을 내부로 한정하여 특정 조직 및 기업에 적용하는 것도 문제가 없을 것이다. 2007년에도 앞으로 문제는 심각해 질 것이라고 예상을 했었고 준비가 필요하다고 했었지만 과연 지금껏 무엇을 했는지? 또한 진지한 고민이라도 한번 있었는지 의문스럽다.

 지금 당장의 대책 부분도 단기간에 보안장비를 도입하고 인력을 뽑고 팀을 운영하고 외부에 컨설팅을 맡기는 것이 대부분이 되겠지만 실질적인 문제의 근본과 문제지점을 모르는 상태에서는 문제는 계속 될 뿐이다. 소니가 돈이 없고 인력이 없어서 당했을까? 일반적으로 잘 알려진 문제라 할지라도 전체의 서비스에 대한 상시적으로 관리하는 것은 현재 상태에서 불가능 하기 때문에 공격자들에게 계속적으로 당하는 것이다.  앞으로도 계속 그럴 수 밖에 없을 것이고..

 

무엇보다 지금 공격을 당하고 피해를 입는 원인에 대한 정확한 이해가 필요하고 그에 따른 해결책을 찾아 적용 하는 것이 최우선이다. 지금의 상황은 원인에 대한 정확한 이해가 선행 되지 않은 상태라고 필자는 보고 있다.

 

위험이 극에 달할 시점을 예상하여 개인적으로 몇 가지 준비한 기술적인 해결책과 방안이 있으며 앞으로의 컬럼에서 직접 언급을 하도록 하겠다.

 

-       바다란 세상 가장 낮은 곳의 또 다른 이름

Posted by 바다란

2011. 4.26일 코엑스의 netsec-kr 튜토리얼 세션에서 발표한 내용입니다. 

많은 이야기를 했고 시연도 했지만 현재의 변화는 정말 심각한 상황에 직면해 있다고 봐야 됩니다.
현대 캐피탈에 이어 소니도 해킹을 당했지만 들리는 소식으로는 소니 자체에서 조사를 못하고 외부 보안전문업체를 동원해서 분석을 한다는 군요.

한해 매출이나 이익이 조단위가 되는 회사에서도 자사의 서비스를 책임지고 이해하며 보안적인 이슈를 분석할 사람이 없나 봅니다.

아마 전 세계적으로 보안인력의 품귀 현상이 빚어지겠지만 모두 예측된 일입니다.
더 중요한 것은 아무리 기술이 높은 인력을 채용하고 스카웃 한다고 하여도 내부에서 성장하고 체득 할 수 있는 에코시스템이 갖추어져 있지 않다면 별 소용이 없다는 점이죠.

에코 시스템이란 제대로 일을 할 수 있게 또 역량 발휘를 할 수 있게끔 해주는 것이죠. 금전적인 대우야 하는 일에 맞게 책정 하면 될 것이구요.

항상 보안이라는 분야는 다른 많은 부분과 마찰도 있고 문제도 있지만 중요한 것은 통제를 위한 보안이 아니라 큰 위험을 막고 전체를 보호하기 위한 분야로 인식을 할 때 시너지가 발휘 됩니다. 여기까지 가기 위해서라도 경영진의 위기인식과 의지는 반드시 필요하죠.

인식과 의지가 귀찮으시면 그냥 소니처럼 25조짜리 소송 당하면 됩니다. 왜 해외에서의 문제가 더 심각할까요? 이 부분도 생각해 봐야 합니다. 신용으로 거래되는 해외의 상거래 관행에서 신용카드는 매우 큰 역할을 합니다. 더불어 이 번호가 노출 되었을때 도용 될 수 있는 폭도 매우 크며 도용에 대한 해명 및 어필등을 일정 수준 이상 개인이 해야 하는 사회적 비용이 촉발 됩니다.
 

또한 실제 피해도 많이 발생 되는데 .. 국내도 지금껏 많은  정보들이 탈취 당했으나 개인 차원에서는 보이스피싱 정도의 피해가 가장 심각한 피해라고 볼 수 있습니다. ( 이번 현대캐피탈 이슈는 제외 하구요..) 해외에서는 정보 유출시 피해가 상당 할 수 밖에 없습니다. - 신용으로 이루어지는 .. 즉 신용카드로 모든게 결재되고 거래되는 사회라는게 사전 대응 보다는 사후 대책에 집중 할 수 밖에 없는 부분이기도 합니다.


 
Web을 통해 유포 되는 악성코드들은 대부분이 개인정보 유출로 활용 되고 이중 일부는 Arp spoofing & DDos 용도로 활용 되기도 합니다. 사실 DDos 공격 같은 경우는 예전 같으면 애써 구축한 봇넷 네트워크가 무너지기에 금기시 되었지만 요즘 같으면 금새 좀비를 몇 만대 이상을 만들 수 있으므로 훼이크 성으로 할 수도 있겠죠.

지난 3.4 DDos가 많은 점에서 어설프게 보이는 것도 동일 합니다. 본 자료에서는 그 내용도 포함 되어 있습니다. 2시간의 발표 동안  자료 보다 많은 내용을 시연하고 발표를 했습니다만 자료상에는 단순한 챠트가 나열 되어 있습니다.  통찰력 있으신 분들이 그 의미를 깨닫게 되신다면 향후의 대응은 달라질 수 있을 것 같습니다.

위기의 인터넷이라는 부제는 몇 년전 컬럼에서 썼던 제목인데 현재는 그 상태로 완벽하게 진입되어 있는 상태입니다. 그 때 예측한 많은 것들이 실현이 된 것이죠.  

뒷부분 대책 부분에서 웹 서비스에 대한 개발 프로세스 전환 부분등에 대해서는 심각하게 생각해 보시길 바랍니다. 기존의 보안도구와 방법론의 문제들은 이미 여러번 언급한 적이 있습니다.

빠른 납기주기: 웹 개발의 경우는 더 빠르겠죠. 이 기간내에 보안점검까지 다하기란 어렵습니다.

보안 스캐너 :
보안 전문가도 한눈에 알아 보기 어려운 설명과 방법, 그리고 실행 시간이 오래 걸립니다. 개발자가 직접 보기에는 무리인 부분이죠.

소스코드 진단도구 :
자동화된 도구들의 경우 기계화된 코딩을 강요하죠. 이 부분에서 절대적 한계, 교육된 개발자가 이탈시엔 모든걸 다시 원점에서 시작.

보안컨설팅:
이벤트 페이지 하나 추가해도 받으 시겠습니까?. 비용은 또 서비스 구조에 익숙하지 많은 전문기술자들의 진단은 때론 핵심을 빗겨 가기도 합니다. 또 소스코드 점검을 컨설팅을 통해 받는다고 하여도 남이 개발한 소스를 직접 보고 문제 부분을 찝어 내는 것은 어렵습니다. 무엇보다 인간입니다. 실수 할 수 있다는 것이죠.


이에 반해 공격도구의 경우는 특정 부분만을 찍어서 들어 옵니다. 그리고 외부 인터넷 노출된 서비스 전체에 대한 확인과 진단도 쉽습니다. 기업에서 내부망으로 침입이나 데이터 유출 ( 이번 소니나 현대캐피탈)을 방지 하기 위해서는든 외부 노출 서비스에 대한 보안 진단이 상시적으로 이루어져야 합니다.

과연 이걸 기존의 Security paradigm으로 할 수 있을까요? 국내뿐 아니라 해외 모두 마찬가지입니다.
방향 전환이 필요한 시기이고 더 늦어지면 이젠 감당키 어려울 것입니다.

Web service의 안전한 운영과 개발을 위해 필요한 부분을 기존과 다른 WSDLC라는 이름으로 명명 하였습니다. 여기에서의 프로세스는 접근성 뛰어나고 빠른 실행이 가능하며 간편한 보고서 형식으로 활용이 가능한 서비스의 필요성에 대해서 언급을 하였고 개발자 자신의 Self learning 뿐 아니라 보안 담당자나 전체 운영자 입장에서는 일목요연한 취약성 형상 관리가 일단위로 가능해 지겠죠.


지금까지의 개념과는 상당히 다른 차원의 접근이 되어야만 현재의 문제를 해결 할 수 있을 것입니다.

전체적으로 악성코드 유포의 동향, 공격자의 의도 ( 왜 주말에만?? ). 2월까지만 해도 3일간격으로 경유지를 변경하던 공격자들이 많은 대응으로 인해 손실이 커지자 주말에만 활동 하는 것으로 바뀌었고 지난주에 출현한 Flash player에 대한 공격 코드 출현으로 인해 주중에도 이젠 대 놓고 공격하는 형태로 변경이 되어 있습니다.

짧은 내용에 담긴 흐름과 변화의 예측. 그리고 대응

* 아무나 할 수 있는 것은 아닌 점이라는것만 확실하게 말씀 드립니다. 상세한 내용은 발표 자료를 통해 유추 하시고 통찰 하시길 바랍니다.



- 바다란 세상 가장 낮은 곳의 또 다른 이름. 
Posted by 바다란
현재 상황에서 장기적 방향 설정에 도움이 될까 싶어 예전 공유한 내용을 게재합니다.


2011년 1월에 발표된 문서입니다.
CSIS에서 발표한 문서인데 간략한 구성을 가지고 있습니다.

간략하게 요약하면 다음과 같습니다.
"미국내의 보안적인 노력들은 여전히 부족한 부분을 가지고 있다.
 다양한 부분에서 노력을 하고 있지만 현재의 위협을 감당하기에는 여러 부분에 걸쳐서 부족하다."

미국은 사이버 보안을 국가의 안보를 위협하는 치명적인 요소로 2008년 부터 규정하고 진지한 노력을 해왔지만 2008년 이후 나타난 위협은 더 극한적인 상황에 내몰리고 있는 상황이다. 따라서 진지한 노력이 필요하고 지금까지 해오던 노력들의 재 점검과 방향성 검토가 필요하다 정도로 요약이 됩니다.

필요한 열가지 노력들에 대해서 언급을 했는데 고민을 해야 할 부분 같습니다.



1. 국가 우선순위로서 사이버 보안에 대한 인식과 연방정부 차원의 리더쉽과 조직력 배양을 위한 노력.
  - DHS와 DoD의 역할 분담과 더 추가적인 노력 부분들에 대해서 언급 합니다. 아인슈타인을 통해서 "Cloud"보안을 연방 정부 기관내에 구축하고 있으나 현실적으로 현재의 위협을 감당하기에는 부족함이 있다고 언급합니다.



2. 국가 기반시설의 사이버 보안에 대한 명확한 권한과 규정의 필요함과 프라이빗 영역과의 새로운 공조 방안의 개발 필요
 - OMB 언급 됩니다. (예산 관리청 입니다.)



3.   글로벌 인터넷을 위한 새로운 비전 창출을 위한 정책 제시 필요함. 사이버 공간상에서의 악의적인 행동들의 인과 관계와 통제에 대한 새로운 접근 방안, 사안 규정을 위한 미국의 힘의 집중을 통해 해외국가의 정책을 만들도록 하는 것 필요



4. 발전된 해외로 부터의 위협에 대해 첩보,군사 정보 능력의 활용을 확장한 역량 필요



5. 디지털 기술 채택을 통한 명확한 규칙과 프로세스를 통해 개인과 시민의 자유를 위한 시야를 강화



6. 국가기반시설에 대한 신원인증의 강화  ( 물리적, 온라인적)



7. 적합한 사이버 보안 기술의 채택을 통한 확장된 영역 구축
 - Human capitalism으로 촉발된 인력 유출의 위기에 대한 대안으로 제시하고 있습니다. 아마도 국가기관이나 연방기관에서의 민간 기술의 획득 및 가치에 대한 활용을 활발하게 할 것을 권고 하는 것으로 보입니다.



8. 보안이 강화된 제품과 서비스를 사용하도록 시장을 리딩하기 위해 연방 제품의 조달 관련 정책을 변경하는 것이 필요



9.  정책과 법적인 프레임웍을 재구성하여 정부차원의 사이버 보안 행동을 가이드 한다.



10. R&D는 사이버 보안의 어려운 문제에 집중하도록 하고 문제를 명확하게 하도록 하며 조정자의 관점에서 펀딩을 할당 하도록 하여 지원을 할 수 있도록 한다.




이상과 같이 간단하게 정리 했습니다. 여기는 국가기관 차원에서 민간 부분을 선도하고 가이드 하고 방향성을 제시할려고 하고 있습니다만 우리와는 조금 다른 측면이 있습니다. 역할도 그렇구요. ^^;

문서를 보시면 자세히 잘 나옵니다만 번역 관계 없이 주요 포인트들만 생각대로 의역 했습니다. 참고 하시고 보시면 될 것 같습니다.


다른 기사로는  DHS(국토안보부)에서 4000만 달러의 상금을 걸로 14개 가량의 기술적 분야에 대해 정부기관이나 인터넷 분야에서의 혁신적으로 보안성을 강화 시킬 수 있는 구조에 대해서 상금을 걸고 있습니다. 기술적 분야 하나 마다 400만불 가량의 상금을 걸고 있어서 좀 더 제안들이 구체화 될 것으로 보입니다. 

- 바다란 세상 가장 낮은 곳의 또 다른 이름
Posted by 바다란

보안전문가와 보안관리자의 차이와 구분에 대해

 

 

안녕하세요. 바다란입니다.

 

일전에 보안전문가에 대해서 한번 써보기로 했었는데 생각해 보니 범위도 매우 넓고 세부기술 단위도 많은 문제가 있었습니다. 그리고 보안이라는 부분이 모든 IT 관련된 기술 부분과 연관되다 보니 적용의 범위와 산업의 범위를 어디까지로 두어야 할지 경계가 모호하여 적지 못한 적이 있습니다.

오늘은 IT서비스 부분에 대해 전체의 범주는 아니지만 많은 부분 포함이 되는 범위 안에서 보안전문가와 보안관리자에 대해 써보도록 하겠습니다.

 

보안전문가와 보안관리자에 대해서 상당히 애매하게 접근을 하고는 합니다. 그러나 일반적으로 알려진 상식으로 구분을 해보면 보안전문가는 보안 관련된 기술을 깊이 있게 이해하고 있고 실제 적용이 가능한 상태로 만들 능력을 지니고 있는 자를 의미합니다. 보안관리자는 보안정책에 대한 집행과 이행 , 시스템에 대한 관리 등등 다양한 부분을 책임지고 있는 자라고 할 수 있습니다.

전문가는 기술에 대한 전문가이고 관리자는 관리능력과 책임을 지닌 담당자라고 일반 경계를 그을 수 있을 것 같습니다. 보안전문가와 보안관리자는 Specialist Generalist라고 볼 수 있으며 일반 기업에서는 보안관리자는 Generalist여도 되나 IT서비스를 주된 업종으로 삼는 곳에서는 특정 부분[기술적인 부분]에서 Special한 능력을 일정수준이상 보유한 Generalist가 보안관리자라고 할 수 있습니다. 세부적인 기술에도 익숙하고 전체적인 부분에 대해서도 이해가 가능하며 책임의식이 있는 부류를 보안관리자라 칭할 수 있을 것입니다. 보안관리자는 또 두 가지 큰 부류로 나눌 수 있습니다. Manager Officer의 차이점이라고 할 수 있는데 후반부에 기술 하도록 하겠습니다. Security Manager의 속성에는 지켜야 할 대상에 따라 두 가지 부류로 나눌 수 있습니다. 고정 자산에 대한 보호를 위한 정책적인 보안관리자와 서비스에 대한 보호를 위한 Special Security Manager로 나눌 수 있습니다. 지켜야 할 대상이 무엇인가에 따라 부류가 달라진다고 보면 됩니다. General Security Manager Special Security Manager에 대한 차이는 보안관리자 부분에서 다루도록 하겠습니다.

 

IT 서비스를 구성하는 요소는 시스템 , 네트워크 , 서비스로 한정할 수 있습니다. 시스템과 네트워크는 이미 기본으로 갖추어야 하는 능력이며 서비스 [  , 게임 , Application 등등 ]에 대한 능력은 새롭게 강조되고 요구되는 능력입니다. 사실상 가장 중요하고 IT서비스에 막대한 영향을 미칠 수 있는 부분이기도 합니다. Web 2.0에서 사용자와의 인터페이스가 가장 중요한 부분인 IT 서비스 부분에서는 서비스에 대한 보안기술 능력은 더욱 중요한 부분이 됩니다. 범위를 한정하여 IT 서비스를 주된 업종으로 삼고 있는 업계에 한정하여 보안전문가가 갖추어야 할 요건은 다음과 같습니다.

 

보안전문가 [ IT Service 부분]

 

해커의 길에 유사한 내용들이 포함 되어 있습니다.

해커의 길 I : http://p4ssion.com/233

해커의 길 II: http://p4ssion.com/228

 

-         네트워크 보안 기술 : 네트워크 분야의 기본적인 보안 구성에 대한 이해가 가능하며 네트워크 구성도에 대한 이해가 명확해야 합니다. 취약지점과 보완해야 될 부분에 대해서 정확하게 지적할 수 있을 정도의 능력이 요구 됩니다. 또한 네트워크 보안장비에 대한 기본 이해도 충분해야만 합니다.

 

-         시스템 보안 기술:  각 서비스 하위 단위를 구성하고 있는 물리적인 단위인 각 개별 시스템 및 운영체제들에 대한 이해도가 충분하게 높아야 됩니다. 운영체제의 종류도 여러 가지가 있지만 대체로 *BSD 계열과 Windows 계열에 대한 충분한 이해와 일반 운영인력들 보다 나은 능력을 보유하여야만 됩니다.

 

-         Application 보안기술: 다양한 부분이 있습니다만 만들어진 부분에 대한 보안요소를 강조하는 의미에서 Web , Database에 대한 보안 기술과 구성요소에 대한 이해가 되어야만 합니다. Game의 경우에는 게임 내에서 발생하는 Abusing에 대한 분석능력도 충분하여야 하며 Service의 경우에는 Service에 대한 Abusing 대응과 분석이 가능한 능력이 있어야만 합니다. 이 부분에서 다양한 요소기술이 요구 됩니다.

 

n         Programming 능력: 개발이 가능한 능력이 있어야만 본질적인 보안상의 문제 이해와 지적이 가능합니다.

 

n         구조에 대한 이해: 오랜 시간이 소요되지만 서비스의 구성과 구조, Process에 대한 이해가 있어야만 게임이든 서비스든 Abusing에 대한 분석과 대응이 가능합니다.

 

n          Application [ 상용 또는 자체개발 ] 보안 취약성의 동향과 흐름에 대해 신속한 정보 수집과 전파 , 가공 능력을 지녀야만 합니다.

 

n         Reverse Engineering : 현상에 대한 분석을 위해 Binary 분석 능력을 갖추고 있어야 하며 최소한 이해는 할 정도는 되어야만 됩니다. Game의 분석을 위해서는 Binary 분석 및 Reverse Engineering 능력은 필수적인 부분입니다. 물론 어셈블리에 대한 이해도도 충분한 수준 이여야 겠죠?

 

-         Penetration Test 능력: 일반적으로 모의해킹이라고 부릅니다. 시스템 / 네트워크/ Application을 총체적으로 이해하는 상황에서 각 분야별로 침입을 시도합니다. 현재에는 시스템 및 네트워크 부분에 대해서는 상당부분 강화가 많이 되고 차단이 되는 상태라 주된 초기 침입지점은 Web을 통한 침입지점이 많습니다만.. 침입 이후에 진단되는 부분은 시스템/ 네트워크 /Application 영역을 막론하고 모두 해당이 되므로 모든 부분에 대한 능력을 보유하고 있어야 됩니다. 최소한 어느 곳에 어떤 정보가 있고 이런 유형에는 어떤 문제가 있다라는 Feeling이라도 지니고 있어야 됩니다.

 

간략하게 살펴보면 나열된 유형의 지식이 존재하여야만 됩니다. 물론 이상적인 경우입니다. 최소한 언급한 네 가지 기술에서 2가지는 필수이고 다른 두 가지는 중급 이상의 능력을 지녀야만 어느 곳에서도 역량 발휘를 할 수 있습니다.

 

필수는 시스템/네트워크 보안기술이며 Application 보안기술과 Penetration Test 의 경우 중급 이상의 능력을 보유하여야만 합니다. 시스템/네트워크 보안 기술만 보유하여도 충분한 기술이라 할 수 있지만 장기적인 안정성은 부족하며 현재의 공격기술 발전상황을 따라 갈 수 없는 상황이라 할 수 있습니다.

모의해킹과 Application 보안 기술 각각만 하여도 충분히 인정 받을 수 있으나 장기적으로는 세부 기술에 대한 이해와 범위를 확대 하고 끊임없이 노력하여야만 장기적인 발전 통로를 확보 할 수 있습니다. 작금의 국내 보안인력들은 인력풀은 매우 협소하나 충분한 역량 발휘가 가능한 인력들이 다수 있다고 볼 수 있으며 각 세부부분에 너무 치중하여 전체적인 균형이 부족한 부분이 작은 흠이라고 봅니다. [ 물론 제가 이런 말을 할 입장은 아닙니다만 ^^ ; 사견이므로  용서가 되리라 봅니다.]

 

 

보안관리자 [Security Manager]

 

보안관리자라는 용어에는 앞서 서두에서 GSM[General Security Manager] SSM[Special Security Manager]라고 구분을 지을 수 있다고 하였습니다. 대상이 무엇이냐에 따라 달라집니다만.. General Security Manager의 구성요소는 일반적으로 많이 아시는 자격증을 생각 하시면 됩니다. CISA , CISSP등과 같은 유형은 보안의 폭넓은 부분을 다루고 있으며 깊이보다는 넓이에 치중을 하고 있습니다. 물론 물리적인 보안 부분도 넓게 다루고 있습니다. 지켜야 할 대상의 범주에 따라 구분을 하시면 됩니다. 서비스의 제공이 아닌 제품의 제조 또는 연구결과물에 대한 보호가 필요한 기업이나 굴뚝형 기업[지켜야 할 그 무엇이 있는 기업? ]의 경우 GSM[ General Security Manager 이후 약어로 GSM이라 칭함]의 역할이 필요합니다. 물리적인 보안 조치 및 정책적인 보호 이슈 등에 대해서 대비를 하고 준비를 하면 일정 수준 이상의 보안 대응이 가능합니다. 물론 일부 IT 관련된 보호 대책도 논의가 되고 있으나 그다지 특화된 서비스라 보기는 어렵습니다.

 

 

GSM[General Security Manager]

 

상당히 폭넓은 분야에 대한 상대적으로 가벼운 지식[?]이 필요합니다. 그 동안의 ISO 인증이나 정통부의 인증 부분도 유사유형이라고 볼 수 있으며 이런 인증들이 IT서비스의 위험을 막을 수는 없습니다. 그러나 최소한의 대응과 준비는 할 수 있게 해준다는 점에서 의의를 찾을 수 있습니다. 외부와의 접촉 통로가 물리적인 방식 외에는 없을 경우 이 부분에 대한 대책을 진행 하면 됩니다. 이 부분도 심도 있게 들어갈 경우에는 많은 고민이 필요합니다만 지켜야 할 그 무엇에 대한 관점에 따라 달라집니다. GSM이 관장하는 영역을 일반보안이라고 칭하기도 하고 산업보안이라고도 할 수 있을 것입니다. [ 대략적인 업무에 대해서는 알고 있으나 상세 발전 내용에 대해서는 자세히 알고 있지 못하므로 표현에 대해 넓은 양해를 바랍니다.]  물리적인 보안 및 PC 보안에 대한 부분과 통제 부분이 주된 부분이 되며  BCP [ Business Continuity Planning] 영역으로 넘어가 전사적인 비즈니스 연속성 관점에서 이루어 지기 위해서는 GSM 영역도 매우 사려 깊고 심도 있는 지식과 이해가 필요한 부분이 됩니다. 그러나 이해를 하기 위해서 필요한 지식 부분은 GSM 보다는 SSM 영역에서 BCP에 접근하는 것이 더욱 손쉬운 길이며 또한 BCP를 수행 하기 위해서는  보안전문가 영역의 수준을 이해 할 수 있어야 됩니다. 이제는 자연재해만이 재해가 아니며 대규모 해킹이나 지속적인 DDoS에 따른 장애도 BCP에 포함이 되어야 하기에 더욱 그렇습니다.

 

 

 

SSM [ Special Security Manager]

 

Special Security Manager라 불릴 수 있는 보안관리자는 이제 걸음마 단계라고 할 수 있습니다. 보안전문가 수준에서 올라 갈 수 있는 레벨이라고 보시면 됩니다. GSM이 다른 영역에서도 보다 손쉽게 초기에 진입을 할 수 있다면 SSM은 매우 어렵습니다. 상당한 기간의 보안전문가 수준을 거쳐야만 가능하기 때문입니다. GSM은 시장에 초기 진입은 쉬우나 발전 양상에 따라 매우 어려운 상황에 처할 수 있으며 중대 사고 발생시에 빠른 판단과 대응을 하지 못함에 따라 문제가 심각해 질 가능성이 있습니다.

 

보안전문가와 Special Security Manager와의 차이점은 몇 가지 안됩니다.

 

보안 전문가 영역에 대한 이해를 기본 바탕으로 하고 현재의 공격이나 위협의 흐름에 대한 인식과 배움을 게을리 하지 않은 SSM들에게 요구되는 것은 현상에 대한 판단능력과 위협에 대한 대응 능력이 가장 필요합니다.. 보안 전문가들이 개별 사안에 대해 문제점을 진단하고 위협을 나타낸 것을 가지고 전체 서비스 분야에서 이 문제가 어떤 파급효과를 가져 올 수 있고 향후에 어떤 위험이 될 수 있다는 것을 판단하고 과감하게 행동에 옮길 수 있어야만 SSM 이라 할 수 있습니다. 자리를 차지 하고 있다고 관리자가 아니며 판단과 책임이 동반됨을 인지하고 기민하게 움직이고 판단/ 대응 하는 능력.. 이런 능력을 지닌 자가 Special Security Manager라 할 수 있습니다.

 

한국의 IT서비스 역사는 일천합니다. 좋게 봐도 10년이 한계입니다.  IT서비스 역사에서 보안이라는 기술 부문은 매우 거친 환경에서 자생 할 수 밖에 없었고 더욱이 서비스에 대한 이해를 하고 있는 보안관리자는 거의 없다고 볼 수 있습니다. 이제서야 보안전문가들이 보안관리자 영역에 접근을 하고 있는 시점에서 보면 좀 더 많은 시간이 지나야 각 IT 서비스 부문에 대해 특화된 전문적인 보안관리자들을 만날 수 있을 것입니다.

 

대규모 해킹 사고가 나거나 백도어가 발견 되었을 때 취할 수 있는 행동에 따라 GSM SSM의 행동 동선과 사고의 동선도 다르며 손쉽게 구분이 될 수 있습니다. 실효적인 대응 조치가 무엇이고 당장 무엇을 해야만 하는지 또 보안대책의 이행에 따른 서비스의 장애가 충분히 감내 할만 하고 그만큼의 가치가 있는 작업인지에 대해서 기술적으로 판단을 하여야 합니다. 이런 판단은 SSM 만이 명쾌하게 내릴 수 있습니다. GSM의 경우는 IT 서비스 부문에서 현상에 대한 판단 능력과 위협에 대한 대응 능력이 느릴 수 밖에 없으며 서비스 부문에서의 대응에서 느림이라는 것은 종말과도 같은 결과를 가져오게 됩니다.

 

Global 부문에서도 마찬가지 입니다. IT 서비스를 하는 모든 기업들 [ 사용자와의 인터페이스를 중시하고 사업모델인 모든 기업]에게 SSM은 매우 필요한 존재이며 이런 존재는 보안전문가와 함께 전문가집단을 구성함으로써 완전함을 이룰 수 있습니다. 완벽하게 방어하는 것이 아닌 공격기술과의 격차를 최소화 하고 빠르게 대응하는 체제만이 향후의 IT 서비스에 긍정적인 역할을 할 수 있고 최선의 결과를 가져 올 수 있습니다

 

Web2.0이 화두입니다.

Web2.0의 기본 모토는 사용자와의 호흡입니다. 호흡을 하기 위한 도구로 Internet이 사용됩니다. Web2.0을 표방하는 기업은 이 호흡에서 이익을 창출합니다. 사람들은 모두 위험성은 외면한 채로 이득만을 바라봅니다. 그러나 이런 이득은 오래 지속 될 수 없습니다. 위험에 대한 대비가 없고 준비가 없는 상태에서는 기껏 이루어 놓은 것들 조차도 순식간에 사라질 수 밖에 없습니다

 

 

 

Security Manager Security Officer

 

보안관리자와 CSO [ Chief of Security Officer]의 차이는 경영을 보는 눈에 있습니다. 보안관리자는 현실에서의 최선을 추구합니다. 그러나 경영을 보는 관점에 따라 ..회사의 수익구조와 발전방향을 이해하고 있는 CSO에게서는 적절한 수준의 대응과 미래에 대한 준비를 고민 할 수 있습니다. 수익에 기여 할 수 있는 부분을 찾고 보안이라는 역할을 수익에 직접 기여 하고 가장 큰 위험요소를 전략적으로 선별하여 제거 하도록 하는 관점이 있습니다. 모든 부분에 힘을 쏟을 수 없으므로 중요한 부분을 찾아서 선별적으로 힘을 집중하여 대응을 하는 큰 그림을 그릴 수 있는 능력이 있습니다. 보안관리자와 CSO의 차이는  경영을 보는 관점과 수익창출에 기여 할 수 있는 부분을 가려내는 능력에 있다고 봅니다. 물론 CSO의 경우에도 기술적인 의견들에 대해서는 판단을 하여야만 합니다. 서비스의 중지라는 극단적인 선택을 택하면서도 이러한 선택이 장기적인 관점에서 이익임을 이해 할 수 있어야만 합니다. 서비스의 중지가 필요한 사안인지에 대한 판단능력을 CSO가 가지고 있어야만 함은 당연한 이야기입니다. 최소한 보안전문가와 보안관리자의 의견을 종합하여 분석하고 판단할 수 있는 능력은 있어야 CSO라 할 수 있을 것 같습니다.

 

Security Manager Security Officer는 아직 경험해 보지 못한 영역[물론 앞으로도.. ^^]입니다. 따라서 단편적으로 제가 보는 시각에서 논의 하는 것이 부적절 할 수 있습니다만 개인의 관점에서 바라본 입장임을 양해 바랍니다..

 

이상과 같이 Security Specialist  Manager [ GSM  SSM] , Officer에 대해서 나름대로 생각하는 부분을 정리해 보았습니다. 자판 가는 대로 쓰다 보니 어설픔이 곳곳에 배여 있습니다 GSM [ General Security Manager ]은 물리적인 보안 부분과 정책적인 보안 부분에 대한 집중도가 높습니다. SSM [ Special Security Manager]는 기술과 동향에 대한 이해도가 높으며 집중도가 높습니다. Specialist Generalist의 영역 관점에서 보았을 때 최소한 IT 서비스 보안이라는 부분에서는 Specialist가 더 중요한 존재입니다. SSM의 중요성이 GSM의 중요성 보다 더욱 크다는 이야기 입니다.

 

SSM은 키우기도 어렵고 서비스에 대한 이해도가 높아지기 위해서는 많은 시간이 필요한 부분입니다.보안전문가와 Special Security Manager의 조합은 변화무쌍한 Web 2.0 환경과 그 이상의 복잡한 환경에서 기업의 안정성을 보장하고 빠르게 변화하는 공격 기술로부터 IT서비스를 지킬 수 있는 조합이라 할 수 있습니다.

 

IT 서비스 측면에서 보안전문가와 보안관리자[SSM]의 필요성과 차이, 구분에 대해서 느끼는 대로  적어 보았습니다 마지막으로 국내의 IT서비스 환경에서도 보안전문가의 중요성과 각 서비스 환경에 능숙한Special Security Manager의 양성에도 많은 관심이 있었으면 합니다.

 

좋은 하루 되세요.   2007.3.6

 

* 사족으로 그 동안 여러 회사에서  Security manager들과 많은 일들을 해보았습니다만 보안은 행동하지 않으면 아무것도 없는 허상입니다. 말과 문서로 이루어 지는 것은 실제의 서비스에 많은 영향을 주지 못함은 당연한 사실입니다. 보안전문가의 말이 통하지 않고 판단이 늦어지는 문제는 IT서비스 부분에서 치명적인 결과를 가져온 것을 종종 보았습니다. ^^;

Posted by 바다란

베토벤 바이러스 그리고 보안전문가  - 2008. p4ssion *본 글은 zdnet 컬럼 기고글입니다.

 

베토벤 바이러스가 화제가 되고 있다. 드라마와 보안은 무슨 상관이 있을까? 바이러스라는 단어 외에는 보안이라는 용어와 관련이 없는데도 불구하고 이야기 하고 싶은 것은 전문가에 대한 단상 때문이다. 

 

하나의 완성을 위해 끊임 없이 자신을 갈고닦고 스스로를 담금질 하는 모습과 때로는 사회와 격리된 듯한 이질감을 지니게끔 만드는 주인공의 모습을 보며 환호하는 것은 현실에서는 보기 어려운 모습이라고 여기기에 대리 만족을 하는 것은 아닌가 하는 생각이 든다. 그러나 실제 전문가로 살아 가고 열정을 다한다는 것은 동일한 고통과 노력이 있어야만 가능할 것이다.

 


< www.imbc.com>

 

드라마를 보면서 전문가에 대한 생각이 교차하는 것은 베토벤 바이러스 처음이 아닐까 생각 된다. 특히 오케스트라의 지휘자에 대한 생각이 많이 달라지게 되었다.

 

오케스트라 지휘를 하고 연습을 하면서 여러 악기들이 모여 연주를 하는 과정에서 중간중간 연주를 중단 시키며 개별 악기들을 언급하며 어느 부분이 부족하다고 직접적인 언급을 하는 것을 보면서 보안 전문가라는 분야에 대해서도 깊은 생각을 하게 되었다.

 

 ( 글에서 언급하는 보안전문가는 특정 부분의 Specialist 언급하는 것은 아니며 SSM- special security manager 언급한다. 의미는 기술적인 부분에 한정하여 설명함을 의미한다. 용어에 대한 개별적인 정의는 다음을 참고한다. http://blog.naver.com/p4ssion/50014996901 - 보안전문가와 보안 관리자의 차이와 구분)

 

지휘자와 보안전문가의 공통점은 상당히 많다. 지휘자는  여러 악기들을 전부 빼어나게는 연주하지 못하지만 악기에 대해서는 수준급의 연주를 있으며 전체에 대한 균형을 인식하고 있다. 조화를 위해 전체의 부분을 균일하게 가다듬고 스스로가 이해한 정도에 따라 개별 악기들에게 느낌을 강요하도록 한다. 어쩌면 개별 악기의 연주자들은 지휘자에게 소모품일 수밖에 없다. 지휘자가 생각하고 이해하는 음악에 도달하기 위한 도구일 뿐이기에 소모품이라 여길 있다. 

 

드라마상에서 강마에가 노골적으로 내뱉는 소모품이라는 말은 표현하기 힘든 금기시 되는 말과도 같다. 그러나 본질적으로는 동의할 밖에 없는 말이다.

 

음악은 지휘자의 이해의 정도에 따라 해석이 달라지고 새로운 방향으로 전환이 된다. 스스로가 창조주가 되기도 하고 새로운 것에 대한 도전을 하기도 한다. 새로운 것을 창조하고 독자적으로 해석하려는 시도를 하는 지휘자를 필자는 마에스트로라고 이해 하고자 한다. 그런 의미에서 드라마의 주인공인 강마에는 재현된 마에스트로에 가깝다고 있다.  다른 관점에서 원전의 해석에 충실 하고자 하는 강마에의 모습과 새로운 변화와 시도를 하고자 하는 작은 강건우는 다른 비교가 있다. 보안전문가의 현재 모습과 적절한 비교가 가능할 이다.

 

 

보안전문가

 

네트워크/시스템/Application 겹겹이 둘러 쌓여서 이루고 있는 IT시스템에서의 보안전문가의 역할은 무엇일까? 그리고 지금의 시대가 요구하는 모습은 강마에혹은 작은 강건우 역량이 요구 될까 하는 점은 고민이 필요한 부분이다. 지금의 보안 전문가의 모습은 전체 혹은 이상의 시스템들이 겹겹이 모여 하나의 방향성을 위해서 움직이는 것은 기업이나 시스템이 이루고자 하는 목적하에 이루어 진다. 또한 이러한 목적을 위협하는 지금의 가장 요소는 Security라고 있다. 글에서는 세계와 경쟁 밖에 없는 기술적인 보안 부분에 대한 것만을 논의한다. 다른 보안 부분은 별도 컬럼에서 차후에 기회가 된다면 언급해 보겠다.

 

 

Security 기반되지 않는 인터넷 비즈니스는 이제 생존을 보장 하기 어려운 상황이라 있으며 보안 전문가의 역할은 야수들의 세상에서 목적과 방향성을 유지하도록 보호하는 것이 주된 역할 이라 있다. 

보호를 하기 위해서 필요한 것들은 무엇이 있을까? 일단 기본적인 시스템들의 구성과 네트워크 환경, Application 대한 구조의 이해가 필요하다. 또한 침해사고에 대한 대응 능력도 필요하다. 간단하게 위의 가지 정도의 능력이 필요함은 명확하다. (blog.naver.com/p4ssion article 참고)

 

지휘자는 오케스트라의 완성도를 위해 전체의 부분을 조율한다. 보안 전문가는 서비스의 보호를 위해 시스템/네트워크/Application/Policy 조율한다. 곳이라도 빈틈이 생기면 일정 수준의 완전함에 도달하지 못한다. 극도의 스트레스와 부담을 지니는 것은 모두 명확하다. 즐기지 못하면 어떤 것도 이룰 수가 없다. 오케스트라가 엉망이 되면 지휘자가 욕을 먹는다. 보안전문가도 마찬가지 이다. 아무리 개별 부분이 뛰어나게 잘한다 하여도 전체적인 균형이 맞지 않으면 연주는 엉망이 되는 것이다. 보안도 마찬가지이다.

 

 

다양한 운영체제와 다양한 Application에서 발생하는 취약성은 날마다 발견이 되고 시급성을 다투기도 하며 실제적인 사고로 이어 지는 상황에서 기술적인 보안 전문가는 눈을 시간은 없다. 날마다 발생 되는 이슈들을 해결 하기 위해 일정 수준 이상의 안정화된 체제를 구축 하여야 하는 것이 지상 최대의 과제라 있다.

 

 

안정화된 체제의 구축은 위험으로부터 안전한 것이 아니라 위험에 대한 빠른 대응과 파괴력을 최소화 하는 구조를 갖추는 것을 의미하며 모든 것이 야생의 세계에 맞추어져서 계획되고 이루어 져야만 한다. 때로는 단호함도 갖추어야 하며 전체적인 관점에서 하나의 구멍이 전체를 무너뜨릴 있음을 분명히 인지하기 때문에 예외의 상황을 두어서는 안되는 것도 마찬가지이다. 이런 문제로 인해 고지식 혹은 타협이 불가능 하다는 오해를 사는 경우도 많은 경우에 발생한다.

 

안정화된 체제를 유지 하기 위해서 가장 염두에 두어야 하는 것은 댐이 무너지는 손가락 마디 크기의 균열과 같은 부분을 가장 주의 하여야 한다. 보안전문가는 엄격하여야 한다. 앞의 허용이 작게 보이는 부분이라도 부분을 시작으로 전체가 무너지는 빌미가 있다. 사명감을 지닌 보안전문가라면 당연히 사수 하여야 하는 지점이고 그렇지 않다면 타협을 해야만 하는 부분이 된다.  중요한 것과 그렇지 않은 것을 구분 하여 물러서고 물러서지 않을 부분을 고르는 것도 중요한 능력이라 있다.

 

아는 사람이 부탁해서?  상위 부서장이 지시를 해서? 서비스의 관리를 편리하게 하기 위해서?  등등 모든 것이 불합리해 보이는 것은 없다. 적당하게 타협을 하고 적당히 유지 하면 되는 부분들이 세상의 상당히 많은 부분을 차지한다. 그러나 보안만큼은 그러해서는 안된다고 믿는다. 세계와 경쟁하고 세계에서 제한 없이 접근이 가능한 IT 서비스 부분에 있어서만은 보안 전문가는 고집과 통찰력을 지니고 있어야만 한다. 그래야 변화무쌍한 지금의 환경에서 서비스가 명맥을 유지 있다고 믿는다. 지금 당장 욕을 먹기를 두려워 하기 보다는 변화를 따라 잡지 못하고 통찰력과 역량이 떨어짐을 두려워 해야 한다.

 

지휘자는 스스로의 만족도에 도달 해야 몰입이 가능하고 불후의 명작을 만들 있다. 보안 전문가는 세계의 변화를 보는 눈을 뜨고 통찰력을 지니고 준비 하여야만 진정함에 도달 있다. 모두 스스로의 만족도가 함께 하여야만 즐기는 것이 가능하다. 일이 일로서 무게를 가진다면 그것은 넘어 수가 없다.

 

 

 

마에스트로와 Guru

 

 

예술 분야의 거장을 일컫는 말로 명지휘자를 의미하는 마에스트로가 있다. 우리 말로는 장인이라 부를 있을 것이다. 장인이라는 의미는 철학을 이룬다는 의미이며 독창성을 지니고 있다는 것과도 유사하다고 있다. Security라는 관점 혹은 IT 관점에서의 고수를 지칭하는 용어로 Guru라는 것이 있다. 자아를 터득한 신성한 스승이라는 의미로 있다. Guide 제시하고 가고자 하는 길에 스승이 있는 그런 존재를 칭한다 있다. 천재를 마에스트로와 Guru라고 칭하지 않는다. 무모하면서도 무지막지한 열정과 노력만이 그들을 경지에 이르게 뿐이다.

 

어디에나 가지 충돌이 있다. 근본을 중요시 하고 해석을 중요시 하는 부류와 사안에 대한 통찰로 변화를 중요시 하는 부류의 충돌이 것이다. 마에스트로와 Guru 부분에도 충돌은 분명히 존재한다. 특별히 어느 것이 잘못 것이다라고 수는 없다. 부분 모두 중요한 부분이라 있다.  베토벤 바이러스의 예를 들면 원전의 해석과 작곡가의 의도에 충실하여 감정이입이 상태까지를 느끼고 재현 하고자 하는 강마에와 곡에 대한 독자적인 해석과 스스로의 의견을 투영하는 작은 강건우의 충돌은 부류의 충돌을 극명하게 보여 준다.

 

보안 부분에도 동일한 관점들이 존재하고 부분 모두 중요함을 지니고 있다. IT 서비스라는 관점에서 보안전문가 (SSM) 관점은 작은 강건우의 측면이 중요하지 않을까 하고 필자는 생각한다. 하루가 다르게 변화하는 환경과 위험요소들에 대해 기본에 대한 해석은 엇갈리고 시간이 늦어질 밖에 없다. 따라서 진취적인 보안 전문가 만이 능동적으로 대응하고 통찰 함으로써 가이드를 제시 있다고 본다.

기본에 대한 해석과 충실함이 미래의 위험으로부터 보호를 해주지는 않는다. 다만 알려진 것에 의한 최소한의 피해를 보장할 뿐이다. 알려지지 않은 것들이 많이 출현하는 야생의 시대에서 생존은 절대명제이다. 선과 후가 어떻게 되는지는 정확해야 것이다.

 

최소한 음악 분야가 아닌 IT서비스 세상에서는 진취적이고 능동적인 보안전문가가 미래의 위협에 대해 안정적이라 있다. 때로는 고집불통이고 사회 비적응자처럼 보이는 모습의 그들일지는 몰라도 변화하는 세상에 대한 통찰과 노력으로 IT 서비스의 미래 위험과 당장 내일의 위협을 버티게 해줄 것이다.  

 

 

 

사막을 건너는 자는 별을 사랑해야만 한다. 살아 남기 위해서

땅의 강마에와 강건우, 분야의 전문가가 되기를 희망하는 열정이 있는 사람들에게 별은 자기 자신이 되어야만 한다. 개인과 산업의 생존을 위해서

 

 p4ssionable security explorer

 

 

Posted by 바다란

 

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=031&article_id=0000107365&section_id=105&section_id2=283&menu_id=105

 

 

위에 기사 보다가 매번 똑같은 이야기 반복하는데 질려서 씁니다. 야밤에..쩝

--

 

역군은 또 무슨 역군인가?.

쓸만한 인력이 그리 쉽게 만들어 지는가? 변화하는 지금의 환경에서 그 변화를 유연하게 따라 갈 수 있는 사람이 얼마나 되는가? 국내의 보안회사는 규모를 키우기 위해서라도 재편 되어야만 한다. 그렇지 않으면 정말 가망 없다.

 

쓸만한 사람이 없다는 소리를 할때가 아니고 또 사람 한명 데리고 와서 잘 부려서 이익 남겨 먹을 그런 생각 하지 말고 정신 좀 차려야 된다.  자본도 필요 없고 오로지 인건비만 있으면 모두가 해결 되는 이 분야 아닌가? 사람의 지식과 경험을 사서 돈을 버는 것이면 그만큼의 댓가를 지불 해야 하건만. 스스로의 손을 가슴에 얹고 생각해 봐라. 지금까지의 기간동안 얼마나 많은 영혼을 피폐하게 만들었는지도 생각해 봐야 된다.

 

그렇지 않다면 이제 보안회사는 단순한 하청 서비스에 지나지 않을 것이다.  가장 인간의 경험과 능력에 기대는 인력 베이스의 업종에서 뛰어난 인력이 없고 경험이 없고 축적된 기술이 없는 곳은 끝이다.  앞으론 어디가서 보안 업체라는 명함을 꺼내기도 힘들 지경이 될 수도 있을 것이다.

 

전문보안업체로서의 역량 확보에 무관심 하고 오로지 인력의 최대한도의 활용에만 중심이 되었기에 더 그러하다.

너도 나도 보안 한다고 들고 일어나 전체 서비스의 질을 대폭 떨어 뜨렸고 그 결과 도매금 취급이 되는 문제도 있었고

쓸만한 인력들이 모두 주눅 들거나 정리 되는 기회를 제공해 주는 곳들도 있었다.

 

오로지 하는 일이 좋았고 지금 몰입해서 열정을 쏟을 수 있어서 사랑한 많은 자들을 떠나게 한 결과는 사회가 져야만 한다.

 

전문가와 관리자의 차이도 구분 못하는 현실에서 대체 어떤 길이 있을 수 있겠는가?

 

자업자득이란 말 외엔 해줄 말이 없다. 

 

http://blog.naver.com/p4ssion/50014996901   <-  보안 전문가와 보안관리자의 차이

 

-------------------------

 

잡목이고 뭐고 간에 때되면 싹 베어내고선.. 이제와서 있네 없네 소리는 왜 하는지 ?

 

헐값에 출혈경쟁, 저가수주, 서비스성 업무 등등  보안이란 업무 자체를 돈버는 하나의 요소기술로 알고 덤벼든

많은 보안(?) 회사들과 또 그들로 인해  보안은  언제든 부르면 싸게 쓸 수 있는 기술로 인지하는 많은 갑이라 불리는 회사들.

 

그동안 싸고 저렴하게 아주 오랜기간 잘도 우려 먹었었다.

그리고 천직처럼 열정을 가지고 헌신해온 자들의 지식과 경험을 잘도 날로 먹었다. 

견디다 못해 보안 부분을 떠난 많은 자들은 다시는 돌아 오지 않는다.

 

이제 날로 먹는 시대는 간 것이다.

더불어 사람도 없다. 

 

잡목까지 다 베어버린 산에서 목놓아 나무가 없네 떠들어 봐야

오래전 스스로 베어버린 나무가 살아날리 만무하다.

비는 점점 거세지지 나무가 없는 산은 무너지려 하지..

앞을 내다보지 못한 많은 자들을 탓해야지 나무를 탓해서 될일이 아니다.


아주 오랜 시간이 걸릴 것이다. 아주 오랜 시간..

나무가 자라기엔 6개월짜리 속성학원이 아닌 더 오랜 인고의 시간이 필요하다.

 

* 트랙백 걸고 계속 갱신한다. 그래야 될 것 같다.

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란

 

 

http://news.naver.com/news/read.php?mode=LSS2D&office_id=031&article_id=0000107365&section_id=105&section_id2=283&menu_id=105

 

 

위에 기사 보다가 매번 똑같은 이야기 반복하는데 질려서 씁니다. 야밤에..쩝

--

 

역군은 또 무슨 역군인가?.

쓸만한 인력이 그리 쉽게 만들어 지는가? 변화하는 지금의 환경에서 그 변화를 유연하게 따라 갈 수 있는 사람이 얼마나 되는가? 국내의 보안회사는 규모를 키우기 위해서라도 재편 되어야만 한다. 그렇지 않으면 정말 가망 없다.

 

쓸만한 사람이 없다는 소리를 할때가 아니고 또 사람 한명 데리고 와서 잘 부려서 이익 남겨 먹을 그런 생각 하지 말고 정신 좀 차려야 된다.  자본도 필요 없고 오로지 인건비만 있으면 모두가 해결 되는 이 분야 아닌가? 사람의 지식과 경험을 사서 돈을 버는 것이면 그만큼의 댓가를 지불 해야 하건만. 스스로의 손을 가슴에 얹고 생각해 봐라. 지금까지의 기간동안 얼마나 많은 영혼을 피폐하게 만들었는지도 생각해 봐야 된다.

 

그렇지 않다면 이제 보안회사는 단순한 하청 서비스에 지나지 않을 것이다.  가장 인간의 경험과 능력에 기대는 인력 베이스의 업종에서 뛰어난 인력이 없고 경험이 없고 축적된 기술이 없는 곳은 끝이다.  앞으론 어디가서 보안 업체라는 명함을 꺼내기도 힘들 지경이 될 수도 있을 것이다.

 

전문보안업체로서의 역량 확보에 무관심 하고 오로지 인력의 최대한도의 활용에만 중심이 되었기에 더 그러하다.

너도 나도 보안 한다고 들고 일어나 전체 서비스의 질을 대폭 떨어 뜨렸고 그 결과 도매금 취급이 되는 문제도 있었고

쓸만한 인력들이 모두 주눅 들거나 정리 되는 기회를 제공해 주는 곳들도 있었다.

 

오로지 하는 일이 좋았고 지금 몰입해서 열정을 쏟을 수 있어서 사랑한 많은 자들을 떠나게 한 결과는 사회가 져야만 한다.

 

전문가와 관리자의 차이도 구분 못하는 현실에서 대체 어떤 길이 있을 수 있겠는가?

 

자업자득이란 말 외엔 해줄 말이 없다. 

 

http://blog.naver.com/p4ssion/50014996901   <-  보안 전문가와 보안관리자의 차이

 

-------------------------

 

잡목이고 뭐고 간에 때되면 싹 베어내고선.. 이제와서 있네 없네 소리는 왜 하는지 ?

 

헐값에 출혈경쟁, 저가수주, 서비스성 업무 등등  보안이란 업무 자체를 돈버는 하나의 요소기술로 알고 덤벼든

많은 보안(?) 회사들과 또 그들로 인해  보안은  언제든 부르면 싸게 쓸 수 있는 기술로 인지하는 많은 갑이라 불리는 회사들.

 

그동안 싸고 저렴하게 아주 오랜기간 잘도 우려 먹었었다.

그리고 천직처럼 열정을 가지고 헌신해온 자들의 지식과 경험을 잘도 날로 먹었다. 

견디다 못해 보안 부분을 떠난 많은 자들은 다시는 돌아 오지 않는다.

 

이제 날로 먹는 시대는 간 것이다.

더불어 사람도 없다. 

 

잡목까지 다 베어버린 산에서 목놓아 나무가 없네 떠들어 봐야

오래전 스스로 베어버린 나무가 살아날리 만무하다.

비는 점점 거세지지 나무가 없는 산은 무너지려 하지..

앞을 내다보지 못한 많은 자들을 탓해야지 나무를 탓해서 될일이 아니다.


아주 오랜 시간이 걸릴 것이다. 아주 오랜 시간..

나무가 자라기엔 6개월짜리 속성학원이 아닌 더 오랜 인고의 시간이 필요하다.

 

* 트랙백 걸고 계속 갱신한다. 그래야 될 것 같다.

Posted by 바다란
 

 

이제서야 처음 언급한 전략이 나오네요. 전략이라고 해봐야 별 거 없습니다.

뭐 특별하고 신출귀몰한 것도 없고 어느 정도 수준 되면 다 보이는 정도입니다. 이런 흐름을 얼마나 역동적으로 리딩을 하고 끌고 가느냐가 생존을 담보 하겠죠. 앞으로의 세상은 더더욱 그럴 것 입니다. 안주하는 서비스기업들은 무너지겠죠. 한 순간에 녹아 내리듯이 그렇게..

힘겹고 고통스러운 일이지만 그 동안 외면 했던 Security 라는 측면을 하지 않으면 생존하기 힘든 상황이 될 것입니다. 눈에 보이는 것이 아닌 체질적으로 서비스에 내재된 기술적 보안역량이 서비스의 질에 매우 큰 차이를 가져오게 될 것입니다. 앞으로는 보유 여부에 따라 극복하기 힘든 절대적인 차이가 발생하게 될 것입니다.

 

 

 

보안전문가와 보안 관리자의 차이( http://blog.naver.com/p4ssion/50014996901 ) 에서 언급한 GSM (General security manager ) SSM (Special Security manager) 의 구분과 동일합니다. GSM이 아닌 SSM의 보유여부에 따라 향후의 IT 서비스 기업의 흥망성쇠는 달라집니다. 최소한 글로벌 비즈니스를 하는 곳은 그러 합니다.  단지 인력을 확보 하고만 있는 것이 아닌 역량 발휘가 가능한 환경까지도 조성이 되어야만 하는 문제입니다. 국내의 현실은 SSM보다는 GSM이 더 우대 받는 현실이지만 앞으로의 다가올 위협에 뼈저리게 느낄 기회가 주어지게 될 것입니다. 위협에 대한 대응에 있어서 국내에서는 유야무야 얼버무리는 것이 된다 하여도 해외사업에서는 절대 그렇게 되지 않을 것입니다. 그때 가서야 알게 될 것입니다. 후회해도 늦었지만.. (하고 싶은 말들은 있습니다만. 이런 내용은 사설로 나중에  더 가슴에 맺히면 쓰도록 하겠습니다. 꾸벅)

 

1. Google online security 전략 개요

http://blog.naver.com/p4ssion/50019586109

 

2. online security 전략 상세  - * Trustworthy web

                                    * Google security strategy

3. online security의 방향과 미래 ??

 

* Google의 전략

 

- Direction : Passive protection ->Active protection으로의 전환

 

개념상으로 단순한 바이러스의 제거  ( 발생 이후에 제거가 가능한 부분) 서비스의 제공에서 벗어나 올해부터는 본격적으로 Active한 보호를 가능케 하도록 서비스 틀이 변화 될 것을 예상 할 수 있습니다. 1~2년 후에 일반화된 경향이 될 것으로 예측 됩니다.

Active한 보호 방안이란 사용자의 선택에 따른 AV 서비스의 제공이 아닌 악성코드 감염을 원천 차단하고 악성코드 유포 사이트에 대한 사전대응 형식으로 사용자에게 노출되는 악성코드를 적극적으로 줄이겠다는 의사로 풀이가 됩니다.

 

서비스적인 측면에서 Passive Active Protection 두 방안의 조화로운 운영을 통해 문제 발생 부분을 최소화 할 것으로 보이며 프로세스상으로는 다음과 같은 일련의 체제를 갖출 것 같습니다.

 

Active (예방 ) - Passive (대응) - Response ( 관리)

 

Active :

GreenBorder Product를 통한 악성코드 감염의 원천방지 ( 전체 사용은 어려울 것으로 예상)

일부 구글팩 및 구글툴바를 활용한 사용자 선택적인 사용이 중점이 될 것으로 예상됨

 

Passive:

구글팩에 포함된 Symantec AV 백신을 통한 사용자 치료 서비스의 강화 , 향후 다양한 멀티 벤더 제품을 사용하도록 할 가능성이 있음.

 

Response:

Stopbadware.org 사이트 운영을 통한 악성코드 유포 가능성을 지닌 사이트의 검색 결과 격리

stopbadware.org 사이트에 등록이 되는 사이트들은 AV벤더와 협력하여 탐지가 되는 결과를 가지고 진행합니다. 한국의 경우에는 KISA와의 협력을 통한 악성코드 유포 사이트 정보를 활용하여 stopbadware.org 사이트에 등록을 하게 될 것으로 보입니다.

 

위와 같이 세가지 방향에서의 online security가 이루어 지고 있으며 움직임이 본격화 되었다는 것은 security라는 측면이 online business에서 얼마나 중요한 가치를 지닐 수 있는지를 인지했다고 볼 수 있습니다. 내부 보안 강화 및 서비스의 보안 강화의 측면에서 한층 더 나아가 user 단위에 까지 영향을 미치는 security가 가미된 서비스로 방향을 설정한 것이라 봅니다. 그리고 현재의 위협 상황에서는 사용자까지도 보호를 해야만 서비스의 안정성이 유지가 되는 것이 사실입니다.

 

기본개념으로는 secure search search integrity (security 측면에서의 무결성- 악성코드로부터 Free..)으로 흐름분석이 가능 한데 일련의 이슈들을  서술 하면 다음과 같습니다.

 

 

Secure search & Browsing

 

secure search라는 부분은 제가 해석한 부분입니다. 대표적인 예로 올해 상반기에 인수된 Greenborder를 예로 들 수 있습니다. 전편에서 언급 하였듯이 검색 서비스 자체의 보안 측면은 아닙니다. 검색을 통해 노출된 사이트들을 통해 사용자가 피해를 입는 부분을 최소화 하자는 것이 근본 방향이 될 것으로 보입니다. Google을 통해 검색을 하고 그 결과를 클릭 하였는데 악성코드에 감염이 되었다는 문제 제기를 피하기 위한 방안으로 인식이 됩니다.

이 움직임은 올해 초에 구글의 Anti malware 팀에서 조사한 내용을 통해 근본 근거를 마련하고 이후의 Action item으로 Greenborder의 인수를 추진한 것으로 확인이 됩니다.  조사되고 발표된 내용은 전체 검색 결과의 10%가 악성코드 및 위험요소를 가지고 있는 유형으로 파악되었다는 자체 조사 결과 입니다.

 

Greenborder에 대한 설명은 전편에 설명을 하였지만 부가적으로 더 언급을 하면 Secure Browsing을 구글 내에서는 가능하게 하겠다는 근본취지를 지니고 있는 개념으로 볼 수 있습니다.  구글을 통해 검색이된 결과는 사용자가 클릭을 하여 해당 사이트로 이동을 하여도 악성코드에 감염되지 않는 Frame을 만들겠다는 관점에서 볼 수 있습니다.

 

대부분의 웹사이트를 방문할 경우 해당 사이트의 컨텐츠들은 사용자 PC의 임시파일 저장소에 저장이 되어 (cache ) 사용자의 브라우저 화면에 보여지게 됩니다. 대부분의 악성코드들이 감염 시키는 방식이 다운로드 이후 실행을 하는 방식을 취하고 있는데 GreenBorder의 경우에는 이 공간을 격리 시킵니다.

격리라는 의미는 별개의 가상공간에서 다운로드를 받고 사용자의 Browser에 보여지게 한 뒤에 사용자가 해당 사이트 이탈 시에는 가상공간을 없애는 유형으로 악성코드가 사용자 PC에 직접 침입 하는 유형을 원천 차단하는 것을 의미합니다.

 

개념 상으로는 좋은 방향이지만 국내의 현실에서는 문제가 많을 것으로 보이며 문제는 다수 발생 할 것으로 보입니다.

ActiveX 또는 부가 설치가 필요한 모든 부분에 대해 예외 설정 등을 하게 되면 문제는 계속 될 것으로 보이며 향후 구글 툴바 혹은 구글팩에 포함되어 사용자의 선택에 의해 사용하게 되는 유형으로 서비스 될 것으로 예상됩니다.

 

7.11일 현재 구글은 postini 라는 이메일 보안 업체를 6000억원을 주고 인수 합병을 하기로 한 기사가 나왔습니다. 관련 업체의 프로필을 살펴본 결과 기업용 제품으로서 단순한 이메일 보안업체가 아닌 일관된 Policy의 적용 및 내부 정보 유출을 방지하는 서비스 유형으로 파악이 되며 Google의 서비스 측면에서 보았을때 향후 기업용 시장에 대한 진출 도구로서 활용이 되고 Gmail에 대한 서비스 강화, 이익 강화 ( 미국의 3대 이메일 보안 서비스 업체라고 함) 측면에서 보는 것이 바람직해 보입니다.

 

 

Search integrity

 

검색결과에 대한 무결성을 보장한다는 의미는 검색 관련된 서비스를 하는 업체에게는 매우 중요한 factor 입니다. 그동안의 무결성이 검색 결과에 대한 정확도의 측면에서 접근 하였다면 지금은 전체적인 Web상의 위험요소 발달에 따라 다른 부분으로 전이가 되고 있습니다.

 

검색결과에 대한 정확도 측면 + 검색결과에 대한 신뢰도 ( 신뢰도 측면은 사용자 PC에 대한 안정성 측면의 신뢰도 입니다.) 가 이제는 기본적인 흐름으로 대두 될 것입니다. 이런 연유에 따라 구글의 Anti malware 팀에서는 구글 검색 결과 중 10%가 악성코드 유포의 위험성이 있다고 스스로 발표를 한 것으로 볼 수 있습니다. 스스로가 발표를 하면서 위험성이 있다는 것도 사용자들에게 알리고 이런 위험성을 제거하기 위해 사용자의 Action을 제한 할 수 있는 서비스를 출시 하는 것으로 볼 수 있습니다.

 

사용자의 Action 제한을 하더라도 큰 범주에서는 사용자의 보호를 위한다는 당위성 확보로 적절하게 활용이 된 것을 볼 수 있습니다.  구글 서비스에서 이루어지는 빠른 변화에 대한 사전작업이라고 보입니다.

 

Search integrity를 확보하기 위해서는 무엇을 하는가? 하는 측면에서 바라보면 드러난 부분으로는 다음과 같습니다.

Stopbadware.org 사이트의 활용 - 하버드 법대에서 운영을 하도록 합니다.  AV 벤더 및 악성코드 유포를 탐지하는 여러 업체 및 기관과 협력하여 거의 실시간에 가깝게 악성코드가 유포되고 있는 사이트 정보를 획득하고 해당 사이트 정보를 구글의 검색 결과에 반영을 합니다. Black list에 등재된 사이트의 경우 검색 결과에 노출이 되어도 사용자가 클릭을 하면 악성코드 유포 위험성 안내와 함께 stopbadware.org 사이트로 이동을 하도록 하고 있습니다.  관련 업체에서 이의제기를 하고 싶어도 구글 에게 직접 하는 것이 아닌 하버드법대에 이의제기를 해야죠.  blacklist에서 제거 되는 부분도 악성코드 유포 위험요소를 제거한 이후에 되도록 되어 있고 black list에서 제거되면 검색결과는 정상적으로 해당 사이트 링크를 활성화 시켜 줍니다.

 

주변 환경을 이용하는 측면에서 영악하다고도 볼 수 있는데 구글의 정보통제 및 독점에 대한 문제 회피를 위해 하버드 법대를 활용한 개념이 있고 또한 거의 실시간에 가까운 전 세계 협력 기관 및 AV 벤더의 자료를 취합해 적용함으로써 신뢰도를 높이는 점이 있을 것 같습니다. 자료를 제공해주는 기관이나 벤더는 향후 대폭 확대될 가능성이 있을 것이며 확대에 따라 신뢰도는 더 높아지는 결과를 유발 할 것입니다. 2007.7.11자로 확인을 해보니 악성코드 유포 가능성이 있고 유포중인 사이트가 197000여 개 정도 리스트업이 되어 있습니다.  

( http:://www.stopbadware.org )

우리나라의 경우에는 KISA에서 제공되는 악성코드 유포 사이트 정보를 활용하여 보다 전문적이고 지역적으로 특화된 내용에 대해서도 대응이 가능한 체제를 수립하려는 것으로 보입니다.

 

Response 영역에 대해서는 특별히 언급할 내용이 없으며 구글팩의 설치부터 AV 백신의 실행까지 모두 사용자 동의 하에 가능한 부분이라 영향은 제한적이지만 향후에는 위협의 증가에 따라 기본으로 제공될 가능성이 존재합니다.

 

 

Integrity Secure search & browsing에 대한 간략한 개념을 설명 드렸습니다.

 

영향은 어떻게 될까요? 짧은 소견이지만 생각 나는 대로 정리 하겠습니다.

 

Google의 검색 안정성 강화 ( 이익 창출을 위한 필수도구로서의 security factor 인식의 산물)

Active , Passive , Response process를 통한 전방위적인 대응체제 수립이 가능할 것으로 보이고 각각의 영향력이 다름으로 인해 효과는 제한적이나 향후 1~2년 이내에 Frame화 되어 정착될 가능성이 높습니다.

 

Active method (Green border technology)의 활용은 제한적이 될 가능성이 높고 위에 언급 하였듯이 Toolbar 혹은 별도의 Plugin 형식으로 전파가 되고 사용자의 선택에 따라 활용하는 용도로 이용될 가능성 있습니다.  단점으로는 언급 하였듯이 전체적인 보안기술의 적용이 어렵습니다. 특히 국내의 경우에는 많은 사이트들에 장애를 일으키거나 정상적인 접근이 어려워 지는 경우가 발생될 것으로 예상됩니다. 사용자의 설정 요구가 매우 많아져서 오히려 사용자를 떨어지게 할 수도 있을 것 같네요.

 

구글은 사용자의 요구와 Security의 강화라는 측면에서 Web 상에서 노출되는 많은 위험들을 앞으로 적극적으로 강조할 것으로 보입니다. 분명한 사실이지만 비지니스적으로는 강조해야만 불편함에 대한 사용자의 요구를 일소 할 수 있는 명분이 생기는 것이겠죠.  

Passive Response에 해당하는 이슈들은 앞으로 많은 영향을 미칠 것으로 보이며 특히 AV벤더와의 협력관계 확대를 통한 Response 영역의 확장은 노하우가 쌓일 수록 강한 힘을 발휘 할 것 같습니다.

 

글을 쓰는 목적은 변화하는 흐름을 분석하고 이해해서 향후 방향 설정에 도움이 되었으면 하는 마음에 분석한 것이며 그 과정에서 최근 구글의 행동이 주목할 만 하여 케이스 스터디 차원일 뿐입니다.

 

감사합니다.

 

* 심각하게 고민한 내용이 아니고 그 동안 나온 기사를 바탕으로 생각나는 대로 나열한 부분입니다. 내용 중에 이해가 어려운 부분도 있을 수 있습니다. 이 부분은 설명하는 사람의 무지를 탓하시면 될 것 같습니다. 또한 내용 중에 정확하지 않은 내용도 있을 수 있습니다.  신문기사만 보고 판단한 것이라 다른 내용들이 있을 수 있습니다. 개인적으로 보는 관점이라고 봐주시면 감사하겠습니다.  재주가 없어서 그런지 이해한 내용을 전달 하는 것도 부족한 부분이 많습니다.

 

- 사족 나갑니다.

왜 국내 IT Service 기업들은 변화를 리딩 하지 못할까요?  IT Service에서 안주와 자리 지키기는 죽음에 이르는 길입니다. 죽음의 길에 조금 더 빨리 가도록 하는 것이 학벌과 지연과 인맥에 의한 것이겠죠. 특히 Global Service기업이라면 학벌, 지연, 인맥에 의존 하는 순간 초고속 급행열차로 죽음의 길에 가는 것과 다름 없습니다. 남의 떡이 커 보인다고 키워야 될 자기 것들을 팽개치고 이러다 보면 순식간에 무너지겠죠. 전문직무분야인 보안 분야에서도 그러한데 다른 분야는 오죽하겠습니까? ^^; 위험을 인지 하지도 못한다면 더 심각한 상황이라 할 수 있습니다. 매 순간이 위기인데 말입니다. 백척간두 진일보라는 말은 개인에게만 해당되는 말은 아닙니다. 지금 이 순간의 모든 IT서비스기업들에 해당이 되는 의미입니다. 당장 1년 뒤를 보장할 그 어떠한 것도 없습니다. 세계와의 경쟁에는 학벌과 인맥, 지연이 통하지 않습니다. 그리고 지금의 서비스는 이미 세계와 경쟁 중입니다. 4천만의 시장으로 먹고 살 수 있다고 생각하는 고만고만한 기업이라면 이름 없이 사라짐을 당연하게 알아야 될 것입니다. 아쉽게도 문제는 그런 기업들이 너무 많다는 것이 문제일 뿐입니다. 아쉽지만 여기까지 인 것 같습니다.


 
Posted by 바다란