본문 바로가기

Security Indicator/Guide for guru

테러리스트는 영화대로 하지 않는다.

Terrorists Don't Do Movie Plots


 

http://www.schneier.com 사이트에 가시면 많은 Security 관련된 칼럼 들을 만날 수 있습니다.

브루스 슈나이어는 오래전 부터 익숙한 이름입니다. 암호 부분에 정평이 나있죠. 그러나 한 영역을
고집하지 않고 큰 부분을 보려고 많이 노력한 사람이기도 합니다.
예전 보안 관제 관련 회사에 여러해 동안 근무한 적이 있습니다.
이때에도 슈나이어의  관점과 동일한 컨셉을 가지고 많은 부분을 설계하기도 하였는데
이 글을 읽다보니 사고 방식이나 보는 관점 등에서 동질감을 많이 느끼게 합니다. ^^ 물론 본 적은 없죠..

카운터 페인이라는 회사는 2000년 초기에 설립된 Security Monitoring 관련된 회사 입니다.
미국내 중요 국가 기관들에 대한 IT 보안 이슈를 체크하고 모니터링 해주는 곳이며 전문적인 영역을 지니고 있는 회사입니다.
IT 보안과 물리적 보안은 영역이 매우 다르지만 보는 관점에 따라 동일하게 볼 수도 있습니다.
한 분야의 전문가 영역에서 다른 부분을 비유하여 보는데 아래의 글은 다음과 같이 해석하면
IT 보안 부분에도 동일하게 적용이 됩니다.

테러 -> 해킹 , 크래킹
표적 ( 공항 , 버스 , 지하철  ... ) -> 중요 IT 자산

 

오래전 부터 알고 있던 분야의 전문가가 상당히 관점이 다를 수도 있는 물리적 보안 의 관점에 대해
거시적인  문제를 제기 하고 있는데 이 부분은 IT 부분에도 동일하게 적용이 될 수 있습니다.
테러에 대한 대비책에 있어서 단편적인 대책과 일방향적인 업무처리 , 책임회피를 위한 생색내기 활동등 여러가지 부분들이 상존하는 위협을 없애지 못하는 원인이며 향후에도 지속될 문제라고 지적하는데 일면 타당하다고 보여집니다.
매번 미국의 영화에 단골로 등장하는 스탤론이나 브루스 윌리스는 현실에서는 존재하지 않습니다. 이것이 진정한 현실입니다.


상상과 현실을 혼돈 하지 않는 것에서 모든 것이 출발해야 하죠. 문제의 인식과 원인에 대한 것들 까지도...
미국의 테러에 대한 근본적인 해결은 물론 힘으로 해결하고 자신의 의견을 무력으로라도 관철하려는 의지가 사라지지 않는한 또 주위국가와 함께 가려고 하지 않는 한 해결 되지 않겠지만 IT 보안 부분에 대해서는 많이 다른 관점이 되겠죠.

우리도 이제는 지켜야 할 자산이 매우 많아 졌고 또한 지금까지 여타 회사나 기업체들이 그러하였듯
Security 관련 결정이 단편적이고 매우 낮은 수준에서 이루어 진 것이 현실 입니다.
침입 탐지 시스템을 설치하고 방화벽을 설치하면 보안이 다 되고 웹 관련 방화벽과 스캐너를 구비하면 모든 것이 다 이루어지는 것인양 생각하는 기업들이 많았습니다만 현실은 그렇지 않습니다.

현실과 이상의 괴리는 생각하는 대로 발생하지 않는다는 점에 있습니다. 눈에 보이는 부분이라도
어떻게 강화를 해야 책임추궁을 피하고 면피할 일들이 생기는 것이긴 하나 근본적인 문제의 해결과는 매우 다른 이야기가 됩니다.

여기에서 현업 담당자의 딜레마가 시작이 되는 것이죠. 어떤 방향을 추구하느냐에 따라
허우대만 번쩍하는 것이냐 내공이 있는 그 무엇이 되느냐가 됩니다. ( 개인적으로는 내공을 추구합니다. 물론 어려움이 많지만...)

어떤 방향이 옳을까요?. 단기적인 성과 혹은 장기적인 안정 . 또 그만큼의 시간을 줄만큼 여유와 인내가 있을런지..

연휴동안 보안 관련된 기사나 글들을 읽다보니 느끼는 점이 많은 글이여서 올려 봅니다.


이하 기사는 URL을 참조 하십시요.

 

http://www.schneier.com/essay-087.html  ( English )

http://wired.daum.net/business/article00350.shtm (Korean)