“베토벤 바이러스 그리고 보안전문가” - 2008. p4ssion *본 글은 zdnet 컬럼 기고글입니다.
베토벤 바이러스가 화제가 되고 있다. 드라마와 보안은 무슨 상관이 있을까? 바이러스라는 단어 외에는 보안이라는 용어와 관련이 없는데도 불구하고 이야기 하고 싶은 것은 전문가에 대한 단상 때문이다.
하나의 완성을 위해 끊임 없이 자신을 갈고닦고 스스로를 담금질 하는 모습과 때로는 사회와 격리된 듯한 이질감을 지니게끔 만드는 주인공의 모습을 보며 환호하는 것은 현실에서는 보기 어려운 모습이라고 여기기에 대리 만족을 하는 것은 아닌가 하는 생각이 든다. 그러나 실제 전문가로 살아 가고 열정을 다한다는 것은 동일한 고통과 노력이 있어야만 가능할 것이다.
< www.imbc.com>
드라마를 보면서 전문가에 대한 생각이 교차하는 것은 “베토벤 바이러스”가 처음이 아닐까 생각 된다. 특히 오케스트라의 지휘자에 대한 생각이 많이 달라지게 되었다.
오케스트라 지휘를 하고 연습을 하면서 여러 악기들이 모여 연주를 하는 과정에서 중간중간 연주를 중단 시키며 각 개별 악기들을 언급하며 어느 부분이 부족하다고 직접적인 언급을 하는 것을 보면서 보안 전문가라는 분야에 대해서도 깊은 생각을 하게 되었다.
(이 글에서 언급하는 보안전문가는 특정 부분의 Specialist를 언급하는 것은 아니며 SSM- special security manager 을 언급한다. 이 의미는 기술적인 부분에 한정하여 설명함을 의미한다. 이 용어에 대한 개별적인 정의는 다음을 참고한다. http://blog.naver.com/p4ssion/50014996901 - 보안전문가와 보안 관리자의 차이와 구분)
지휘자와 보안전문가의 공통점은 상당히 많다. 지휘자는 여러 악기들을 전부 다 빼어나게는 연주하지 못하지만 몇 악기에 대해서는 수준급의 연주를 할 수 있으며 전체에 대한 균형을 인식하고 있다. 조화를 위해 전체의 부분을 균일하게 가다듬고 스스로가 이해한 정도에 따라 각 개별 악기들에게 느낌을 강요하도록 한다. 어쩌면 개별 악기의 연주자들은 지휘자에게 소모품일 수밖에 없다. 지휘자가 생각하고 이해하는 음악에 도달하기 위한 도구일 뿐이기에 소모품이라 여길 수 있다.
드라마상에서 강마에가 노골적으로 내뱉는 소모품이라는 말은 표현하기 힘든 금기시 되는 말과도 같다. 그러나 본질적으로는 동의할 수 밖에 없는 말이다.
음악은 지휘자의 이해의 정도에 따라 해석이 달라지고 새로운 방향으로 전환이 된다. 스스로가 창조주가 되기도 하고 새로운 것에 대한 도전을 하기도 한다. 새로운 것을 창조하고 독자적으로 해석하려는 시도를 하는 지휘자를 필자는 “마에스트로” 라고 이해 하고자 한다. 그런 의미에서 드라마의 주인공인 강마에는 재현된 마에스트로에 가깝다고 할 수 있다. 또 다른 관점에서 원전의 해석에 충실 하고자 하는 강마에의 모습과 새로운 변화와 시도를 하고자 하는 작은 강건우는 또 다른 비교가 될 수 있다. 보안전문가의 현재 모습과 적절한 비교가 가능할 것 이다.
보안전문가
네트워크/시스템/Application이 겹겹이 둘러 쌓여서 이루고 있는 IT시스템에서의 보안전문가의 역할은 무엇일까? 그리고 지금의 시대가 요구하는 모습은 “강마에” 혹은 “작은 강건우”의 역량이 요구 될까 하는 점은 고민이 필요한 부분이다. 지금의 보안 전문가의 모습은 전체 몇 백 혹은 몇 천 그 이상의 시스템들이 겹겹이 모여 하나의 방향성을 위해서 움직이는 것은 기업이나 시스템이 이루고자 하는 목적하에 이루어 진다. 또한 이러한 목적을 위협하는 지금의 가장 큰 요소는 Security라고 할 수 있다. 이 글에서는 전 세계와 경쟁 할 수 밖에 없는 기술적인 보안 부분에 대한 것만을 논의한다. 다른 보안 부분은 별도 컬럼에서 차후에 기회가 된다면 언급해 보겠다.
Security가 기반되지 않는 인터넷 비즈니스는 이제 생존을 보장 하기 어려운 상황이라 할 수 있으며 보안 전문가의 역할은 야수들의 세상에서 목적과 방향성을 유지하도록 보호하는 것이 주된 역할 이라 할 수 있다.
보호를 하기 위해서 필요한 것들은 무엇이 있을까? 일단 기본적인 시스템들의 구성과 네트워크 환경, Application에 대한 구조의 이해가 필요하다. 또한 침해사고에 대한 대응 능력도 필요하다. 간단하게 위의 세 가지 정도의 능력이 필요함은 명확하다. (blog.naver.com/p4ssion의 article 참고)
지휘자는 오케스트라의 완성도를 위해 전체의 부분을 조율한다. 보안 전문가는 서비스의 보호를 위해 시스템/네트워크/Application/Policy를 조율한다. 한 곳이라도 빈틈이 생기면 일정 수준의 완전함에 도달하지 못한다. 극도의 스트레스와 부담을 지니는 것은 둘 모두 명확하다. 즐기지 못하면 어떤 것도 이룰 수가 없다. 오케스트라가 엉망이 되면 지휘자가 욕을 먹는다. 보안전문가도 마찬가지 이다. 아무리 개별 부분이 뛰어나게 잘한다 하여도 전체적인 균형이 맞지 않으면 연주는 엉망이 되는 것이다. 보안도 마찬가지이다.
다양한 운영체제와 다양한 Application에서 발생하는 취약성은 날마다 발견이 되고 시급성을 다투기도 하며 실제적인 사고로 이어 지는 상황에서 기술적인 보안 전문가는 한 눈을 팔 시간은 없다. 날마다 발생 되는 이슈들을 해결 하기 위해 일정 수준 이상의 안정화된 체제를 구축 하여야 하는 것이 지상 최대의 과제라 할 수 있다.
안정화된 체제의 구축은 위험으로부터 안전한 것이 아니라 위험에 대한 빠른 대응과 파괴력을 최소화 하는 구조를 갖추는 것을 의미하며 모든 것이 야생의 세계에 맞추어져서 계획되고 이루어 져야만 한다. 때로는 단호함도 갖추어야 하며 전체적인 관점에서 하나의 구멍이 전체를 무너뜨릴 수 있음을 분명히 인지하기 때문에 예외의 상황을 두어서는 안되는 것도 마찬가지이다. 이런 문제로 인해 고지식 혹은 타협이 불가능 하다는 오해를 사는 경우도 많은 경우에 발생한다.
안정화된 체제를 유지 하기 위해서 가장 염두에 두어야 하는 것은 댐이 무너지는 손가락 마디 크기의 균열과 같은 부분을 가장 주의 하여야 한다. 보안전문가는 엄격하여야 한다. 눈 앞의 허용이 작게 보이는 부분이라도 그 부분을 시작으로 전체가 무너지는 빌미가 될 수 있다. 사명감을 지닌 보안전문가라면 당연히 사수 하여야 하는 지점이고 그렇지 않다면 타협을 해야만 하는 부분이 된다. 중요한 것과 그렇지 않은 것을 구분 하여 물러서고 물러서지 않을 부분을 고르는 것도 중요한 능력이라 할 수 있다.
아는 사람이 부탁해서? 상위 부서장이 지시를 해서? 서비스의 관리를 좀 더 편리하게 하기 위해서? 등등 모든 것이 불합리해 보이는 것은 없다. 적당하게 타협을 하고 적당히 유지 하면 되는 부분들이 이 세상의 상당히 많은 부분을 차지한다. 그러나 보안만큼은 그러해서는 안된다고 믿는다. 세계와 경쟁하고 전 세계에서 제한 없이 접근이 가능한 IT 서비스 부분에 있어서만은 보안 전문가는 고집과 통찰력을 지니고 있어야만 한다. 그래야 변화무쌍한 지금의 환경에서 서비스가 명맥을 유지 할 수 있다고 믿는다. 지금 당장 욕을 먹기를 두려워 하기 보다는 변화를 따라 잡지 못하고 통찰력과 역량이 떨어짐을 더 두려워 해야 한다.
지휘자는 스스로의 만족도에 도달 해야 몰입이 가능하고 불후의 명작을 만들 수 있다. 보안 전문가는 세계의 변화를 보는 눈을 뜨고 통찰력을 지니고 준비 하여야만 진정함에 도달 할 수 있다. 둘 모두 스스로의 만족도가 함께 하여야만 즐기는 것이 가능하다. 일이 일로서 무게를 가진다면 그것은 넘어 설 수가 없다.
마에스트로와 Guru
예술 분야의 거장을 일컫는 말로 명지휘자를 의미하는 마에스트로가 있다. 우리 말로는 장인이라 부를 수 있을 것이다. 장인이라는 의미는 철학을 이룬다는 의미이며 독창성을 지니고 있다는 것과도 유사하다고 볼 수 있다. Security라는 관점 혹은 IT 관점에서의 고수를 지칭하는 용어로 Guru라는 것이 있다. 자아를 터득한 신성한 스승이라는 의미로 볼 수 있다. 즉 Guide를 제시하고 가고자 하는 길에 스승이 될 수 있는 그런 존재를 칭한다 할 수 있다. 천재를 마에스트로와 Guru라고 칭하지 않는다. 무모하면서도 무지막지한 열정과 노력만이 그들을 경지에 이르게 할 뿐이다.
어디에나 두 가지 충돌이 있다. 근본을 중요시 하고 해석을 중요시 하는 부류와 사안에 대한 통찰로 변화를 중요시 하는 부류의 충돌이 그 것이다. 마에스트로와 Guru의 부분에도 두 충돌은 분명히 존재한다. 특별히 어느 것이 잘못 된 것이다라고 할 수는 없다. 두 부분 모두 중요한 부분이라 할 수 있다. 베토벤 바이러스의 예를 들면 원전의 해석과 작곡가의 의도에 충실하여 감정이입이 된 상태까지를 느끼고 재현 하고자 하는 강마에와 곡에 대한 독자적인 해석과 스스로의 의견을 투영하는 작은 강건우의 충돌은 두 부류의 충돌을 극명하게 보여 준다.
보안 부분에도 동일한 관점들이 존재하고 두 부분 모두 중요함을 지니고 있다. IT 서비스라는 관점에서 보안전문가 (SSM)의 관점은 작은 강건우의 측면이 더 중요하지 않을까 하고 필자는 생각한다. 하루가 다르게 변화하는 환경과 위험요소들에 대해 기본에 대한 해석은 엇갈리고 시간이 늦어질 수 밖에 없다. 따라서 진취적인 보안 전문가 만이 능동적으로 대응하고 통찰 함으로써 가이드를 제시 할 수 있다고 본다.
기본에 대한 해석과 충실함이 미래의 위험으로부터 보호를 해주지는 않는다. 다만 알려진 것에 의한 최소한의 피해를 보장할 뿐이다. 알려지지 않은 것들이 더 많이 출현하는 야생의 시대에서 생존은 절대명제이다. 선과 후가 어떻게 되는지는 정확해야 할 것이다.
최소한 음악 분야가 아닌 IT서비스 세상에서는 진취적이고 능동적인 보안전문가가 미래의 위협에 대해 안정적이라 할 수 있다. 때로는 고집불통이고 사회 비적응자처럼 보이는 모습의 그들일지는 몰라도 변화하는 세상에 대한 통찰과 노력으로 IT 서비스의 미래 위험과 당장 내일의 위협을 버티게 해줄 것이다.
사막을 건너는 자는 별을 사랑해야만 한다. 살아 남기 위해서…
이 땅의 강마에와 강건우, 또 한 분야의 전문가가 되기를 희망하는 열정이 있는 사람들에게 별은 자기 자신이 되어야만 한다. 개인과 산업의 생존을 위해서…
'Security Indicator > Guide for guru' 카테고리의 다른 글
| 프로그래머가 되는 길 (0) | 2010.04.27 |
|---|---|
| 보안 전문가와 보안 관리자의 차이와 구분에 대해 (0) | 2010.04.27 |
| 공개] SQL Injection and XSS 진단 tool (0) | 2010.04.27 |
| 해커의 길 II (1) | 2010.04.27 |
| [컬럼]Mass sql injection, 대응과 현실 2008.9 (0) | 2010.04.27 |