금융정보 유출의 문제는 경영진의 문제. 보안은 비용이 아니다.

개인정보보호는 지붕이다.

기술적 보안은 기둥이다. 기둥이 무너지는데 지붕만 수선한다. 지금의 정보유출 사고들도 지붕만 삐까뻔쩍하게 만들 가능성이 매우 높다. ( 거의 100%) 그러나 기둥이 없는데 집이 될리가 있나?  규제와 통제들은 모두 지붕만을 쳐다본다. 기둥은 오래전 기둥이라 낡아서 흔들리는데 그건 쳐다 보지도 않는다. 집을 튼튼하게 해야 할 생각을 해야지 감시만을 피하고자 한다. 이건 본질과 상당히 멀다. 기둥이 무너지면 황금지붕도 의미가 없다는 것을 알아야 할 것이다.

현재 위협들에 대해 기술적인 방안들이 유연하게 대처하지 못하는 상황에서 지붕만 강화한다고 대책이 되나?

현실을 직시하고 

'정보유출' 카드사, 문자서비스 全고객 무료

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=001&aid=0006706290&sid1=001

전체 카드 교체 및 재발급이 먼저 일 것 같은데..

대출기록이나 민감한 신용정보가 유출 되었다면 이건 관리상의 책임과 보상이 있어야 할 것이고.. 꼴랑 문자서비스 무료??

안 그래도 다른 문자들도 공해 수준으로 엄청나게 받고 있는데, 이런 걸 수습방안이라고...

매번 사건이 발생 될때마다 사건에만 집중한다. 그 상황에서 방향은 어디론가 사라지고 없다. 

개인적으로 전체 현상을 살펴보면 정보 유출의 원인은 몇 가지로 집약 되고 있다. 이번 금융 정보 유출의 경우에는 USB 사용 금지나 감시, 관리 강화 방안만 나올 것이 뻔하지만 .. 앞으로 나올 문제들 그리고 이미 출현한 문제들에 대해서도 살펴 봐야 "뒷통수" 맞지 않을 것이다. 지금 대책 수준이라면 앞으로 뒷통수는 내준 거나 진배 없다.

현재 정보유출의 원인은 세 종류만이 있다.

• 웹.( 웹서핑을 통한 감염, 웹서비스 직접 침입등)
• 이메일
• USB ( 혹은 사람)

• 정보유출의 모든 것이 이 세 가지 유형으로 발생된다.
  그래도 현재 통제가 가능한 것은 USB, 이메일 정도.
  
  이메일이 늦게 온다고 심각한 문제가 생기지 않는다. 다들 그럴 수도 있지 정도.. 즉 포함된 파일에 대한 실행등을 통해 충분히 검증 할 수 있는 여유가 있다는 것.
  
  USB및 사람은 통제 정책의 문제. 
  
  마지막으로 웹은? - 지금 웹서핑 금지하는 곳들 있나? 아예 안되면 모르겠는데 일부라도 되면 그건 문제는 똑같다. 그렇다고 웹서핑 할때 해당 사이트 검사한다고 연결 중지 시켜 놓고 점검한 뒤에 세션을 붙여 줄 수 있나? 
  ( 그래서 Fireeye 솔루션들은 감염된 이후의 트래픽을 통해 내부 네트워크를 돌아 다니는 악성기능을 찾는 것일꺼다. 앞단에서의 검증이 불가능하니까.. 사실 현재 글로벌하게 예방 기능의 제공은 구글 크롬이 유일하지 않을까? 누구도 영역을 커버하기엔 어려우니 당연할 것이다. )
  
  
  이메일은 기다릴 수 있어도, 웹 서핑은 단 몇초의 지연도 어렵다. 이 상황에서 악성 유무를 검사한다는 것은 택도 없는일.
  
  지금 정보 유출되고 문제가 되는 것은 그나마 통제라도 가능한 영역이라는 점일 것이다. 여러 헛점들이 있어서 악용 되겠지만 계속해서 보완을 하면 안정화는 충분히 찾을 수 있을 것이다. 그렇다면..웹은 어떨까? .. 웹 서핑만 해도 감염될 확율이 높은 상황에서 내부 사용자 PC가 감염되어 유출 되는 것이나 피해를 입히는 것을 어찌 막을 수 있을까?
  
  
  문제를 객관화 해서 본 이후에, 효율적인 방안들이 모색되고 적극적으로 실행 되어야 정보유출도 해결 될 것이다. 정보 유출의 원인을 크게 보아야 할 것이고 큰 범주에서 실행 되어야 할 것이다.
  
  타켓의 4천만 카드 정보 유출은 POS 에 대한 해킹 이후 악성코드 감염으로 발생 되었음을 알아야 된다. 그리고 타켓과 같은 유형의 정보 유출은 사람을 통한 은밀한 유출과 사용과는 다르게 순식간에 널리 확산되어 보호 할 방안이나 수습 방안도 어려울 것임을 생각해 봐야 하지 않을까?
  
  이제 라운드 II. 
  지난 해에 이어서 본격적으로 공습들이 시작될 것이고, 확인된 자신감만큼 거세게 흔들 것이다. 웹과 이메일을 통해서 말이다. 웹을 통한 악성코드 감염과 내부침입을 통제할 수 있는 곳 그리고 정보에 대한 통제정책을 확실히 수행하는 곳만이 살아남는다.
  
  정책이야 사람을 늘려서 어찌한다 해도..웹은 어쩔 것인가?

근본적인 원인과 위험 요소를 알아야 전체적인 대책이 된다. 한 방향만 보면 기형적으로 발달하게 되고 그 사이에 또 다른 뒷통수를 맞게 된다.  현재 상태를 알고 핵심에 대해 집중을 해야 함에도 불구하고 전체적으로 비효율성의 극치에 도달하게 될 수밖에 없다. 이게 설상가상이라 하는 것.

대체 지켜야 될 중요한 것이 무엇이란 말인가?

필수 관리 인력도 비용절감과 효율성이란 측면에서 IT 자회사들 모두 만들고 이런 자회사 인력들 돌려 가면서 활용 하지 않았던가?

내부에 전문가를 키우지 않고 단지 도구로서만 보니 아웃소싱도 하고 대부분의 IT 혹은 보안 인력들을 모두 몰아두고서 공동 활용 한 것 아닌가? 금융기관들중 지금은 보안 기능까지 자회사가 관여하지 않는 곳들은 없지 않나? 보안이란 것 자체가 서버에 권한을 가지고 있는 것인데 말이다. 그리고 그들을 단지 자회사에 시키는 일을 하는 조직이라고 무시하지는 않았는가?  ( 행동은 아니더라도 급여는 차이가 명백 했을꺼다. 지금도...)

2011년 농협 사태 당시 내부 인력 중에 서버군들을 직접 다룰 수 있는 인력이 거의 없어서 문제의 시발점 이였던 IBM의 복구에 의존 할 수 밖에 없었다는건 시사점이 있다.

그리고 지금 금융 기관이나 회사들 중에 IT 아웃소싱 하지 않는 회사들이 있나? 회사 하나 만들고 그 인력들 뺑뺑이 돌리지 않는 기관들이 있나? 자회사 인력들의 급여수준은 말 하나 마나이고..

즉 지금의 문제는 "전문인력들을 키우지 않았다는것" , 경영 효율화란 명목으로 필수 기능인 보안과 감시 기능에 해당하는 것들도 모두 자회사에 몰아 넣고 "자원의 공동 활용" 이란 측면으로 이용 했다는 것.  특히 자회사의 "전문가들을 단지 도구로 보았다는 것" ..

관리나 통제, 기획이 가능한 인력들을 단지 도구로 보고 시키는 대로 하라고 했으니 제대로 될리가 있나? 

이 모든 것의 근원은  " 경영진들의 정보를 보는 시각"이 가장 큰 문제이다. 단기간의 성과에만 매몰되니 효율화란 항목으로 잘 모르는 기능들은 모두 한 곳에 몰아 넣은 것하며, IT 기술 기반하에서 운영되는 작금의 대부분의 시스템에서 조차 "정보의 관리와 통제, 보호 방안들에 대한 인식 미비"가 가장 크다.

만약 전문가들이 있었다면, 대책이나 규정을 제시하는 기관들에도 전체를 보는 인력들이 있었다면 현상의 근원을 처음부터 따져가면서 전체 위험에 대한 Flow를 제시 했을 것이다. 지금은 그냥 사건/사고 발생 되는대로 우루루 몰려가며, 잠잠해 지기만을 기다리고 머리 숙인다. 

그런다고 문제가 사라지지 않는다. 인원수 많다고 동네축구가 프리미어리그가 되지 않는 것이다.  감독이 몰려 가라고 하는데 메시가 무슨 소용이란 말인가?  감독이 제대로 되어 있지 않고 선수들 포지션도 엉망이다. 그래서 "동네축구"인데도 불구하고 유니폼만 그럴싸한 프리미어리그급인게다. 

감독이 게임 전체를 보지 못한다. 선수들의 특성을 모르고 무엇이 중요한 줄 모른다. 이게 전반적인 문제라고 할 것이다.

* 효율화란 측면으로 인력 재배치 및 자회사 활용 ( 보안이 여기에 해당)

* 기획은 본사에서 실행은 자회사에서.. ( 실무를 누가 담당 하나? 대우는 낮은데 딴생각 품는게 당연하지.- 또한 전문가의 의견들을 듣지 않는 결정자나 결정부서가 어떤 변화를 기대 하는가? )

이 모든 사고들은 기술을 단지 도구로 보고 관리의 대상으로 직접 보지 않은 인식이 문제다.  국가차원에서도 마찬가지.  단기 성과에 집착하는 경영진이 비용으로만 인식되는 보안과 기술을 가치라고 보기나 하겠는가?

"비용으로서의 보안"에 대해 절대적인 인식 개선이 기업이나 국가의 리더급에서 인식 하지 못한다면 이건 끝. 이제 생존의 문제라는걸 절실하게 이해 하도록 하는 변화와 노력이 요구된다.

국가의 경우에는 Risk란 측면에서 전체를 보는 전략가가 필요한 것이고.. 전문가들이 대책을 수립 하려면 서비스에 대한 이해가 당연히 높아야 되는 것 아닐까? 전문가들을 도구로서 내몰아 놓고서 과연 이게 될까? 

관제라는 명목으로 분야별 전문가들이나 보안전문가로 성장하고 싶은 많은 새싹들과 인력들이 "인건비" 싸움에 내몰려 24시간을 교대로 지키고 보고서 작성하는 머신으로 동작하는게 지금의 현실이다.

이 상황에서 전문가로 성장한다는 것은 택도 없는 사치스런 생각일뿐. 

전문가를 키웠는가? 전략가가 있는가?  국가든 기업이든 생각이나 했는가? 만약 있다면 그들은 어떤 목소리를 내며, 그 목소리와 이야기를 얼마나 듣고 존중 했나?  단지 구색 맞추기와 형식으로 치부하지 않았나 말이다.  

보안은 비용이 아니라 기업이나 국가 생존을 위한 문제라고 했다.  이번 정보유출의 경우에도 생존과 직결될 정도의 인식을 못가지게 된다면 이제 대한민국에서 지켜야 할 것은 없게 될 것이다.

경영진이 생존과 직결되었다는 인식을 못가지는한 기업이나 국가나 바람앞의 불일뿐이다.

변화는 시간제한이 있다. 너무 늦은 시간이 아니길...  - 바다란