꿈꾸는코난

마이크로 블로그라 불리는 트위터(twitter)가 전 세계적으로 선풍적인 인기를 얻고 있다. 트위터는  작은 블로그라고 볼 수 있다.

새의 지저귐이라는 듯의 이 소셜 네트워킹 서비스는 누군가를 따라다니며 정보를 얻고자하는 심리에 근거에 탄생됐다. 누군가의 트위터를 구독하면 그 대상이 업데이트 하는 140바이트 내외 메시지를 문자메시지나 메신저, 이메일 등 다양한 환경에서 받아볼 수 있다. 특히 우리나라에서는 피겨 퀸인 김연아 선수가 트위터를 이용한다 해서 널리 알려지기도 했다. 

샌프란시스코의 한 벤처기업에서 탄생한 이 서비스는, 관심 있는 누군가를 쫓아다니며 더 많은 정보를 알고 싶어 하는 심리와 나에게 관심 있어 하는 다수에게 나를 알리고 싶어하는 심리를 바탕으로 하고 있다. 따라서 많은 유명인들이 트위터를 이용하고 있으며 일반인들도 트위터를 통해 널리 알려지기도 한다. 현재 트위터를 모방한 많은 소셜 네트워킹 서비스가 나타나고 있으며 이런 서비스는 앞으로도 계속 증가할 것으로 예상된다.

문제는 이 서비스가 인기를 얻어갈수록 이를 노리는 많은 보안 위협이 나타나고 있다는 것. 특히 유명인을 노린 보안 위협이 크게 증가하고 있어 문제가 되고 있다. 유명인의 트위터는 많은 이용자들에게 파급효과를 가지고 있어 이를 악용할 경우 큰 사회적인 문제를 낳을 수 있다는 것이다. 가령 얼마 전엔 오바마 대통령의 트위터나 브리트니 스피어스의 트위터도 계정이 해킹당해 큰 사회적 이슈를 낳은 적 있다. (생각해보자. 유명인들의 트위터를 통해 변조된 메시지가 전달된다면... 상상만해도 심각해보인다.)

초기에 트위터를 노린 해킹은 단순 유추형 해킹이었다. 특정인의 계정에 패스워드를 임의로 대입하는 기초적인 해킹이라고 볼 수 있다. 하지만 최근들어 트위터의 프로파일(누군가의 트위터를 구독한 사용자 목록)을 노린 웜이나 이를 통해 변조된 메시지를 전달하는 웜이 기승을 부리고 있다.

이런 웜은 보내지는 메시지를 통해 전파되는 특성도 가지고 있어 그 위협은 점차 커져가고 있다. 특히 트위터가 이동통신이나 여러 통신수단을 이용하고 있기 때문에 향후 스마트폰과 같은 모바일 기기까지 위협이 번질 수 있다는 경고는 많은 보안전문가들 사이에서 늘어가고 있다.

따라서 트위터와 같은 다중 네트워크 소셜네트워킹 서비스를 이용할 경우 각별한 보안 관리가 요구된다. 일단 패스워드 관리가 가장 중요하다. 패스워드가 노출 될 경우 큰 문제가 나타날 수 있기 때문에 패스워드는 수시로 바꿔야 하며 유추가 불가능한 패스워드의 이용이 필수다. 아울러 트위터를 이용하는 환경이 보안 취약점에 노출되지 않았는지도 체크해 봐야한다. 따라서 안티바이러스를 이용한 바이러스 검사나 스파이웨어 검사에도 많은 노력을 기울여야 할 것으로 보인다.

[오병민 기자(boan4@boannews.com)]

10억 규모 사업, “조달청에 공고 내고 7월 경 사업계약을 맺을 것”

방송통신위원회 주도하에 인터넷망에 DDoS 대응시스템 도입이 확산되고 있는 가운데 행정안전부는 DDoS공격에 우선적으로 대응이 필요한 행안부를 포함한 3개 기관 13개 영역 인터넷 구간에 10억여원 규모로 DDoS 대응시스템을 구축하는 내용을 담은 로드맵을 마련했다.

행안부는 지난 4월 21일 국가정보원, 지식경제부, 방송통신위원회와 합동으로 정보해킹 및 개인정보 유출 실태와 2009년 역점 추진과제를 국무회의에 보고한 바 있다. 이날 행안부가 발표한 정보보호와 관련한 8개 역점 과제 중에는 최근 급속히 증가하고 있는 DDoS공격에 대한 국가적 대응체계를 구축하기 위해 DDoS 대응시스템을 구축할 것이라는 내용이 담겨 있었다. 그리고 그러한 준비기간을 거쳐 행안부는 이번에 ‘DDoS 대응체계 구축사업’을 벌인다.

최근 전자정부서비스 오류 및 사이버 공격으로 인한 침해사고 발생 등 정부·공공기관에 대한 지속적인 DDoS 공격이 지속적으로 발생하고 있으며, 공격 규모두 수 기가에서 수십 기가로 지속적으로 증가하고 있어 대응체계가 아직 갖추어지지 않아 DDoS공격에 취약했던 것이 사실이다. 이에 따라, 대국민 서비스에 심각한 영향을 미치는 비정상적인 대량의 통신 트래픽을 감지하고, 경보를 발생시키는 시스템을 구축하려는 것이다.

3개 기관 13개 영역에 DDoS 대응체계 구축

이번 ‘DDoS 대응체계 구축사업’은 시·도 및 시군구와 연계된 4대 접점 구역에 DDoS 전용장비를 설치하고 교육과학기술부와 보건복지부의 대민서비스를 위한 인터넷 접점 중 각각 5개, 4개 영역에 설치된다.

여기서 4대 접점구간 별 DDoS 대응지역은 ▲중앙청사-경북도청 및 외부기관 중앙부처 ▲별관청사-서울·인천시청 및 강원·경기·충북도청 ▲과천청사-부산·대구·울산시청 및 경남도청 ▲대전청사-대전·광주시청 및 전북·전남·제주·충남도청이다.

이에 행안부 관계자는 “중앙행정기관 대민서비스에 대한 보안관제를 지원하는 ‘교육 관제시설’과 ‘보건·의료 관제시설’에 우선 시범적용된다”며 “시·도 및 시군구와 연계된 4대 접점 구역에 DDoS 대응체계를 구축해 행안부의 통합보안관제센터 및 지역정보개발원의 보안관제센터와 정보공유를 통해 DDoS공격을 사전에 차단할 것”이라고 밝혔다.

또한 그는 “구축된 시스템의 서비스거부 대응 효과 검증을 위한 모의 훈련을 실시하고 기관별 시범적용을 통한 장비운용 DDoS 대응 임계치를 설정하는 한편 시험 구축 결과를 바탕으로 서비스거부 대응지침 및 매뉴얼 개발 등의 DDoS 대응시스템 시험적용 및 확산 방안 마련할 계획”이라고 말했다.

사업자, 정부납품 위한 보안요구사항 충족 등 갖춰야

이번 사업의 제한요청 내용을 살펴보면, 구축되는 시스템은 정부납품을 위한 보안요구사항을 충족해야 하며, 기관의 특성에 적합한 대역폭을 충분히 처리할 수 있는 시스템을 구축해야 한다. 또한 백본 통신장애는 업무 영향도가 높기 때문에 비상시를 대비해 목적시스템의 설치 위치에 따라 ‘백본 통신경로 선상에 설치하는 방식’과 ‘백본 통신경로 외에 설치하는 방식’ 중 택해 구성해야 한다.

그 외 ▲통신 트래픽 분석 기능은 하드웨어·펌웨어 기반으로 처리 ▲기존 네트워크 장비 및 보안시스템 구성에 영향 주지 않고, 호환되는 시스템 구축 ▲생성 대용량 로그의 효율적 관리 방안 제시·구축 ▲향후 인터넷 회선 대역폭 증가 시 안정적으로 비정상 트래픽을 처리할 수 있도록 모듈 추가 및 업그레이드 등 목적시스템 확장 방안 제시 ▲설치기관의 정책에 따라, 기존 시스템과 연계가 가능해야 하는 등의 내용을 담고 있다.

이에 행안부 관계자는 “DDoS 대응체계 구축 경험을 보유한 한국정보보호진흥원을 통해 시스템을 구축하게 되는 본 사업은 대상기관과의 유기적 협력을 통한 맞춤형 DDoS 대응체계를 구축하게 될 것”이라고 추진전략을 밝히고 “해당기관의 기존 네트워크 변경 없이 목적시스템을 설치해 통신 안정성을 확보하고 향후 사용자의 급증 등 환경변화에 대처가 용이하고, 유지보수성이 높은 범용적인 목적시스템을 설치해 경제성 및 효율성을 확보할 것”이라고 덧붙였다.

또한 그는 “이번 사업은 빠르면 금일 저녁이나 내일 중으로 조달청에 공고를 내고, 7월 경 사업계약을 맺고 본격적인 구축사업을 시작하게 될 예정”이라며 사업진행 시기를 밝히고 “이번 사업은 시스템 구축 3개월과 2개월의 안정화 기간을 거쳐 완료될 예정”이라고 말했다.

한편 행안부가 중앙행정기관의 DDoS 대응을 위해 정부통합전산센터에서의 체계적 운영 방안을 마련하는 한편 보건복지분야 및 과학기술분야에 시범적용을 통한 유효성 검증을 위해 진행되는 이번 사업은 사업규모가 그렇게 크지는 않지만 공공의 DDoS 대응체계 구축의 첫 시도라는 점에서 이후 확대 구축이 예상됨에 따라 DDoS업계의 분주한 움직임이 있을 것으로 예상된다.

[김정완 기자(boan3@boannews.com)]

의사소통의 중요성은 다들 잘 아시리라 생각됩니다.

힘이나 상하관계에 의한 일방적인 커뮤니케이션이 아니라 상호 *소통*이 중요하다는 것을…

물론 *소통*을 다른 개념으로 사용하고 있는 듯한 사람이 있긴 하죠.

뇌 용량이 지극히 부족한 누구처럼…

주어진 일을 할 때 100% 판단 가능한 근거를 가지고 일을 시작하는 것은 거의 불가능에 가깝습니다. 아무리 많은 시간이 주어지더라도 어떤 것에 대해 100% 이해하고 시작하는 것이 쉬울까요?

따라서 일을 하면서 한정된 판단 근거를 가지고 판단해야 하는 과정이 반복됩니다. 그리고 그때마다 올바른 판단이 이루어진다면 주어진 일은 목적지를 향해 한발씩 더 다가가는 형태가 될 겁니다.

이때 올바른 판단을 위해 여러 가지 방법을 사용합니다. 예를 들어 다른 사람의 의견을 많이 듣고 판단한다거나 다양한 시스템(도구)을 활용하여 제대로 된 판단 근거를 유도하는데 사용하는 것입니다.

하지만 아무리 많은 좋은 데이터가 있더라도 결정은 사람이 하는 것입니다.

100% 올바른 데이터는 없기에… 또한 잘못된 데이터가 있기에…

그걸 잘 가려내어 올바른 판단을 할 수 있는 능력이 중요할 것입니다.

어떤 일을 할 때 각자 고유한 방식이 있습니다.

여기서 말하는 고유한 방식이란 게 사람마다 조금씩 다른 뭔가를 얘기하는 것이 아니라 좀 근본적인 두가지 측면을 말합니다.

A 스타일은 어떠한 문제가 주어졌을 때 그 문제를 분석하고 어떻게 해결해나갈지 방향을 생각하고, 또 그 내용을 정리하고 정리된 내용을 분석하고 그런 과정을 반복적으로 수행합니다. 근데 이 스타일이 너무 강해지면 문제의 본질을 망각해버리는 상황이 발생하게 됩니다. 예를 들어 주어진 문제를 풀어보니 코끼리를 그려야 한다면 처음에는 전체적으로 필요한 것을 파악하고 고민하고 그러다가 어느순간 코끼리는 사라지고 코만 계속 그리고 지우고 하는 과정이 되는거죠. 시간이 많이 흐른 다음에 “내가 뭘하고 있지” 느끼게 될 때가 있는데 이미 많이 늦어진거죠.

B 스타일은 어떠한 문제가 주어졌을 때 일단 구체화 과정까지 가보는 겁니다. 개발을 예로 든다면 어떤 문제가 있으면 일단 코드부터 수정을 해보는 거죠. 해보다가 안되면 다른 방법을 찾고 또 해보고 이러한 과정이 반복되는 것입니다. 근데 이 스타일이 너무 강해지면 시도해보지 않아도 빤한 일을 시도하는 경우가 생기고 빠뜨려지는 부분이 항상 생긴다는 겁니다. 예를 들어 동물원을 그려야 된다면 일단 대충 생각해서 호랑이, 사자, 곰 등을 그립니다. 다 그려놓고 다른 사람이 보니 동물원 건물 자체가 없습니다. 고민을 하게 되죠. 다 지우고 동물원 건물부터 다시 그려야 하나 아님 일단 그린 동물 사이사이에 동물원 건물을 그려 넣을까…

둘 다 극단적인 예입니다. 대부분의 사람들이 A 스타일과 B 스타일을 다 가지고 있습니다. 다만 어느 스타일 측면을 가지고 있냐에 따라 일하는 방식이 조금씩 다를 뿐이죠. 둘이 적절히 잘 조화를 이루게 되면 가장 좋겠지만 말만큼 쉬운 건 아니죠.

하여튼 어떤 일을 해야 할 때 세부적으로 내용을 잘 정리하고, 정리된 내용을 바탕으로 각각을 해결해 내갈 방안을 잘 고민하고 생각하는 게 중요합니다.

적어도 자신이 뭘 해야 하며 어떻게 해야 하는지는 계속적으로 고민해 나가는 것이 꼭 필요합니다.

그렇지 않으면….

예전에 프로젝트를 진행할 때 팀원 중에 이런 사람이 있었습니다.

개발계획서를 작성하고 프로젝트에 대한 일정을 생각해서 달라고 하니 아직 개발(여기서는 코딩을 말함)도 시작 못했는데 일정을 어떻게 알 수 있냐고 했습니다. 그럼 언제 개발이 완료될지 알 수 있냐고 했더니 개발이 끝나봐야 알 수 있다고 하더군요(OTL).

물론 무슨 일을 시작할 때 문제점이 무엇인지, 어떻게 문제점을 해결해 나갈지, 진행하면서 무슨 새로운 일이 생길지 알 수 없는 상태에서 일정을 도출해 내기란 불가능에 가까울지 모릅니다.

하지만 어떠한 조직에서 일을 할 때 일에 대한 예측 없이 진행한다는 것은 앞으로의 계획을 전혀 만들 수 없다는 것과 같습니다(언제 끝날지 모르는데 앞으로 계획을 세우는게 가능할까요?)

특히 개발이라는 무형의 괴물(?)을 봤을 때 언제 어떤 식으로 돌변해서 자신을 덮칠지 모르기 때문에 일정을 예측하기는 더욱 어려운 것 같습니다.

다만 일정을 예측할 때 지난 경험을 바탕으로 다양한 시나리오(앞으로 발생 가능한 일, 문제점 등등)를 감안하여 최대한  잘(?) 만드는 것이 중요할 것입니다.

근데 혹시 student syndrome이라고 아시나요?

해야 할 일을 미루고 있다가 결국 마지막 순간이 되어서야 실행하는 습관을 말합니다.

방학숙제를 쌓아두고 개학 전날 시작한다거나, 기말고사 준비를 시험기간 직전에 몰아서 한다거나 하는 식의 학생들의 버릇을 빈댄 거죠.

사실 회사 업무도 비슷한 경향이 있는 것 같습니다. 데드라인이 있으면 논리적으로는 그 전 언제 까지 어떻게 하는 등의 일정 수립을 합니다. 그러나 이상하게도 심리적으로는 데드라인이 가까이 오기 전까지는 시작을 하지 않는 경향이 있답니다. 항상 날짜가 많이 남아있어 보이죠. 그래서 막판까지 가다가 지금 시작하지 않으면 데드라인을 맞추기 어려울 것 같은 시점에서 드디어 발등에 불이 떨어지는 것을 느끼고 시작하게 되는 것이죠. 근데 그 깨닫는 시점이 늦을 수록 결과는 엉망이 되는 것입니다.

대부분의 회사에서 개발에 관련된 사항을 프로젝트화 해서 진행하고 있습니다.

“프로젝트”란 주어진 요구사항을 주어진 자원을 이용하여 주어진 기간동안 수행하는 것을 말합니다.

일상적인 업무와 프로젝트의 차이점이 바로 주어진 기간 동안 한시적으로 운영된다는 것이죠.

사실 조그만 조직에서는 프로젝트화 하는 것이 필요 없을 지도 모릅니다.

개발에 참여하는 인원이 소규모이고, 따라서 하는 일이 빤히 보이는 상황이기 때문에 프로젝트화한다는 것이 별로 의미가 없어 보일 수도 있죠.

하지만 항상 이 정도의 규모로만 개발이 진행된다고 볼 수 없기 때문에 프로젝트 기반으로 업무를 수행하고 체계화해 나가는 분위기를 익히고 경험하는 것은 매우 중요하다고 할 수 있습니다.

규모나 참여 인원에 따라 프로젝트 관리 방법도 상당히 많이 다르겠지요.

그래도 기본적으로 해야 할 일을 명확히 정의하고, 그 일을 누가, 어떻게, 언제까지 할 것인지를 미리 결정하고 진행하는 것은 기본이라고 볼 수 있습니다.

그리고 중간 중간 진행 상황에 대해 검토하고, 그 결과에 따라 다음 진행 방향에 대해 보완해 나가는 것이 필요하죠.

소프트웨어 공학에서 얘기하는 것처럼 시스템적이고 체계적이고 이론적인 부분이 현실에 적용되기는 상당히 어렵습니다. 다만 근본적인 개념을 이해하고 그 개념을 속해있는 조직의 현실에 맞게 접목하는 것이 가장 중요하다고 볼 수 있습니다.

앞으로 당분간은 일을 진행할 때 각자가 사전에 많은 생각을 하도록 유도하고, 기술적인 부분 검토나 아이디어 도출에 좀 더 많은 시간을 할애할 수 있도록 할 계획입니다.

모든 프로젝트가 그렇다고 할 순 없지만, 대부분 사전에 많은 고려를 하게 되면 나중에 완전히 엉뚱한 방향으로 일이 잘못 나아가는 것을 최소한으로 방지할 수 있습니다.

그리고 코딩 들어가기 전에 머리 속으로 체계화시킬수 있는 능력도 좀더 키우는 것이 필요할 것이라고 생각됩니다. 누가 대신해 줄 순 없지만 그렇게 하도록 유도할 순 있겠죠….

한국만평 6월 23일