꿈꾸는코난

아버네트웍스 보안연구 매니저

“DDoS 공격, 한국만의 위협 아니다”
“DNS 기술 이용하는 컨피커C, 정리 끝났다”

반가운 얼굴을 만났다. 지난해 ISEC 2008 강연을 위해 한국을 처음 방문했던 정보보안 연구의 권위자 호세 나자리오(Jose Nazario) 박사가 지난달 개최된 “2009 Hacking Defence & Conference”의 기조연설을 위해 두 번째로 한국을 방문했다. 본지는 현 봇넷 조망에 대해 발표한 호세 나자리오 박사를 만나 봇넷과 DDoS 공격에서부터 컨피커에 이르기까지 최근의 보안 위협에 대해 포괄적으로 살펴봤다. 한편 컨피커 워킹 그룹(Conficker Working Group)의 일원으로 활동하고 있는 그는 본지와의 인터뷰에 앞서 KISA 연구원들과 컨피커에 관한 미팅을 갖기도 했다.

해외 기사를 검색하다보면 몇 번이고 그 이름을 보게 되는 아버네트웍스(Arbor Networks)의 보안연구 매니저 호세 나자리오 박사는 특히 DDoS 공격, 봇넷, 웜, 소스코드분석 툴, 데이터 마이닝 등에 관한 연구로 전 세계 인터넷 트렌드 연구에 상당한 영향을 끼치고 있다. 또한 블랙햇(Blackhat)을 비롯해 CanSecWest, PacSec, NANOG 등 전 세계 수많은 컨퍼런스의 강연자로 초청받고 있는 그는 국내에서 개최된 이번 해킹대회에서 DDoS 봇넷, 스파이웨어 봇넷, 그리고 컨피커에 관한 기조연설을 했다.


이번 해킹 대회에서 발표한 기조연설 “The botnet landscape”에 대해 간단히 말해 달라.

2009년 중반에 접어들고 있는 현재의 봇넷 조망에 관해 발표했다. 특히 현재 확인되고 있는 봇넷의 종류와 변화, 그리고 그에 대해 우리가 어떻게 지속적으로 대응할 필요가 있는지에 관한 전반적인 내용을 설명하고자 했다. 몇 년 전만 해도 대부분의 봇넷은 IRC와 일부 코드베이스들을 기반으로 했다. 그러나 현재 HTTP를 이용하는 봇넷이 나타나고 있으며 더욱 더 많은 봇넷들이 자체 프로토콜을 이용하고 있다. 또한 봇넷이 단지 DDoS나 소프트웨어 설치에 이용되고 있을 뿐만 아니라 종종 스팸이나 정보 탈취의 목적으로 이용되고 있음이 확인되고 있다.


최근 세계적인 DDoS 공격 트렌드나 특징이 있다면?

과거와의 가장 큰 변화는 무엇인가? 작년 혹은 재작년부터 보다 교묘한 공격자들이 ISP 업체들과 운영업체들의 핵심 장비를 공격해 사용자들과 주요 e-상거래 업체들에 대한 서비스 불능을 유발하고 있다. 그들은 또한 주요 호스팅 업체들과 클라우드 공급업체들을 공격하고 있어 수많은 사용자들에게 영향을 끼치게 된다.

공격자 메소드(attacker method) 또한 변화하고 있다. 상당수 공격이 피해자의 광대역을 차지하도록 고안된 브루트 포스 플러드(brute force flood)를 여전히 이용하고 있다. 그러나 또한 공격자들은 애플리케이션 리소스를 소모하는 애플리케이션 메소드로 피해자의 서버를 공격하고 있는 것으로 확인됐다. 이것은 백엔드 데이터베이스 서버 등 전체 서비스 인프라스트럭처에 영향을 끼칠 수도 있다. 이러한 공격은 특별히 빠른 속도가 필요한 것도 아니며 특히 정상 클라이언트와 구별하기가 어려운 점이 특징이다.


이에 대응하기 위해서는 무엇이 필요한가?

성공적인 DDoS 완화를 위해서는 최소 두 가지가 필요하다. 우선 특정한 트래픽을 차단하기 위한 정확하고 통찰력 있는 애플리케이션 레이어 필터링이 필요하다. 둘째 ISP를 통한 고속 필터링 업스트림으로 트래픽이 고객의 네트워크를 다 차지하기 전에 그 트래픽을 차단하는 것이다. 이와 같은 방법은 공격을 막을 뿐만 아니라 고객들에 대한 서비스 손실을 최소화할 수 있게 해준다.


국내에서는 한국이 유난히 DDoS 공격에 노출되어있다는 의견도 있는데, 이에 대해 어떻게 생각하는가?

한국뿐만 아니라 거의 모든 국가들이 DDoS 공격의 위험에 처해있다. DDoS 공격자들의 구미를 당기는 것은 e-가버먼트(e-government), ISP 인프라스트럭처, e-상거래 사이트, 호스팅(포르노나 게임, 또는 도박 사이트를 호스팅하는) 업체, 사람들의 참여도가 높은 유명 포럼 등 외에도 상당히 많다. 이와 관련해 한국의 수많은 온라인 서비스와 엄청난 온라인 이용자들이 한국을 DDoS 공격에 취약하게 만든다고 할 수 있다. 공격자들은 자신들이 사용자 경험에 영향을 끼칠 수 있다는 것을 알고 있으며 공격을 통해 피해자들로부터 금품을 갈취할 수 있다는 것도 알고 있기 때문에 이러한 공격이 많이 발생하고 있다. 아울러 한국에 가해지고 있는 대부분의 공격이 중국 봇넷으로부터 발생한 것이라는 한국의 주장은 사실이라고 볼 수 있다. 전 세계 트래픽을 모니터링하고 있는 우리(아버네트웍스)가 중국 봇넷과 한국 트래픽을 모니터링 한 결과에 따르면 수많은 중국 봇넷이 한국 사이트를 공격하고 있는 것으로 확인되고 있다.

그러나 한국만이 유독 DDoS 공격의 타겟이 되고 있는 것은 아니다. 미국에서도 은행 등을 대상으로 하는 DDoS 공격이 발생하고 있으며 이미 금품을 요구하는 DDoS 공격도 있었다. 그러나 현재 미국에는 인터넷 금융 거래(Financial Transaction)에 관한 엄격한 제재(strict rules)가 있어 대부분의 관련 사이트들은 버퍼 오버플로우를 완전히 제거한(clean) 상태다.

페이팔(Paypal) 등은 매우 구미가 당기는 타겟이기 때문에 금품을 요구하는 공격을 받기도 했지만 이제는 그에 대한 대책을 충분히 세워놓고 있다. DDoS 공격으로 서비스 제공을 하지 못하게 되는 것은 그들 자신의 사업에 심각한 문제가 될 수 있기 때문이다.


DDoS 공격에 대한 대응과 관련해 한국의 기업들 또는 보안 담당자들에게 조언해준다면?

공격 받을 것을 우려하고 있다면 ISP 업체의 DDoS 공격 방어 대책에 대해 확인하는 것이 가장 중요하다. 즉, 그들이 DDoS 공격 방어 서비스를 제공하고 있는지, 대응 시간은 얼마나 걸리는지, 또 공격이 가해지는 동안 당신의 온라인 비즈니스가 안전하게 지켜질 수 있는지 등을 확인해야만 한다.


최근에는 맥 운영체제를 노리는 맬웨어가 맥 봇넷을 구축했다는 보도도 있었는데?

HTTP와 기타 자체 프로토콜을 이용한 봇넷의 변화가 나타나고 있다고 언급한 바와 같이 봇넷은 스팸 소프트웨어 설치뿐만 아니라 정보 탈취 소프트웨어 등과 같은 공격에 이용되고 있다. 봇넷은 그야말로 공격자들을 위한 서비스 툴이 되었다. 그러나 맥(Mac) OS X 봇넷은 대부분 개념증명(PoC : proof of concept) 정도의 수준이며 일반 PC 봇넷에 비해서는 아주 극히 일부 이용자들만이 맥 봇넷으로 이용되고 있음을 확인했다. 특히 맥 OS X 봇넷 소프트웨어는 사용자에 의해 설치되어야만하기 때문에 루트 패스워드를 입력해야만 한다. 이 때문에 대개 사용자가 인식하지 못 한 상태에서 설치되는 PC 봇넷에 비해 맥 봇넷이 생성되기는 훨씬 어렵다.


컨피커워킹그룹에서 활동하고 있는 것으로 아는데 단체의 목적, 그리고 성과에 대해 말해 달라.

개체수 뿐만 아니라 언론의 관심이라는 측면에서 볼 때 컨피커는 최근 몇 년간 있었던 웜 중에 가장 심각한 웜이다. 나는 4~5개월 동안 매일 반나절을 컨피커와 관련된 일로 보내고 있다. 나를 포함한 컨피커 워킹 그룹(Conficker Working Group)의 멤버들은 이 봇넷을 조사하고 감염된 네트워크를 정화하기 위해 매우 분주하게 보내고 있다.

컨피커 워킹 그룹은 컨피커에 대응하기 위해 MS를 비롯해 시만텍, F-시큐어, 아버네트웍스 등 IT 및 보안 기업들과 쉐도우서버 파운데이션(Shadowserver Foundation), 그리고 개인 연구자들이 모인 단체다. 처음에는 장난삼아 컨피커 카발(Conficker Cabal, 컨피커 결사대)라고 이름 붙이기도 했지만, 이제는 컨피커 워킹 그룹이라고 부른다. 컨피커 워킹 그룹은 컨피커 웜이 P2P를 이용해 통신하는 방법 등에 관해 연구하고 있고 이러한 호스트를 식별하기 위한 센서를 배포해왔으며 보고서를 작성하고 있다. 특히 우리는 현재 사용자 PC의 컨피커 웜 제거라는 더 큰 과제와 대면하고 있으며, 상당히 어려운 일임에도 불구하고 전 세계 대부분의 컨피커 웜 감염자들과 컨택하기 위해 노력하고 있다. 그러나 DNS를 이용하는 컨피커C는 현재 깨끗이 정리됐다고 자신할 수 있다. 특히 컨피커C가 이용한 도메인에는 .kr이 상당히 많았기 때문에 우리는 한국의 이용자들에게 닿기 위해 최선의 노력을 기울이고 있다. 한편, 컨피커 배후세력과 관련해 우리는 일부 의심되는 배후는 추측하고 있으나 아직 정확하게는 알지 못 한다.


앞서 언급한 내용 외에 올해 가장 큰 보안 위협 또는 이슈가 될 것이 있다면?

페이스북이나 트위터와 같은 소셜 네트워킹 사이트들은 유럽과 북미 지역에서 가장 큰 위협이 되고 있다. 트위터 사이트 자체를 공격하거나 그 이용자들에 대한 직접적인 공격이라기보다는 그러한 사이트를 통한 스팸, 악성코드, 그리고 피싱 공격 등이 문제가 된다. 즉, 스팸이 이메일을 이용했던 것과 마찬가지로 이제는 소셜 네트워킹을 이용하고 있다. 스패머들과 악성코드가 이러한 사이트를 이용해 전파를 시도하고 있는 만큼 한국에도 이 같은 문제가 곧 발생할 것이라고 생각한다. 특히 사용자들은 이러한 네트워크 내에서 자신들을 보호하는 방법을 아직 모르고 있는 반면, 공격자들은 이들 사이트가 사용자들을 공격하기 위한 새로운 땅(fresh ground)이라는 것을 잘 알고 있다는 것이 문제다.
 
한편 기업의 경우, 경기 침체 속에서 보다 적은 인력과 장비 예산으로 기업의 데이터와 인프라스트럭처를 보호하는 것이 가장 큰 어려움이 될 것으로 생각된다. 모든 이들이 ‘더 적게’들여 ‘더 많이’ 얻기 위해 애쓰고 있다. 우리 모두는 우리의 네트워크를 안전하게 유지하기 위해, 또 지금 해야만 하는 일을 하기 위해 잘 훈련받고 의견을 교환하도록 해야만 한다고 생각한다. 이것은 특히 그 어느 때보다 지금과 같이 힘든 시기에 더욱 중요한 일이다.

글 : 김동빈 기자(foreign@boannews.com)

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

이기는 습관. 2 카테고리 경제/경영 지은이 김진동 (쌤앤파커스, 2009년) 상세보기

일을 잘하는 데도 단계가 있다. 물론 꼭 이러한 형태로 되지는 않겠지만 대략적으로는 다음과 같은 과정을 거친다고 볼 수 있다.

1. 숙련의 단계
   늘 하던대로 열심히 하는것만이 아니라 가장 잘하는 사람에 대해 유심히 살펴보고 분석하는 과정을 거쳐 자신에게 능숙하게 만들어야 한다. 책이나 자료를 통해서도 많은 것을 얻고 자기것으로 소화해야 한다.

2. 통찰의 단계
  전략적 사고가 가능해지는 단계로서 기존 그대로가 아니라 좀 더 효율적인 것, 다른 방안 등에 대해 생각할 수 있는 단계가 되는 것이다. 흔히 숙련은 미련해보이고 통찰은 멋있어 보이기 때문에 숙련의 단계를 건너뛰고 싶어하는 신입들이 많다. 하지만 경험을 통한 숙련없이 통찰을 하기도 힘들 뿐더러 된다 하더라도 모래성과 같이 쉽게 허물어 질 수 있다는 것을 잘 알아야 한다.

3. 직관의 단계
  어느 정도 자신의 분야에 대해 일가를 이룬 사람은 전혀 다른 분야에 대해서도 쉽게 통할 수 있다는 것을 보여준다. '지식의 임계치'라는 말이 있는 데 이는 통달의 경지, 즉 빅뱅이 일어나게 되는 시점까지는 일종의 지난한 과정이 필요하다는 의미이다. 그 임계치 직전까지는 엄청나게 고통스럽고 지루하지만 일단 그 임계치를 넘고 나면 그 후에는 축적된 지식이 합종 종횡해서 대단한 결과물을 만들어 낼 수 있게 된다.

4. 창조의 단계
  최종적인 단계로서 관련성이 없어 보이는 여러 지식을 통합해서 새로운 형태의 결과물을 만들어 낼 수 있는 단계이다.

전략이 아무리 잘 수립되었다 하더라도 실행을 하는 것은 결국  사람이다. 이러한 조직은 일정한 원칙을 가지고 움직여야한다. 제대로된 전략을 가지고, 제대로 된 실행으로, 편법이나 꼼수를 쓰지 않고 이겨야 한다. 묵묵한 끈기도 필요하고 때론 바보스럽다 할 만큼의 원칙도 필요하다. 

조직내의 갈등을 줄이고 건설적인 경쟁에 몰두하게 만드는 방법으로는 다음과 같은 것이 있다.


독일의 한 기업이 자사의 사이트를 통해 고지한 '인재 채용의 기준'이다.


첫번째 조건은 hard skill로써 객관적인 정보나 자료를 얼마나 빠른 속도로 잘 가공할 수 있느냐는 주로 좌뇌와 관련된 요소이다. 두번째는 soft skill로써 사람을 끌어당기고 애정을 쏟고 열정을 내보이며 사람들에게 영향을 미칠 수 있는 요소들을 말한다.

첫번째 요소도 중요하지만 점점 복잡해지고 다른 사람들과의 협력이 많아지는 현실을 볼 때 두번째가 보다 더 많이 강조되고 역량을 키워나가야 할 것이다.

일은 사람이 하는 것이며 조직은 각 개인이 잘 할 수 있는 여견과 기회를 부여해야 한다. 그리고 각 개인의 계발에 좀 더 많은 투자를 아끼지 말아야 하며, 무엇보다도 흔들리지 않는 원칙에 따라 모두가 같은 방향으로 나아갈 수 있어야 할 것이다.


 목차

무슨 일을 하든지 잘 갖추어진 상태에서 출발하는 것이 가장 이상적인 모습이라고 볼 수 있다. 시간과 인원과 환경 등이 다 갖추어진 상태에서 무슨 일을 하게 된다면 적어도 집중해야 하는 일을 제외한 나머지 부분에 대해서 고민을 하거나 제한을 받는 경우는 별로 생기지 않는 것 같다(물론 다른 인간적인 관계에 문제가 생길 수도 있지만 그건 어떻게 할 수 없는 거니까~).

근데 모든 일이 그렇게 잘 준비된 상황에서 출발할 수 있는 것은 아니다. 위에서 얘기한 여러가지 중에 한 두가지가 부족할 수도 있고 어떨 때는 모두가 부족한 상황에서 시작해야 하는 상황이 될 수도 있다. 이럴 때 처음에는 시간적인 여유를 가지고 차근차근 일을 해날려고 시도하지만 시간이 지나면서 시간이라는 괴물에 쫓기기 시작하게 된다.

근데 문제는 한번 시간이라는 괴물에 쫓기기 시작하면 끝도 없이 쫓아다닌 다는 것이다. 항상 옆에 붙어서 끊임없이 압박을 가하고 스트레스를 주게 되는 것이다. 이 시간이라는 괴물의 가장 큰 문제는 제대로 된 결정을 하지 못하게 사람의 판단을 흐려 놓는 경우가 많다는 것이다. 흔히 시간에 쫓겨서 제대로 못하거나 제대로된 결정을 못했다는 얘기를 많이 듣게 된다.

근데 과연 시간이란 괴물이 존재하는 것일까? 그냥 흘러가는 시간을 괴물로 만들고 있는 것이 자기 자신이지 않을까? 항상 옆에서 흘러가고 아무런 영향을 끼치지 않는 시간을 어느 순간 괴물과 같은 존재로 여기는 심리적인 변화가 아닐런지~

적어도  시간에 쫓기는 사람은 존재할 수 밖에 없다고 본다. 다양한 사항에 대해 판단하고 결정해야 되는 상황에서 마냥 시간이 주어질 수는 없기 때문에 시간에 쫓길 수 밖에 없는 상황을 항상 만들어질 수 밖에 없다. 하지만 그렇다고 그게 괴물로 변해서 자신을 압박한다면(자신이 괴물로 만드는 것이겠지만) 점점 더 그 괴물에 쫓겨 다닐 수 밖에 없다고 본다. 괴물이 두려워서 잘못된 판단과 결정을 하게 되고, 그 부분 때문에 또 다른 판단과 결정을 해야 하는데 시간을 더 큰 괴물이 되어서 덤비게 되고...

한 조직 내에서 모든 사람이 그 시간 괴물을 등에 업고 살아가지 않았으면 한다. 적어도 몇명 만이라도 그래야 된다고 본다. 조직 내에서 모든 사람이 시간 괴물을 등에 지고 가게 되는 순간 정상적인 판단은 점점 힘들어지지 않을까 본다. 적어도 동일한 상황에서 시간 괴물을 인식하지 않는 상황에서 보다는 말이다.

시간이 괴물로 변해서 자기를 쫓아 다닌다는 생각이 들때는 그 괴물을 순한 양같이 만들 방법에 대해 생각해 보자. 시간 괴물은 시간을 먹고 사는 괴물이라서 우리가 시간을 보내면 보낼 수록 점점 더 비대해진 괴물로서 우리에게 다가 오는 것이다. 많은 부분에 대해서 냉정하게 판단하고, 시간을 앞지를 수 있는 지혜가 필요할 것 같다.

시간을 지배한 사람이 되기는 힘들지라도 시간과 같이 동행 할 수 있는 사람이 되어야 하지 않을까?

B.C 460-365년에 살았던 그리스의 위대한 철학자 히포크라테스는 사람의 체내에서 분비되는 체액애 따라 4가지 기질로 분류하였다.


이 기질론이 19세기까지 사람들의 기질을 평가하는 방법으로 많이 사용되어 왔었다. 히포크라테스의 기질론을 전 유럽에 보급하는데 가장 큰 역할을 담당했던 사람은 독일의 철학자 '엠마뉴엘 칸트'이다. 20세기에 들어서면 '프로이드'의 등장으로 이  기질성른 자취를 감추는 듯 싶었으나 현재에 와서는 또 다시 대두되어 쓰이고 있다.

최근에 사람들이 가장  신뢰하는 기질검사 방법으로 DNA 기질검사를 들고 있다. 그러나 사람들의 뇌세포가 5~6조 개인 것을 생각할때 1개의 세포를 분석을 하여 그 세포를 코드로 구분하여 인쇄를 했을 경우 A4용지 3천장의 분량이라 한다. 그러니 잘 맞는다 하는 DNA 기질검사도 그 많은 용량을 감당할 수 있을까 하는 의문점이  생긴다.


 분석

위에 표시한 대로 아래 표에 해당되는 부분을 다시 표시하고 장단점의 합계를 계산한다.

  장점항목(1~20)

  단점항목(21~40)

  기질파악

 기질분석

나의 기질을 분석해 본 결과


가 나왔다.

이 유형을 아래 첨부문서에 있는 내용대로 보면


기질 분석에 대한 내용을 첨부 문서를 보면 될 것같다. 단 첨부문서에 있는 내용 중에서 기독교에 관련된 내용을 빼고 봐도 무방할 듯 싶다.

http://www.ohmynews.com/NWS_Web/view/at_pg.aspx?CNTN_CD=A0001159017

여당 지지율은 야당에 추월당했고, 대통령 지지율도 20%대로 떨어졌다. 노무현 서거에 따른 일시적 현상으로 보고 싶을 게다. 그럴 수도 있다. 하지만 여론에는 양적 측면과 질적 측면이 있다. 여론조사는 이 중 양적 측면만 반영할 뿐이다. 노무현 효과가 사라지면, 물론 정부여당의 지지율은 다소 오를 것이나, 그것으로 악화된 여론의 질까지 회복될 것 같지는 않다.

예를 들어 지난번 보궐선거에서 한나라당은 여론조사에서 10%P를 앞서고도 정작 선거에서는 외려 10%P의 차이로 패배했다. 우호세력의 지지는 소극적이나, 혐오세력의 반대는 적극적이었기 때문이다. 이런 게 여론의 질적 측면이다.

500만이 전직 대통령의 빈소를 찾은 것은 그저 노무현이라는 한 개인만을 추도하기 위해서가 아니었을 것이다. 국민들은 그의 죽음에서 동시에 우리 사회가 지난 10년간 이룩해온 민주주의의 죽음을 보았던 것이다. 서울대에서 시작된 시국선언은 나라 안팎으로 퍼져나간다. 전국의 교수들, 북미 대학 교수들, 각 대학 총학생회, 문화계와 법조계를 거쳐, 이제는 불교, 천주교, 개신교의 3대 종단까지 나섰다. 영화인들의 시국선언도 있었다. 지금 국민들은 표 하나 잘못 던진 것이 얼마나 섬뜩한 현실을 낳는지 학습하는 중이다. 국민은 부글부글 끓고 있다.

사회는 거대한 커뮤니케이션 시스템이다. 커뮤니케이션에는 일반적으로 '피드백' 기제가 있다. 사회에 문제가 생기면 위험신호를 되먹여 시스템을 교정하게 된다. 이 피드백이 작동하지 않는 시스템을 '먹통'이라 부른다. MB 정권이 먹통의 대표적 예다. 한 번 단추를 잘못 채우면 줄줄이 잘못 채우게 되듯이, 먹통에 걸린 국가는 계속 잘못된 길을 걸을 수밖에 없다. 국민은 MB 정권에 '대화와 소통'을 요구한다. 하지만 불행히도 MB 정권엔 그 능력이 없다. 21세기 네트워크 시대에 이런 불량 커뮤니케이션 시스템이 장착된 것 자체가 애초에 오류였다. 


그 머릿속의 삽 한 자루

MB의 선의를 의심하지 않는다. 그라고 나라를 망치고 싶겠는가? 문제는 그의 두뇌 연령이다. 그는 고도의 IT 인프라를 갖춘 정보화 사회를 강제로 산업사회 초기로 되돌리려 한다. 그는 이른바 '성공한 CEO', 그 경력으로 당선된 자칭 '경제 대통령'이다. 문제는 그의 머릿속의 경제관념이 1970~80년대 공사현장에서 형성된 것이라는 데에 있다. 그가 정치에 입문한 후 한국사회는 산업사회에서 정보사회로 변신을 끝냈다. 한국경제도 그가 공사판을 뛰어다닐 때와는 아예 차원이 달라졌다. 하지만 이 모든 변화의 물결 속에서도 여전히 변하지 않은 골동품이 MB의 토목 마인드다.

후발 자본주의 국가의 경우, 산업화 초기에는 이른바 '엘리트들'이 역할을 한다. 멀찌감치 앞서나가는 선진공업국의 현재, 하지만 국민 대다수가 농민인 제 나라의 현실. 이 격차는 신속히 메워져야 한다. 그러려면 자연의 리듬에 맞춰 일하던 농민의 신체를 강제로 기계 속도에 적응한 노동자 신체로 뜯어고쳐야 한다. 이로써 온 국민을 위한 명령, 규율, 훈육 시스템이 도입된다. 산업화 초기의 독재는 정당성은 없어도, 최소한 적합성은 갖고 있다. 박정희 독재가 그나마 유지됐던 것은 그 때문일 게다. 그런데 우리의 '재판(再版)  박정희'는 아직도 국민이 그 시절에 산다고 믿는 모양이다.

박정희의 경부고속도로를 모범으로 삼아 그는 국민 앞에 '경부대운하'라는 거대한 삽질 프로젝트를 내놨다. 다들 황당해 하자, '4대강 사업'이라 제목을 바꿔 달았다. 사업은 달라져도 예산은 동일하다. 14조. 무슨 일이 있어도 14조어치 삽질은 기어코 하고야 말겠다는 거다. '4대강'으로 이름을 바꿔달자 저항이 약해졌다. 그러자 갑자기 예산이 눈덩이처럼 불어난다. 그리하여 무려 22조. 앞으로 더 늘어날 거라 한다. '환경파괴' 걱정하니, 삽자루에 녹색 '뼁끼'를 칠하겠단다. 멀쩡한 강변 파헤쳐 '공구리'치고, 그 위로 아스팔트 발라 자전거 도로 건설하겠단다. 이게 그의 녹색 마인드다.

개발도상국의 경우 토목사업이 정말로 경제발전의 토대가 된다. 가령 중국이라면, 도로 깔고, 철도 깔고, 운하 파는 게 실제로 장기적인 경제적 효과로 되돌아온다. 하지만 한국의 경제는 이미 그 수준을 넘어섰다. 4대강 파헤치고, 자전거 도로 깐다고 무슨 경제 효과가 생길까? 삽질할 때에 일시적으로 생겼다가 사라지는 일용 노동직 외에 아무 효과도 없다. 혹시 부산에서 서울까지 자전거로 물류를 나르겠다는 건가? 이 정도면 '정책'이 아니라 '주책'인데, 문제는 도대체 이 주책을 막을 길이 없다는 것이다. 얼마나 답답했던지, 한나라당의 이한구 의원이 보다 못해 한마디 한다.

이기는 습관 카테고리 경제/경영 지은이 전옥표 (쌤앤파커스, 2007년) 상세보기

이기는 습관... 1등도 해본 사람이 하고, 이기는 것도 이겨본 사람이 이긴다.

남들보다 더 앞서고 다른 조직이나 회사보다 너 많은 성과와 능율을 발휘하는 조직과 회사를 만들기 위해서는 어떻게 해야하는 가를 잘 설명해주고 있다.
부제에서 알 수 있듯이 동사형 조직같이 실행력과 능동적인 조직문화를 통해 보다 앞서가는 조직과 회사를 만들 수 있음을 보여준다. 물론 이는 조직 뿐만 아니라 개개인이 탁월한 능력을 발휘하고 그만큼의 대우를 받을 수 있는 상태에서 나타나는 것이다.

흔히 "프로정신"이라는 말을 많이 사용한다. 한편으로는 개개인이 좀더 자신의 역량을 강화하고, 경쟁력을 높이는 용도로도 사용할 수 있지만 다른 관점에서 보면 좀 더 회사에 충실하도록 하기 위해서 사용하는 용도로도 사용할 수 있다.

장단점이 있겠지만 개인과 회사 또는 조직인 win-win 할 수 있다면 각자 프로정신을 가지고 맡은 책임을 다하게 된다면 가장 바람직하지 않을까? 각자 맡은 일이 마음에 들지 않을 수도 있고 너무 어려울 수도 있지만 그보다 나은 뭔가를 할 수 있는 상태가 아니라면 현재 주어진 일에 충실하게 하는 것이 그냥 시간을 보내는 것보다는 자신에게 도움이 되지 않을까 싶다.

목차를 보면 저자가 하고자 하는 이기는 습관을 대략적으로 나마 볼 수 있다.

우리 조직에서 필요하다고 보는 습관은 다음과 같다.


나 자신도 시간이 없다는 핑계로 소홀히 하는 부분이 많은 것 같다.
사실 많은 것을 생각하고 정리하기에는 턱없이 시간이 부족한 것도  사실이다.
그렇다고 마냥 시간만 흘러가게 내버려둘 수도 없지 않은가?

지금부터라도 목표에 접근하기 위한 action item을 나누고 하나씩 정복해 나가기로 하자!

- 목차 -

프롤로그 : 싸움의 룰까지도 바꾸어놓는 ‘승자의 법칙’

1부. 총알처럼 움직인다, 동사형(動詞形) 조직
이기는 습관 01 - 고객을 향해 움직이는 ‘동사형 조직’으로 변신하라
이기는 습관 02 - 이기는 조직은 열정의 온도가 다르다, 일을 축제로 만들어라
이기는 습관 03 - 시간이라는 무질서한 흐름에 조직을 놓아기르지 말라
이기는 습관 04 - 고통이 따르는 창조적 혁신에 기꺼이 사활을 걸어라

2부. 창조적 고통을 즐긴다, 프로 사관학교
이기는 습관 05 - 인생도 비즈니스도 셀프 마케팅이다
이기는 습관 06 - 세상에 없는 오직 하나, 제안서 한 장도 차별화하라
이기는 습관 07 - 당신이 공부할 학교는 바로 지금 ‘이곳’이다
이기는 습관 08 - 조직이 직원에게 해줄 수 있는 최상의 복지는 지독한 훈련이다

3부. 쪼개고 분석하고 구조화한다, 지독한 프로세스
이기는 습관 09 - 프로세스를 정착시켜 조직의 역량을 상향평준화하라
이기는 습관 10 - 목표는 원대하게, 평가는 냉혹하게
이기는 습관 11 - 디테일의 힘, 1미터씩 쪼개고 잘라서 관찰하라
이기는 습관 12 - 실패는 가장 좋은 교재,

4부. 마케팅에 ...프롤로그 : 싸움의 룰까지도 바꾸어놓는 ‘승자의 법칙’

1부. 총알처럼 움직인다, 동사형(動詞形) 조직
이기는 습관 01 - 고객을 향해 움직이는 ‘동사형 조직’으로 변신하라
이기는 습관 02 - 이기는 조직은 열정의 온도가 다르다, 일을 축제로 만들어라
이기는 습관 03 - 시간이라는 무질서한 흐름에 조직을 놓아기르지 말라
이기는 습관 04 - 고통이 따르는 창조적 혁신에 기꺼이 사활을 걸어라

2부. 창조적 고통을 즐긴다, 프로 사관학교
이기는 습관 05 - 인생도 비즈니스도 셀프 마케팅이다
이기는 습관 06 - 세상에 없는 오직 하나, 제안서 한 장도 차별화하라
이기는 습관 07 - 당신이 공부할 학교는 바로 지금 ‘이곳’이다
이기는 습관 08 - 조직이 직원에게 해줄 수 있는 최상의 복지는 지독한 훈련이다

3부. 쪼개고 분석하고 구조화한다, 지독한 프로세스
이기는 습관 09 - 프로세스를 정착시켜 조직의 역량을 상향평준화하라
이기는 습관 10 - 목표는 원대하게, 평가는 냉혹하게
이기는 습관 11 - 디테일의 힘, 1미터씩 쪼개고 잘라서 관찰하라
이기는 습관 12 - 실패는 가장 좋은 교재,

4부. 마케팅에 올인한다, 체회된 마케팅적 사고
이기는 습관 13 - 모든 구성원들이 마케팅 전략의 귀신이 되라
이기는 습관 14 - 돈은 가장 낮은 곳으로 흘러들어온다
이기는 습관 15 - 고객보다 유능한 마케터는 없다
이기는 습관 16 - CRM은 소프트웨어가 아니라 습관이다

5부. 기본을 놓치지 않는다, 규범이 있는 조직문화
이기는 습관 17 - 인사도 제대로 못 하는 조직은 ‘무덤’이나 다름없다
이기는 습관 18 - 자본이 필요 없는 투자, 웃음이 돈을 부른다
이기는 습관 19 - 전략과 함께 하루를 열고,

6부. 끝까지 물고 늘어진다, 집요한 실행력
이기는 습관 20 - 바탕 없는 재기발랄함은 수명이 짧다, 성실함을 견지하라
이기는 습관 21 - 잘하는 사람을 무작정 따라 하는 것도 탁월한 전략이다
이기는 습관 22 - 집요하게 물고 늘어지는 자가 결국은 큰일을 이룬다

에필로그 : 현장에서 땀 흘리는 사람을 위한 승리의 정공법

정보보호를 위한 노력과 컴플라이언스가 반드시 공존을 해야 할 필요는 없을지 모르지만, 구체적인 가이드를 제공하고 이를 만족해야만 주요 정보 자산과 이를 위한 시스템 등을 보호할 수 있다는 관점에서 컴플라이언스는 정보보호를 위한 노력의 일환으로 반드시 필요하다. 또한 이를 위한 가이드를 제공할 수 있는 자체 심사 도구와 심사 후 조치사항에 대한 우선순위를 평가할 수 있는 분석 도구가 요구되며 이는 전적으로 컴플라이언스를 기반으로 제공되어야만 가능하다. 컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식돼야 한다.

지난 4월 11일은 필자에게 있어서 개인적으로 굉장히 중요하고 정신없이 바쁜 날을 가르는 기준점이었다. 이날은 ‘장애인차별금지법’안의 1단계 발효일이었으며 이 날을 기준으로 모든 공공기관, 특수교육기관, 종합병원 및 300인 이상 사업장과 국가기관은 웹 접근성에 대한 가이드라인을 준수하도록 강제화되었기 때문이다. 지난 3월에 있었던 웹 접근성 세미나 이후 필자는 엄청난 양의 이메일과 전화로 문의를 받았는데 대부분이 “웹 접근성을 이루기 위한 노력이 반드시 필요한지, 이를 위반하는 경우 어떤 제제가 있는지, 웹 접근성을 제공하는 것 자체가 강제화 된 것인지, 현재 웹 사이트에서 웹 접근성을 제공하라는 것은 무리가 아닌지, 어떻게 해야만 이러한 접근성 관련 문제를 해결할 수 있는지, 대신 작업을 한다면 어느 정도 기간이 소요되는지” 등등, 높은 관심과 시급한 처리를 요구하는 일들이라는 문의가 많이 있었다.

웹 애플리케이션 보안과 웹 사이트 컴플라이언스에 주요 비즈니스를 진행하던 필자는 이런 생각이 들었다. ‘장애인차별금지’ 법안과 관련되지 않고 웹 접근성을 해야 한다고 의무사항이 아닌 참고사항으로만 이야기가 나왔다면 이런 많은 질문과 이를 진행해야 하는 필요성이 있었을까? 

컴플라이언스 준수를 위한 다양한 해외 법규 

IT 강국, 대한민국을 만들어낸 것은 정부의 정책이었다고 해도 과언이 아닐 만큼, 초고속 인터넷 사업은 대한민국 내 지역에 따른 정보통신 이용 격차를 해소했고 다양한 기술을 통해 유·무선으로 인터넷 접근성을 높여왔다. 그리고 이를 일반 사용자에서 소외된 계층까지 확대시킬 수 있도록 ‘장애인차별금지법’이 지난 2008년 4월 11일에 발효되고 올해 ‘1단계 시행령’이 발효되었다. 하지만 이러한 접근성과 이용성을 위한 법률과 의무화 뒤로 이러한 다양한 정보에 접근하고 이용하는 사용자들에 대한 보호기술과 기업의 정보보호 의무는 어떻게 되어가고 있는가? 이러한 생각이 머리에서 계속 맴돌았다. 

정보보호기반시설에 관한 법률과 정보보호안전진단 제도에 관련된 내용을 제외하고는 그다지 기업이나 조직 내에 정보보호를 위한 수단 혹은 대상을 지정하는 법규가 제공되고 있지 않은 것이 IT 강국의 현실이고 이것조차도 정보보호 기술 인력이 등재된 정보보호안전진단 업체에서만 수행이 가능하고 자체 심사를 위한 툴이나 관리도구가 없는 상황에서 전적으로 수행기관에 의존적이며 정보보호안전진단의 경우 1년에 한 번 다가오는 통과의례라고 생각하고 간단히 받고자 하는 사례도 존재한다. 

웹 사이트 컴플라이언스는 이미 10여 년 전부터 해외에서는 이슈가 되어 왔으며 이를 준수할 수 있도록 하는 다양한 법령과 법규가 시장에서 기업과 조직이 따라갈 수 있도록 가이드로 존재하고 있다. 다음의 예들은 개인정보보호에 대해서 각국에서 얼마나 많은 관심과 노력을 기울이고 있고 그러한 노력의 일환으로 다양한 대상에 대한 법령들이 제정되어 이용되고 있음을 보여주는 사례이다. 

• California Assembly Bill No. 1950 and Senate Bill 1386(AB 1950 & SB 1386)
  캘리포니아 거주자에 대한 개인정보를 유지하는 기업들 및 이들의 서드파티에게 요구하는 보안요구 사항으로 개인정보에 대한 보호를 위한 보안 절차 구현과 유지보수에 대한 내용과 이에 대한 관리와 이용 및 취득에 관련된 법안이며 Best Practice를 구현할 수 있는 시스템 혹은 솔루션과의 연계를 통한 준수 확인을 기본으로 하고 있어 이에 대한 법적 제제 및 수정이 가능하도록 되어있다.
• Children Online Privacy Protection Act(COPPA)
  미연방무역위원회에서 발표하고 시행한 법률로 13세 이하 어린이의 개인정보를 수집하고 사용하는 행위를 방지하는 법이며 이는 Safe Harbor를 고려할 수 있도록 하고 있어 아동에 대한 개인정보를 보호하는 수단으로 이용되고 있다.
• Data protection Act
  1984년 영국에서 개인 정보에 대한 보호를 위해 발효된 정책이며 이를 1998년도에 개정하여 2000년 3월 1일 시행되었다. 해당 법은 개인정보에 대한 정의와 의미를 새롭게 했으며 개인정보와 중요 개인정보를 차별화함으로써 원래 법의 범위를 확대했다. 해당 법에서는 개인정보의 ‘확보’, ‘보유’ 및 ‘공개’의 개념이 통합되어 있으며 이를 위한 8가지의 정보보호방침이 제시되어 있다.
• DCID 6/3
  다양한 수준에 대한 기술과 정보에 대한 무결성과 기밀성 및 이용성에 대한 법률의 목록이며 이들 모두가 위반사항이 있는지를 찾기 위한 컴플라이언스이다. 이를 준수함으로써 기업 및 조직은 정보자산에 대한 보호가 안전하게 이루어지고 있음을 확인할 수 있다.
• European Directive 1995/46/EC 및 European Directive 2002/58/EC
  모든 사람의 기본적인 권리와 자유를 보호하기 위한 것이며 특히 개인정보의 처리와 관련하여 개인정보보호권리를 보호하기 위한 것이다.
• Federal Information Security Management Act(FISMA)
  의회에서 통과되어 대통령이 ‘Electronic Government Act of 2002’로 이 법안을 채택했다. 이 법은 연방 정보 및 자산을 보호하기 위해 종합적인 조치를 수행하는 체제를 제공하는 것이다. 이는 국가 보안에 중요한 준수사항으로 정부차원에서 철저하게 검사되는 최상의 준수사항이며 해당 요구사항을 준수했다는 연간보고서를 제공하고 이를 평가 및 관리하여 새로운 조치 방안 계획을 포함하는 다양한 테스트 및 계획의 유효성을 종합적으로 검증할 수 있도록 한다.
• Financial Service(Gramm-Leach-Billy Act : GLBA)
  1999년에 제정된 Financial Service Modernization Act의 일부로 금융 기관이 보유하고 있는 이용자의 개인금융정보를 보호하는 규정을 말한다. 이 법은 금융, 보험, 주식을 분리한 장벽을 폐지함으로써 미국 금융서비스 제공자가 상호협력하여 상대편 시장에 진출할 수 있도록 하며 웹 사용 가능한 환경을 통해 해커가 접근할 수 있는 중요한 고객 정보를 금융기관이 보하도록 하기 위한 것이다. 이 보안 규칙은 2003년도에 시행되었으며 고객 정보의 보안을 위한 사전 준비가 필요하며 미국 금융업계의 현대화를 위한 목적과 개인정보보호 및 보안을 위한 부분을 포함하고 있다.
• Health Insurance Portability and Accountability Act(HIPPA)
  건강과 관련된 조직간에 안전한 방법으로 건강 정보를 공유할 수 있도록 하는 것이 목표다. 이 안에는 개인정보의 취득에 대한 방법과 수집된 정보가 안전한지, 개인 건강 정보가 서드파티에 전달되지 않도록 하며 정보의 보안, 무결성에 대한 위협 혹은 유해성이 존재하는 지와 정보의 무산 사용 및 공개 등에 관한 문제를 확인할 수 있도록 한다. 물론 데이터 무결성, 기밀성, 사용 가능성을 보호하기 위한 전문적인 보안 서비스를 제공할 수 있도록 가이드하며 이를 위한 시스템 활동을 기록하고 조사할 수 있는 감사 제어 메커니즘을 확립할 수 있도록 강제화 하고 있다. 
• Personal Information Protection Act(PIPA)
  일본에서 비즈니스를 수행하는 회사의 경우 이 법을 통해 개인정보의 실용성을 유지하는 동시에 개인의 권리와 복지를 보호받으며 이용되는 개인정보의 관리, 처리 등에 관한 내용을 법으로 지정하고 있는 것이다.
• Privacy Act of 1974
  미국 연방행정관리국에서 수행하는 개인정보의 수집, 유지보수, 사용 및 보급을 규제하기 위한 포괄적인 ‘공정 정보 사례법’이며 이는 개인 정보가 보관되는 방법을 설명하고 관계없는 기록을 보관함으로 개인 프라이버시가 불필요하게 침해되는 것을 방지하는 법령으로 이를 위한 다양한 준수사항을 제공하고 있다.
• Safe Harbor
  미국 상무부에서 미국에 있는 기업들이 EU 지침을 준수하는 과정을 간소화하는 규정으로 개발 배포한 것이다. 이는 유럽연합의 포괄적인 개인정보보호 규정인 Directive Data Protection이 유럽연합국이 아닌 국가 및 지역의 경우 충분한 수준의 개인정보보호를 제공하는 경우에만 개인정보를 전송하도록 하여 제한하기에 발생하는 문제를 해결하기 위해 미국 본사, 미국 이외의 국가 및 지역에 있는 미국 계열사, 유럽 기업의 비즈니스 파트너에 적용되도록 했다.   

이와 같이 더 나열하기 어려울 만큼의 많은 규정과 법령이 존재하며 이 중에는 ISO 17799/27001, Sarbanes-Oxley Act, PIPED Act 등도 존재하고 이들은 모두 하나의 가이드라인이자 법규로서 정보보호, 혹은 개인정보보호를 위해 조직과 기업들이 무엇을 지켜야 하는지를 알려주며 위반사항에 대해서 판별할 수 있도록 하는 툴과 같이 활용할 수 있는 이중성을 가지고 컴플라이언스의 활용성을 높이고 있다. 

효율적인 비즈니스를 위한 컴플라이언스

전 세계적인 상황이 이렇다면 우리도 IT 강국으로서 개인정보 및 다양한 정보 시스템에 대한 보안을 효과적으로 이루기 위한 자체적인 가이드라인과 이를 평가하기 위한 도구를 활용할 수 있도록 하는 복합적인 목적의 컴플라이언스를 정보 혹은 산업계에서 개발하여 준수할 수 있도록 하는 것이 필요하다.

이는 단순히 누군가를 옭아매자는 것이 아니라 하나의 Best Practice를 구현하여 모든 조직과 기업이 자기의 정보시스템과 해당 시스템에 존재하는 다양한 민감한 정보에 대한 보호를 위한 노력이 단순히 얼마를 이용했으며 이게 투자대비효과라는 ROI관점에서만 논의될 것이 아닌, 의무사항으로 기업이 반드시 준수하여 자기의 자산과 이에 관련된 정보를 보호하는데 이용될 수 있도록 하는 노력을 기울여야 할 것이다. 앞에서 언급한 ‘장애인차별금지법’은 하나의 좋은 예라고 할 수 있다. 해당 법령은 시행령을 기반으로 무엇을 어떻게 준수해야 하는 가를 제공하며 이를 위한 국가표준 가이드라인의 준수를 이야기하고 있으며 이를 준수하기 위한 다양한 기술적인 검토를 위한 정보를 제공하고 있다. 

이러한 노력은 이미 오래 전부터 기업과 조직이 정보보호를 이루기 위한 다양한 노력에서도 나타나고 있었지만 이를 적용하고 유지하고 개선하기 위한 정책적인 배려가 없었기에 더 많은 관심과 지원이 이루어지지 않았다고 보고 있다.

이러한 국가 혹은 산업계 차원의 규정을 통한 정책적인 지원이 이루어진다면 이는 향후 다양한 정보를 제공하고 제공받는 온라인 환경에서 이루어지는 다양한 비즈니스가 국경을 초월하여 효과적으로 이루어 질 수 있도록 하는 기반이 될 것이며 이를 통해 IT 강국으로서 시장을 선도하는 조직 및 기업 가치를 확대해 나갈 수 있을 것임을 믿어 의심하지 않는다.

규정과 법령을 통한 정책적인 지원은 당연시되는 정보보호를 위한 기본적인 노력이 기업 및 조직 내에서 이루어 질 수 있도록 도움을 제공할 것이며 이러한 노력이 정말 필요한 것인지를 확인할 수 있고 이에 대한 투자대비효과라는 평가는 사라지고 이를 통한 컴플라이언스 준수여부를 통해 정보보호에 대한 진정성을 평가 받을 수 있게 될 것이다.

이는 단순히 정보보호를 위한 보안시스템이나 감시, 감사도구에 대한 내용뿐만 아니라, 이를 운영하고 관리하는 주체에 대한 효율적인 평가와 관리 방법으로 이용될 수 있을 것이다. 

컴플라이언스는 정보보호 위한 가이드라인

필자는 늘 보안성을 높이기 위해서는 다음의 4가지 주체에 대한 정의, 개발, 관리, 유지가 필요하다고 말한다. 이는 사람, 기술, 프로세스 및 규정(Compliance)으로, 이러한 4가지 주체가 정상적으로 존재하고 적용된다면 기본적인 보안성을 이룰 수 있다고 말한다. 마지막으로 이러한 것을 고려한 컴플라이언스의 좋은 예를 한 가지만 소개하고자 한다.  PCI-DSS는 잘 아는 것처럼 Payment Card Industry·Data Security Standard로 규정이 존재하고 이를 확인하기 위한 Self-Assessment Tool을 제공하며 이를 검증받기 위한 Qualify Security Assessor의 라이센싱과 이용을 권고하며 평가를 위한 Authorized Scanning Vender를 제공할 수 있는 규칙과 라이센스를 제공하고 있고 평가 후 개선시 우선순위를 평가하기 위한 Prioritized Approach를 제공하고 있다. 이 외에도 지속적인 툴과 업데이트를 제공하기 위한 노력을 하고 있는데 이러한 노력이 정부 혹은 산업 표준 차원에서 계속적으로 이루어져 다양한 컴플라이언스를 통한 가이드를 제공한다면 우리가 논하는 정보보호를 위한 기업 혹은 조직의 노력에 대한 평가가 명확히 이루어 질 수 있을 것이며, 이는 복잡한 비즈니스 환경과 프로세스 및 다양한 연관성에서 나타나는 많은 문제점들에 대한 해결책으로 이용될 수 있을 것이다. 

컴플라이언스는 반드시 필요하며 이는 개인 혹은 조직을 규제하기 위한 수단이 아닌 정보보호를 위한 가이드라인으로써 준수해야할 표준의 하나로 인식될 수 있도록 정부 차원 및 산업계 차원에서 노력해 나아가야 할 것이다.

<글 : 이동일 시드시스템 대표(jaisonyi@gmail.com)>

보다 지능화되고 있는 웹 방화벽, 그 ‘지능화’의 필요성
어느 분야보다 소프트웨어의 지능이 절실하게 필요한 분야가 보안 소프트웨어 분야이다.지능성(Intelligence)은 정보보안 기술 고유의 특징이자 보안 소프트웨어가 막아내야 하는 공격의 본질적인 속성이기 때문에 지능적인 보안 소프트웨어에 대한 요구는 자연스러운 현상이다. 성능과 가용성을 중요시하는 네트워크 분야 보다는 다양한 사용자들의 유형이 표현되고 실제로 개발자들에 의해서 매일 변화가 만들어지는 애플리케이션 분야에서 지능성의 필요는 보안 소프트웨어 생명 자체를 좌지우지할 정도로 너무나 중요한 요소로 자리 잡고 있다.
성능과 가용성을 중요시 하는 네트워크 분야 보다는 다양한 사용자들의 유형이 표현되고 실제로 개발자들에 의해서 매일 변화가 만들어지는 애플리케이션 분야에서 지능성의 필요는 보안 소프트웨어 생명 자체를 좌지우지할 정도로 너무나 중요한 요소로 자리 잡고 있다. 애플리케이션 보안 중 그 공격 유형이 다양한 웹 애플리케이션 보안 분야와 이를 위한 웹 방화벽에서의 지능화에 대해 살펴보겠다.

 

공격 패턴을 지능화하여 설정했던 1세대 웹 방화벽

웹 애플리케이션 보안을 담당하는 웹 방화벽은 탄생 초기부터 기존의 보안 장비, 예를 들어 네트워크 방화벽(침입 차단 시스템), 침입 탐지/방지 시스템과는 다른 형태로 만들어 져야 한다는 의견이 일반적이었다. 그 대표적인 이유는 웹 애플리케이션의 특성상 기존의 침입 탐지/방지 시스템에서와 같이 특정한 공격 유형과 패턴, 취약점 패턴 등을 검사하는 것만으로는 공격을 막아낼 수 없기 때문이다.

웹 애플리케이션은 매일 서로 다른 개발자들에 의해서 만들어지고 있고, 지금 이 순간에도 새로운 유형의 취약점이 새로운 애플리케이션에 알게 모르게 만들어지고 있는 것이 현실이다. 이러한 형태에 대한 대응을 위하여 제시된 웹 애플리케이션 보안의 핵심 키워드가 바로 ‘Positive Security Model’이다. Positive Security Model을 갖는 웹 방화벽 구현을 위하여 기존의 보안 장비들의 공격 대응 방식인 Black List 관리 방식에 더하여 White List 관리 방식을 도입하여 Positive Security Model을 구현한 웹 방화벽들이 시장에 선보이게 되었다.

이러한 1세대 웹 방화벽의 경우 관리자는 보안 정책 구현을 위하여 Black List와 White List로 관리되는 패턴 데이터베이스를 직접 등록하거나 관리하는 노력이 필요하다. 여기서 웹 방화벽의 지능은 관리자가 등록 및 편집하는 패턴 정보(일종의 Signature)에 의해 결정된다. 웹 방화벽 자체가 지능이 있다기보다는 웹 방화벽은 패턴 매칭 엔진을 탑재하고 있고, 관리자의 인간 지능이 패턴을 최적화하여 등록해야 한다.

이러한 1세대 웹 방화벽은 기존의 고성능 패턴 매칭 엔진을 보유한 기업에서 쉽게 웹 방화벽을 출시할 수 있는 방식이었다. 기존의 침입 탐지/방지 시스템과는 다르게 웹 애플리케이션에 대한 공격을 패턴 데이터베이스 업데이트만으로 방어할 수 없다는 인식에서 White List 방식을 도입했지만, 관리자가 직접 설정해야 하는 불편함은 White List 방식을 실제적으로 사용하지 않게 만들고, 현실적으로 Black List 만으로 웹 공격들을 막는 일을 초래했다.

이러한 운영 방식은 웹 방화벽을 무용지물로 만들거나 또는 오탐으로 인한 웹서비스 방해물로 전락시키게 되어, 보안 시장에서는 웹 방화벽은 오탐이 많아서 웹서비스에 영향을 많이 주는 제품 또는 다양한 웹 공격들, 대표적으로 SQL Injection과 같이 변이가 많은 공격들을 제대로 막지 못 하는 제품으로 누명을 쓰게 된다.

 

자동 학습 지능을 탑재한 2세대 웹 방화벽

보안 시장에서 웹 방화벽의 가능성을 보여준 것은 White List에 대한 관리자의 설정 행위, 즉 운영을 자동화한 2세대 웹 방화벽의 역할이었다. 2세대 웹 방화벽은 관리자가 직접 White List를 설정해야 하는 불편함을 자동 학습 기능으로 제공하여 관리자가 실제적으로 White List를 현실에 맞게 사용할 수 있는 방안을 제공했다.

White List는 매우 강력한 보안 기능임에도 불구하고 현재 애플리케이션에 적합한 정책이 설정되지 않으면 애플리케이션을 사용할 수 없게 만드는 치명적인 반대 효과가 나타나기 때문에 1세대 웹 방화벽에서는 관리자가 수동 설정을 하는 많은 수고를 들이거나 White List 방식을 대부분 사용하지 않게 되는 결과를 낳았다. 하지만 2세대 웹 방화벽에서는 이를 자동으로 학습하여 관리자가 현재 애플리케이션에 적합한 보안 정책을 수동으로 만들지 않고 자동으로 얻어낼 수 있는 기능을 제공했다.

결국 2세대 웹 방화벽은 학습 기능의 지능이 웹 보안을 원하는 관리자가 사용 가능한 효과적인 수준인가가 제품의 품질을 결정하게 되었다. 어떤 제품은 최소 2주간의 학습기간을 거쳐야만 학습이 가능한 제품이 있는데, 이 경우 국내에서와 같이 웹 애플리케이션이 매일 매일 변화되는 환경에서는 현실적으로 사용이 어려운 단점이 있다.

또한 학습 지능이 아무리 좋다고 하더라도 관리자에게 검증을 받지 않는 정책을 바로 적용하는 것은 White List의 성격 상 웹 애플리케이션 서비스 자체의 장애로 까지 이어질 수 있기 때문에 관리자의 수동 정책 설정보다는 수월해 졌지만, 정책 설정에 관리자가 매우 깊게 개입해야 하는 것은 2세대 웹 방화벽의 여전한 특징이다.

 

새로운 개념의 지능을 탑재한 웹 방화벽

2세대 웹 방화벽이 고도의 기술 개발과 지능 개발을 통하여 매우 현실적인 웹 방화벽을 만들어 낼 수 있을 것이라는 기대도 있지만 웹 애플리케이션 특성에 초점을 맞춘 새로운 개념의 지능을 탑재한 웹 방화벽에 대한 기대는 클 수밖에 없다. 기존의 2세대 웹 방화벽 역시 기존의 1세대와 같이 Black List와 White List를 계층적으로 결합한 형태로 고성능 패턴 매칭 엔진을 이용하여 Black List는 빈번하고 빠른 패턴 업데이트를 필요로 하고 White List는 현재 보호하고자 하는 웹 애플리케이션을 최대한 모델링 하겠다는 취지에는 큰 변화가 없기 때문이다.

지능적인 웹 방화벽은 Black List와 White List의 물리적인 결합이 아닌 웹 애플리케이션과 웹 공격에 대한 최적의 방어 엔진을 설계하고 엔진 내부의 기능이 자연스럽게 Black List와 White List의 결합, 그리고 Positive Security Model의 구현의 포함하고 있는 형태이다. 이러한 도전을 진행한 제품이 필자의 회사에게 개발한 WAPPLES이라는 웹 방화벽이다. WAPPLES이 지능형 웹 방화벽의 정답은 될 수 없겠지만 웹 애플리케이션 보안을 기존의 방어 기술의 결합이 아닌 새로운 시각에서 접근했다는 점과 관리자 관점에서의 운영성을 반영하여 지능화한 노력은 주목할 만할 점이다.

 

‘지능화’는 보안 제품의 숙명

보안 제품을 만드는 사람들이 각자 자신의 위치에서 지능화에 최선의 노력을 기울이는 것이 지금의 보안 환경에서는 당연한 일이 된 듯 하다. 웹 방화벽이 웹서비스의 대중화와 확대에 따라서 더욱 많은 관심을 받는 상황에서 WAPPLES에 대한 시장에서의 평가가 웹 방화벽 시장에서 ‘지능화’에 대한 노력이 얼마나 성공을 거둘 것인가로 주목을 받을 만한 가치가 있다. 이제는 지능화된 보안 제품만이 고객의 선택을 받을 수 있고 실질적으로 고객에게 도움을 줄 수 있다는 점에서 ‘지능화’는 보안 제품의 숙명이라 하겠다.

<글 : 김덕수 펜타시큐리티시스템 보안기술연구소장(dskim@pentasecurity.com)>

웹센스(Websense) CTO인 댄 허버드가 설명하는 기업이 소셜 웹에서 위협과 손상으로부터 자사 정보를 보호하는 4가지 방법이다.

1) 블로그와 포럼에 있는 웹 게시물 대부분이 실제로 원하지 않는 콘텐츠라는 점을 인지

블로그, 포럼 및 대화방 같이 사용자가 생성하는 콘텐츠를 허용하는 사이트에서 사용자들의 상호 작용이 점점 늘어나면서 스패머와 사이버 범죄자들이 메모를 남기고 이를 악용하여 스팸을 전파하고 자신의 웨어로 돌아오는 링크를 게시하며 악의적인 사이트로 사용자를 유도하는 일이 발생했다. 

웹센스의 연구 결과에 따르면, 블로그와 포럼에 있는 모든 웹 게시물의 85%가 스팸과 맬웨어 등 원하지 않는 콘텐츠이며, 5%는 실제로 맬웨어, 사기 및 피싱 공격이라는 것을 보여주고 있다. 활동하는 블로그에 매달 평균 8,000에서 1만 개의 링크가 게시되므로 사용자들은 분명 이러한 사이트에 있는 링크를 클릭하기를 주저하게 될 것이다.  

또한 사이트의 평판이 좋다고 해서 안전한 것은 아니다. 소니 픽쳐스(Sony Pictures), 디그(Digg), 구글(Google), 유튜브(YouTube) 및 워싱턴 주립 대학(Washington State University)에서 운영하는 블로그와 메시지 보드에도 최근 악의적인 내용의 스팸이 게시되었으며 My.BarackObama.com은 악의적인 내용의 스팸으로 감염된 적이 있다.

 

2) 구글 세이프(Google Safe)의 상위 검색 결과를 믿을 수 있을까?

검색 엔진 감염이 계속 인기를 끌면서 사이버 범죄자들이 악의적인 코드나 스팸이 있는 웹 사이트 링크를 상위로 끌어 올리는 데 사용되고 있다. 많은 사용자들이 상위 검색 결과는 안전할 것으로 여기지만 실제로는 감염된 웹 사이트로 이동하게 만다. 예를 들어, 3월에는 구글 검색창에 "March Madness(3월의 광란)"라고 입력하고 상위 검색 결과 링크를 클릭한 야구 팬들이 실제로 "허위 안티바이러스(rogue antivirus)" 소프트웨어에 감염된 웹 사이트로 이동한 일이 있다(3번 참조).

 

3) 다운로드하기 전 보안체크 필수  

과거에는 사이버 범죄자들이 신용 카드 정보와 기타 개인 정보 등을 웹 사용자로부터 얻기 위해 "허위 안티바이러스(rogue antivirus)"라는 것을 많이 사용했다. 일반적으로 허위 안티바이러스 제작자는 트래픽을 자신의 사이트나 감염된(위에서 설명) 사이트로 이동시키기 위해 검색 엔진 감염을 사용한다. 종종 자신이 통제하는 악의적인 사이트로 이동시키는 링크를 블로그와 포럼에 게시한다. 사용자가 이러한 웹 사이트를 방문하면 컴퓨터가 맬웨어에 감염되었다는 경고창이 표시된다. 그런 다음 이 시스템을 치료하려면 비용을 지불해야 하며 "안티바이러스" 소프트웨어 프로그램을 다운로드할 것인지 묻는다. 실제로 공격자는 허위 소프트웨어 비용을 지불하기 위해 사용자의 신용 카드 정보를 알려주도록 유도하고 컴퓨터에 성공적으로 맬웨어를 설치하게된다. 한 가지 예는 전세계 수 많은 컴퓨터를 감염시킨 것으로 알려진 콘피커 웜이 있다. 콘피커 웜에 감염된 일부 사용자에게서 컴퓨터에 파일이 다운로드된 것이 관찰됐다. 파일을 실행하지 마자 사용자에게 "발견된 위협"을 제거하려면 49.95달러를 지불할 것을 요구했다.

안티피싱 워킹 그룹(Anti-Phishing Working Group)은 최근 허위 바이러스 프로그램 수가 2008년 7월에서 2008년 12월까지 225% 증가하여 7월부터 발견된 허위 안티바이러스 프로그램 수보다 3배 이상 늘었다는 몇 가지 흥미로운 통계를 발표했다.  

컴퓨터 사용자가 감염되지 않았고 안티바이러스 프로그램을 설치할 필요가 없는 데도 웹 사용자들을 불안하게 하여 돈을 갈취하려는 것이 허위 안티바이러스 공격의 책략입니다.

 

4) 소셜 네트워크의 친구 메시지도 쉽게 믿지 말라

웹센스 보안 연구소(Websense Security Labs)는 최근 "개인 Web 2.0 소셜 네트워크를 통해 전달되는 웹 위협은 새로운 것이 아니다. 친구에게서 온 것이라도 의심되는 메시지는 무조건 믿지 말라"고 권고했다. 소셜 네트워킹의 성장은 위협을 전달하는 새로운 방법을 만들어냈다. 웹 사용자는 단축 URL이 있는 트위트(tweets), 페이스북 페이지에 게시된 동영상 링크, 자신들의 소셜 네트워킹 사이트에서 보낸 이메일 메시지를 받으면 대부분의 사람들이 보낸 사람을 신뢰하기 때문에 주저하지 않고 링크를 클릭하는 데 익숙해져 있다는 것을 악용하는 방법이다.

범죄자는 이런 신뢰를 악용하여 맬웨어와 감염된 웹 사이트 링크를 퍼뜨린다는 것은 불행한 현실이다. 웹센스 보안 연구소는 최근 페이스북에서 보낸 이메일 메시지가 실제로는 멀웨어에 감염된 "동영상" 링크를 클릭하도록 유도하는 범죄자에게서 보내온 것임을 발견했다.

출처 : IDG
원문 : http://www.idg.co.kr/newscenter/common/newCommonView.do?newsID=56561