'Security Information'에 해당되는 글 1

  1. 2008.08.30 Do NOT dream that security information is always free! (2)
“*경고. 본 내용은 R&D의 중요성을 강조하기 위해서 일부 극단적인 표현과 과장이 있을 수 있으니 읽으시는 분의 자정이 필요합니다.”

요즘 어디에서나 해커들의 동향을 다음과 같이 분석하고 있다.

“과거에는 명예, 자기 과시 등을 하기위해 해킹을 하였으나, 지금은 금전, 정치 등 특정 목적을 가지고... ”

보안 업체는 이러한 현상을 “보안 사고가 앞으로 많이 발생할 것이고 금전적 피해 또는 정치적 타격을 받게 되기 때문에 기업의 보안은 매우 중요합니다” 라고 강조하며, 안전을 위해서 보안 컨설팅을 받고 보안 솔루션 등을 많이 도입해야 한다는 식으로 자신의 외부적 사건만에 초점을 맞추고 있다.

자신들도 보안에 대해서 비용을 지불해야 함은 까마득히 생각하지 못한 체....

올해 보안 취약점을 발표하면서 느끼는 것이 있다면, 보안 취약점 정보는 이제 돈이라는 것이다.

과거에는 안전한 소프트웨어의 사용 또는 자신의 명예 등을 위해서 보안 전문가들이 기꺼이 보안 취약점 발표 사이트에 자신이 발견한 취약점을 발표하고 공유했었다. 하지만 이제는 보안 취약점이 돈이 되고 있기 때문에 이를 숨기고 제로데이(Zero-Day)화 하여 높은 가격에 블랙마켓에 판매하거나, 이를 구매하고자 하는 보안 회사, 정부에 판매하고 있다. 이러한 움직임은 몇년전부터 있었으나 일부를 제외하고는 이를 심각하게 생각하지 못하는 것 같다.

우리 나라의 보안 업체들의 보안 정보는 어디서 나오는 것이라고 생각하는가?

R&D 조직이 있어서 거기서 운영체제, 애플리케이션의 보안 취약점을 연구하고 이를 바탕으로 보안 제품, 모의해킹 등을 하고 있다고 생각하는가?

만약 그렇다고 생각한다면, 당신은 영화를 너무 많이 봤다.

우리 나라의 보안 업체들은 R&D 조직이 존재하지 않거나 있다 하더라도 명색만 유지될 뿐 거기에 대한 투자를 거의 하고 있지 않다. 그들은 개인에게 모든 희생을 강요하고 있다. 그 개인들은 일과 시간에는 자신에게 주어진 일(R&D가 아닌)을 하고 그 외 시간에 개인의 발전을 위해서 R&D를 하고 있다.

해외의 취약점 발표 사이트, 기술 공유 사이트 등을 서핑하고 다니며, 끊을 수 없고 참을 수 없는 자신의 지식 욕구를 채우기 위해서 공부를 한다. 경쟁에서 이겨야만 살아 남을 수 있는 세상에서 자기 계발은 보안 업체 외에도 다른 분야에서도 마찬가지이다. 차이점이 있다면, 이들이 하고 있는 일은 보안 회사의 핵심이 되는 일이며, 일과 중에 해야 하는 일이라는 것이다.

또한 모의해킹 인력을 예를 들어 설명하자면, 인력 활용도(Utilization)의 척도로 프로젝트를 수행한 일수를 잣대로 평가 당하고 있으며, 일과 이외의 시간에 R&D를 할 것을 강요 당하고 있다. 또한 새로운 기술들이 하루가 멀다하고 나오는 상황에서 특수한 기술 환경, 까다로운 조건의 해킹을 강요당하고 있다.

“모의해킹을 수행하는 인력이 천재라고 생각하는가?”

그렇다면, 당신은 상상력이 풍부한거다. 그들은 자신의 자존심을 걸고 날밤을 새고 갖은 스트레스를 받으면서도 자신에게 주어진 일을 수행하고 있는 것이다. 그들의 자존심은 이용당하고 있다. 이러한 환경에서 그들이 선택하는 결말은 스트레스로 인한 정신적 장애, 업무 전환, 이직 등이다. 내가 만나본 대다수의 모의해킹 수행자들은 순진하며 순수하다. 그들은 자신이 가진 기술을 가지고 갖은 악행을 할 수 있지만, 자신의 자존심과 명예를 위해서 자신의 자리에서 희생을 당하면서도 묵묵히 일을 하고 있다.

그렇다면, 이제 공짜 정보와 개인의 희생 위에 존재하는 업체의 이야기를 본격적으로 시작해보자.

우리 나라의 보안 회사의 태생은 외국에 널리 알려진 보안 정보를 한글화, 재가공하면서 시작되었다. 이미 만들어진 자원을 잘 활용하는 것은 바람직하다. 하지만 그 이상의 발전은 없다. 남이 잡아준 고기만 먹다보니 자신이 노력하지 않는다. 이제 국내의 보안도 충분히 성숙화 되었고 더 많은 발전을 위해서는 R&D라는 것을 해야함에도 불구하고 현재의 모습에 안주하고 있다. “낚시를 하자”라고 하면, 거기에 드는 비용을 계산해보고 손익이 맞지 않는다라고 한다. 이제 곧 자신들에게 들이닥칠 위험을 알지 못한 체 말이다.


위의 그림은 통계를 바탕으로 그린 것이 아니다. 추상적인 의미에서의 그래프이다. 우리 나라의 보안 업체들은 해외사이트에 발표되는 취약점을 바탕으로 하고 있다. 그 말은 알려진 취약점 그 이상의 그 무엇도 없다는 말이다. 이미 몇몇 업체나 기관들(국내도 일부 포함)은 취약점에 대해서 돈을 지불하고 구매하고 있으며, R&D 조직을 바탕으로 꾸준히 취약점 정보를 수집하거나 발표하고 있다. 올해 취약점 발표를 하려고 할 때도 주변에서 “해당 취약점을 대외적으로 발표하지 말고 그것을 팔아서 용돈 벌이나 하라”는 조언을 듣기도 했다. 우리가 모르는 사이 이미 취약점들은 블랙마켓 뿐만 아니라 공식적으로 거래되고 있다.

이제 앞으로 다가올 추후 위협이 무엇인지 생각이 되는가? 이렇게 금전을 지불하고 구매한 취약점 정보는 어떻게 사용이 될까? 또는 이렇게 모아진 정보가 앞으로도 공짜로 계속 발표될 것이라고 생각하는가? 현재 발표되는 취약점 정보를 살펴보기 바란다. 이미 오래전부터 취약점 연구 또는 모의해킹 등 실제적으로 공격 또는 패턴 등을 연구하거나 공부할 때 필요한 정보들(ex. exploit)은 제거되고 개괄적인 설명만 발표되고 있다.

현재 R&D 조직이 생긴다고 해도 그 효용성에 대해서는 의문을 가질 수 있을 것이라고 생각한다. 그리고 모든 보안 회사에 R&D 조직이 생겨야 하는 것은 아니다. 하지만 앞으로 다가올 위험을 생각한다면, R&D를 통해 체계를 잡고 기초를 세워놓음으로써 회사의 리스크 제거 및 보안 인력들에게만 강요당하고 있는 R&D에 대한 부담이 조금은 덜어지지 않을까 한다. 현실의 벽에 부딪혀 지금 당장 낚시를 해서 고기를 잡지는 못할지라도 낚시 장비를 갖추고 낚시를 하는 법에 대해서 공부를 해둬야 한다.

“보안 시장의 치열한 경쟁 속에서 정보는 무기이다” 이는 보안 서비스 이용자에게만 해당되는 것이 아닌 제공자에게도 해당됨을 잊지 말자.
신고
이전 1 다음

티스토리 툴바