웹 애플리케이션 보안과 취약점관리시스템 지식방송 후기 (08/3/6)
첫번째 세션의 발표자이신 시드시스템의 이동일 대표님은 보안이란 분야의 일이 정말 좋아서 하시는 분이란 것이 방송 전 인터뷰때도 느껴졌고 방송 중에도 느껴졌습니다. 국내에서는 아직도 컨설팅이나 새로운 체계를 구축하는 것에 대한 가치와 이해가 부족한 현실에서 신념을 갖고 전도사(영어로 evangenlist하면 멋있어 보이는데, 한글로 하면 웬지 전철안에서 강권하시는 분들 때문에 강요의 느낌이 듭니다 ^^)의 역할을 하고 계신는 모습에 동병상련의 느낌이 들었습니다.
요즈음 참여,개방,공유의 웹2.0시대에 점점 개별 사이트들이 연결되고 컨텐츠가 쉽게 공유되는 환경과 웹 자체가 단순 링크가 아니라 데스크탑의 소프트웨어 같은 "웹 애플리케이션" 또는 "웹 서비스"로 진화되는 때에, 보안의 이슈도 달라라지 그에 대한 대처 방안도 새롭게 수립되어야 함을 배웠습니다.
단순히 웹방화벽같은 물리적인 레이어를 하나 더 추가하는 것으로는 웹 애플리케이션 자체의 개발때부터 내재 되있는 결함을 보완할 수 없는 것이므로, 초기 웹애플리케이션 설계때부터 체계적으로 보안에 대한 계획을 세우면서 개발하는 프로세스 정립이 중요할 것 같습니다. 이를 위해서 개발자가 직접 모든 보안이슈를 점검하고 테스팅하는 것이 힘들므로, 자동화된 보안테스팅 솔루션이 나온 것이며, 크게 보면 White Box Testing, Black Box Testing, Gray Box Testing이 있습니다. White Box는 개발소스 자체를 정해진 관점에서 자동 점검해 주는 것이고, Black Box는 Dynamic하게 실제로 사용자관점에서 "웹 애플리케이션"을 이것저것 실행해 보면서 점검하는 것이며, Gray Box는 이 두가지를 합쳐 놓은 것입니다. 특히 Black Box Testing 시 구출 할 웹애플리케이션이나 웹서비스의 목적과 사용자의 행동양식에 맞게 초기 세팅 및 운영을 하는 것이 엔지니어 입장에서 노하우가 될 것 같습니다. 마치 DB튜닝도 수준의 차이가 있듯이...
오늘 진행을 하면서 특히 공감을 했던 부분은 선진국과는 달리 우리나라에서는 보안상의 문제로 고객정보가 유출되는 사고가 발생했을 때, 이에 대한 제도적인 대처규정과 재발방지를 위한 방안이 미약하다는 점입니다. 그나마 공개적으로 사과하는 것은 나은 것이고 대부분은 사고자체를 은폐시키고자 한다고 합니다. 일본은 사이트 자체를 폐쇄시키거나 미국은 사고 원인분석을 해당 사이트 운영사가 10억이상 들여서 정부에서 규정한 감사팀들이 원인분석을 하고 그 결과에 따라서 사후 조치를 진행한다고 합니다. 이렇게 제도적으로 확실한 Rule이 체계화되고 그것을 누구는 지켜나가야만 되는 환경이, 전문가의 컨설팅에 대한 가치를 인정하고 개발시 보안체계도 동시에 고려하면서 급하지 않고 차근차근 개발해 나가는 풍토가 조성된 것 같습니다.
이점은 보안분야뿐만 아니라 거의 모든 IT분야에 해당되는 점인데, 정부에서 IT를 단순히 건설하도급 용역개발이나 장비설치로 보지 말고, 사회의 로지컬한 인프라를 설계하고 구축하는 국가전략적인 요소로 인식하고 제반 제도와 규정들을 선진국처럼 한다면, 결국 우리나라 엔지니어들도 지금과 같은 열악한 환경이 아니라 선진국처럼 60세가 되도 전문성을 갖고 일하는 시대가 되지 않을까 생각해 보며, 그러면 자동적으로 요즈음 같은 이공계 기피증이 해소되지 않을까 기대해 봅니다.
오늘 진행을 하면서 개별 IT기업이 하기에는 힘들겠고, 각 협회나 모임등에서 이러한 것을 구체적인 사례를 가지고 정부나 국회 관계자 분들엑 지속적이고 효과적으로 알리고 같이 고민해야 될 것 같습니다.
두번째 세션 "취약점관리를 통한 사전보안관리" 발표자이신 IBM Korea의 김형욱과장님은 터프하게 보이시려고 수염을 기르셨지만 워낙 동안이시고 다정다감한 성격이셔서 편안한 느낌을 주시는 분이었습니다. 지식방송은 구체적적인 사례를 가지고 얘기하는 것이 말씀하시기가 편하신데, 워낙 발표 주제가 초기 시장에 소개하는 이론적인 면이 많이 내포되어서 김과장님꼐서 좀 힘들어 하셨는데, 누가 발표를 하더라도 그런 주제에서는 마찬가지 였을 것입니다. 시장이 좀더 성숙되고 국내사례들이 많이 생긴다면 다음 번에는 아주 심도있고 흥미있게 구성될 수 있는 주제가 될 것입니다.
취약점_관리를_통한_사전_보안_관리_ibm_김형.pdf
특히 금융기관이나 대규모 사업장에서는 보안관련 모든 체계를 시스템화시키는 보안의 ERP 아니면 BPM수립같은 과정같고, 특히 프로세스적인 마인드가 있으신 보안관계자가 취약점관리시스템을 설계하고 구축한다면 아주 현실적인 보안관련 "Best Practice Model"이 나올 수 있다는 생각이 들었습니다. 다른 IT분야처럼 보안도 장비나 개별 솔루션 도입에서 벗어나 ERP같이 체계적인 Process Innovation시키는 컨설팅적이고 프로세스적인 방향으로 바뀌겠구나 라고 느껴지면서 이는 IT 벤더뿐만 아니라 수요처 보안관련자 분들에게도 좋은 기회라 생각이 됩니다. (항상 도전이 기회입니다.)
다음부터 취약점관리 같은 컨설팅적인 요소가 많고 초기 시장에 소개되는 주제들은 실제 파일롯 또는 구축사례를 가지고 프로세스별로 짚어가면서 진행한다면 아주 좋은 방송컨텐츠가 될 수 있겠구나 생각이 들었습니다.
오늘 발표한 두 분 다 열심히 계속 공부하시며 자기계발하시고 있는데, IT에 계신 분들이 아래 두가지는 꼭 염두에 두고 습관하 하시면 5년이내 좋은 기회가 오고 지속적으로 커리어가 성장되리라 확신합니다.
1) IT솔루션이 실제로 적용되는 현업프로세스에 대한 마음으로부터의 이해: 왜 필요하고 결국 얼마가 절감되며 누가 좋아졌는가?
2) 지속적인 IT기술 및 사례에 대한 공부(해외 사이트 또는 영어원서 읽기): 영어가 필수이며 따로 학원다니지 말고 그냥 부딪혀 보시고, 초기에 너무 문법과 모르느 부분은 skip해가면서 몇 달해 보십시요.
오늘 발표자료는 첨부파일 참조하시고 방송다시보기는 1주일 뒤쯤에 여기나 방송 보셨던 사이트에서 보실 수 있습니다.
[첫번째 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S346&status=E
[두번째 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S1352&status=E
[ Thanks to ]
운영: 와이즈파트너 박치연, 최지영
홍보: 전자신문 김태형, 홍원준
제작: 와이즈파트너 이진일
후원: IBM Korea 이준원, 유호관
현장Staff: 미래웍스 고여순