저는 아직 관공서와 직접 일을 해본적은 없지만
개발자분들의 힘겨운 사투가 느껴지네요..

사람이 만든것인 만큼 문제가 없을수 없으니
좀 더 빠른 수정보완이 가능한 방식으로 바뀌던가,
아예 수정 방법을 따로 제공하는 방법으로 바뀌던가 해야 할것같습니다.

하지만 저역시도 알고도 실행하지 못하는 부분이군요

고가의 보안 장비를 3중으로 도입해 놓고...설치시 디폴트 값 그대로 사용하고 있을 겁니다. 아마도...^^

"장비만 좋으면 다된다는 생각은 비단 관공서만의 사고는 아니다. 우리사회 전반에 걸쳐있는 사고다."

저는 도아님 같은 경험이 적은 일반 사무 사용자 입니다만...
보안 분야 뿐만 아니라 사회 전분야가 정말 그런 생각으로 꽉 차있는 것 같습니다.

P4 2GHz 이상 시스템, XP 운용하는데 램이 256MB(VGA가 일부 용량 공유, 실제는 더 작음), 그런데 제어판 -> 시스템 -> 고급 -> 내 컴퓨터에 가장 좋은 설정을 자동으로 선택, 가상 메모리 -> 시스템이 관리하는 크기, 작업관리자에 나타나는 부팅 후 시스템 메모리 사용량은 거의 200MB, 악성코드 제거툴과 백신 프로그램 기본 설치(업데이트는 안된 상태), 조각모음 한지 언제인지를 모르고... sp2가 설치된 것은 참 불가사의 하구요.

램에 대해 설명을 해줘도 고집을 못꺽습니다.(제 데탑꺼 꺼내서 장착해줬는데 돈 안주네요. 얼마 안하지만 ㅠㅜ)
컴퓨터가 옛날꺼라 느린 거라고... 요지부동~

"우리나라는 사회전체에서 사람보다는 시스템을 더 믿는 경향이 있다. 사실 윗 물부터 썩어 있으니 믿을 수 있는 사람이 많지 않은 것도 사실이다. 또 사람은 속여도 컴퓨터는 속이지 않는다는 믿음 때문이다. 그러나 필자가 해주고 싶은 말이 있다.

사람은 믿어도 컴퓨터는 믿지 마라"

절대 공감합니다.

저는 사람도 기계도 못믿겠더라고요.. -.-;

제대로 된 관리팀이 제대로 일할 수 있는 여건이 주어져서 전문가로서 인정받고 계속 활동해왔다면 이런 일이 없겠죠..

간단한 것을 고치러 왔다 갔다 하느니 저같아도 개구멍 뚫어 놓겠군요 ㅎㅎ
물론 그런거 없다고 말하겠지만 ㅋ

백도어로 깔리는 프로그램들은 그렇다고 쳐도 Yes/No로 팝업창 띄우고 물어보는 쓰레기 프로그램들도 깔아 놓는 분들이 계시더군요.
그 조그만 팝업창 글자 몇개를 안 읽으시더라구요.

저는 사람도 컴퓨터도 믿지 않습니다만......
( 컴퓨터 그때 니가 정리하고 난 후 깐 프로그램도 없고 다운받은것도 없다고 하시는 그런 사람들요 ㅡㅡ;; )

아무리 수천..수억의 장비라도 결국 운용/관리하는 것은 인간이요...만든 것 역시 인간이니까요..
암만 장비가 좋아도 운영하는 인간이 쓰레기면 장비도 쓰레기가 되는 건 당연지사인 듯 싶습니다.
이번 해킹사건으로 이것저것 좀 변화를 가졌으면 싶네요. 민증번호 대체부터 해서 전부... 간절합니다..진짜..
물론 기대는 크게 안하지만요. ;;

그쵸.. 시스템보다는 사람의 관리가 더 중요하죠..
해킹은 그래서 그런 취약한 사람을 공략하면서 이루어진다고들 합니다.
시스템은 단순하니 ...
특히 친절한 사람들은 쉽게 정보를 보내죠..

대학이나 연구소에 있는 서버나 보안체계도 마찬가지인 것 같습니다, 좀 오래된 일이지만 4년전에 박사과정을 준비하시는 분의 연구실에 이것저것 배우려고 붙어있었습니다. 그쪽에서 따로 서버를 갖고 있었는데 어느 날인가, FBI쪽에서 연락이 왔던 것 같습니다. 확인해본 결과 독일에서 여러 곳을 경유하다 한국의 서버도 경유해 미국의 어떤 곳을 해킹한 듯 합니다만 자세히는 기억이 나지 않네요. 그 당시나 지금이나, 해커들이 거쳐가는 휴식처(경유지)로 인기가 많은 것은 한국으로 알고 있습니다.

관공서 보안이 취약한 이유 전산실에만 전문적인 인력을 배치하는 풍토를 없애야지만이 이런 문제가 없어진다고 전 생각합니다. 민원업무를 총괄담당하는 부서에도 전산기술인력을 배치해야, 민원안내문으로 가장한 악성코드나 해킹프로그램을 차단할수있을것입니다. 왜냐하면 민원안내계시판을 총괄하는 부서에서 먼저 검토후 각 부처로 넘어가게 되어있는 현시스템으로선 해킹피해는 언제 어디서든지 일어날수 있을것입니다.
그리고 한가지 더 각 부서도 민원계시판담당공무원을 따로 두어 악성코드검색이나 해킹바이러스체크후 각 담당자에게 넘기는 시스템을 구축해야지만이 이런문제는 해결될것으로 봅니다

추신: 민원계시판담당공무원은 매달 새로운바이러스나 악성코드해킹프로그램에 대한 교육을 매월 받도록하는대신 다른업무는 배제하고, 업무시간동안 계시판에 올라온 업무만 처리합니다.

저는 사람도 안믿습니다..

잠시, 학교 동아리 서버를 관리했었는데..

사람조차 믿지 않기 때문에 서버사양이 극악(P3-800, 512 SD Ram, debian(커널버전은 모르겠군요.ㅠ))이어도 학교전체를 커버할만큼의 프리배틀넷 서버를 돌리더군요..

또한, 저는 저 자신조차 믿지 않습니다..

항상 체크하고 또 체크하지요.. 그게 제일 좋은것 같습니다./

그리고, 관공서라면.. 최소한 저처럼 사용하는 사람도 믿지 않고 계속적인 관리가 필요할것 같더군요..

"필자가 서버를 관리할 때 가장 먼저하는 일은 프로세스 관리자를 띄우고 떠있는 프로세스를 확인한다. 트래픽 감시기를 이용해서 과도한 트래픽을 유발하는 프로세스를 감시한다. 이 간단한 작업으로도 수없이 많은 해킹 시도를 막을 수 있으며 바이러스와 백도어를 차단할 수 있었다. 백신을 전혀 사용하지 않으면서도 바이러스에 걸리지 않는 이유도 똑 같다. "

라고 표현 부분에서 '프로세스 관리자'는 일반 개인 컴으로 말하면 '작업관리자'에 해당 되나요? 작업 관리자에 보면 '프로세서' 부분이 있고 이 부분을 보면 cpu 점유율을 보고 이곳에 특정 프로그램이 점유율이 높아 지면 중지 시키거나 하면 되나요? 즉 못보던 프로그램이 갑자기 나타나 점유율이 높아 지는 것은 의심하고 중지 시키는것을 말함. 이것이 맞다면 이런걸 알고 해커는 여기 작업관리자 프로세서에 나타나지 않게 하고 하는 프로그램 도 있다고 하는데 사실 일까요?

어디에 문제가 생겨서 봐달라고 해서 가보면 장비는 최고급인데 안에 프로그램관리상태는 개판이더군요. 뭐 손을 못댈정도로.
관리의 중요성은 강조에 강조를 거듭해도 모자랍니다. 우리나라는 시스템자체가 관리에 이상하게 소홀하더군요.
아무리 중요성을 설명해줘도 씨알도 안먹히니..

최고급장비만 사놓고 제대로 못쓰는 경우는 저도 여러번 본거라 뭐 말을 하자면 포스트 10개는 더 되겠군요. 수천만원짜리 서버를 사놓고도 납품업체에 주문을 이상하게 해놔서 켜지도 않고 제대로 활용도 못한거나 (사실 서버 사양을 보면 이게 과연 수천만원인가 의문이 갈정도지만) 천만원에 가까운 방송장비사서 5년넘게 단 3번 쓴거나, 1억가까운 돈을 써서 웹표준조차 지키지 못한 저질스러운 IE전용 홈페이지를 외주로 만든거나.. 수억을 들여 구축한 인트라넷은 엑티브엑스 아니면 사용을 못하게 만든거나.. (뭔 사업이네 하면서 예산만 타놓고 이렇게 큰돈을 썼을리가 의심스러운데도 불구하고 말입니다.) 기타 등등

이 좋은 글 퍼가고 싶습니다. 어떻게 가져가죠?

마지막 말씀에 저는 반대 의견입니다.

컴퓨터는 믿되 사람은 믿지 말자

장비는 그 사항을 보안할 수 있게 왠만한 부분이 대처 되어 있습니다. 하지만 문제는
아무 생각없이 문제가 생기면 바로! 당장! 직접 와서 모든 것을 해주길 바라는 관리자와 그걸 문제삼아 자신이 편하게 작업하기 위해 해서는 안되는 짓을 하는 개발자가 문제인거지요. 요즘은 장비들 관리하기가 너무 편해져서 클릭 몇 번, 타이핑 몇 번 하면 왠만한 세팅 저리가라 할 정도인데, 그걸 안하더군요. -_- 책임회피랄까..몰라서 그런다는데..

저도 일을 편하게 하기 위해서 꼼수를 쓰기도 합니다. 그러면 안되지만 그럴 수 밖에 없는 현실.ㅠ_ㅠ 눈물납니다.

안녕하세요. 좋은글 감사히 읽고 갑니다.
정말 보안은... 그냥 일상생활처럼해야하는 시대가 온것 같습니다.
이러다가 오시이마모루 감독의 애니메이션 "공각기동대"와 비슷한 세상을
죽기전에 볼수 있는건 아닌지 ^^
앞으로도 자주들리겠습니다.

한국 서버 100% 해킹된다. 그 어떤 서버도...왜냐고? 침입탐지나 방아벽이나 믿고 보안철저라고 외친다. 웃겨서...보안은 기계나 프로그램이 아니라 사람의 수작업으로 지키는거야

중앙행정부처라고 다른게 아니더군요..
뭐 바꿔달라고 요청와서 보면 대부분 소스한줄짜리인데, 5분남짓 작업을 위해 길에서 왔다갔다 2시간버린다고 생각하면 차라리 백도어써서 원격해서 처리하는게 훨낫죠..걸리지만 않는다면요.
터미널접속을 요청해도 무조건 안된다고만 하는데, 실질적으로 위와같은 불합리함을 해결하기 위한 현실적인 대안이 절대적으로 필요한듯 합니다.

관공서 전산관련 직원들은 컴퓨터 전공자들이 아닌가요? 왜

관공서에 보안이 취약한건 정말 심각합니다. 컴퓨터에 대해 관심을 두는 사람이 거의 없으니 제대로 다루는 사람도 없고 관리하는 사람도 없고 오직 유지보수업체 사람에게만 매달려 있죠. 그곳에서 무슨 짓을 하는지 아무도 모릅니다. :-)

그나저나 putty로 이용해서 네이트온에 접속을 하는데 오늘 해보니 안되네요. http터널링프로그램을 이용해도 안되고...네이트온에서 뭐가 바뀐건지 방화벽이 더 강화가 된건지 당체 알수가 없네요. ㅋㅋ

군대에서 있으면서 느낀거지만, 정말 장비는 최고급, 하지만 사용빈도나 용도는 최악 혹은 방치 더군요. 오죽하면 장비병 걸린 녀석들에게 그냥 군대 말뚝 박어 장비'는' 최고야 라고 해주겠습니까 ^^;

가장 최고의 보안은 미션임파서블 1 처럼 네트워크가 안되어 있고, 물리적으로 접근이 제한된 컴퓨터겠지만, 그 다음의 보안은 꾸준한 관리가 이루어 지는 컴퓨터가 아닐까 생각이 됩니다. 케빈 미트닉의 경우에서도 많이 인용되는 문구이지만, 부지런한 관리자가 어떤 비싼 보안 시스템보다 강력하다 라는 것이 자꾸만 떠오릅니다. 전화비 몇 센트 차이를 추적해서 잡아 내고야 마는 보안관리자도 참 대단하지만 말이죠.

역설적이게도, IT 인프라 강국에 겉멋만 들어 버린 대한민국에서 양산형 웹개발자, 프로그램 개발자, 임베디드 개발자를 찍어 내고 이제는 보안전문가 과정으로 또다시 양산형 인재들이 키워져 나오고 있습니다. 이러한 양산형 인재들이 많아 질수록 우리 나라는 더더욱 보안이 취약해질수 밖에 없을듯 합니다. MCSE 이런 자격증을 고등학생들이 따고도 윈도우도 설치 못하는 경우가 많다는 예전글들도 있었지만, 가장큰 원인은 학구열과 경쟁의식에서 시작된거라고 생각이 됩니다. 남들보다 나아야 하고 방법보다는 결과가 우선시 되는 상황에서 원리 보다는 응용 결과만을 보게 되고 그로 인해서 기초과학도 죽어 가고 강사나 선생님에게 이게 왜 이런거죠? 라고 원리나 이유를 묻게 되면 '그런거 알필요 없어 그냥 이렇게 된다는것만 알면되' 라는 핀잔만 돌아올뿐이죠. 결국 그걸 넘어 서는 소수의 인재만이 진정한 컴퓨터 전문가가 되겠지만 그러기에는 너무 많은 노력들이 필요 합니다. 지금이라도 교육을 what? 을 목적으로 하는것이 아닌 why?를 목적으로 하는 방향으로 바뀌면 빠르진 않더라도 제대로된 나라가 되지 않을까라고 생각합니다.

그리고 공무원 뽑을때 가장 쉽게 따는 자격증이 정보처리기사인 관계로, 언제부터인가 자기 전공과 관련없는 기사 자격증은 따지 못하게 되었다고 하지만, 이러한 것들이 이런 사태를 불러일으킨게 아닐까 봅니다.

도아님의 해당 포스트가 4/23일 버즈블로그 메인 탑 헤드라인으로 링크되었습니다.

보안 전문가다운 전문가가 있어야 하는데... 다들 백신업체로만 빠지고...
다 해외로 빠질려고 하고... 이거...

대책이 없을까요...

저도 동사무소 공익할때 그곳 컴터는 제가 다 손보는 수준이었습니다. 구단위 3곳을 전문기사 2분이서 맡으시고 친하다 보니 나중에는 컴터 업데이트나 수리시에 저한테 메일이나 전화로 설명하고 처리하는 수준까지 갔었죠. 가장 충격적이었던것은 컴터 느리다고 해서 봤더니 1.6기가 하드에 남은 용량은 100메가도 안남아있던 컴터... 부팅이 되는게 더 신기하던

공공기관 기존 직원들 심화교육은 무리일테니 전산쪽 인력을 확충하는 수밖에 없을것 같더군요.

안철수씨만 있다고 다가 아니죠.. -..-
캐빈 미트닉과 윌리엄 사이먼이 쓴 "해킹, 침입의 드라마"를 읽고 나서 참 충격 많이 먹었죠..-_-

통합센터에 위치한 중앙부처시스템의 경우 백도어를 만든다는 것은 상상하기 힘듭니다. 그래도 전산전문가들이 부족하고 아웃소싱에 많이 의존합니다. 도아님처럼 전문가들이 많이 올 수 있는 여건이 되었으면 좋겠습니다. 혹시 몰라서 말씀드리면 민간기업과 달리 국가기관에서 보안사고가 나면 소속회사나 개인적으로는 상당한 문제가 될 수 있으므로 정말 조심해야 합니다. 민간에서라면 정말 별것 아닌것 때문에 국**에도 조사를 받고 사법처리와 같은 엄청난 불이익을 받을 수 있습니다. 무조건 조심하는게 좋습니다.

이번 옥션사태도 그렇듯이 집이나 회사에서 혼자서 열심히 방화벽깔고 백신을 깔고, 보안에 신경써도 도둑맞는 억울한 사태가 벌어진다는거죠.
컴퓨터도 보안이 완벽해도 위의 공상플러스님이 말한 사회공학에 걸리면 위험하죠.
거지같은 인간들이 거지같은 시스템을 만드니 더 안돌아가죠. 지금 이 상황은 마치 면역체계와 비슷한것 같습니다. 위생이 깨끗한곳에서는 한 두 사람이 더러워도 그 사람은 별로 병에 걸리지 않는답니다. 왜냐하면 다른 사람들이 워낙 깨끗해서 병균이 별로 없기 때문이죠. 그걸 자기가 잘난줄 착각하는 사람들이 있는데 사실 시스템에 덕을 보는거죠. 지금은 인터넷 보안은 그와 정반대죠. 혼자서 아무리 백신맞고 청결해도 시스템에 더러워서 개인인 속수무책 당한다는거죠. 그렇다고 아무것도 가입안 할 수 없구요. 그렇지 않아도 오늘 하나로통신이 고객정보를 가장윗선에 지시로 마구 팔았다고 합니다. 아마도 하나로쪽에서 허구헌날 하나티비나 전화 가입하라고 전화받아본 사람이면 치를 떨듯.

더더욱 큰 문제는 문제를 제대로 인식하고 있지 못하다는 것에 있다고 생각합니다.
그저 '좋은게 좋은거'라는 생각으로 ...
저도 '장비'운운 한 적 있습니다.
"요즘 시스템 좋아지고 옛날에 비해서 가격도 저렴해 졌으니, 시스템 좋은 거 한번에 들이는게 여러모로 편하다"라고 예기한 적이 있습니다. 보안이니 유지보수니 이런거 얘기해서는 씨알도 안먹히던게 저런 얘기했더니 아주아주 잘 먹히더군요. 씁쓸하긴 했지만,,, (을의 입장에서 바른소리만 계속할 순 없는게 ㅠㅠ;;;)
예산을 탁 털어 쓰는걸 선호하더군요. 지속적인 관리비가 나가는 것은 아주 싫어하고,,, 관리자의 입장에서는 그런면이 이해가 가긴하는데, 일부 개념없는 윗선 관리자들에게 개념을 심어주는 교육이 절실히 필요한 것 같습니다.