"장비만 좋으면 다된다는 생각은 비단 관공서만의 사고는 아니다. 우리사회 전반에 걸쳐있는 사고다."
저는 도아님 같은 경험이 적은 일반 사무 사용자 입니다만...
보안 분야 뿐만 아니라 사회 전분야가 정말 그런 생각으로 꽉 차있는 것 같습니다.
P4 2GHz 이상 시스템, XP 운용하는데 램이 256MB(VGA가 일부 용량 공유, 실제는 더 작음), 그런데 제어판 -> 시스템 -> 고급 -> 내 컴퓨터에 가장 좋은 설정을 자동으로 선택, 가상 메모리 -> 시스템이 관리하는 크기, 작업관리자에 나타나는 부팅 후 시스템 메모리 사용량은 거의 200MB, 악성코드 제거툴과 백신 프로그램 기본 설치(업데이트는 안된 상태), 조각모음 한지 언제인지를 모르고... sp2가 설치된 것은 참 불가사의 하구요.
램에 대해 설명을 해줘도 고집을 못꺽습니다.(제 데탑꺼 꺼내서 장착해줬는데 돈 안주네요. 얼마 안하지만 ㅠㅜ)
컴퓨터가 옛날꺼라 느린 거라고... 요지부동~
"우리나라는 사회전체에서 사람보다는 시스템을 더 믿는 경향이 있다. 사실 윗 물부터 썩어 있으니 믿을 수 있는 사람이 많지 않은 것도 사실이다. 또 사람은 속여도 컴퓨터는 속이지 않는다는 믿음 때문이다. 그러나 필자가 해주고 싶은 말이 있다.
아무리 수천..수억의 장비라도 결국 운용/관리하는 것은 인간이요...만든 것 역시 인간이니까요..
암만 장비가 좋아도 운영하는 인간이 쓰레기면 장비도 쓰레기가 되는 건 당연지사인 듯 싶습니다.
이번 해킹사건으로 이것저것 좀 변화를 가졌으면 싶네요. 민증번호 대체부터 해서 전부... 간절합니다..진짜..
물론 기대는 크게 안하지만요. ;;
대학이나 연구소에 있는 서버나 보안체계도 마찬가지인 것 같습니다, 좀 오래된 일이지만 4년전에 박사과정을 준비하시는 분의 연구실에 이것저것 배우려고 붙어있었습니다. 그쪽에서 따로 서버를 갖고 있었는데 어느 날인가, FBI쪽에서 연락이 왔던 것 같습니다. 확인해본 결과 독일에서 여러 곳을 경유하다 한국의 서버도 경유해 미국의 어떤 곳을 해킹한 듯 합니다만 자세히는 기억이 나지 않네요. 그 당시나 지금이나, 해커들이 거쳐가는 휴식처(경유지)로 인기가 많은 것은 한국으로 알고 있습니다.
관공서 보안이 취약한 이유 전산실에만 전문적인 인력을 배치하는 풍토를 없애야지만이 이런 문제가 없어진다고 전 생각합니다. 민원업무를 총괄담당하는 부서에도 전산기술인력을 배치해야, 민원안내문으로 가장한 악성코드나 해킹프로그램을 차단할수있을것입니다. 왜냐하면 민원안내계시판을 총괄하는 부서에서 먼저 검토후 각 부처로 넘어가게 되어있는 현시스템으로선 해킹피해는 언제 어디서든지 일어날수 있을것입니다.
그리고 한가지 더 각 부서도 민원계시판담당공무원을 따로 두어 악성코드검색이나 해킹바이러스체크후 각 담당자에게 넘기는 시스템을 구축해야지만이 이런문제는 해결될것으로 봅니다
추신: 민원계시판담당공무원은 매달 새로운바이러스나 악성코드해킹프로그램에 대한 교육을 매월 받도록하는대신 다른업무는 배제하고, 업무시간동안 계시판에 올라온 업무만 처리합니다.
배틀넷을 구축해본적은 없지만.. 배틀넷은 중계역활을 하는것도 아니고, 단순히 로비역활만 하고 스타크래프트 사용자들 중에 가장 사양이 좋은 pc가 서버 역활을 하며, 게임 종료후 승부 결과만 서버로 전송해주는 구조를 취하고 있다고 들었습니다. 그리고 스타는.. 486-DX2 66Mhz 에서도 좀 심하게 버벅대긴 하지만 엔딩을 볼정도로 저사양의 2D 게임이기에 극악 사양의 서버라고 하기에는 너무 좋은 사양입니다.
서버나 보안을 책임지는 사람들의 조그마한 실수가 엄청난 파급효과(?)를 낼수도 있으니까요..
그런뜻이었습니다..
구차니님//
기본적으로 돌아가는 서비스 + 배틀넷이기 때문이지요. 실제로 서버에 20여명이 접속해서 스터디 한답시고 컴파일해대는 컴퓨터입니다.. 극악사양의 서버는 아니겠지만 분명히 업그레이드의 필요성이 누누히 제기되는 서버였지요~;; 여튼. 로비구조라 하더라도 부하가 걸리는건 사실입니다.
"필자가 서버를 관리할 때 가장 먼저하는 일은 프로세스 관리자를 띄우고 떠있는 프로세스를 확인한다. 트래픽 감시기를 이용해서 과도한 트래픽을 유발하는 프로세스를 감시한다. 이 간단한 작업으로도 수없이 많은 해킹 시도를 막을 수 있으며 바이러스와 백도어를 차단할 수 있었다. 백신을 전혀 사용하지 않으면서도 바이러스에 걸리지 않는 이유도 똑 같다. "
라고 표현 부분에서 '프로세스 관리자'는 일반 개인 컴으로 말하면 '작업관리자'에 해당 되나요? 작업 관리자에 보면 '프로세서' 부분이 있고 이 부분을 보면 cpu 점유율을 보고 이곳에 특정 프로그램이 점유율이 높아 지면 중지 시키거나 하면 되나요? 즉 못보던 프로그램이 갑자기 나타나 점유율이 높아 지는 것은 의심하고 중지 시키는것을 말함. 이것이 맞다면 이런걸 알고 해커는 여기 작업관리자 프로세서에 나타나지 않게 하고 하는 프로그램 도 있다고 하는데 사실 일까요?
"해킹이든 버그든 모든 것을 다 잡으려하지 말고, 가장 치명적인 것부터 잡아라." 뭐 그런 말이 있다고 합니다. 루트킷 정도로 파고드는 해킹 프로그램이나 해커를 잡으려면 전담 모니터링 요원이 필요합니다. 어쩌다 한번 방문하는 사람이 할 수 있는 일이 아닙니다. 아무리 컴퓨터를 잘 알아도..
그리고 프로세스 관리자는 말씀하신 것처럼 윈도에서는 작업관리자에 해당합니다. 물론 기본적(?)으로 관리에는 더 많은 정보를 제공하는 프로그램을 쓰긴 합니다만..
어디에 문제가 생겨서 봐달라고 해서 가보면 장비는 최고급인데 안에 프로그램관리상태는 개판이더군요. 뭐 손을 못댈정도로.
관리의 중요성은 강조에 강조를 거듭해도 모자랍니다. 우리나라는 시스템자체가 관리에 이상하게 소홀하더군요.
아무리 중요성을 설명해줘도 씨알도 안먹히니..
최고급장비만 사놓고 제대로 못쓰는 경우는 저도 여러번 본거라 뭐 말을 하자면 포스트 10개는 더 되겠군요. 수천만원짜리 서버를 사놓고도 납품업체에 주문을 이상하게 해놔서 켜지도 않고 제대로 활용도 못한거나 (사실 서버 사양을 보면 이게 과연 수천만원인가 의문이 갈정도지만) 천만원에 가까운 방송장비사서 5년넘게 단 3번 쓴거나, 1억가까운 돈을 써서 웹표준조차 지키지 못한 저질스러운 IE전용 홈페이지를 외주로 만든거나.. 수억을 들여 구축한 인트라넷은 엑티브엑스 아니면 사용을 못하게 만든거나.. (뭔 사업이네 하면서 예산만 타놓고 이렇게 큰돈을 썼을리가 의심스러운데도 불구하고 말입니다.) 기타 등등
장비는 그 사항을 보안할 수 있게 왠만한 부분이 대처 되어 있습니다. 하지만 문제는
[b]아무 생각없이 문제가 생기면 바로! 당장! 직접 와서 모든 것을 해주길 바라는 관리자[/b]와 [b]그걸 문제삼아 자신이 편하게 작업하기 위해 해서는 안되는 짓을 하는 개발자[/b]가 문제인거지요. 요즘은 장비들 관리하기가 너무 편해져서 클릭 몇 번, 타이핑 몇 번 하면 왠만한 세팅 저리가라 할 정도인데, 그걸 안하더군요. -_- 책임회피랄까..몰라서 그런다는데..
저도 일을 편하게 하기 위해서 꼼수를 쓰기도 합니다. 그러면 안되지만 그럴 수 밖에 없는 현실.ㅠ_ㅠ 눈물납니다.
중앙행정부처라고 다른게 아니더군요..
뭐 바꿔달라고 요청와서 보면 대부분 소스한줄짜리인데, 5분남짓 작업을 위해 길에서 왔다갔다 2시간버린다고 생각하면 차라리 백도어써서 원격해서 처리하는게 훨낫죠..걸리지만 않는다면요.
터미널접속을 요청해도 무조건 안된다고만 하는데, 실질적으로 위와같은 불합리함을 해결하기 위한 현실적인 대안이 절대적으로 필요한듯 합니다.
예. 소통과 보안은 병행할 수 있는 부분인데 단절로 보안을 만들기 때문에 정말 힘듭니다. 컴퓨터에 대해 조금이라도 아는 사람이 있으면 그사람에게 부탁해서 고쳐도 될 정도로 쉬운 일이지만 꼭 가서 처리해야 합니다. 그런데 재미있는 것은 이렇게 일하는 것이 불편한 것은 개발자만이 아닙니다.
해당 부서에서 일하는 사람도 불편하기 때문에 그 사람들이 알아서 백도어성 프로그램을 깔아 주더군요. 데이콤에서 개발한 네트로라는 원격 제어 프로그램을 설치하고 이 프로그램을 이용해서 작업을 했습니다. 이렇게하면 또 바로 구멍이 뚫립니다. 정부부처에서 이런 간단한 것을 모르기 때문에 문제가 되는 것 같습니다.
군대에서 있으면서 느낀거지만, 정말 장비는 최고급, 하지만 사용빈도나 용도는 최악 혹은 방치 더군요. 오죽하면 장비병 걸린 녀석들에게 그냥 군대 말뚝 박어 장비'는' 최고야 라고 해주겠습니까 ^^;
가장 최고의 보안은 미션임파서블 1 처럼 네트워크가 안되어 있고, 물리적으로 접근이 제한된 컴퓨터겠지만, 그 다음의 보안은 꾸준한 관리가 이루어 지는 컴퓨터가 아닐까 생각이 됩니다. 케빈 미트닉의 경우에서도 많이 인용되는 문구이지만, 부지런한 관리자가 어떤 비싼 보안 시스템보다 강력하다 라는 것이 자꾸만 떠오릅니다. 전화비 몇 센트 차이를 추적해서 잡아 내고야 마는 보안관리자도 참 대단하지만 말이죠.
역설적이게도, IT 인프라 강국에 겉멋만 들어 버린 대한민국에서 양산형 웹개발자, 프로그램 개발자, 임베디드 개발자를 찍어 내고 이제는 보안전문가 과정으로 또다시 양산형 인재들이 키워져 나오고 있습니다. 이러한 양산형 인재들이 많아 질수록 우리 나라는 더더욱 보안이 취약해질수 밖에 없을듯 합니다. MCSE 이런 자격증을 고등학생들이 따고도 윈도우도 설치 못하는 경우가 많다는 예전글들도 있었지만, 가장큰 원인은 학구열과 경쟁의식에서 시작된거라고 생각이 됩니다. 남들보다 나아야 하고 방법보다는 결과가 우선시 되는 상황에서 원리 보다는 응용 결과만을 보게 되고 그로 인해서 기초과학도 죽어 가고 강사나 선생님에게 이게 왜 이런거죠? 라고 원리나 이유를 묻게 되면 '그런거 알필요 없어 그냥 이렇게 된다는것만 알면되' 라는 핀잔만 돌아올뿐이죠. 결국 그걸 넘어 서는 소수의 인재만이 진정한 컴퓨터 전문가가 되겠지만 그러기에는 너무 많은 노력들이 필요 합니다. 지금이라도 교육을 what? 을 목적으로 하는것이 아닌 why?를 목적으로 하는 방향으로 바뀌면 빠르진 않더라도 제대로된 나라가 되지 않을까라고 생각합니다.
그리고 공무원 뽑을때 가장 쉽게 따는 자격증이 정보처리기사인 관계로, 언제부터인가 자기 전공과 관련없는 기사 자격증은 따지 못하게 되었다고 하지만, 이러한 것들이 이런 사태를 불러일으킨게 아닐까 봅니다.
저도 동사무소 공익할때 그곳 컴터는 제가 다 손보는 수준이었습니다. 구단위 3곳을 전문기사 2분이서 맡으시고 친하다 보니 나중에는 컴터 업데이트나 수리시에 저한테 메일이나 전화로 설명하고 처리하는 수준까지 갔었죠. 가장 충격적이었던것은 컴터 느리다고 해서 봤더니 1.6기가 하드에 남은 용량은 100메가도 안남아있던 컴터... 부팅이 되는게 더 신기하던
공공기관 기존 직원들 심화교육은 무리일테니 전산쪽 인력을 확충하는 수밖에 없을것 같더군요.
통합센터에 위치한 중앙부처시스템의 경우 백도어를 만든다는 것은 상상하기 힘듭니다. 그래도 전산전문가들이 부족하고 아웃소싱에 많이 의존합니다. 도아님처럼 전문가들이 많이 올 수 있는 여건이 되었으면 좋겠습니다. 혹시 몰라서 말씀드리면 민간기업과 달리 국가기관에서 보안사고가 나면 소속회사나 개인적으로는 상당한 문제가 될 수 있으므로 정말 조심해야 합니다. 민간에서라면 정말 별것 아닌것 때문에 국**에도 조사를 받고 사법처리와 같은 엄청난 불이익을 받을 수 있습니다. 무조건 조심하는게 좋습니다.
이번 옥션사태도 그렇듯이 집이나 회사에서 혼자서 열심히 방화벽깔고 백신을 깔고, 보안에 신경써도 도둑맞는 억울한 사태가 벌어진다는거죠.
컴퓨터도 보안이 완벽해도 위의 공상플러스님이 말한 사회공학에 걸리면 위험하죠.
거지같은 인간들이 거지같은 시스템을 만드니 더 안돌아가죠. 지금 이 상황은 마치 면역체계와 비슷한것 같습니다. 위생이 깨끗한곳에서는 한 두 사람이 더러워도 그 사람은 별로 병에 걸리지 않는답니다. 왜냐하면 다른 사람들이 워낙 깨끗해서 병균이 별로 없기 때문이죠. 그걸 자기가 잘난줄 착각하는 사람들이 있는데 사실 시스템에 덕을 보는거죠. 지금은 인터넷 보안은 그와 정반대죠. 혼자서 아무리 백신맞고 청결해도 시스템에 더러워서 개인인 속수무책 당한다는거죠. 그렇다고 아무것도 가입안 할 수 없구요. 그렇지 않아도 오늘 하나로통신이 고객정보를 가장윗선에 지시로 마구 팔았다고 합니다. 아마도 하나로쪽에서 허구헌날 하나티비나 전화 가입하라고 전화받아본 사람이면 치를 떨듯.
더더욱 큰 문제는 문제를 제대로 인식하고 있지 못하다는 것에 있다고 생각합니다.
그저 '좋은게 좋은거'라는 생각으로 ...
저도 '장비'운운 한 적 있습니다.
"요즘 시스템 좋아지고 옛날에 비해서 가격도 저렴해 졌으니, 시스템 좋은 거 한번에 들이는게 여러모로 편하다"라고 예기한 적이 있습니다. 보안이니 유지보수니 이런거 얘기해서는 씨알도 안먹히던게 저런 얘기했더니 아주아주 잘 먹히더군요. 씁쓸하긴 했지만,,, (을의 입장에서 바른소리만 계속할 순 없는게 ㅠㅠ;;;)
예산을 탁 털어 쓰는걸 선호하더군요. 지속적인 관리비가 나가는 것은 아주 싫어하고,,, 관리자의 입장에서는 그런면이 이해가 가긴하는데, 일부 개념없는 윗선 관리자들에게 개념을 심어주는 교육이 절실히 필요한 것 같습니다.