IT Life

세계 최고의 수준을 자랑하는 한국의 보안 시스템(2), 하지만 그것을 다루는 사람의 수준은?

2013.06.24 09:58

 

지난 글에서는 다양한 영역에서 존재하는 수많은 보안 시스템들과 대한민국 보안 시스템의 수준은 세계적으로 상당히 높은 수준에 올라와 있음을 살펴보았는데요. 오늘은 앞서 언급했던 것과 같이 그것을 다루는 사람들에 관한 이야기를 해보려 합니다.

보안 시스템의 수준은 세계 평균을 넘어 평균 이상의 수준을 보여주고 있지만, 시스템이 아닌 사람의 보안 인식 수준은 그렇게 높지 않은 것이 한국 사회의 문제점이라는 생각이 듭니다. 해커가, 혹은 바이러스가 보안 시스템의 기계적인 방어에 막혀서 더 움직일 수 없다면 얼마나 좋겠느냐마는 아쉽게도 해커의 해킹 기술은 나날이 발전하고 있으며 바이러스는 아예 자체적으로 진화하여 보안 시스템을 무력화하고 있습니다. 또한, 해커와 바이러스가 보안 시스템을 무력화시키는 방법으로 택하고 있는 것이 바로 보안 시스템을 다루는 사람(개인 PC를 다루는 사용자이거나 기업의 보안 시스템을 다루는 관리자까지 모두 포함하여) 자체라는 것이 문제점인데요. 보안 시스템 자체의 수준은 상당히 높지만, 보안 시스템을 다루는 사람의 수준은 생각보다 낮은 것으로 보입니다.

왜 이런 이야기를 하는가 하면, 위에서 언급한 대로 대한민국의 보안 시스템 수준은 상당히 높은 수준에 올라와 있습니다. 하지만 이런 높은 보안 시스템의 수준만을 믿어서일까요? 보안 시스템에 대한 맹신은 보안 시스템이 마치 인공지능을 갖고 알아서 다 막는다고 생각하고 시스템에만 다 맡겨둔 채 보안 시스템을 다루는 사용자들은 자기 멋대로 PC나 시스템을 사용하는 경우가 많습니다.

예를 들어, V3가 되었던 알약이 되었건, 아니면 노턴 안티바이러스 등 어찌 되었던 안티바이러스를 설치했다고 해서 여기저기 사이트에 막 돌아다니면서 검증도 안 된 프로그램을 다운로드 받아서 설치한다면 아무리 성능이 좋은 안티바이러스가 실시간으로 작동된다고 해도 악성코드의 위협으로부터 100% 다 막아줄 수 없습니다. 토랜트를 통해서 유료 어플리케이션을 크랙한 어플리케이션이나 키 젠(유료 어플리케이션을 공짜로 쓸 수 있게 라이선스 키를 만들어주는 어플) 등을 다운로드 받는데 대부분의 이런 크랙 어플리케이션에는 악성코드가 숨어있기 마련입니다.

해커들이 사람들의 공짜 사용 심리를 이용해서 악성코드를 확산하는데 이런 키 젠이나 크랙한 어플리케이션을 많이 이용하기 때문인데요. 이런 상황에서 안티바이러스가 악성코드를 확인하고 경고를 줘도 무시하고 설치한다면 안티바이러스의 성능에 상관없이 악성코드에 PC는 감염될 것입니다. 크랙된 어플리케이션을 실행하는 것뿐만 아니라 여러 인터넷 사이트를 돌아다니며 동영상이나 음악 파일 등을 실행하다가 악성코드에 감염되는 경우가 대부분입니다. 따라서 사용자가 주의 깊게 해당 어플리케이션이나 파일을 살펴보지 않을 때 일어나는 사용자 과실에 해당하지요.

위에서 언급한 대로 사용자 과실로 말미암은 부분까지 보안 시스템들이 다 막지는 못합니다. 물론 상당 수 사용자 과실에 대한 부분은 보안 시스템이 사전 경고 등을 통해서 막을 수는 있지만, 경고를 무시하고 실행되는 것까지 막을 수 있는 보안 시스템은 거의 없는데요. 즉, 아무리 훌륭한 보안 시스템을 갖췄다고 하더라도 그것을 관리하는 사람이 제대로 된 보안 의식이나 개념이 없이 다룬다면 시스템으로서의 보안 솔루션은 아무런 의미가 없다는 얘기입니다. 바로 이러한 점이 보안 전문가들이 얘기하는 사람 자체가 악성코드고 바이러스다라는 말이 그대로 적용되는 지점입니다.

 

보안 시스템은 단순한 하드웨어와 소프트웨어만으로 구성되는 것이 아니라 그 보안 시스템을 다루는 관리자 역시 보안에 대한 개념을 갖고 해당 시스템을 관리하고 다뤄야 완벽한 보안 시스템을 갖췄다고 할 수 있는데요. 이것은 개인에게도 마찬가지로 적용된다. 앞서 얘기했던 대로 아무리 훌륭한 안티바이러스 솔루션이나 개인 방화벽, 그 외에 개인용 보안 솔루션들을 다 갖춰놓고 있더라도 공짜 어플리케이션을 쓰겠다고 여기저기 기웃거리다가 악성코드에 감염되는 경우가 허다합니다. 또한, 메일이나 메신저 등을 통해서 누군가로부터 전달되어 온 파일을 제대로 확인도 하지 않고 다운로드를 받거나 실행을 한다면 역시 아무리 훌륭한 보안 시스템을 갖췄다고 하더라도 절대 안전하지 않겠죠.

엔터프라이즈 영역에서의 보안 시스템 관리자들이나 개인 사용자들도 보안에 대한 기본적인 개념은 갖고 있어야 하는데요. 확인되지 않은, 확실치 않은 파일의 다운로드나 실행은 가급적 피하는 것이 좋고, 이메일 역시 확인되지 않는 주소로 온 것이나 스팸 메일은 아예 열어보지 않는 것이 중요합니다. 요즘 모바일을 통해서 피싱이나 스미싱이 많이 일어나는데 이것 역시도 쓸데없는 호기심 때문에 검증되지 않는 링크나 파일을 열어보는 것으로 일어나는 경우가 많습니다. 또한, 앞서 얘기했던 대로 검증되지 않는 파일이나 링크는 지워버리는 것이 상책입니다. 호기심은 기술의 발전을 가져오기도 하지만 쓸데없는(!) 호기심은 오히려 자신을 파괴할 수 있는 핵폭탄으로 자리 잡을 수 있다는 것을 알아야 합니다. 특히 보안 분야에서는 더더욱 말이죠.

이런 보안 관련 개념을 보안 시스템 관리자와 사용자에게 꾸준히 인식을 시켜주기 위해서는 꾸준한 교육이 필요합니다. 보안에 대한 교육은 IT 업계에서 뿐만이 아니라 실생활에서도 중요하므로 꾸준한 교육 및 홍보가 필요한 것이 사실인데요. 하지만 아쉽게도 한국의 보안 교육은 시스템에 대한 교육만 이뤄질 뿐 이런 보안 개념에 대한 교육은 거의 이뤄지지 않고 있는 것이 현실입니다.

그 이유는 간단합니다. 이러한 보안 개념 교육은 당장 효과를 볼 수 없기 때문입니다. 시스템에 대한 교육은 시스템을 다루는 부분에 대한 교육이라 이른 시일에 효과를 볼 수 있지만, 사람의 개념을 바꾸는 보안 교육은 오랜 시간에 걸쳐서 이뤄져야 효과를 보기 때문에 잘 이뤄지지 않고 있는 것이지요. 하지만 진짜로 필요한 교육은 다름 아닌 보안 교육을 통해서 사람 스스로 보안에 대한 개념을 갖고 사람 스스로 보안이 되어야 하는 것이 아닐까요? 위에서 언급했듯 시스템이 아무리 좋다고 하더라도 그것을 다루는 사람이 문제가 있으면 온갖 IT 위협에 대한 보안은 요원한 일이 될 수도 있으니까요.

 

 

l 글 이학준 (http://poem23.com/ 필명: ‘학주니’)

Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS

댓글을 달아 주세요

  1. Favicon of http://blog.naver.com/issuliu BlogIcon 박준희 2013.06.24 10:22  댓글주소  수정/삭제  댓글쓰기

    웹표준화를 비롯해서 연관된 최소한의 보안교육은 꼭 필요할 듯 하네요.

위로