“사이버 보안 렌즈를 통해 전 세계 정치, 사회 이슈를 이해하고자 하는 독자에게 추천한다.”
_임정욱, 중소벤처기업부 창업벤처혁신실장
“이 책에는 우리나라 사이버 보안을 위한 제언이 담겨 있다.”
_박찬암, 스틸리언 대표
눈에 보이는 것이 다가 아니다
사이버 보안은 기계와 인간 사이의 모든 영역에서 살아 숨쉰다. 하드웨어에서 소프트웨어, 비즈니스, 데이터, 극히 사적인 영역에 이르기까지 우리 주변과 밀접하게 관련돼 있다. 이 책은 디지털 혁명이 가져온 산업 변화와 사회적 이슈 그리고 역동적인 국제 관계 속에서 사이버 보안의 의미와 위상을 조명한다. 이 과정에서 어떻게 현재와 미래를 준비해야 하는지 통찰을 얻을 수 있다. 현장에서 평생 힘써온 저자의 통찰을 담은 이 책을 사이버 보안 종사자는 물론 C레벨 임원진, 리더에게 필독서로 추천한다.
저자소개
저자
김홍선
서울대학교 전자공학과에서 공부한 뒤 미국 퍼듀 대학교에서 컴퓨터공학 박사 학위를 취득했다. 이후 텍사스 주립대학교 연구원, 삼성전자 컴퓨터사업부 선임연구원 등을 거쳐 정보 보안 전문 벤처기업 시큐어소프트를 창업해 국내 최초의 방화벽 ‘수호신’을 탄생시켰다.
2000년 한국 기업 최초로 소프트뱅크벤처스의 투자를 받아 대한민국 벤처 신화의 주역, 보안 1세대의 대명사로 이름을 알렸다. 2007년 시큐어소프트의 정보 보안 사업을 인수한 안랩에서 최고기술책임자(CTO)를 거쳐 최고경영자(CEO)로 임하며 안랩을 명실상부 종합보안전문회사로 이끌었다. 2014년부터는 SC제일은행 부행장으로서 정보보호최고책임자(CISO)를 맡고 있다.
7·7 디도스와 같은 국가적 이슈를 포함해 각종 사이버 침해 사고 현장에서 리더십을 발휘했다. 지금도 기업, 기관, 대학 등에서 보안의 중요성을 설파하고 사이버 공격 대책 마련의 주역으로 활약한다. 저서로 『누가 미래를 가질 것인가』, 『어떻게 미래를 지킬 것인가』가 있다.
목차
1장 피해의 현장
우크라이나 전쟁의 비극_Hybrid Warfare
사이버 공격, 루비콘 강을 건너다_Cyber-Physical
잉글랜드는 왜 해적 국가였는가?_State-Sponsored Attack
역사상 최대의 절도_Cyber Crime
8000만 달러를 훔친 도둑_Scenario
민주주의 시스템을 뒤흔들다_Hybrid Attack
양보할 수 없는 원칙_Principle
2장 리더의 미션
위기에 대처하는 리더십_Leadership
사이버 보안은 경영이다_Management
전문가와 전문경영인_Subject Matter Expert
기술 리더십_Technology Leadership
기술 인력 전쟁_Role Model
왜 국가 안보의 문제인가?_National Security
‘포드 V 페라리’에서 배우는 교훈_Accountability
3장 위협의 근원
취약점_Vulnerability, Exploit, Zero-day
소프트웨어로 돌아가는 세상_Software
디지털 혁명의 시작, 반도체_Exponential Growth
컴퓨터가 연결되어 돌아가는 세상_Network
성문을 활짝 열다_Internet
MP3에서 비트코인까지_Digital
프라이버시의 탄생_New Technology
4장 보안의 퍼스펙티브
모르는 것을 지킬 수는 없다_Governance
상상력의 실패_Risk
가장 어려운 시험 문제는?_Risk Management Framework
보안 등급의 세 가지 기준_CIA
사이버 보안을 바라보는 눈_Business Impact
신동엽 가족이 받은 축복_Security Control
유럽의 고성에서 배우는 교훈_Threat Model
보안의 퍼스펙티브_Perspective
5장 빌드업
안전한 빌드업은 기본이다_Deterrence vs. Buildup
기초가 허무하게 무너질 때_Foundation
음식에 독이 들어간다면?_Software Supply Chain
호텔 금고와 목욕탕 사물함_Identity Access Management
적벽대전 승패의 갈림길_Third Party
어느 약사의 프로다운 행동_Assurance
치명상을 피하라_Cyber Resilience
6장 한국이 부족한 것은
사고당한 경험도 실력이다_Root Cause Analysis
소프트웨어 인력과 생태계_Software Ecosystem
정부와 민간의 협력_Secrecy vs. Sharing
정치인의 큰 목소리_Priority
현장에 답이 있다_Security Practice
결국 사람의 문제다_Skill Set
왜 IT 분야에는 여성이 적을까?_Diversity
정보보호 산업을 위한 고언_Cybersecurity Industry
7장 융합의 마인드
눈에 보인다고 내 것인가?_Physical vs. Cyber
공급자에서 소비자의 시대로_Business Model
보안은 혁신의 걸림돌인가?_Seamless vs. Frictionless
매화축제와 BTS의 공통점_Platform
무대 위에 오른 프라이버시_Surveillance vs. Privacy
축구 전술의 변화_Offense vs. Defense
봉준호 감독의 균형감_Liberal Arts & Technology
카카오택시가 편리한 이유_O2O
8장 보안의 특성
사이버 공격의 행동 대원, 악성코드_Malware
팬데믹으로 드러난 민낯_Weakest Link
사이버 공격은 은밀하게 진행된다_Insidious
불편함의 생활화_Legacy
피해자의 눈물_Victim
다이어트는 습관을 바꿔주는 것_Sustainability
만병통치약은 없다_Cyber Hygiene
9장 미래를 위한 고민
생태계를 지켜라_Systemic Cyber Risk
죽음을 앞둔 어느 정치가의 고민_Paradigm Change
부메랑으로 돌아온 사이버 무기_Cyber Weapon
보이지 않는 위협_Safety vs. Security
ChatGPT의 등장_Game Changer
규제와 혁신_Law & Regulation
AI, 데이터 그리고 사이버 보안_Core vs. Context
출판사리뷰
내 컴퓨터를 온전히 내 것이라고 믿을 수 있는가?
눈 앞에 보인다고 반드시 내 것은 아니다!
우리가 모르는 사이, 보이지 않는 곳에서
쉴새 없이 진행되고 있는 사이버 위협
사이버 위협은 기계와 연관된 인간의 일거수일투족에 관여되어 있다. 사이버 세상과 현실을 오가며 일어나는 각종 사건은 민주주의 체제를 흔들기도 하고, 기업 간 공정한 경쟁을 방해하기도 하며 국가 안보까지 위협한다. 사이버 공간에서 일어난 행위가 사회 안전과 신뢰까지 뒤흔들고 있다.
사이버 보안은 더 이상 사회가 방치해서는 안 될 사안이다. 디지털 문명을 누리는 한 사이버 위협은 영원한 숙제이며 탄탄한 기틀을 만드는 것은 후손을 위한 모두의 책무다.
사이버 보안이라고 하면 보통 어렵게 여긴다. 하지만 이 책은 사이버 보안을 기술 중심으로 설명하지 않는다. 디지털 혁명이 가져온 산업과 사회 변화, 역동적인 국제 관계 속에서 사이버 보안의 의미와 위상을 조명하고 우리에게 친숙한 사례를 들어 현재와 미래에 대한 고민을 나누고 나아갈 길을 제시한다.
★이 책의 구성
1장 피해의 현장
대표적인 사이버 공격 사례를 지정학적 관계와 역사적 맥락에서 설명한다. 국가가 주도하는 사이버 공격은 대담한 스케일과 창의적 시나리오로 구성된다.
2장 리더의 미션
리더의 역할을 제시한다. 정부와 기업의 리더들은 사이버 문제를 자신의 목표로 인식해야 한다. 사이버 보안은 위험을 준비하고 위기에 대처하는 경영의 이슈이며, 최고책임자의 어젠다이다.
3장 위협의 근원
사이버 위협은 관리 허점과 소프트웨어가 지닌 취약점을 파고든다. 컴퓨터와 데이터가 기하급수적으로 증가할수록 위협 포인트가 늘어나는 것은 당연하다. 사이버 위협이 발생하는 근본 원인을 정리해본다.
4장 보안의 퍼스펙티브
사이버 보안을 기존의 기술적 접근 방식에서 비즈니스와 리스크의 관점으로 재구성한다.
5장 빌드업
사이버 보안이라고 하면 공격을 저지하는 것에만 초점을 맞춘다. 그러나 사이버 보안의 또 다른 축은 안전하고 탄탄한 환경을 만드는 것이다.
6장 한국이 부족한 것은
한국이 세계적 흐름과 다른 점을 비교하고 앞으로의 방향을 모색해본다. 한국은 소프트웨어 인력과 생태계가 약한 것은 구조적인 문제가 원인이다.
7장 융합의 마인드
디지털 환경은 입체적으로 변하고 있기 때문에 다양한 비즈니스 환경에서 사이버 위협의 가능성을 미리 고민하고 예측하는 것이 중요하다. 각양각색의 현상을 유연하게 보는 사고가 필요하다.
8장 보안의 특성
사이버 보안의 개념과 프레임은 거의 바뀌지 않았다. 달라진 점은 IT 환경과 신종 공격 기법이다. 문제의 본질을 파헤치려면 해당 어젠다의 고유 특성을 정확히 알고 있어야 한다.
9장 미래를 위한 고민
사이버 위협은 인류가 극복해야 할 보이지 않는 위협이다. 생태계 전반을 무너뜨릴 수 있는 시스테믹 리스크에 대비해 총체적인 접근이 필요하다.
전체적으로 기술적인 내용보다는 경영적인 관점에서의 보안 이야기에 가까운 내용이고 단순히 보안담당자나 기술담당자에게만 필요한 내용이 아닌 모든 임직원이 생각해볼만한 내용이 많은 책입니다.
책의 구성을 보면
1장. '피해의 현장'에서는 다양한 공격에 대한 설명을 하고 있습니다. 개인적으로 직원 교육에서 너무 자극적인 공격에 대해 소개하는 방식을 선호하지는 않습니다만 확실히 이목을 집중시키는데 이보다 효과적인 방법이 없는 듯 합니다.
2장. '리더의 미션'에서는 제목 그대로 리더는 어떤 자세를 취해야 하는가에 대한 이야기를 하고 있습니다. 2장에서 가장 와닿은 이야기는 CEO의 평가에 IT와 사이버보안이 포함되어야 한다는 이야기였습니다. 다양한 회사를 경험해보고 ISMS 인증심사를 하면서 보안담당자 입장에서 우리나라 기업 특히 중소기업의 가장 큰 문제점으로 느껴지는 것은 경영진의 관심 부족이었습니다. 거대 기업은 CISO의 겸임 금지 규제가 생기기는 했지만 여전희 대다수의 중소기업(중견기업 포함)의 경우 CTO가 CISO를 겸임하는 경우가 많습니다. 이런 현실에서 경영 관점에서 보안을 어떻게 바라볼 것인가를 얘기하는 2장이야말로 관점에 따라 기술적인 영역보다 중요하게 여길 수도 있지 않을까 싶습니다.
3장. '위협의 근원'에서는 사이버 위협의 원인이 되는 영역에 대해 이야기 하고 있습니다. 네트워크로 모든 컴퓨터가 연결되고 인터넷을 통해 모든 정보가 공개되어 있는 세상에서 그리고 끊임없이 새로운 기술이 나오는 현 시대에서 우리는 무엇을 봐야 하는가를 생각해볼 수 있는 챕터였습니다. 특히 시대의 변화에 따라 PC는 해커가 장악했다는 것을 전제로 정책을 세우는 식의 발상의 전환을 기술 발전에 따라 이뤄야 한다는 내용은 현재 흐름인 동시에 개인적으로 가장 큰 고민거리인 제로트러스트를 어떻게 구현할 것인가에 대해 한번쯤 더 생각해보는 시간을 가져다 주었습니다.
4장. '보안의 퍼스펙티브'에서는 보안을 어떤 관점에서 바라보고 어떻게 지킬 것인가에 대해 이야기 하고 있습니다. 이 장에서는 주로 리스크 관리에 대해 이야기 하고 있는데 10여년을 ISMS 인증을 중심으로 보안 활동을 하다가 ISO27001을 처음 접했을 때 두개의 인증 기준에서 리스크를 바라보는 관점이 달랐던 것을 생각해보면 자신만의 리스크 관리 방법을 정립하는 것이 보안의 시작이 아닐까 생각해봅니다.
5장. '빌드업'에서는 어떻게 빌드업을 해나갈 것인가를 다루고 있습니다. 책에서도 얘기하듯이 100% 조치되는 취약점은 존재하지 않는 현실에서 어떻게 우선순위를 정하고 처리해 나갈 것인가에 대해 얘기합니다. 간혹 비싼돈 들여 보안팀을 꾸리고 컨설팅을 받았으면 회사에 취약점도 없어야 하고 어떤 해커가 들어와도 대응이 되어야 한다고 주장하는 경영진도 있습니다. 그런 분들께 보안 담당자가 어떻게 일해야 하는것인가에 대해 이 챕터에서 얘기하는 바를 들려주고 싶습니다.
6장. '한국이 부족한 것은'에서는 필자가 바라본 국내 보안의 현실에 대해 꼬집고 있습니다. 빠른 기술 변화를 따라오지 못하는 규제가 오히려 최우선 고려대상이 되고 실무자의 목소리보다는 정치인이나 기술을 모르는 경영진의 목소리가 보안을 하는데 우선되는 현실에서 경영진은 보안을 어떻게 바라봐야 하고 본인의 역할과 실무 조직의 역할을 어떻게 구분해야 하는가에 대해 이 내용을 보면서 한번쯤 고민해봤으면 합니다.
7장. '융합의 마인드'에서는 입체적으로 변화하는 현실 속에서 보안은 어떤 방향으로 나아가야 하는가에 대한 얘기를 하고 있습니다. 이 시대는 온라인과 오프라인이 구분되지 않고 공급자와 소비자가 구분되지 않은 시대가 되었습니다. 마이데이터가 이슈화 되면서 내 개인정보는 누구의 것인가에 대한 고민도 한층 깊어졌습니다. 아직 보안업계에는 이것들을 따로 놓고 보는 사람이 많은 것이 현실입니다. 하지만 이제 하루라도 빠르게 발상의 전환이 필요한 시점이 아닐까 싶습니다.
8장. '보안의 특성'에서 두가지 내용이 특히 다가왔습니다. 첫번째는 조직의 보안수준은 가장 취약한 연결고리에 있다는 것입니다. 이를 나무로 짜여진 물통으로 많이 비유하는데요 다른 벽을 아무리 높게 세워놓아도 나무판 하나를 낮게 세운다면 모든 물은 그 나무판을 통해 빠져나간다는 이야기 입니다. 동일하게 보안 역시도 다양한 영역 중 하나만 낮은 수준을 안고 간다면 그 영역을 통해 모든 정보는 빠져나갈 수 있습니다. 두번째는 예방과 방지가 비용이 훨씬 적게 든다는 내용입니다. 어느 조직이나 마찬가지겠지만 보안조직이 가장 어려워하는 사람이 CFO입니다. 많이 변하긴 했습니다만 아직도 보안은 돈을 버는 조직보다는 쓰는 조직이라는 인식이 강한 상황에서 적지않은 비용이 들어가는 보안조직이 적절한 예산을 따내기란 쉬운일이 아닙니다. 특히 아직 사고도 안났는데 그게 왜 필요하냐는 질문에 설득하는 일은 때로는 차라리 작은 사고 하나 났으면 하는 생각까지 들게 합니다. 이런 현실에서 경영진이 예방이 오히려 싸게 먹힌다는 것을 인지해줬으면 하는 바램입니다.
9장. '미래의 고민'에서는 어떤 기술, 어떤 관점에서의 얘기보다는 필자가 미래를 바라보며 어떻게 나가야 하는가에 대한 고민을 담은 챕터입니다. 환경도 변화하고 기술도 변화하고 사람들의 생각도 변화하는 이 시대의 흐름에서 중요한 것은 무엇일까에 대한 고민을 하게 합니다. 이 챕터의 마지막이자 이 책의 마지막에 경영진에게 들려주고 싶은 한 문장이 있었습니다. 'IT도 아웃소싱할 수 있고 보안관제도 아웃소싱할 수 있다. 그러나 책임은 아웃소싱할 수 없다.' 보안이 허술해졌을 때 그 책임은 보안담당자가 지는게 아닙니다. 물론 경영진이 충분히 지원한 상황에서 보안담당자가 업무를 허술하게 해 문제가 생겼다면 보안담당자의 책임이 크겠지만 보안담당자의 역할은 경영진의 지원을 받아 보안 업무를 수행하고 주요 결정사항에 대해 경영진이 적절한 결정을 내릴 수 있도록 근거를 마련하는데 있습니다. 그럼에도 불구하고 예산도 인력도 충분하지 않은 상황에서 모든 책임은 보안팀이 져라 라고 하는 경영진을 수도없이 접하곤 합니다. 보안에 대한 책임은 경영진 그리고 구성원 모두의 것이고 아무리 모든것을 아웃소싱한다고 해도 책임만큼은 아웃소싱할 수 없다는 것을 항상 염두에 두었으면 하는 바램을 이 책을 덮으면서 또한번 가져봅니다.
이 책을 보면서 우리나라의 모든 CISO님들이 보안에 필자의 반만이라도 관심을 가져주신다면 얼마나 좋을까 하는 생각을 많이 해봤습니다. 동시에 우리의 보안 현실에 대해 또한번 아쉬운 마음을 갖게 해주는 책이었습니다. 하지만 이런 책들이 계속해서 나오고 경영진들이 읽는다면 우리의 미래는 조금이나마 밝아지지 않을까 하는 기대를 해봅니다.
IT 보안에 대한 책이라 고도의 기술적 내용이 나올 것 같지만, 의외로 그런 내용에 대한 비중은 적다. 대중을 대상으로 한 책이기도 하거니와 저자가 생각하는 IT보안은 단순히 Hard Technology에만 머무는 것이 아니기 때문이다. 특히 경영을 하는 입장에선 더더욱 그렇다고 강조한다.
그래서 저자는 CISO에게 가장 중요한 것이 무엇이냐는 질문에 이렇게 답한다.
"조직 장악력입니다."
물론 유능한 보안 전문가가 당연히 필요하고, 양성되어야 한다. 그걸 부인하는 것이 아니다. 다만 더 거시적인 시각을 가지고 바라볼 필요가 있다는 것이다. 모든 존재는 유한한 자원을 가지고 있기 때문에 유한한 자원을 효율적으로 사용하려면 어느 한 쪽면만 바라볼 것이 아니라 여러 면을 바라보고 자원배분을 해야하기 때문이다.
보안에 대해서는 전혀 모르지만 IT 생태계에서 일어나는 경험들은 도메인을 가리지 않고 비슷하게 일어나고 있는 것 같아 씁쓸하게 이 책을 읽었다. 그렇기에 저자가 강조하는 최신 기술/솔루션만 보지 말고 기본에 충실하라는 말이 와닿았다.
이렇게 조직/경영 적 관점에 대한 글이 많으면서도 의외로 잘 몰랐던 해킹 사건들에 뒷이야기에 대해서도 배울 수 있는 책이라 흥미로웠다. 미국이 어떻게 이란의 핵시설을 해킹하려고 했는지, 북한이 소니픽쳐스를 어떻게 해킹하고 미국은 어떻게 대응했는지 등을 이 분야의 전문가에게서 들으니 실감나고 깊이 이해되는 느낌이었다.
밑줄긋기
p.23
낫페트야 사건은 고의로 제작된 악성코드가 원전 시스템을 기습적으로 침입해 발생했다. 원전 감독자가 전하는 당시 급박했던 상황을 들어보자.
"불과 7분만에 컴퓨터 2500여 대가 다운됐고 여기저기서 전화벨이 울렸어요. 가장 큰 문제는 방사선 수치를 모니터링하는 컴퓨터가 동작하지 않았다는 겁니다. 아무도 방사선 상태를 알 수 없었어요."
감독자는 급한 마음에 확성기를 들고 방사선 수치를 직접 눈으로 점검하라고 소리쳤다. 30여 년 전 체르노빌의 참사가 되풀이되면 안 된다는 절박한 마음이었을 것이다.
낫페트야로 인한 피해는 우크라이나에 국한되지 않았다. 세계 1위의 해운 기업 머스크, 세계적 제약 회사 머크 등 현지 법인을 통해 전 세계로 퍼져 나갔다. 심지어 러시아 기업도 피해를 입었다. 만일 러시아 해커가 우크라이나를 공격하려고 벌인 일이라면 그 공격이 자국의 기업에 피해를 주는 부메랑이 되어 돌아온 셈이다.
우크라이나를 향한 사이버 공격은 2014년으로 거슬러 올라간다. 2014년 2월 친 러시아 성향의 빅토르 야누코비치 대통령은 오랜 반정부 시위로 퇴진했다. 우크라이나 혁명은 일견 성공한 것처럼 보였다. 그러나 곧바로 러시아가 반격을 시작했다. 크림반도에 군대를 투입했고 3월 21일 크림자치공화국을 강제 합병했다.
이후 우크라이나는 국가 안보를 위협받는 극도의 사이버 공격을 받았다.
p.25-26
그런데 이상하지 않은가? 신기하게도 우크라이나 정부 시스템은 큰 차질 없이 운영되고 있다. 실제로 러시아는 우크라이나 정부 자료를 보관했던 데이터센터를 크루즈 미사일로 폭격했고 센터 밖 시스템까지 사이버 공격으로 무력화시켰다. 그로 인해 통신 시설이 파괴되고 지상 인터넷이 마비됐는데도 불구하고 어떻게 지속적으로 공공서비스르를 제공하고 전시 상황 대응이 가능했던 것일까?
그 이유는 러시아가 침공하기 직전에 우크라이나 정부가 신속하게 정부 시스템에 보관한 중요 자료를 클라우드로 분산해 백업하고 이를 다른 유럽 국가로 이송해두었기 때문이다. 러시아는 다른 나라의 시스템까지 공격할 수는 없었다.
우리는 우크라이나가 보여준 유연한 대응을 타산지석으로 삼아야 한다. 만일 정부나 민간기업이 이용하는 데이터센터가 테러를 당하거나 사이버 공격을 받으면 어떻게 될까?
막연히 우크라이나가 IT에 취약할 거라고 생각했다면 큰 오산이다. 우크라이나에는 영어로 소통이 가능하고 비용 대비 탁월한 역량을 가진 IT 인력이 많아 구글, 삼성, 보잉 등 글로벌 기업의 R&D 센터가 설립되어 있다.
우크라이나는 기술 혁신으로 전쟁을 극복하기 위해 애썼다. 우크라이나의 디아(Diia)라는 전자정부 모바일 앱은 시민이 생성한 현장 사진과 동영상을 올리도록 오픈소스 집합지성 시스템을 갖추었고 스페이스X의 스타링크 위성과 연결할 수 있다. 구글 CEO를 역임한 에릭 슈미트는 우크라이나가 버티는 비결은 '혁신의 힘'이며 이것이 국제정치학의 힘이라고 주장한다.
p.27-30
1979년 이란은 팔레비 왕을 쫓아내고 신정일치 체제의 이슬람 공화국을 수립했다. 과격해진 시위대는 테헤란에 있는 미국 대사관 직원 70여 명을 무려 444일 동안 억류했다. 팔레비 왕정을 지원한 미국에 대한 보복이었다. 그 후 이란과 미국의 적대적 관계는 평행선을 달렸다. 이란의 군사적 무장을 경계한 미국은 경제 제재와 외교적 압박의 고삐를 놓지 않았다.
그런데 미국을 경악하게 하는 사건이 발생했다. 이란이 은밀하게 핵무기를 개발하고 있었던 것이다. 이스라엘은 중동의 오랜 앙숙인 이란의 핵 보유를 용인할 수 없었기에 강력한 응징을 주장하고 나섰다. 하지만 당시 미국의 상황은 녹록치 않았다. 엄청난 사상자를 내는 이라크 전쟁을 종결하지 못하고 있었고 9.11 테러범을 잡기 위해 들어간 아프가니스탄에서는 주범인 오사마 빈 라덴의 행방조차 찾지 못하고 있었다. 조지 부시 대통령에 대한 여론은 최악이었다.
이런 상호아에서 이란을 물리적으로 공격할 경우 제3차 세계대전으로 치달을 가능성이 농후했다. 이란의 핵무기 개발을 저지하되 또 다른 전쟁을 치를 수 없는 딜레마에 빠져 있을 때 전혀 새로운 옵션이 제시됐다. 바로 핵무기 개발을 은밀하게 방해하는 사이버 공격이다.
핵무기를 제조하기 위해서는 우라늄을 원심분리기에 넣고 정제해서 동위원소 우라늄235 비율을 90% 이상으로 농축시키는 과정이 필수다. 문제는 우라늄 농축 과정에서 원심분리기를 돌리는 회전자다. 회전자의 속도가 너무 빠르거나 느리면 원심분리기가 이탈하거나 부서진다. 회전자의 오작동은 피하기 어렵기에 실패 확률을 줄이는 수밖에 없다. 바로 이 회전자의 오류성과 민감성에 공격 초점이 맞춰졌다.
만일 고의적으로 회전자가 오작동하도록 만들 수 있다면? 오작동이 감쪽같아서 이란 기술자들의 눈에 자신들의 기술 부족으로 비춰진다면? 폐쇄적인 국가인 이란에서 그것도 극히 소수만 들어갈 수 있는 격리된 시설에서, 눈 앞에 있는 장비를 지구 반대편에서 조작한다는 것을 누가 감히 상상하겠는가? 만일 작전이 성공한다면 우라늄 농축은 난항을 겪을 것이다. 이란은 그 원인을 자신들의 기술력 탓으로 돌리지 외부 소행으로 생각하지 않을 것이다.
사이버 공격 목표는 정해졌다. 은밀하게 기계 장애를 유발시키는 '사보타주', 작전명은 '올림픽 게임 Olympic game'이었다. 이 작전에는 몇 가지 전제 조건이 있었다.
첫째, 발각되면 안 된다. 회전자의 오작동으로 우라늄 농축에 실패하되 이란은 눈치채지 못해야 한다. 만일 회전자 오작동이 해킹에 의한 것으로 드러나면 이란은 장비의 취약점을 조치해버릴 것이다. 이렇게 되면 심혈을 기울여 개발한 공격 도구가 무용지물이 되고 만다.
둘째, 악성코드는 나탄즈 핵 시설 안에서만 동작해야 한다. 우라늄 농축 과정을 제어하는 장치를 '프로그래머블 로직 컨트롤러(PLC)'라고 한다. 문제는 PLC가 핵무기 개발 용도 이외에도 전력, 수도, 철도 등 각종 기반 시설에서 사용된다는 점이다. 만일 악성코드가 나탄즈를 벗어나 세계 여러 나라의 각종 기반 시설에 침입해 장애를 일으킨다면 민간인이 부수적 피해를 입을 수 있다. 이를테면 근처 병원의 의료 장비가 악성코드에 감염되면 환자의 생명이 위협받을 수 있다. 또한 사이버 공격의 실체가 밝혀지면 국제적 혼란을 키울 것은 명약관화하다.
올림픽 게임은 고난이도 기술과 시나리오로 구성된 종합 프로젝트였다. 우라늄 농축 시설에 대한 전문성이 있어야 했고 이란에서 사용하는 제품과 기술, 내부 인프라에 대한 첩보가 필요했다. 핵무기 시설은 외부와 완전히 분리돼 있으니 네트워크를 이용한 잠입은 불가능하다. 어떻게 악성코드를 나탄즈의 컴퓨터에 잠입시킬 수 있을까? 누가 내부 컴퓨터에 USB를 꼽을까? 망이 분리돼 있으니 원격 지원 없이 알고리즘 스스로 작전을 수행해야 한다. 이처럼 상상력과 기술력을 총동원해 차원이 다른 공격을 수행해야 했다.
악성코드를 제작하는 데 고도의 스킬과 역량이 필요했고 꽤 오랜 시간이 걸렸다. 프로젝트를 지시했던 부시 대통령은 끝내 마무리하지 못하고 정권을 넘겨주게 됐다. 그가 오바마 대통령 당선인에게 인수인계를 하며 올림픽 게임 프로젝트를 직접 브리핑했다고 하니 얼마나 중요한 프로젝트였는지 짐작이 간다. 결국 공격 명령은 후임인 오바마 대통령이 내렸다.
초기에는 꽤 효과가 있었다. 이란은 원인 모를 회전자 오작동으로 골치를 앓았지만 눈치채지 못했다. 2010년 초까지 이란이 보유하던 원심분리기 8700여 개 중 4분의 1에 해당하는 2000여 개가 수리할 수 없을 정도의 피해를 입었다. 올림픽 게임은 핵농축 프로그램을 지연시키는 데 성공했다.
그러나 결국 우려한 일이 벌어지고 말았다. 악성코드가 외부로 유출돼 전 세계로 급속히 퍼져나갔다. 어떤 연유로 이란의 나탄즈를 빠져나갔는지 알 수 없었지만 벨라루스의 한 보안 기술자가 제일 먼저 발견했고 이어 시만텍을 비롯한 보안 회사들이 악성코드를 탐지했다. 마이크로소프트는 악성코드의 처음 몇 글자를 조합해 '스턱스넷Stuxnet'이라고 명명했다.
스턱스넷이 알려지자 이란은 핵무기 개발이 은밀하게 제지된 사실에 경악했고 미국은 곤혹스러워했다. 이 사건은 이란이 사이버 해커를 집중 양성하는 계기가 됐다.
스턱스넷은 사이버 영역에서 만들어진 디지털 신호가 물리적 공간에 피해를 입힐 수 있다는 '사이버 키네틱 공격'의 가능성을 현실로 만든 첫 케이스다. 그것도 핵무기 개발을 놓고 국가 간의 첨예한 대립이 전개되는 상황에서 일어난 것이다. 스턱스넷은 몰래 활동하는 스파이와 원심분리기를 작동하지 못하게 한 알고리즘의 합작품이었다.
미국 국가안보국(NSA)과 미국 중앙정보국(CIA) 국장을 지냈던 마이클 헤이든은 스턱스넷 사건의 의미를 다음과 같이 설명했다.
"이번 사건은 사이버 공격이 물리적인 파괴를 달성할 수 있는 속성이 있다는 것을 보여준 최초 사례입니다."
그의 말은 이어진다.
"누군가 루비콘 강을 건넌 겁니다."
스턱스넷은 특급 기밀이라 궁금증이 끊이질 않는다. 올림픽 게임은 미국이 이스라엘과 합동으로 벌인 사건이 맞는가? 나탄즈 핵 시설 안으로 어떻게 악성코드를 집어넣었고 어떤 경로로 나탄즈 밖으로 새나갔을까? 2039년에 올림픽 게임 관련 기밀이 공개된다고 하니 기다려본다.
p.32-33
앞서 스턱스넷이 자국의 핵무기 개발을 저지하려는 목적으로 탄생했다는 사실에 자극을 받은 이란은 사이버 전투 의지를 불태웠다. 삽시간에 사이버 공격 역량을 결집해나갔다. 그 결과가 나오기까지 오랜 시간이 걸리지 않았다. 이란의 첫 공격 대상은 미국의 우방이자 오랜 중동의 앙숙이던 사우디아라비아였다.
2012년 8월 15일 세계 최대 석유 회사인 사우디아라비아 아람코의 컴퓨터 3만 5000여 대가 먹통이 되는 사태가 발생했다. 어떤 컴퓨터 화면에는 불타는 성조기의 이미지가 나타났다.
스스로를 'Cutting Sword of Justice'라고 부르는 해커들은 이슬람교의 라마단 기간을 이용했다. 많은 IT 인력과 보안 전문가가 휴가를 가서 대응할 수 없었기 때문이다. 아주 파괴적이고 전혀 돈을 요구하지 않은 전형적인 국가 지원 공격이었다.
무엇보다 이란이 단기간에 사이버 전사를 양성했다는 사실이 우리를 놀라게 했다. 국가가 마음만 먹으면 얼마든지 사이버 공간에서 공격 역량을 갖출 수 있음을 보여준 사례다. 천문학적 투자와 절대적인 시간 확보가 필요한 군사력과 달리 사이버 역량은 사람과 의지에 좌우되는 영역이다. 이제 지능적이고 대담한 사이버 공격 뒤에는 국가가 은밀하게 후원한다는 사실은 더 이상 비밀이 아니다.
p.35-37
미국은 연간 약 200만 건의 신원 조사를 하는데 연방정부에 Standard Form(SF)-86을 작성해 제출해야 비밀취급인가를 받을 수 있다. 127쪽에 달하는 SF-86 질문서에는 채무 문제, 친지 현황, 범죄 경력, 약물 취급, 심리 상담 치료 등 민감한 내용이 담겨 있다. 당시 OPM은 약 1800만 장의 SF-86을 보관하고 있었다. 이렇게 국가 내 권한을 가진 사람만 볼 수 있는 고급 정보가 적에게 넘어간 것이다.
또한 그 속에는 무려 560만 명의 지문 정보도 포함돼 있었다. 생체 정보는 사람마다 하나씩 보유한 고유 식별자로 패스워드처럼 마음대로 바꾸지 못한다. 그래서 중요 시설이나 시스템을 보호하는 강력한 인증 방법으로 쓰인다. 만일 적국의 스파이나 테러리스트가 훔친 생체 정보를 사용한다면 방어막은 손쉽게 뚫린다는 얘기다.
OPM 외에 앞서 다른 세 곳도 민감한 개인정보를 갖고 있다. 호텔에 머문 동선과 기록(메리어트 호텔), 건강 의료 기록이 담겨 있는 정보(앤섬 헬스케어), 신용평가기관이 보유한 채무 이력(에퀴팩스)은 가족조차 알기 어려운 사생활 정보다. 만일 OPM과 이 세 기업에서 탈취한 정보가 누군가의 손에 들어간다면 협박하거나 유혹하기에 좋은 수단이 되지 않겠는가?
예를 들어 경제적 어려움을 겪는 연방 공무원을 매수하려고 할 수도 있고, 불륜과 같은 약점을 이용해 협박할 수도 있다. 또한 CIA 직원 정보는 OPM에 들어 있지 않아서 만약 해외에 거주하는 외교관 신분의 직원 리스트를 전수조사하면 CIA 직원을 가려낼 수 있다. 이처럼 개인정보 유출 사건 하나하나를 보면 단편적인 일처럼 보이지만 훔친 정보를 조합해 적국이 악용한다면 이는 국가 안보를 위협하는 중대한 이슈다.
중국은 개인정보만 노린 것이 아니다. 중국의 사이버 공격은 한 가지 큰 차이점이 있는데 통상 무역과 관련된 비밀이나 지적재산권을 탈취한다는 것이다. 구글의 소스코드를 노린 오로라 공격(Operation Aurora)이 탐지되자 구글에 비상이 걸렸다. 소스코드는 IT 기업의 보석과 같은 자산이다. 바로 그 심장을 노린 것이다. 그렇지 않아도 중국 정부의 검열 때문에 중국 사업에 골치를 앓던 구글은 오로라 사건을 계기로 중국에서 철수하는 결정을 내렸다.
가장 충격적인 지적재산권(IP) 탈취는 군사 기밀이었다. 미국 일간 워싱턴포스트는 미국의 첨단 무기 시스템 설계도를 중국 해커가 탈취했다고 보도했다. 그 중에는 미국의 미사일 방어 시스템인 패트리어트, 사드, 이지스 등이 망라돼 있었다. 이와 같이 첨단 기술, 군사 장비, 하이테크 기업의 소스코드 등 IP라는 무형 자산을 향한 중국의 사이버 공격은 그칠 줄 몰랐다.
미국의 국가안보국 국장 겸 최초의 사이버 사령관으로 임명된 키스 알렉산더 장군은 매년 2500억 달러(약 327조 5000억 원) 상당의 지적재산권을 도둑맞고 있다며 미국이 당한 사이버 범죄를 한 문장으로 표현했다.
"역사상 최대의 부의 이동"
p.48-49
미국의 추수감사절 연휴를 앞둔 2014년 11월 24일, 소니 픽쳐스 직원들의 컴퓨터 화면에 'Hacked By #GOP'라는 제목과 함께 흉악한 해골이 나왔다. 스스로를 평화의 수호자(Guardians of Peace)라고 자처하는 해커 그룹이 소니 픽처스 네트워크와 시스템을 중지시키며 보낸 공포의 메시지였다. 소니 픽처스 임직원들은 즉각적으로 시스템을 복구하려고 노력했다.
그러나 공격은 이제 시작에 불과했다. 다음 날인 11월 25일부터 해커는 소니 픽처스가 아직 출시하지 않은 영화를 하나씩 온라인에 공개했다. 급기야 11월 28일에는 소니 픽처스의 내부 파일을 모조리 인터넷에 공개했다. 파일 안에는 소니 픽처스 임직원의 개인정보와 이메일, 민감한 급여 내역이 들어 있었다. 여러분이 다니는 직장의 CEO나 상사, 직장 동료가 받는 연봉이 만천하에 공개됐다고 생각해보라. 회사를 뒤흔드는 일이 일어난 것이다.
<디 인터뷰>를 크리스마스에 맞춰 상영하려던 극장들은 시민의 안전을 이유로 하나둘 발을 빼기 시작했다. 소니 픽처스도 시사회나 출시 일정을 조정하기에 이르렀다. 북한의 사이버 공격은 성공하는 것처럼 보였다.
오바마 대통령은 소니 픽처스가 내린 결정을 탐탁지 않아 했다. 소니 픽처스 해킹에 대한 기자의 질문에 "나는 소니 픽처스가 실수했다고 생각합니다"라고 단언한 뒤 반대 이유를 명확히 밝혔다.
"어딘가에 있는 독재자가 미국에서 만든 저작물을 검열하도록 방관하는 사회가 돼서는 안 됩니다. 풍자적인 내용을 다룬 영화의 출시를 막기 위해 누군가가 협박하게 둔다면 자기가 좋아하지 않는 다큐멘터리나 뉴스에 대해서도 그럴 겁니다. 그러면 제작사나 배급사는 자기 검열을 하게 됩니다."
오바마 대통령은 북한의 행위를 용인하는 태도가 미국의 헌법 정신인 언론과 사상의 자유를 해칠 수 있다고 본 것이다. 어떠한 콘텐츠이건, 어떤 상황에서도 헌법 정신을 훼손할 수 없다는 그의 원칙은 확고했다. 미국 시카고 대학에서 헌법학 강의를 했던 교수다운 면모가 드러나는 순간이었다. 그가 제시한 의견은 터닝 포인트가 됐다.
구글이 전격적으로 영화를 온라인에 출시하기로 결정한 것이다. 일부 극장이 결정을 뒤집기 시작하며 마침내 극장 상영이 확정되고 <디 인터뷰>는 오히려 주목받는 영화가 됐다. 돌이켜 보건데 북한은 소니 픽처스 해킹 공격으로 얻은 게 그다지 없다. 소니 픽처스의 내부 파일을 공개해 창피를 줬지만 <디 인터뷰> 출시를 막지 못했기 때문이다. 소니 픽처스는 초기에 당황하고 우왕좌왕했지만 시간이 흐르면서 신중해졌다.
p.55
7.7 디도스는 10만 대 이상의 컴퓨터를 악성코드로 좀비화하면서 발생한, 국가 차원에서 최초로 겪은 사이버 공격이다. 당시 악성코드를 먼저 수집해서 백신을 개발해 배포하고, 그 악성코드에 숨겨진 공격 대상과 시간을 해독하여 악성코드 구조를 실시간으로 공유한 곳이 안랩이었다. 워낙 안랩이 주도하다 보니 언론에서 '관군은 없고 민병만 있다'라는 타이틀이 나올 정도였다.
언론에서 온갖 스포트라이트를 받으니 시샘도 많이 받았다. 그렇지만 누구라도 해결해야 할 것 아닌가? 국가로부터 돈 한 푼 받지 않고 봉사 차원에서 한 일이고 안랩에 디도스 방어 제품이 없었기에 기대할 만한 사업적 이득도 없었다. 그저 대한민국을 위해 좋은 일을 했다는 자부심으로 만족하자고 직원들을 격려했던 기억이 난다.
그런데 7.7 디도스 공격의 처음부터 끝까지 중심에 있었던 기업에게는 물어보지도 않고 대책을 만들었다고 한다. 게다가 그 문서에는 신속한 사고 분석이 핵심 경로에 놓여 있었고 안랩이 대표적인 기업으로 적시돼 있었다. 안랩 CEO인 내가 전혀 내용을 모르는데 과연 그런 계획이 제대로 실행될 수 있을까? 정부라고 민간기업을 맘대로 동원할 수 있는 건가?
사이버 공격을 받으면 일단 당황하게 돼 생각할 시간이 없다. 아무리 훈련을 해도 잘될지 장담할 수 없다. 시시각각 환경이 변하면서 수많은 변수가 발생하기 때문이다. 책상 위에서 그려낸 이론과 실제 상황은 다르다.
그나마 디도스 공격은 외부에서 웹사이트로 트래픽을 쏘아대는 비교적 간단한 유형이다. 어렵게 내부망으로 침투할 필요가 없다. 이에 비해 사이버 공격은 이미 조직적인 범죄 단체나 국가 차원의 지원을 받아 치밀한 시나리오와 정교한 해킹 기법으로 전개되고 있었다. 디도스 공격에 맞춘 대비책 정도로 복잡하고 지능적인 사이버 공격에 대응할 수 있겠는가?
p.57-58
사이버 보안이 중요해지면서 전 세계적으로 정보보호최고책임자라는 새로운 자리가 생겨났다. CEO의 사이버 보안 미션을 일부 위임한 직책이다. CISO가 되려면 어떤 자질이 필요한지에 대한 질문을 받는다. 사이버 보안이라면 으레 기술 영역이라고 짐작하고 전문 스킬셋이나 자격증, 학위를 구비해야 할 것이라고 생각한다. 그러나 나의 답변은 그들의 예상을 벗어난다.
"조직 장악력입니다."
예를 들어 '모든 PC에서 USB 사용을 금지한다', '특정 인터넷 사이트 접근을 금한다', 'A사와의 비즈니스를 끊는다'와 같은 보안 정책을 내렸을 때 CISO의 지시가 조직 구석구석에 먹혀야 한다. 떄로는 보안을 위해 기존 절차를 바꿀 수도 있다.
물론 경영진이라면 합리적인 근거에 기반해 임직원을 설득하고 소통해야 한다. 그러나 일단 방향이 정해지면 단호하고 신상필벌이 명확해야 한다. 본래 의도한 방향대로 유지되는지 끊임없이 관찰하고 점검해야 하며 혹시 잘못된 방향이었다고 판단되면 솔직하게 인정하고 방향을 틀 수 있어야 한다. 리더의 역할과 책임은 그런 것이다. 불편하다고 예외를 인정하기 시작하면 실효성이 떨어진다.
p.78~79
조직을 이끄는 순간부터 크고 작은 결정을 내려야 한다. 지금껏 수많은 결정을 스스로 하고 결정 과정에 참여했다. 그런데 임시로 구성된 위원회에서 시원하게 결정을 내리는 모습을 본 적이 없다. 위원회는 정보를 공유해 결정을 추인할 순 있어도 과감한 전략을 추진하기 어렵다. 결국 사업 현장을 이끄는 리더의 판단이 중요하다.
p.98-99
요컨대 웹은 정보와 컴퓨터를 분리했다. 웹 이전 시대에는 정보르 다루기 위한 기술적 과정에 시간을 쏟아야 헀다면 웹 이후는 정보 자체에 집중했다. 다시 말해 웹 이전이 기술 중심 세계라면 웹 이후는 정보 중심 세계다. 인터넷은 정보의 넓은 바다로 보통 사람들을 끌어들인 게임 체인저다.
그러나 인터넷은 전혀 통제되지 않는 세상이다. 미국 국방부에서 인터넷을 만든 의도는 핵 공격을 당해도 커뮤니케이션할 수 있는 분산 네트워크를 확보하는 데 있었다. 인터넷 프로토콜, 월드와이드웹의 발명은 모두 미국 정부의 지원 덕택이다. 애당초 인터넷은 연구소나 학교에서 신뢰할 수 있는 사용자 간에 호환되는 프로토콜에 촛점을 맞추었지 보안은 관심 대상이 아니었다.
인터넷을 통제하는 주체도 없다. 그나마 미국 정부의 마지막 역할이었던 인터넷 도메인 관리가 1998년 ICANN이라는 비영리단체로 넘어가면서 그야말로 100% 민간에 의해 움직이는 인프라가 됐다. 보안의 핵심은 중앙 통제인데 통제 주체가 없는 정보의 바다, 그것이 인터넷이다.
p.104
산업이 발전하고 상거래가 확대되면서 금융은 경제의 혈관이 됐다. 여기에 IT가 도입되면서 거래량이 증가하고 거래 방식이 다양해졌다. 타 은행으로, 다른 금융권으로, 국제적 거래로, 파생 상품으로 확장되면서 금융 산업은 날로 커졌다. 문제는 거래가 급증하는 가운데 산업시대에 형성된 모델을 얼마나 유지할 수 있느냐였다. 그러던 중 2008년 금융 위기가 터졌다. 금융회사의 탐욕과 부도덕한 행태가 알려지면서 중개기관에 대한 불신이 극도로 팽배해졌다. 개인의 힘이 커진 디지털 시대인데 금융 회사를 제쳐놓고 거래할 수는 없을까?
이때 사토시 나카모토라는 신비한 인물이 비트코인 백서를 발간했다. 그는 첫 문장에 '중개 없이 온라인 지불이 이루어지는 전자 현금'을 천명했다. 전자적인 거래를 중개기관 없이 성사시키려면 디지털 데이터의 특성인 '복사'와 '이전'문제를 해결해야 했다. 이른바 '이중장부'의 문제다. A가 B에게 돈을 보낼 때 장부를 맞춰주는 중개기관의 역할을 어떻게 대체할 것인가? 만일 모든 사람이 동일한 장부를 갖고 거래할 때마다 맞출 수 있다면 가능하지 않을까? 그것이 분산장부와 암호 기술로 구성된 블록체인 개념이다.
블록체인은 중개기관 없이 디지털 정보를 교환하는 개인 간의 거래 구조다. 그 방식은 냅스터가 MP3 파일을 교환할 때 사용했던 P2P 기술에서 진화했다. 블록체인은 어느 날 갑자기 나타난 것이 아니라 이동이 안 되고 복사만 되는 디지털 데이터의 속성을 극복하려는 노력의 일환으로 탄생했다.
p.105
데이터는 디지털 시대의 재료이자 소통 수단이다. 수많은 모바일 기기, SNS, 사물인터넷, 로봇에서 발생하는 폭발적인 데이터르 안전하게 처리해서 보관하고 정확한 장부로 맞추는 것은 기본이다. 문제는 원본과 동일하게 무한 복사되는 디지털 데이터의 속성이다. 디지털의 이러한 속성을 고려해야 실효성 있는 보안 정책을 수립할 수 있다.
p.112-113
모르는 것을 지킬 수는 없다. 몇 대의 컴퓨터가 네트워크에 연결돼 있는지, 어떤 버전의 소프트웨어를 사용하는지, 데이터는 언제 누가 만들어서 처리하는지, 컴퓨터에 의해 작동하는 기계가 얼마나 되는지 모르고 대책을 세울 수 있겠는가. 하드웨어, 소프트웨어, 데이터베이스, 앱, 모바일 기기, 프린터 등을 IT 자산이라고 한다. 해커가 벌이는 공격을 막연히 걱정하기에 앞서 자신이 가진 IT 자산을 정확히 파악한 뒤 그것을 기반으로 보안의 틀을 세워야 한다.
구글은 대표적인 테크 기업이다. 당연히 보안 대책도 기술에 방점을 둘 것 같지만 오히려 구글 CISO인 필 베너블스의 권고는 기본에 중심을 둔다.
"대부분의 사이버 공격은 새로운 취약점을 노린 경탄할 만한 방법이라기보다 이미 운영 중인 통제 약점을 노린 것이 대부분입니다."
시시각각 변하는 IT 환경에서 현재 시점과 1시간, 2시간 후의 보안 상태는 전혀 다르다. 새로운 장비가 들어왔을 수도 있고 새로운 계정이 생성됐을 수도 있고 누군가 악성코드가 감염된 노트북 컴퓨터를 연결할 수도 있다. 매분 매초 수많은 데이터와 네트워크 패킷이 오가는 환경 자체가 도전이다.
아무리 세계적인 보안 제품을 가져다 놓아도 제대로 설정하지 않으면 무용지물이다. 좋은 약을 몽땅 먹으면서 바쁘다는 핑계로 체력 관리를 하지 않는 것과 같다. 사이버 보안은 자신과의 끊임없는 싸움인 셈이다.
자기 관리를 경영 용어로 표현하면 '거버넌스 체계를 세워서 가시성을 높이는 것'이라고 한다. 이를 위한 방법론이 IT 자산과 리스크를 식별하고 각종 위협에 대해 예측한 지표로 만드는 '리스크 관리 체계 Risk Management Framework RMF'다.
미국 국립표준기술연구소(NIST)에서 만든 사이버 보안 프레임워크(NIST CSF)나 국제표준기구(ISO)에서 만든 ISO/IEC 27001을 기반으로 전 세계 유수의 기업이 보안 거버넌스 체계를 운영하고 있다. 그런데 한국에서는 관심을 끌지 못한다. 사이버 보안을 기술적으로 대응해야 하는 이슈로, 즉 경영 관점에서 보지 않는다는 방증이 아니겠는가?
p.118-119
글로벌 은행에 일하다 보니 전 세계의 규제를 살펴볼 기회가 생기곤 한다. 미국이나 EU와 한국의 규제를 비교하니 확연히 다른 점이 있다.
한국에서는 정해진 가이드라인을 준수하는 체크리스트 방식이 일반적이다. '주민등록번호를 암호화하시오', '방화벽을 설치하시오',' 취약점을 점검해 조치하시오'같은 보안 점검 항목을 제시한다. 가이드라인을 잘 따르는 것만 해도 쉬운 일이 아니다. 그런데 문제는 가이드라인에만 촛점을 맞춘다는 점이다. 체크리스트에 없으면 아예 들여다보지도 않는다. 설사 사고가 나더라도 가이드라인을 충실히 따랐다면 책임이 경감된다. 그러다 보니 어떤 기업은 은근히 디테일한 규제를 원하기도 한다.
반면에 미국이나 EU의 규제 방식은 문제를 스스로 만들어 답을 찾아가는 형태다. 어떻게 보면 아주 영리한 접근 방식이다. 감독기관 입장에서는 구태여 힘들여 문제를 내느라 준비할 필요가 없지 않은가? 문제를 도출하고 해결하는 방법이 부실하면 따끔하게 지적하면 되고, 설계가 잘 됐으면 제대로 운영하는지 확인하면 된다. 전자를 설계 효과성 design effectiveness, 후자를 운영 효과성 operational effectiveness이라고 한다.
이처럼 스스로 문제를 내서 해결책을 찾는 방식, 즉 리스크를 파악해 처리하는 방법론을 앞서 말한 리스크 관리체계(RMF)라고 한다. RMF를 통해 내가 보유한 정보 자산은 어떤 것인지, 각 자산을 겨냥한 위협은 무엇인지, 위협을 받았을 때 비즈니스 영향은 어느 정도인지, 그런 위협을 막기 위해 어떤 보안 통제를 적용해야 하는지 등을 도출해낸다.
이를테면 체크리스트 방식은 PC에 백신이 잘 설치됐는지, 제대로 작동하는지를 점검하는 형태다. 반면에 어떤 유형의 PC(직원 업무용, 테스트용, 공장 라인 운영용 등)를 사용하는지, 각 PC에 어떤 위협(악성코드, 계정 탈취, 디스크 삭제 등)이 예상되는지, 그로 인한 피해가 얼마인지를 계량화한 뒤 리스크를 줄일 수 있는 통제방안을 마련하는 것이 RMF 방식이다.
p.138-139
이 과정을 한 장의 그림으로 표현하면 다음과 같다.
- 모든 IT 자산을 정확히 파악하는 것은 기초다. 모르는 것을 지킬 수는 없다.
- 자산에 대한 CIA 평가를 통해 어떤 관점(기밀성, 무결성, 가용성)에 무게를 두어야 할지 결정한다.
- 비즈니스 영향도는 정량적인 보안 등급과 더불어 비즈니스 측면에서 위협 시나리오를 예측한 정성적인 평가로 구성된다. 여기에서 조직이 가지고 있는 총체적인 리스크가 나온다.
- 리스크를 줄이기 위해 기술/제품, 프로세스, 사람의 3대 요소를 동원해서 보안 통제를 구성한다.
- 위협 모델에 대입해서 보안 통제의 효과성을 판단한다. 최종적으로 나온 잔여 리스크의 수준에 따라서 추가적인 보안 통제를 구축하거나 모니터링을 강화한다.
리스크 관리 프레임워크는 보안 거버넌스의 틀이다. 기업이나 정부는 물론 국가도 이런 체계를 구성할 수 있다. 단지 업의 특성이나 규모에 따라 차이가 있을 뿐이다. 요컨대 전체 구성원이 사이버 리스크에 대한 공동 지표를 갖추어야 한다. 일단 방향성이 정립되면 어떠한 신기술이나 신종 위협이 나오더라도 당황하지 않고 의연하게 대처할 수 있다. 서로 다른 기업과 국가가 소통할 수 있는 거버넌스 체계를 갖추어야 보이지 않는 위협에 공동으로 대처할 수 있다.
p.144-145
"프로젝트가 급하니 일단 건너뛰고 나중에 고칩시다."
이런 문화 속에서는 부실이 나올 수밖에 없다. 일단 마무리하고 나중에 할 것인가? 일은 끊임없이 밀려오고 일할 수 있는 인력은 항상 부족한 상황에서 검증할 여유는 나중에도 없다.
검증 단계는 아주 많다. 소프트웨어의 경우 개발한 코드를 반영하기 전에 취약점 점검을 돌리거나 동료에게 검증을 맡긴다. 만일 치명적인 취약점이 발견되었다고 하자. 그런데 이 서비스가 내일까지 출시되어야 한다면 어떻게 하겠는가? 신규 서비스가 바로 매출과 직결되는 상황이라면 CEO와 사업본부장은 어떤 판단을 하겠는가? 이러 때 원칙에 따라 출시를 연기하는 결정을 내릴 수 있어야 한다.
그렇지만 실상은 그 반대인 경우가 많다. 심지어 유명한 IT 기업에서도 적당히 타협하는 경우를 보았다. 해커는 단 하나의 취약점만 있어도 파고든다. 철저한 보안 정책으로 '괜찮겠지'라는 판단의 여지를 없애야 한다.
공격 저지가 외부와의 전쟁이라면 안전한 빌드업은 조직 내부와의 싸움이다. 그래서 리더의 확고한 신념과 보안에 대한 인식이 필수다. 공격을 저지하는 것은 보안팀을 격려하고 지원해주는 정도가 리더의 역할이다. 이에 비해 안전한 빌드업을 위해서는 경영진과 전 직원이 철저하게 규칙을 준수하도록 조직 문화를 바꾸어야 한다. 그래서 빌드업에는 강력한 리더십이 요구된다.
보이지 않는 위협은 2023년 8월 15일에 발행된 최신의 사이버 보안 관련 책입니다. 사이버 보안이라고 하면 딱딱하고 어려운 내용으로 가득 찬 책을 생각하기 쉬운데 이 책은 전혀 그렇지 않습니다. 저자는 사이버 보안이 왜 중요한지를 기술적인 이야기보다는 정책적인 부분과 실제 사례, 정치, 국가 관계 등을 중심으로 설명합니다. 이 책을 읽음으로써 사이버 분야의 흐름이 어떻게 흘러가고 있는지를 조금 더 알 수 있게 되었습니다. 특히, 이름만 알던 자들의 이력이나 업적 같은 것을 알 수 있게 되어서 그 사람의 행보가 왜 중요한지도 알 수 있던 점이 유익했습니다. 확실하게 말할 수 있는 것은 사이버 분야에 관심이 없는 사람도 이 책을 읽어야 한다는 점입니다. 사이버는 피할 수 없는 흐름입니다. 사이버에 대해 조금이라도 더 알고 있는 것이 사회를 지혜롭게 살아가기 위해 도움이 될 것입니다.
온라인으로 거의 모든 업무를 하고 있는 디지털 노마드 생활을 하고 있다. 외국에서 돌아다니기도 하고, 국내에서도 종종 이동하면서 업무를 처리하기도 한다. 이럴때마다 마음 한 구석에 걱정되는 한 가지가 바로 보안 문제다. 특출난 프로그램 전문가도 아니여서 문제가 생겨도 바로 알아차리지 못할 수도 있고, 시스템이 다운되는 상황이 온다면? 과 같은 생각을 아주 가끔 하기도 한다.
이런 것들을 예방해주고 문제해결을 해주는 것이 사이버 보안일텐데, 어렵게만 느껴지는 이 분야를 알기 쉽게 설명해주고 있는 책을 만났다. 부제가 ‘66가지 이야기로 풀어낸 사이버 보안의 전장’ 인, <보이지 않는 위협> 이다. 저자는 대한민국 벤처 신화의 주역이자 보안 1세대의 대명사로 이름을 날린 전자공학 전공의 김홍선이다.
사이버 공격 사례를 지정학적, 역사적으로 설명해주는 것으로 1장을 열고, 정부와 기업 리더들이 가져야하는 생각들, 사이버 위협이 발생하게된 그 원인을 짚어주면서 사이버 보안을 비즈니스와 리스크의 관점으로 재구성하면서, 건강한 빌드업에 대하여 조언해주고 있다.
여기에서 그치지 않고, 한국의 특징에 비추어서 분석을 하고, 인문학과 기술, 물리적 공간과 사이버 공간, 프라이버시 문제 등 우리 삶 속에서 이뤄지는 사이버리스크를 통합해서 해석해주면서 읽는 재미도 더해주고 있었다.
마무리는 사이버 보안의 특성을 소개하면서 사이버 보안이 미래에 미칠 영향 등으로 하고 있었다.
단순히 기술적인 문제만을 열거하지 않아서 완독할 수 있었고, 읽는 재미 알아가는 재미도 많은 책이였다. 기본 지식이 없더라도 충분히 이해할 수 있으며, 사회적, 국제적 정세, 역사적인 내용까지 알아가는 것 또한 기대할 수 있는 내용이다. 사이버 세계에 살고 있는 이라면 다 읽어보았으면 한다.
_이제 사이버 공간은 엄연히 전쟁의 한 축이며 국가 안보를 위한 주춧돌이다._p26
_한편 빠른 네트워크로 연결된 디지털 문명 속에서 컴퓨터 결함을 노린 인간의 탐욕과 범죄가 인간 사회를 치명적 상황에 빠뜨리고 있다. 컴퓨터로 연결된 세상은 인간 사회를 단번에 위험을 빠뜨릴 수 있다._p275
_사이버 보안은 우리가 피할 수 없는, 반드시 책임지고 갖추어야 할 핵심 리스크다._p287
우선, 재미있다! 정보보호와 관련된 업무를 하는 사람이 아니더라도 재미있게 읽을 수 있다. 특히, C레벨에 있는 임원분들이 꼭 읽어봤으면 하는 책이었다.
이 책은 정보보호를 위한 관리방식이나 기술을 알려주지 않는다. 다만, 이야기를 들려준다! 어떻게해서 사이버보안이 시작되게 되었는지, 어떻게 발전해 왔는지, 앞으로는 어떤일들이 일어나게 될지… 저자의 지식과 경험을 바탕으로 무겁고 어려울 수 있는 주제를 옛날 이야기책처럼 쉽게 그리고 재미있게 풀어냈다.
보안업계에서 일을 하고 있으면서도 자주 잊게 되는것이 있다. 사이버 보안은 기술적인 부문 만큼이나 기술 이외의 부분도 중요하다는 점이다. 제대로 된 보안을 위해 단순히 기술적인 측면이아닌 다양한 관점에서 바라봐야 한다는 것을 새삼 깨달을수 있었다.
이 책을 통해, 정보보호 전문가가 되기위해서는 어떤 자질이 필요한지, 또한 정보보호 리더로서 어떤 식견을 가져야 하는지 많은 것을 배울수 있었다. 강은성 교수님의 “기업 정보보안 가이드”와 더불어 정보보호 업무를 하고자 하는 사람에게 꼭 추천하고 싶은 책이었다.
인터넷이 없으면 아무것도 할 수 없을 정도로 인터넷과 스마트폰에 의존적인 생활을 하고 있는 요즘.. 보안이 중요하다는 것을 머리로는 알고 있지만 막상 행동으로는 실천하지 못하고 있는 것 같습니다. 나의 데이터나 회사 데이터들을 지키기 위해 굉장히 하기 쉬운 일들도 있지만 그것 마저 귀찮아서 안하는 경우가 많습니다. 이 책에서는 데이터를 지키기 위해 복잡한 일들과 간단한 일들까지 포함한 66가지의 실제 사례를 간결하고 명확하게 설명하고 있습니다. 보안의 경우 일반인이나 IT를 하는 사람도 어려운 전문 용어들이 있는데 그러한 어려운 용어를 사용하지 않아 일반인들도 이해하기 쉽게 설명하고 있습니다. 또한 삼국지나 터미네이터 등 누구나 알듯한 사례를 빗대어 설명하는 것이 저자가 최대한 쉽게 설명하기 위해 노력했다고 느껴졌습니다. 이 책을 읽으면서 여러 재미있는 사례들을 알 수 있었습니다. 같은 상황을 경험하지는 않았지만 비슷한 상황이 나오거나 했을 때 대처해야할 방법과 잊고 있었던 보안의 중요성에 대해 다시 한 번 돌아볼 수 있었습니다.
이 책은 보안이라는 복잡하고 어려운 주제를 평이하고 알기 쉬운 일상의 방식으로 설명하고 있으며, 66가지의 이야기를 통해 마치 세미나를 듣는 듯 재미있게 읽을 수 있도록 구성되었다. 저자는 보안 1세대 기업 창업부터 시작하여, 대한민국 종합보안 전문 기업 안랩의 CTO/CEO로 회사의 중흥을 이끌었고, SC제일은행의 CISO로 보안의 제1선에서의 깊이 있는 경험과 지혜를 담아냈다. 저자의 풍부한 경험과 깊은 인사이트를 통해 얻은 귀중한 교훈과 다양한 사례를 공유하며, 이를 통해 독자들이 현실적으로 실용적인 보안 지식을 사례 기반으로 얻을 수 있도록 한다.
우리의 삶의 많은 부분이 디지털화되면서, 사이버 위협은 개인부터 국가 안보까지 모든 분야에 영향을 미치고 있다. 저자가 직접 경험한 사례를 바탕으로 사이버 보안의 중요성을 일깨워주는 66가지 이야기를 구체적이고 흥미롭게 전달한다.
이 책은 어려운 기술 용어를 줄이고 일반인도 이해할 수 있는 언어를 사용하여, 다양한 독자들이 보안 개념을 쉽게 이해할 수 있도록 하고 있다. 저자는 보안의 기술적인 측면뿐만 아니라, 일상에서의 보안과의 연결점을 지속적으로 강조한다. 우크라이나 전쟁, 봉준호, BTS 등 다양한 예시와 모티베이션을 통해 시작되는 이야기는 보안이 미치는 지정학적, 경제적, 사회적 영향의 설명으로 이어진다. 이를 통해 독자들은 자연스럽게 다양한 사례를 통해 생각지 못했던 보안 실패가 실생활에 영향을 미치게 되는 양상과 중요성을 이해하고 깨닫게 된다.
이 책은 사이버 보안에 종사하는 전문가뿐만 아니라, 이 분야에 관심이 있는 모든 이들에게 강력히 추천한다.
코로나, 비트코인, 러시아와 우크라이나 전쟁, CHAT GPT 등 최신 이슈를 소재로 하여 책을 풀어가는 게 책 읽는 내내 흥미를 자극시켰다.
저자가 실리콘밸리와 한국을 넘나들며 다양한 경험을 한 만큼 두 나라의 사이버 범죄의 실제 사례들을 번갈아가며 이야기해준다.
미국 사례들을 통해 왜 미국이 IT 강국이고, 미국 대통령들이 사이버 보안 지원에 아낌없이 하는지를 설명하는 반면,
우리나라 사례들을 통해 숨기기 바쁜 정치적 문제, 의사결정, 수평적인 보고 체계, 책임회피를 위한 증거임멸 등 아쉬운 대처에 대한 사례들을 통해 아쉬운 경험들을 설명하면서 잘못된 점을 짚어주는 게 우리나라 발전을 위한 따끔한 쓴소리로 느껴졌다.
현대에 들어서 모든 것들이 컴퓨터이고, 보안의 취약점이다.
컴퓨터, 각자 들고 있는 스마트폰, TV를 포함한 가전제품 뿐 아니라 매장의 키오스크, 배, 비행기, 우주선 등
우리 일상생활과 밀접한 것들을 포함해 모든 것들이 컴퓨터로 이루어져 있다.
네트워크를 통해 모든 컴퓨터들은 통신을 할 수 있으며 하나라도 범죄에 노출이 된다면 연결된 모든 컴퓨터가 보안에 위협을 받을 수 있다.
하지만, 사람들은 안일하게 생각하고 있다. 백신 회사가 알아서 하겠지, 보안담당자가 알아서 하겠지 등
다른사람이 신경쓰고 각자 모두 신경써야 된다고 지적해주고 있다.
책 구절을 빌려 중요한 내용을 공유하고 싶다.
결국 기본이 중요하다. 코로나19 기간 마스크를 쓰고, 손을 자주 씻는 덕에 독감환자가 크게 감소했다고 한다. 결국 위생 관념이 철저하면 감기에 잘 걸리지 않는 평범한 사실이 입증된 셈이다.
사이버공간 또한 위생이 기본이다. 비싼 백신을 설치하고, 내부망으로 통신하니까 안전하다고 생각하면 안된다. 내 컴퓨터에서 피싱 메일을 클릭하는 순간 나와 네트워크로 연결된 모든 곳이 위협을 받을 수 있다. 만병통치약은 없다. 시스템과 소프트웨어의 취약점을 끊임없이 점검하고, 피싱 메일을 조심하고, 패스워드 관리를 철저히 하는 것이 기본이다.
항상 최신을 따라가며 업데이트하는 게 좋지 않을 수도 있지만, 최소한 취약점 해결한 업데이트는 항상 받도록 하자.
나를 아는 게 중요하다. 아주 사소한 잘못된 취약점 하나라도 발견되면 해커에게 당할 수 있다. 모든 걸 막을 수는 없지만 최소한 나를 알고 내가 가장 지켜야하는 것이 무엇인지 알아야 가장 중요한 걸 이중 삼중으로 방화벽을 칠 수 있다. 내가 지켜야하는 게 뭔지도 모른 채 비싼 백신과 보안프로그램들을 아무리 산다한들 나한테 필요가 없다면 쓸모가 없다.
끊임없이 신기술이 나오는 이 시대에는 더 다양한 방법으로 보안에 노출될 수 있다. 사이버 보안은 한 곳의 목표가 아닌 법 정책, 경제, 경영, 기술관점에서 사회의 핵심 기반이 되어야 한다.
이 책은 사이버 보안에 대한 기술적인 내용이 담겨있지 않다.
저자의 경험과 사회적 이슈인 사이버 전쟁, 해킹, 범죄 등 다양한 이야기를 통해 다소 어렵게만 느껴지는 사이버 보안이란 주제에 대해 쉽고 재밌게 설명해준다.
개발자로 살면서 코드작성에 급급하고 보안을 크게 생각하지 않고 살아왔는데,
사소한 실수로 인해 큰 피해가 발생할 수 있다는 경각심이 생길 수 있는 좋은 기회였다.
개발자 뿐 아니라 IT 종사자가 아닌 일반 사무를 보는 사람들도 어렵지 않게 읽을 수 있을 것 같고,
사이버 보안 의식을 키우는 대에 도움이 될 것 같아서 모든 사람들이 읽어보면 좋을 것 같다.
현 21세기 시대의 비즈니스는 직접 만나서 회의하고 계약서를 수기로 작성해서 직접 싸인을 하는 방식 등 직접적으로 필기로 하는 방식이 아니라 전자적으로 문서를 작성해서 전자서명을 삽입하여 메일로 계약서를 계약할 기업에 보내는 등의 컴퓨터와 노트북, 테블릿 PC등 전자기기를 이용한 방식입니다. 더군다나 코로나 사태까지 일어나면서 이제는 비대면으로 화상회의를 한다거나 나아가 메타버스로 비대면이지만 마치 실제 회의실에 있는 것처럼 가상현실을 이용하는 방식으로까지 발전하였습니다. 그만큼 전자적 비즈니스 방식이 발전하면서 정보와 정보에 대한 보안이 매우 중요해졌습니다. 따라서 정보보안에 대한 교육이나 보안담당자들의 수요도가 엄청나게 높아졌으며 정보보안에 관한 책들도 많이 나오고 있는 추세입니다.
현재 기업이 보안사고로 인해 수백만 달러의 손해를 보거나, 개인정보가 유출되거나, 기밀 자료가 도난당하는 대형 해킹 사건/사고가 벌어지지 않는 날이 드물고 있습니다. 기업들이 계속해서 보안에 실패하는 중요한 이유는 기업의 IT부서가 적절한 사이버보안 기술을 갖추지 못했기 때문입니다. 기업이 외부에 자문하는 경우에도, 보안 컨설턴트들이 패치 누락이나 보안 결함을 알아채지 못하고는 기업의 데이터가 해커들의 공격에 안전하다고 오판할 가능성이 있습니다. 따라서 꾸준히 대응책을 계속 관리해야 하는 보안 담당자와 보안 컨설턴트들의 적극적인 노력이 필요합니다.
그래서 대기업들은 자신들의 기밀정보를 철저히 보안하기 위해 자체 보안팀을 구성하고 관리하기 위해 보안담당자의 비율을 늘리고 있는 추세입니다. 중소기업들도 IT분야에서는 최소 한명씩은 보유하고 있기 때문에 IT분야에서 일하고 계신다면 정보 보안과 해킹 및 취약점에 대해 알아두시는 것이 많은 도움이 될것입니다.
제가 이 책을 선택한 이유는 보안을 모르는 사람들을 위해 평이한 언어로 설명하고 있지만 다루는 내용은 방대하고 묵직해서 사이버 보안에 입문하려는 사람이나 C레벨 임원진 그리고 보안 분야에 종사하고 있는 사람들에게도 필독서로 추천할 만큼 내용이 알차게 구성되어 있기 때문입니다.
이 책의 특성은 디지털 금융 시대에 누구나 공감할 수 있는 평범한 애기로 보안에 대한 시각을 요즘말로 '알잘딱깔센'하게 풀어내며 저자의 글로벌한 경험과 인문학적 통찰을 사회 현상, 트렌드, 시사 이슈와 버무려 사이버 보안의 구조와 중요성에 대해 알기 쉽게 설명하고 있다는 점입니다.
구성
Chapter 1: 피해의 현장
Chapter 2: 리더의 미션
Chapter 3: 위협의 근원
Chapter 4: 보안의 퍼스펙티브
Chapter 5: 빌드업
Chapter 6: 한국이 부족한 것은
Chapter 7: 융합의 마인드
Chapter 8: 보안의 특성
Chapter 9: 미래를 위한 고민
파트별로 나누어 봤을때 1장은 대표적인 사이버 공격 사례를 지정학적 관계와 역사적 맥락에서 설명하고 있고, 2장은 정부와 기업의 리더들이 해야 하는 사이버보안 관점에서의 역할에 대해, 3장은 사이버 위협이 발생하는 근본적인 원인에 대해, 4장은 사이버 보안을 기존의 기술적 접근 방식에서 비즈니스와 리스크의 관점으로 재구성하는 방법에 대해, 5장은 사이버 보안을 위한 안전하고 탄탄한 환경 빌드업 방법에 대해, 6장은 한국이 세계적 흐름과 다른 점을 비교하고 앞으로의 방향 모색에 대해, 7장은 사이버 리스크를 융합 마인드의 관점으로 조명하여 관찰하는 방법에 대해, 8장은 사이버 보안의 고유 특성에 대해, 9장은 사이버 보안이 앞으로의 미래에 끼칠 영향에 대한 저자의 생각을 설명하고 있습니다.
개인적인 생각으로 학습은 보안 담당자나 보안 컨설턴트로 취업을 희망하시거나 취업한지 얼마 되시지 않는 이제 막 정보보안쪽 분야를 시작하시는 초보자이신 분들께서는 1장부터 시작하시면 좋을것 같고 어느정도 경험이 있으신 분들(보안 담당자 또는 보안 컨설턴트 2년차~)부터는 1장은 쭉 훎으시면서 최근 일어난 사회적 이슈에 대해 파악하시고 2장부터 학습하시는 것이 좋을것 같습니다.
개인적으로 약간의 단점이 어쩌면 욕심일수도 있는게 좀더 많은 실습 예제 및 비즈니스 케이스가 담겨있으면 더 좋았지 않았을까라는 아쉬움이 있습니다.
저의 리뷰를 읽어주셔서 감사합니다. 다음에는 좀더 유용하고 좋은 책으로 더 나은 리뷰를 통해 여러분께 책을 소개시켜드릴 수 있도록 더 노력하겠습니다.
이 책은 사이버 보안과 관련한 기술적인 얘기는 들어가 있지 않다. 저자의 경험을 토대로 지금껏 있었던 사이버 보안 전쟁에 대해 어떤 일들이 있었고 어떤 위험과 결과를 가져왔는지를 서술한 책이다. 사이버 보안이 왜 중요한지 알기 쉽게 설명해준다. 사이버 보안이라고 하면 다들 별거 아닌 것처럼 여긴다. 다른 범죄들과 다르게 눈에 잘 보이지 않으니 그런 것 같다. 그러나 저자가 말한 것처럼 모든 범죄는 일어나기 전에 막아야 의미가 있다.(p.83)
앞으로는 보안이 중요하며, 보안전문가가 각광받은 직업으로 떠오를거라는 인식은 소프트웨어 산업이 활성화되기도 전부터 있어왔다. 그러나 뉴스를 보면 종종 어느 은행 혹은 어느 기업에서 개인정보 몇천건을 해킹 당했다라는 소식을 쉽게 접할 수 있다. 과연 회사들이 보안 관리를 허술하거나 능력이 부족해서 그런 것은 아니라고 생각한다. 아무리 보안이 철저하다고 하더라도 틈은 존재한다. 대표적으로 보안 프로그램 업데이트/점검을 하기 위해 잠시 멈추는 시점 등등 다양하다. 저자는 이런 점들을 몸소 겪어와서 그런지 보안에 완벽한 점은 없다는 것을 강조한다.
이 책에서 가장 마음에 들었던 부분은 저자가 보안에 관해 완벽할 수 없다는 것을 계속 말하는 점이였다. 정부나 고객들한테도 '이러이렇게 하면 완벽하게 막을 수 있습니다' 라는 말을 하지 않는다. 고객이나 사용자들 입장에서는 불안감을 해소시켜 줄 확고한 신념이 담긴 말을 원했겠지만, 기술자로서 저자는 그런 말을 하지 않았다. 소프트웨어 분야에 몸을 담고 있어서 그런지 이런 저자의 말에 신뢰감이 느껴졌다. 책 내용 중 한 예시로 마이크로소프트의 보안 전문가가 빌게이츠한테 가서 가슴과 다리 중 총을 맞아야만 한다면 어디에 맞겠냐라는 질문을 했다는 것이다. 안 맞는 경우는 없다고 한다. 그러면 모든 사람들은 둘 중 하나라면 당연히 다리에 맞아야지 라고 생각한다. 보안도 똑같다. 어차피 해킹 당할 수 밖에 없다라고 하면 그나마 덜 중요한 자료나 정보들을 내주겠다는 생각을 가져야 한다. 물론 이런 정보들조차 지키기 위해 노력해야하는 것은 당연하다.
사이버 보안에 대한 대응 방법은 다양하지만 사용자들이 가장 손쉽게 할 수 있는 방법은 보안 프로그램은 최신 버전으로 유지하고, 최신 보안 이슈 소식들을 접하고, 중요한 자료들은 백업해두는 것이다. 보안은 하이 리스크 로우 리턴이라고 생각한다. 막대한 비용을 투자하여 보안에 신경쓴다고 하더라도 한 번 해킹 당하면 무용지물이다. 안 당한다고 하더라도 아무 일 없으니 돌아오는 이득은 없다. 이런 부분에 대해 저자가 어떤 생각을 가지고 있는지 책에 여러 챕터에 걸쳐서 말해주고 있다.
큰큰 맥락에서 보면 문제 없지만, 챕터 6장 '한국이 부족한 것은' 이라던가 몇몇 에피소드들은 굳이 라는 생각이 드는 부분도 있었다. 특히 책 마지막에 가면 같은 내용을 다른 에피소드로 풀어쓴게 전부라는 생각도 든다. 차라리 이런 부분들은 하나로 합쳐서 책을 얇게 했으면 하는 바램도 있었다. 하지만 사이버 보안이 왜 중요하고 어떤 것인지 아주 쉽게 풀어쓴 책이기 때문에 사이버 보안에 대해 잘 모르는 사람들이라면 반드시 읽어봤으면 하는 책이다.
기술은 인간과 한 몸처럼 움직이는 수준에 이르렀기에 기술만의 문제로 치부해서는 안 된다. 사이버 위협은 기계와 연관된 인간의 일거수일투족에 관여되어 있다.
책의 띠지에 적힌, 이 책의 모든 내용을 관통하는 그런 문장이다. 이 책의 저자이신 김홍선 님은 안랩 CEO를 거쳐 현재 SC 제일은행 부행장과 정보보호최고책임자(CISO)를 역임하고 계시는 30년 가까운 경력을 평생 보안과 함께하신 분이다. 소중한 지식과 경험을 이렇게 쉽게 책으로 얻을 수 있다는 것이 신기하기도 하고 감사하기도 하고 그렇다.
이 책은 우리 개개인의 보안에 대한 의식을 바꿀 수 있는 세계의 다양한 사례와 저자의 풍부한 경험으로 구성되어 있다. 다루는 주제가 마냥 가볍지많은 않지만 보안 관련 배경 지식이 없더라도 충분히 잘 읽힌다.
소주제 하나하나가 다 좋은 내용들이라 몇 가지 기억에 남는 이야기에 대해 풀어보려고 한다.
모르는 것을 지킬 수는 없다. 대부분의 사이버 공격은 새로운 취약점을 노린 경탄할 만한 방법이라기보다 이미 운영 중인 통제 약점을 노린 것이 대부분입니다.
4차 산업 혁명, 신기술, AI 등 최첨단 기술 이야기를 하기 전에 스타팅 포인트를 반드시 짚고 넘어가는 것이 중요하다. 공격의 열쇠는 해커가 쥐고 있고 보안 위협은 내가 무언가를 갖고 있기 때문이다. 내가 무엇을 가졌는지 제대로 아는 것이 시작점이 되어야 한다.
사이버 보안은 '아무것도 신뢰하지 않는다'가 원칙이다. 그래서 확인과 모니터링에 기반한 이중 삼중 방어 체계가 사이버 보안의 기본 골격이다. 아무것도 신뢰하지 말고 끊임없이 검증해라.
사람의 마음은 큰 힘을 가지고 있지만 사소한 계기로도 잘못을 범하는 나약함도 가지고 있다. 그래서 어쩔 수 없는 사람의 마음이 가지는 나약함으로부터 사람과 회사를 지키기 위해선 반드시 이중 체크가 필요하다. 이중 체크를 번거로운 작업이라고 생각하는 것이 아니라 사람과 조직의 건전성을 지키는 보호 메커니즘으로, 어떤 사정이 있더라도 결코 소홀이 해서는 안 된다.
그 조직의 보안 수준은 가장 취약한 연결 고리에 달려 있다.
팬데믹은 국가별로 가장 취약한 연결고리를 적나라하게 드러냈고 막연하고 외면했던 구조적인 문제점을 표출시켰다. 해커는 언젠가 나타날 수밖에 없는 '약한 고리'를 찾으며 기다린다. '약한 고리'를 없애겠다는 의지와 리더십이 필요하다.
사후 대응은 사전 방지를 따라갈 수 없다. 그럼에도 많은 피해 기업의 경우 전자를 택한다.
예방과 방지가 사고 수습보다 훨씬 돈이 적게 든다는 사실을 외면하는 것을 지적한다. 병에 걸리든 사고가 나든 사후 처방은 당연히 돈이 많이 들고 협상력도 줄어든다. 그럼에도 불구하고 우리는 훨씬 효율적인, 합리적인 선택인 사전 예방을 게을리한다.
이 책의 소주제에는 한 개 이상의 인용이 있는 것 같다는 생각이 들 정도로 인용이 많이 담겨 있다. 생각을 풀어내는데 적절한 인용은 다소 어렵고 부담될 수 있는 주제를 이해하는 난도를 낮추는 좋은 장치인데 부담스럽지 않은, 정말 딱 알맞게 들어간 인용 문구를 보면서 소주제, 문장 하나하나를 작성하시면서 정말 공을 많이들이셨겠구나라는 생각이 들었다. 불특정 다수를 대상으로 전문 지식을 전달하는 것이 굉장히 어려운데 사이버 보안이라는 어려운 주제를 이렇게 풀어냈다는 점에서 감탄했고 많은 노력이 들어간 책이라는 느낌이 들었다.
개발자인 나에게도 보안은 뗄 수 없는 분야 중 하나다. 반드시 해야 하지만, 자세히는 모르는 그렇지만 신경 써야 하지만 마냥 가볍지많은 않은 그런 것이 보안이지 않을까 싶다. 정보가 넘쳐나는, 초소형 컴퓨터와 매일을 살아가는 우리들에게 무뎌진 보안 경각심을 다시 한번 일깨우는 시간이 되었다.
그리고 IT 산업 종사자가 아니더라도 한 번쯤은 읽어보는 것을 추천한다. 아까도 살짝 언급했지만 정말 잘 적힌 책이고 그 누가 읽더라도 한 가지는 건져갈 만한 것이 있을 것이라고 확신한다.
책, '보이지 않는 위협'은 보안 업계에서 일을 하면서 겪은 경험들을 설명한다. 그 뿐만 아니라, 정치적으로 사회적으로 있었던 일들도 알려준다. 정치적 문제를 야기하기 위해 정보 해킹 후 SNS에 유포한다든지, 핵개발을 막기 위해 몰래 해킹하는 사건도 있었다. 물론 보안 관련 용어와 개념도 설명해주기도 한다. 글을 적고 있는 나는 전공 수업으로 '정보보호'를 들었었다. 당시에 랜섬웨어라는 용어가 '인질의 몸값'을 의미한다고 알려주셨는데 그대로 적혀있어서 전공 수업이 생각나기도 했다.이 책은 아직 완독은 못했고 절반 정도 읽었는데, 재밌게 읽고 있다. 특히 나는 사회에 관심이 많다보니 술술 읽혔다.
보안에 대해서 굉장히 중요하다는 것은 주변에서 많이 들었다. 여러가지 사건들도 있었고 이를 통해 중요성은 알고 있었다. 그러나 실제로 어떻게 할 것인가에 대해서는 생각을 해보지는 않았던 것 같다. 이 책은 챕터별로 주제를 잡고 보안 분야에서 쓰이는 용어들을 실제 사건, 그리고 작가의 경험들로 구성하였다. 이야기로 구성되어 일반적인 다른 IT도서들보다 쉽게 읽혔던 것 같다. 보안에 대해 처음 입문하고자 하는 경우에도 어렵지 않게 읽어나갈 수 있다고 생각한다. 이 책을 읽으면서 IT, 기술적인 분야에서는 우리나라가 굉장한 성장을 이루었지만 이를 이끄는 리더, 그리고 정책 등이 많이 부족하다는 것을 느꼈다. 이 책의 내용 중 '탁상공론'이라는 말이 진짜 와닿았다. 현재에만 집중하고 앞으로의 위협을 보지 않는. 책의 제목처럼 사이버 보안은 보이는 것보다 보이지 않는 위협에 대해 준비할 필요성을 더욱 느낀 시간이였던 것 같다.
보안에 대해 여러 이야기를 다룬 것을 보면서 문제를 인식하고 생각해보고 싶다면 이 책을 추천한다.
보안은 중요하다, 철저한 보안을 해야 한다, 이런 이야기는 하면서도 보안 사고가 났을 때 그 원인을 분석하고 해결하기 보다는 그저 이슈화하고 떠들기 바쁜 사람들이 많다. 실상을 제대로 파악하기 보다는 안이하게 대처하려는 경우도 많다. 하지만 사이버 보안은 이미 사이버 세상을 우리의 삶에 직접적으로 닿아 있기 때문에 그렇게 적당히 넘기기만 해서는 안 된다. 이 책은 그렇게 중요하지만 그 중요도에 비해 사람들의 인식 밖에 존재하는 사이버 보안에 대해 보안 전문가의 입장이 아닌 일반 비전문가의 입장에서 이해하기 쉬운 방식으로 풀어내고 있다. 어떤 사이버 위협이 존재하는지, 한국의 사이버 보안 실태는 어떠한지 등에 대해서 사례 기반으로 다양하게 안내해 줌으로써 기술 서적이 아닌 이야기책을 읽듯 가벼운 마음으로 쉽게 다가갈 수 있다. 그리고 저자가 가진 근본적인 문제의식에 대해 털어놓으며 우리 곁에 존재하지만 인지하지 못했던 이슈들을 직면하게 한다. 저자의 직접 경험이 포함된 다양한 사례들은 책의 내용에 보다 몰입하게 만든다. 자신이 겪은 일화를 소개하듯이 열거하는 방식 속에서 다양한 이슈들을 간접적으로 만나볼 수 있다. 이러한 구조는 자칫 맥락 없이 늘어놓은 글의 집합이 될 수 있는데, 9개의 장으로 구성된 이 책은 그런 이슈 없이 편안하게 읽혔다. 각 장은 독립적으로 구성되어 있고 앞의 내용이 뒤의 내용에 크게 영향을 주지 않아, 목차를 보고 먼저 관심이 가는 장부터 읽어도 좋을 듯하다. 사이버 보안에 관심은 있지만 너무 막연하게 다가와 어디서부터 어떻게 공부해야 할지 고민인 사람은 한 번쯤 읽어보면 생각을 정리하는 데 도움이 될 것으로 보인다. 보안과 관련하여 정말 근본적인 이슈임에도 (특히 국내에서) 가시화되지 않고 부차시되는 부분들을 짚고 넘어갈 수 있다. 가볍게 읽히면서도 깊이 있는 내용을 담고 있기에 이 분야에 소소한 호기심을 갖고 있는 사람 또한 이 책을 통해 견식을 높일 수 있을 것이다.
보안사고로 회사나 개인이 한 순간의 방심으로 많은 것을 잃을 수 있는 그런 세상에서 살고 있다
심지어 열심히 방어하고 늘 주의를 기울여도 100% 막을 수 없는게 사이버 공격이다
보안에 대해 알아야 하는 것은 선택이 아닌 필수적인 것을 누구나 알지만
우리나라에서 그 위상이 아직은 부족한게 현실이다
이 책은 처음 보안분야에 입문하는 사람부터 최고기업의 CEO까지
아니 지금 이 디지털세상에 살고 있는 사람이라면 모두에게 추천하고 싶은 그런 책이다
그만큼 보안이 중요하고 보이지 않는 위협에서 우리를 지켜내고 싶은 마음이기 때문이다.
오랜만에 누구나 읽을 수 있는 보안이야기 책을 만나서 기분이 좋았다
< 후 기 >나름 보안에 관심을 가진게 2005년도부터였고 지금도 보안과 관련된 일을 하고 있고 저자를 모르지 않은 터에 이번에 나온 ‘보이지 않는 위협’은 내가 관심을 가질 수밖에 없었다긴 시간 산전수전을 다 경험한 보안전문가인 저자는 그 동안 쌓아온 내공으로 보안이야기를 수월하게 풀어내가고 있다과거 주요 보안사고사례를 통해 보안에 대해 무엇이 중요하고 왜 해야 하는지를 이야기를 통해 쉽게 알려 주고 있어서 책을 읽는 내내 어려움없이 쉽게 쉽게 책장을 넘길 수 있었다 우리는 아침부터 잠 자는 시간까지 하루 종일 핸드폰, PC 등 각종 디지털기기로사이버세상에서 사는 지금의 우리는 그 만큼 항상 위협에 노출되어 있다보안사고로 회사나 개인이 한 순간의 방심으로 많은 것을 잃을 수 있는 그런 세상에서 살고 있다심지어 열심히 방어하고 늘 주의를 기울여도 100% 막을 수 없는게 사이버 공격이다보안에 대해 알아야 하는 것은 선택이 아닌 필수적인 것을 누구나 알지만우리나라에서 그 위상이 아직은 부족한게 현실이다 이 책은 처음 보안분야에 입문하는 사람부터 최고기업의 CEO까지 아니 지금 이 디지털세상에 살고 있는 사람이라면 모두에게 추천하고 싶은 그런 책이다 그만큼 보안이 중요하고 보이지 않는 위협에서 우리를 지켜내고 싶은 마음이기 때문이다.오랜만에 누구나 읽을 수 있는 보안이야기 책을 만나서 기분이 좋았다
이번 달에는 '보이지 않는 위협'이라는 책의 서평을 작성하게 되었다. 우선 책 겉표지에서 알 수 있듯이, 사이버보안에 대한 책이다. 본인도 사이버 보안이라고 하면 벌써부터 어렵게만 느껴지게 된다. 이 책에서는 어렵게만 느끼지 않도록 실제 예시를 들어가며 이야기를 풀어나간다. 덕분에 보안에 대해 조금은 더 이해할 수 있지 않았나 싶다. 보안에 대해 쉽게 이해하고 싶은 사람들 누구나에게 추천한다.