| [디지털 3.0] 보안은 '연속적인 과정' 이다 | ||||||||||
공격의 원천이 밝혀진 것은 무척 다행이지만 이번 사태는 정보기술(IT) 강국 대한민국이 보안 이슈에 대해 다시 한 번 생각해보는 계기가 되고 있다. 의사소통을 함에 있어 인터넷 중요성이 커지면서 이번 디도스 공격으로 인한 실질적인 피해도 컸을 뿐만 아니라 앞으로 있을지 모를 제2, 제3 공격에 대한 두려움이 크기 때문이다. 지금이야말로 보안에 대한 근본적인 논의를 시작해야 하는 시점이다. 구글을 비롯한 글로벌 기업들은 오래 전부터 해킹이나 바이러스 등을 매우 심각한 위험 요소로 간주하고 세계 최고 전문가들과 함께 대응책을 고민하고 있는데, 이들은 웹 보안에 있어 몇 가지 원칙을 공유하고 있다. 우선, 보안은 연속적인 과정이라는 것이다. 제품을 판매하기 전에 보안 기능을 확인하는 1차원적인 수준이 되어서는 안 된다. 소수 보안팀만이 관련 업무를 담당하고 있는 것이 아니라 제품 디자인ㆍ개발ㆍ배급ㆍ운영 등 전 과정에 걸쳐 보안 기능을 고려하고 효과적인 대응 방안을 강구해야 한다. 보안이 투철한 기업들은 '다중 보호'를 중시한다. 이는 집을 보호하는 것과 흡사하다. 가장 중요한 물품은 금고에 보관한다. 이 금고는 집 안에 보관하며 이 집은 다시 자물쇠와 방범 시스템을 통해 보호된다. 이처럼 민감한 정보는 암호화, 경보 장치, 자체 시스템 기술, 강력한 경비 등 여러 겹 보안 장치를 통해 철저하게 보호해야 하며 동시에 사람이 손댈 수 있는 부분을 최소화해야 한다. 이를 위해선 보안 관련 프로세스를 자동화할 수 있는 기술력이 관건이다. 보안업계 표준을 충족시키는 것 또한 매우 중요하다. 미국에서는 사베인스-옥슬리법, PCI 컴플라이언스 등 각종 규제와 기준을 확립하고 있으며 기업들은 이 수준을 능가하는 견고한 보안 체계를 갖추기 위해 노력한다. 이를 위해 때로는 독립 감사기관에서 평가를 받아 내부적인 보안 프로세스에 대한 '견제와 균형' 장치를 또 하나 더하기도 한다. 자체적인 보안 프로세스를 고안하는 것도 중요하다. 구글은 엔지니어 한 명 한 명 모두 코드 스타일에 대한 평가과정을 거치도록 한다. 이를 통해 구글에서 사용되는 코드 유형을 통제하고 소프트웨어에 문제가 발생하는 것을 방지할 수 있다. 또한 모든 코드는 다수 엔지니어가 상호 검토해 구글 소프트웨어와 보안 규정에 어긋나는 일이 없도록 한다. 보안은 커뮤니티 차원에서 이루어져야 효과가 크기 때문에 잠재적인 문제점과 솔루션을 찾는 일에 정부와 보안 전문가, 그리고 사용자 모두 긴밀히 협력해야 한다. 일반 사용자들은 가장 기본적인 사항 몇 가지만 지킨다면 컴퓨터를 악성코드에 감염될 위험에서 보호할 수 있다. 첫째, 백신 프로그램을 반드시 설치하고 지속적으로 업데이트한다. 둘째, 악성코드는 컴퓨터 운영체제(OS) 중 취약한 부분을 표적으로 삼는 때가 많기 때문에 운영체제와 브라우저는 항상 최신 버전으로 업데이트해 놓는다. 셋째, 일상적으로 첨부파일을 열거나 플러그인, 소프트웨어 등을 설치할 때도 항상 신중을 기하고 신뢰할 만한 파일인지 충분히 검토해야 한다. 이번 디도스 공격이 테스트에 불과하다는 전문가 의견을 간과해서는 안 된다. 한국이 진정한 IT 강국으로 거듭나기 위해서는 보안 관련 기술 개발에 적극 투자하는 등 사회 전체가 관심을 기울일 때다. [이원진 구글코리아 대표] [ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
| ||||||||||
'IT와 일반적상식' 카테고리의 다른 글
| 종합편성채널사업 성공하려면 (0) | 2010.09.08 |
|---|---|
| 가전칠우 쟁론기 (0) | 2010.09.08 |
| 너무 먼 사이버 청정 환경 (0) | 2010.09.08 |
| 비빔밥 문화와 IT 융합기술의 힘 (0) | 2010.09.08 |
| 시장의 실패와 방송 민주화 (0) | 2010.09.08 |