보안성 테스팅은 크게 2가지로 생각해 볼 수 있다.
하드웨어 그리고 소프트웨어..
무슨 말인고 하니..
단순히 기술적인 그리고 장비 위주의 보안 테스팅이 있다. 방화벽, 라우터, 공격 탐지, 트래픽 추적 등 눈에 보이고 자동화 가능하고 수많은 벽을 둘러치고 그 벽이 튼튼하고 안전한지 검증하는 테스팅은 하드웨어라고 볼 수 있다.
이러한 테스팅 방법은 지금도 많은 곳에서 수 없는 기법과 장비가 만들어지고 소개되고 판매되고 있다.
때문에 이 방법은 정보를 얻기도 쉽고 커뮤니티도 쉽게 찾을 수 있다.
힘들긴 하지만 미칠 듯 노력하면 쉽게 어느 정도의 경지에 도달할 수도 있다.
하지만 우리는 이러한 이면에 숨겨져 있는 다른 부분에 대해서는 그다지 많이 고민하지는 않는 것 같다.
물론 국제 표준도 있으며, 국내에 커뮤니티도 있고, 이와 관련된 자격증도 있는 것으로 안다.
하지만 하드웨어적인 보안 테스팅에 비해 많이 알려지지 않은 것은 사실인 것 같다.
누구나 알고 있지만 해답을 찾기도 쉽지 않고 테스팅 하기도 어려운 이것은 조직과 개인 그리고 정책 차원의 보안 테스팅 즉, 내가 소프트웨어 보안 테스팅이라고 부르는 것이다.
이 소프트한 보안의 근간은 신뢰이다.
신뢰는 일종의 맹신과 같은 형태로 나타나기도 한다.
이것이 하드웨어적인 보안을 한방에 부술 수 있는 매우 강력한 형태로 나타나기도 한다.
신뢰란 무엇일까?
우리는 무엇을 근거로 신뢰를 하는 것일까?
이것을 파악할 수 있다면 좀 더 튼튼한 보안 체계를 구축할 수 있을 것이다.
한가지 예를 들어보도록 하자..
자 당신이 은행에 가서 상담원과 독대를 하고 펀드나 적금 상품을 가입한다고 해보자.
상담원이 당신에게 주민등록증을 요구할 때 당신은 당신의 소중한 개인정보를 건네주면서 어떤 생각을 하시나요?
상담원을 의심해 본적 있으신가요?
잠시 고민을 하지만 거의 대부분 스스럼 없이 주민등록증을 건네줍니다.
반대로 당신이 길에서 생판 처음 보는 사람이 주민등록증 좀 잠시 보여달라고 하면 어떻게 반응하시나요?
아마 대부분은 절대 건네주지 않을 겁니다.
두 경우가 전혀 상관 없어 보이시나요?
상관 없어 보일 수도 있지만 한가지 공통점은 당신에게 주민등록증을 요구한 사람은 당신과는 일면식도 없는 생판 남이라는 사실입니다.
하지만 당신은 은행 직원이라는 사전 조건에 따라 상담원은 신뢰를 하고 당신의 소중한 개인정보를 건네주었지만 길에서 만난 사람은 당신이 신뢰할 수 있는 어떤 조건도 없기 때문에 요구를 거절한 것입니다.
즉, 우리는 동일한 경우라도 조건에 따라 다르게 반응하고 있는 것입니다.
이러한 경우를 우리는 주변에서 쉽게 찾을 수 있습니다.
그리고 이러한 신뢰의 맹점을 이용한 사기수법이 바로 보이스 피싱과 같은 것입니다.
이러한 보안 우회 경로는 하드웨어적으로 처리하기 매우 어렵다는 것이 사실입니다.
솔직히 저도 이러한 경우에 대한 솔루션을 아직은 잘 모르겠습니다.
우리가 무엇인가를 신뢰하게 되는 이유는 무엇일까요?
전 그 이유 중 하나가 이득이라고 생각합니다. 자신이 보안을 조금 양보함으로서 얻을 수 있는 이득이 무엇인지 우리는 무의식적으로 항상 계산하고 있고 그 이익이 보안보다도 더 상위에 있게 된다면 우리는 인지부조화의 과정을 거쳐 보안에 대하여 타협을 하게 된다고 봅니다. 그리고 그러한 과정이 반복해서 학습된다면 보안에 대한 의식이 결론적으로 약화되고 피해를 보게 되는 것이죠.
가장 대표적인 사례가 바로 액티브 엑스로 떡칠된 보안 프로그램과 공인인증서라고 생각합니다.
우리가 쇼핑몰, 은행, 전자 정부와 같은 서비스를 이용하기 위해서는 기본적인 보안은 포기해야 했고, 그것이 당연한 것처럼 우리는 학습되었다고 봅니다.
우리 나라에서 보안 관련 사건 사고가 많은 이유는 올바른 보안에 대한 관점과 행동 양식을 지도하기 보다 이 모든 것을 시스템에 의존하게 함으로써 문제를 키웠기 때문이라고 봅니다.
여러분은 어떻게 생각하시나요?
이 짧은 포스팅은 여러분이 보안 테스팅을 하실 때 조금은 다른 관점에서 바라보셨으면 하는 바램에서 슬쩍 단초를 던진 것 뿐입니다.
후에 기회가 된다면 좀 더 자세한 포스팅을 할 수 있도록 하겠습니다.
솔직히 이 포스팅은 생각을 정리하기 위해 시작했다가 시간이 너무 흘러 내용을 많이 잊은 상태에서 작성했습니다.
관련해서 더 풍성한 의견을 댓글이나 트랙백으로 주시면 고맙겠습니다.
하드웨어 그리고 소프트웨어..
무슨 말인고 하니..
단순히 기술적인 그리고 장비 위주의 보안 테스팅이 있다. 방화벽, 라우터, 공격 탐지, 트래픽 추적 등 눈에 보이고 자동화 가능하고 수많은 벽을 둘러치고 그 벽이 튼튼하고 안전한지 검증하는 테스팅은 하드웨어라고 볼 수 있다.
이러한 테스팅 방법은 지금도 많은 곳에서 수 없는 기법과 장비가 만들어지고 소개되고 판매되고 있다.
때문에 이 방법은 정보를 얻기도 쉽고 커뮤니티도 쉽게 찾을 수 있다.
힘들긴 하지만 미칠 듯 노력하면 쉽게 어느 정도의 경지에 도달할 수도 있다.
하지만 우리는 이러한 이면에 숨겨져 있는 다른 부분에 대해서는 그다지 많이 고민하지는 않는 것 같다.
물론 국제 표준도 있으며, 국내에 커뮤니티도 있고, 이와 관련된 자격증도 있는 것으로 안다.
하지만 하드웨어적인 보안 테스팅에 비해 많이 알려지지 않은 것은 사실인 것 같다.
누구나 알고 있지만 해답을 찾기도 쉽지 않고 테스팅 하기도 어려운 이것은 조직과 개인 그리고 정책 차원의 보안 테스팅 즉, 내가 소프트웨어 보안 테스팅이라고 부르는 것이다.
이 소프트한 보안의 근간은 신뢰이다.
신뢰는 일종의 맹신과 같은 형태로 나타나기도 한다.
이것이 하드웨어적인 보안을 한방에 부술 수 있는 매우 강력한 형태로 나타나기도 한다.
신뢰란 무엇일까?
우리는 무엇을 근거로 신뢰를 하는 것일까?
이것을 파악할 수 있다면 좀 더 튼튼한 보안 체계를 구축할 수 있을 것이다.
한가지 예를 들어보도록 하자..
자 당신이 은행에 가서 상담원과 독대를 하고 펀드나 적금 상품을 가입한다고 해보자.
상담원이 당신에게 주민등록증을 요구할 때 당신은 당신의 소중한 개인정보를 건네주면서 어떤 생각을 하시나요?
상담원을 의심해 본적 있으신가요?
잠시 고민을 하지만 거의 대부분 스스럼 없이 주민등록증을 건네줍니다.
반대로 당신이 길에서 생판 처음 보는 사람이 주민등록증 좀 잠시 보여달라고 하면 어떻게 반응하시나요?
아마 대부분은 절대 건네주지 않을 겁니다.
두 경우가 전혀 상관 없어 보이시나요?
상관 없어 보일 수도 있지만 한가지 공통점은 당신에게 주민등록증을 요구한 사람은 당신과는 일면식도 없는 생판 남이라는 사실입니다.
하지만 당신은 은행 직원이라는 사전 조건에 따라 상담원은 신뢰를 하고 당신의 소중한 개인정보를 건네주었지만 길에서 만난 사람은 당신이 신뢰할 수 있는 어떤 조건도 없기 때문에 요구를 거절한 것입니다.
즉, 우리는 동일한 경우라도 조건에 따라 다르게 반응하고 있는 것입니다.
이러한 경우를 우리는 주변에서 쉽게 찾을 수 있습니다.
그리고 이러한 신뢰의 맹점을 이용한 사기수법이 바로 보이스 피싱과 같은 것입니다.
이러한 보안 우회 경로는 하드웨어적으로 처리하기 매우 어렵다는 것이 사실입니다.
솔직히 저도 이러한 경우에 대한 솔루션을 아직은 잘 모르겠습니다.
우리가 무엇인가를 신뢰하게 되는 이유는 무엇일까요?
전 그 이유 중 하나가 이득이라고 생각합니다. 자신이 보안을 조금 양보함으로서 얻을 수 있는 이득이 무엇인지 우리는 무의식적으로 항상 계산하고 있고 그 이익이 보안보다도 더 상위에 있게 된다면 우리는 인지부조화의 과정을 거쳐 보안에 대하여 타협을 하게 된다고 봅니다. 그리고 그러한 과정이 반복해서 학습된다면 보안에 대한 의식이 결론적으로 약화되고 피해를 보게 되는 것이죠.
가장 대표적인 사례가 바로 액티브 엑스로 떡칠된 보안 프로그램과 공인인증서라고 생각합니다.
우리가 쇼핑몰, 은행, 전자 정부와 같은 서비스를 이용하기 위해서는 기본적인 보안은 포기해야 했고, 그것이 당연한 것처럼 우리는 학습되었다고 봅니다.
우리 나라에서 보안 관련 사건 사고가 많은 이유는 올바른 보안에 대한 관점과 행동 양식을 지도하기 보다 이 모든 것을 시스템에 의존하게 함으로써 문제를 키웠기 때문이라고 봅니다.
여러분은 어떻게 생각하시나요?
이 짧은 포스팅은 여러분이 보안 테스팅을 하실 때 조금은 다른 관점에서 바라보셨으면 하는 바램에서 슬쩍 단초를 던진 것 뿐입니다.
후에 기회가 된다면 좀 더 자세한 포스팅을 할 수 있도록 하겠습니다.
솔직히 이 포스팅은 생각을 정리하기 위해 시작했다가 시간이 너무 흘러 내용을 많이 잊은 상태에서 작성했습니다.
관련해서 더 풍성한 의견을 댓글이나 트랙백으로 주시면 고맙겠습니다.
좋은 글 감사합니다~
답글삭제