뭐가 어때 거기 구려

(♬:David Eman - Pulse)

 

O2O 어플 쓰는게 없는데 왜 스팸이 자꾸 오는건가요 지금까지는 스팸번호를 다 막아놔서 안 왔는데 여기어때 뉴스 이후로 새로운게 계속 오고 있네요.

위치기반서비스면 모를까 O2O(online to offline)이라는게 말이 혁신이지 개인적으로는 검색 도와주고 수수료 챙기는 중간상인이 하나 더 생겼다는 정도로 밖에 안 봐서 안 써요.

근데 내 정보가 어째서?

사람들이 흔히 생각하는 액티브X 기반의 키보드 보안, V3 백신 같은걸 생각하시겠지만 실제로 전산실에서 쓰는건 훨씬 다양해요.

침입차단 솔루션 IPS, DB 접근을 막는 DB접근제어, DB정보 암호화, 내부정보 유출방지 DLP, 내부정보 유출방지2 DRM, 와이파이 침입차단 WIPS, 백신, 유해사이트차단, 가상망분리솔루션 등.

보안을 좀 아는 IT인력 1~2명 뽑아놓고 보안솔루션과 장비에 돈만 적절히 투입해도 안 뚫려요. 디도스같이 서비스만 못하게 하는거면 모를까. 서버를 뚫는게 불가능한 수준이니까 상대적으로 약한 사용자 전자기기를 공격해서 권한, 정보를 취득한 후에 합법적으로 들어오는게 요즘 해킹이거든요.

그걸 막는답시고 고객PC에 제한을 거는게 많은 사람들이 싫어하는 액티브X 툴 이구요.

근데 여기어때는 DB와 연동이 되는 어플쪽에 기본적인 조치도 안 해서 비번과 아이디가 털렸네요?

말하자면 이거죠. 위에 솔루션들 짱짱하게 구축해서 3미터 담벼락을 치고, 대문도 안 뚫리게 티타늄으로 해놨는데 문 비밀번호를 쪽지에 적어서 대문 앞 우유주머니 앞에 넣어놨어요.

그러면 보안솔루션과 기기에 돈을 쏟아부은들 무슨 의미가 있어?!

문제는 어플이고 웹이고 시스템이고간에 회사 대가리라는 것들은 전부 보안이라는게 엑셀마냥 한번 사서 깔아두면 그게 평생 보장되는건줄 알아요.

보안이라는 것도 사용환경과 트렌드에 따라 변화되고 그에 맞게 따라가야 하는데 일단 처음에 딱 구축해놓고 이게 익숙해지면 이후로 바꾸는걸 싫어하고 그에 따른 비용을 낭비로 생각해요. 심한데는 전산부서 존재자체가 낭비라고 생각하기도 합니다.

내부전산망에 연결되어 있으면서도 아직 윈도우XP 쓰고있는 관공서도 많을거에요.

그런데 사실 보안솔루션은 초기 구축비보다도 유지비가 더 듭니다. 회사마다 다르지만 계약비용의 8~10%가 유지비로 들어가요. 이러니까 많은 사람들이 엔지니어 파견도 낭비라고 생각하고 점검도 안 받아요.

초창기 구축시에는 보안도 좋고 편하겠지만 나중엔 취약점이 발견되서 있으나마나한 보안으로 전락하는데 일단 보이기엔 잘 운영되니까 문제가 터지기 전까지 시한폭탄을 계속 안고가는거죠. 그러다 터지면 이것저것 많이 사줬는데 왜 이모양이냐 하고 IT부서가 욕먹는겁니다. 그게 대다수 회사들의 현실이에요.

앞으로 이 문제는 계속 터질거에요.

금융권에는 정보보안에 대한 가이드라인이 있는데 이처럼 아얘 전산망을 구축하는 혹은 자체 정보DB를 보유하고 있는 기업이라면 전체 인원 중 일정 %를 정보보안 분야에 근무하게 한다던지, 정보유출로 피해시에 대표이사를 함께 처벌토록 한다던지 하는 식으로 법을 제정해서 강제하지 않으면 계속 이런 피해가 일어날거에요. 

그럴 돈 없다구요? 그럼 터지고 망해야지 뭐 별수있나.