그림으로 배우는 보안 구조

정보보안의 시작은 용어 정의부터

 

해마다 한개의 자격증을 취득하기로 하였습니다. 물론 올해부터 입니다. 다이어트 도전 처럼 항상 내일부터 보다는 나은 것 같습니다. 목표는 정보보안 기사 자격증 취득입니다. 코로나-19의 영향으로 자격시험 일정도 연기되는 바람에 무사히 필기시험 등록을 마쳤습니다. 수험서도 구했습니다. 하지만 첫장을 넘기는 순간, 너무 쉽게 생각했다는 느낌이 들었습니다. ‘이 정도 쯤이야’ 라는 착각에서 깨어나 현실이 되었습니다.

보안에 신경을 써야 할 것이 많다는 것을 수험서 두께만 봐도 알 수 있는 듯 합니다. IT에 약 20년을 몸담으면서 보안을 생활화 하면서 지냈다고는 하나, 모르는 내용이 대부분 인 것 같습니다. 기초부터 먼저 이해를 하고 수험서를 보는 것이 목표를 달성하는 지름길인 것 같습니다.

 


그림으로 배우는 보안 구조
마스이 도시카츠 저/양성건 역 | 영진닷컴 | 2020년 04월 10일

 

이 책은 네트워크 보안의 모든 것을 알기 쉽게 풀어쓴 기초 입문 서적 입니다. 읽기 쉽도록 한 페이지에 설명을 쉽게 하였습니다. 그 내용에 맞는 그림을 또 다른 한 페이지에 간단하게 그려 이해를 돕습니다. 한번에 하나의 개념을 배울 수 있도록 한 구성입니다. 제가 계속 읽고 있는 ‘그림으로 배우는’ 시리즈 중 하나 입니다.

책은 총 7개의 장으로 구성되어 있습니다. 시작은 보안의 기본 개념부터 입니다. 네트워크 통해 이루어 지는 공격, 바이러스 및 스파이웨어, 취약점에 대한 대응, 암호 및 서명과 인증, 대응을 이야기 합니다. 마지막으로는 법률과 규칙을 설명합니다. 정보보안 기사 자격증 필기 시험의 마지막 과목도 법률 과목으로 알고 있습니다. 7개의 장이라고 하지만 책이 두껍지 않습니다. 빨리 읽을 수 있습니다. 제가 원했던 책입니다. 반대로 더 깊이 있는 공부는 추가로 해야합니다.

보안을 생각할 때, 무엇으로부터 어떤 것을 지켜야 하는가를 명확하게 하지 않으면, 대책의 효과를 충분히 얻을 수 없습니다. 따라서 공격자가 무엇을 노리고 있는지, 그 목적을 생각하는 것으로부터 시작해야 합니다.14쪽

공격의 목적을 이해했다면, 그 다음으로 ‘무엇을 보호할 것인가’에 대해 생각을 해야 한다고 합니다. 우리가 보호해야 하는 것은 바로 회사의 자산 입니다. 자산에는 사람, 물건, 돈 이외에 정보 자산이 있습니다. 바로 이러한 정보자산이 이 책에서 이야기 하는 정보 보호 대상입니다.

기초 입문서 답게 개념에 대한 정의를 명확히 하는 부분이 많습니다. 명확하게 그 뜻을 이해하는 것이 역시 중요한 것 같습니다. 그 동안 흔히 쓰는 말이지만 혼동해서 사용하는 단어였을 수도 있었겠다라는 생각을 했습니다.

정보 자산에 악형향을 주는 원인이나 요인을 위협이라고 하며, 그러한 위협의 발생 가능성의 유무(발생 확률)를 위험이라고 합니다.16쪽

진짜 웹 사이트 인것처럼 위장한 가짜 웹 사이트를 준비한 뒤, 이메일 등을 통해 해당 URL로 이용자를 유도하여 입력된 ID와 비밀번호를 훔치는 수법을 피싱(Phishing)이라고 합니다.(중략)
조작된 가짜 사이트를 사용하는 방법으로 파밍(Pharming)이 있습니다. 진짜와 닯은 사이트를 사용한다는 점에서는 피싱과 비슷하지만, URL에 해당하는 IP 주소를 조작하는 준비를 한다는 것이 다릅니다.80쪽

피싱이라는 말이 그냥 쉽게 낚시라는 단어로 이해하고 있었는데, Privacy 와 Fishing의 합성어(Phising)라는 것을 정확히 알게 된 것도 수확입니다.

정보보안을 위해 모든 위험을 사전에 대응하기란 불가능 합니다. 그래서 2중 3중의 장치를 마련할 필요가 있다는 제안을 많이 하는 것을 봅니다. 그러한 이유가 대응 시간을 가질 수 있도록 하기 위함이라는 것도 알게 됩니다.

1개의 대책이 아닌 여러 대책을 조합하는 것을 심층방어라고 부르며 공격을 막는 효과를 높여주는 것 이외에도 공격에 대응하기 위한 시간을 확보하는 효과도 있습니다.56쪽

보안은 비용, 편리성, 안전성이라는 상반된 개념을 어떻게 균형있게 체계를 만들어 가느냐가 중요하다고 강조하고 있습니다. 아직까지도 보안은 “비용”이라는 인식이 강한 경영자들이 많습니다. 보안 담당자 역할은 본연의 업무를 수행하면서 겸임을 하는 것도 이 때문입니다. 본연의 업무를 수행하면서 틈틈히 작업을 하기 때문에 보안 관련 업무는 후 순위로 밀려나게 됩니다. 이러한 형태가 잘못이라고 할 수는 없지만 보안의 중요성을 강조한다면 사전 대책, 사건 처리, 사후 대응을 체계적으로 할 수 있는 조직 구성이 필요하다는 이야기로 들립니다.

조직이 관리하고 있는 시스템 이외의 서비스를 직원이 임의로 이용하는 것을 섀도우 IT라고 합니다. 이를 방지하기 위해서는 규칙을 정하는 것뿐만 아니라 편안하게 업무를 할 수 있는 환경을 사내에 준비하는 것도 필요할 것입니다.180쪽

정보보안 교육의 필요성에 대한 이야기도 놓치지 않습니다. 결국 최후의 보루는 ‘사람’이라는 것입니다. 보안은 거대한 대책보다 개개인의 보안 의식부터 조금씩 경험이 쌓여가는 것이 중요하다고 알려줍니다.

정보보안에 대해서 암호화나 인증, 방화벽 설치 등 기술적인 대책을 실시하여도, 그것을 사용하는 사람이 올바른 행동을 취하지 않으면 안전을 지킬 수 없습니다. 대응하는 방법을 몰라서 문제가 발생할 수도 있지만, 단순한 분실이나 중요 사항을 잊고 있거나, 메일을 잘못 보내는 등 휴먼 에러(Human Error)를 줄일 수 있는 대책도 요구되고 있습니다.162쪽

시작은 정보보안 기사 자격 취득이라는 목표 때문에 읽은 책 입니다. 하지만, 정보보안 관련 전반적인 큰 그림을 배울 수 있는 책이 되었습니다. 보안의 원리와 구조를 대략이나마 알게 된 것이 앞으로 계속 공부를 하는데 있어 많은 도움이 될 것 같습니다. 또 하나, 회사 생활을 하면서 보안 조직에서 요청하였던 많은 일들이 떠올랐습니다. 책의 내용과 하나 둘 이어지면서 새롭게 머리에 그려지기도 하였습니다. 새로운 보안 위협으로 부터 정보를 보호하는 일을 하고 있는 조직이 그것입니다. 오롯이 정보보안에만 집중할 수 있도록 해야 하는 필요성을 느낄 수 있었습니다. 정보보안이라는 업무, 훗날 중요성이 더 강조된다면 자격증의 가치도 올라가겠죠?

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.