문제는 보안 인식 자체가 없는 조직들이 많다는 것이다. 심각성이 있어서 경고를 하면 바로 반응을 보여야 하는데 말이다. 경고를 하면 그런가 보다 하고 듣거나 협박하거나 거짓말이라고 생각하는 경우도 많다.
세금이 투입되는 기관이나 단체에 대해서는 알려주는 편인데, 심각하게 받아 들이거나 담당자가 연락이 없는 경우가 많다는 것이다. 이러한 곳에 지원금을 주는 정부 담당자도 책임을 면할 수 없을 것이다.
예를 들어 2011년 7월 4일 Hacking을 당한 월드 사이버 게임즈 (http://sg.wcg.com/r00t.htm)의 경우에 7월 6일 해당 사실을 알렸지만, 2011년 7월 8일 현재까지 그대로인 상태이다. Web Site 운영을 외주에 맡기고 있다고 해도 Hacking 사실을 알리고 조치를 취했어야 하는 부분이다.
이러한 사례는 최근에 비용 때문에 관련 인력을 채용하거나 교육하는 것에 관심을 보이지 않는 경우에 더욱 심각하게 나타나는 것으로 나타나고 있다. 월드사이버게임즈의 경우에 문화관광부나 방송통신위원회로부터 지원을 받고 있는 것으로 알고 있는데, 이런 일이 발생하는 것은 문제가 심각하다. (추가로, WCG와 2011년 7월 8일 18시 40분 경 통화한 결과 해당 사실을 방통위와 보안업체에 연락했는데, 위 사실을 확인하지 못했다고 한다. 그래서, 그냥 허위로 판단했다고 한다. 확인이라도 제대로 해보지. 위의 보안업체와 계약한 업체들은 정말로 불쌍하다.)
보안 인식 자체가 없기 때문에 보안에 관련 어떤 위험을 경고해도 듣지 않는다. 그런 상황의 마지막은 모든 것을 잃는 것인데도 말이다. Unix나 Linux 시스템에서 root 의 권한을 확보했다는 것이 무엇을 의미하는지 아는 사람은 WCG와 같은 상황이 얼마나 위험한지 잘 알 것이다. 근데 오늘(2011년 7월 8일 18시까지)까지 연락이 없다. 아마 정보를 공개해서 외부에서 지적을 심하게 받아야지 아마 정신을 차릴 것이다.
(이러한 정보 공개로 인해서 Hacker가 다른 시도를 할 가능성도 있지만, 난 이미 해 줄 수 있는 일은 다 해줬다. 책임을 묻고 싶다면 연락을 받았던 담당자들에게 물어야 할 것이다.)
보안 인식 자체가 없는 조직들과 대화가 위험한 이유는 위에서와 같다. 그들에게 위험을 경고하고 조치를 요구해도 대답하지 않는다는 것이 더 큰 위험을 초래할 수 있다는 것이다. 보안에 대한 인식이 Hacking이나 보안 위협에 대해서 방어를 하면 된다는 식의 사고로 점철되어 있기 때문이다. 솔직히 IP 단위의 방화벽은 아무 의미가 없다. Server에 접근할 수 있는 IP 정보를 알아내면 그런 방화벽 따위는 아무 의미가 없기 때문이다.
System 설계 단계에서부터 보안을 고려하고 담당자를 배정하고, System 자체에서 보안 요소를 관리하는 것은 매우 중요한 부분이기 때문이다. 그런 부분을 고려하지 않고 설계를 진행하고 관리하는 순간부터 보안의 위험에 빠지게 되는 것이다. 조직이 이에 대해서 관심을 안 가지고 Web Site를 이용해서 홍보하는 것에 집중하고 사용자 정보나 다양한 정보를 Web Site에 등록시키는 행위는 자살 행위가 될 것이다.
WCG는 대표적인 e-Sport 단체이기 때문에 공개적으로 다루었다. 이러한 곳이 너무나도 많다는 사실에 대해서 심각성을 느껴야 한다.
그럼 앞으로 개선되기를 희망해 본다.
댓글 없음:
댓글 쓰기