'소프트웨어'에 해당되는 글 55건

  1. 2019.08.12 블랙햇, 올해의 화두는 ‘스포트라이트 받는 자의 소통법’
posted by 알짜 정보 岳岩 2019.08.12 07:28

보안에 대한 관심 끌어모을 필요 더는 없어...관심 높은 지금을 활용해야
전략보다는 문화가 강력...리스크를 고루 나누고 보안 책임을 공유하는 문화 필요


[보안뉴스 문가용 기자] 라스베이거스에서 열리고 있는 여름 최대의 보안 산업 행사인 블랙햇(Black Hat)의 창시자 제프 모스(Jeff Moss)는 오늘 기조연설을 통해 “이제 보안이 사람들의 관심과 주목을 이끌어내야 할 때는 지났다”고 선언했다. 기업과 기관의 지도자들이 보안의 중요성을 깨달은 지 오래됐기 때문이다. 그래서 지금은 “스포트라이트를 받고 있는 상황을 어떻게 활용해야 하는가”를 고민해야 한다고 모스는 말했다.

[이미지 = iclickart]


“이제 (그토록 원하던) 관심을 받아내는 데는 성공했습니다. 그 관심을 가지고 뭘 하느냐가 지금 보안 업계의 문제입니다. 즉 어떻게 소통을 할까,가 지금 최우선 과제라는 겁니다. 말 한 마디를 어떻게 하느냐, 어떤 전략으로 사용자들에게 다가가느냐가 보안의 성패를 좌우합니다. 그러니 ‘보안이 중요하다는 걸 제발 알아주세요’라는 톤으로 접근해서는 안 됩니다.” 그러면서 모스는 “소통의 방법을 고친다는 건, 생각하는 방식과 생각을 전달하는 방식을 재편성한다는 것”이라고 지적했다.

또 다른 기조 연설자이자 모바일 보안 업체 스퀘어(Squre)의 수장인 디노 다이 조비(Dino Dai Zovi) 역시 이 말에 공감했다. 조비는 블랙햇 강단에 서서 ‘보안 문화’에 대한 자신의 경험을 이야기 했는데, “소프트웨어의 활용도가 높아지면 질수록 보안은 특정 팀이나 개인이 담당해야 하는 일이 아니라, 조직 구성원 전체가 담당해야 할 책임이 될 것”이라고 예견했다. “그렇게 되면 소프트웨어를 개발하는 팀과 사용하는 팀은 보안에 더 집중해야 할 것이고 보안 팀은 소프트웨어와 사용자에 더 집중해야 할 것입니다.”

그러면서 조비는 스퀘어에 처음 입사했을 때의 경험을 나눴다. “처음 제가 얼마나 무지한지, 그 깊이에 대해 전혀 알지 못했습니다. 스퀘어에서 상상도 못한 문화 충격을 받고서야 조금씩 그 깊은 무지의 수렁에서 헤어 나오기 시작했습니다. 그건 바로 보안 엔지니어들이 개발자들과 똑같이 코딩을 하고 있었던 겁니다. 즉 회사 구성원 거의 전부가 코딩을 했던 건데요, 이게 생각보다 적응하는 데 오래 걸렸습니다. 그러나 모두가 코딩을 했을 때의 장점이 분명히 있더군요. 그건 바로 협업이 훨씬 잘 이뤄진다는 거였습니다. 장점 이상의 강점이었죠.”

그 충격을 통해 그는 “보안이 다른 분야와 어떤 식으로 섞여 들어가야 하는가”에 대해 어렴풋이 알게 되었고, 그 고민을 지금까지 해오게 되었다고 한다. 그러면서 그가 수립한 소통의 원칙 세 가지를 청중들에게 소개해주었다. 

1. 할 일이 주어지면, 거기서부터 거꾸로 작업하라
“프로젝트가 내려오면 일부터 시작하는 사람들이 있습니다. 하라는 일을 기계적으로 하는 건데요, 이제는 내부 팀들에게 가서 이 프로젝트의 목적이 무엇이며, 보안 팀에게 이런 저런 미션이 떨어지는 이유가 무엇인지를 물어야 합니다. 사업을 진행하는 사람의 입장에서 어떤 어려움이 있는지, 실제 현장에서 어떤 장애물들을 맞닥트리는지 이해해야 하니까요. 그래야 그들이 보안 팀으로부터 뭘 기대할 수 있는지 알 수 있습니다. 시키는 일을 해내는 게 아니라 필요한 일을 하는 게 모든 ‘전문가’들의 몫이기도 합니다.”

그러면서 조비는 “보안 기능을 조직에 제공하는 걸, 일종의 서비스처럼 생각하라”고 권고한다. “조직 내 모든 사람들에게 좋은 제품과 서비스를 제공하는 거라고 스스로를 바라봐야 합니다. 서비스 제공이라고 해서 무조건 밝게 웃으면서 접대하라는 게 아닙니다. 그들이 진짜 바라는 걸 이해하고 충족시키라는 것이죠. 그들도 잘 표현하지 못하는 진짜 필요를 이해하기 시작하면, 만족스러운 서비스를 제공할 수 있을 겁니다.”

2. 도구를 찾아서 활용하라
많은 보안 전문가들은 스스로의 전문성에 깊은 자부심을 가지고 있다고 조비는 두 번째 권고 사항에 대해 설명하기 시작했다. “그래서 뭔가 새로운 것이 우리의 영역을 침범하면 방어적인 태도를 취합니다. 하지만 현실은 어떤가요? 보안 전문가는 턱없이 부족합니다. 우리가 모든 개발 행위를 하나하나 검사할 수가 없습니다.”

그러면서 조비는 “도구를 보다 열린 마음으로 활용하고 소개할 필요가 있다”고 권고했다. “예를 들어 퍼징 도구를 한 번 보십시오. 자동화 기술이 보안을 얼마나 편리하고 널리 전파하는지 아십니까? 보안 전문가가 개발자 여럿의 작업물을 검토하는 것보다, 자동 퍼징 도구를 개발자들이 사용할 수 있도록 해주면 스스로가 보안을 점검할 줄 알게 됩니다. 당연히 자신의 코드에서 나타난 문제를 스스로 해결하려고 하고요. 그런 게 바로 문화 확산입니다.”

피드백을 공유하는 문화도 중요하다고 강조했다. “사이버 범죄자들 사이에서는 피드백이 자연스럽고 활발하게 일어납니다. 자신들이 사용하는 도구나 전략이 괜찮은지, 아니면 실전에서 소용이 없는지, 금방 알게 됩니다. 연마되고 벼려지는 과정이 자리 잡은 것이죠. 이건 보안 업계도 가져와야 할 문화입니다.”

3. 전술보단 전략, 전략보단 문화
그 어떤 전략도 문화보다 강력할 수 없다고 조비는 강조했다. “그리고 전략은 그 어떤 전술보다도 강력하죠. 부등식을 그리자면 ‘문화>전략>전술’입니다. 기업은 필연적으로 변할 수밖에 없는 건데, 이 변화를 이끌어감에 있어 이 부등식을 잘 기억해야 합니다.”

기업의 변화는 리스크를 발생시킬 수밖에 없다. 그 리스크를 조직 내 고르게 분산하는 것이 전략이고 전술이자 문화라고 조비는 설명한다. “한 가지 분명한 원칙이 있다면 리스크를 보안 담당 팀이 홀로 전담해서는 안 된다는 겁니다. 모두가 리스크를 고르게 짊어질 수 있게 하는 문화를 형성해야 합니다. 개발자는 자신이 만든 코드를 보안 팀에 스스로 들고 가 검토를 받는 문화, 사용자들은 자신이 사용하고자 하는 소프트웨어를 설치하기 전에 보안 검사를 의뢰하는 문화, 그런 게 필요하다는 겁니다. 또한 보안 팀도 무조건 안 된다고 하기보다 보안 팀의 문을 두드리는 그들의 필요를 보다 근원적으로 충족시켜줄 줄 알아야 합니다.”

조비는 보안 전문가들에게 ‘안 돼’라고 하지 말고 먼저 ‘돼’라고 말하는 걸 연습해보라고 권장했다. “코드를 이렇게 짜면 안 됩니다. 이 소프트웨어는 사용하면 안 됩니다. 이런 말은 보안 문화를 정착시키지 못합니다. 이렇게 해도 되는데, 요 부분을 살짝 바꿔보는 건 어떨까요. 이 소프트웨어가 왜 필요하세요? 더 좋은 거 찾아드릴게요. 이런 말이 좋죠. 보안은 결정하고 판단하는 기능을 가진 곳이 아니라, 협업을 해야 하는 수많은 기능 중 하나라는 걸 기억하는 게 중요합니다.” 보안뉴스

3줄 요약
1. 올해 블랙햇 기조연설의 주제는 ‘소통’ : 보안에 대한 관심은 이미 높아졌다.
2. 보안에 대한 관심도가 높아진 시기를 영리하게 활용하는 방법에 대해 고민해야 할 때.
3. ‘안 돼’라는 말을 ‘돼’라고 바꾸는 연습하면, 보안 문화가 바뀌기 시작할 것.