아래의 글은 일본 정부에서 운영하는 보안 단체인 JVN 의 보안 권고문 중 일부를 일한 번역기를 이용해 번역한 것입니다.
---
---
이 보안 권고문이 흥미로운 점은, 정부 기관에서 개발하고, 정부 기관에서 주로 사용하는 프로그램의 취약점에 대해, 정부 기관에서 보안 권고문을 발표했다는 점입니다.
한국에서는 Security by obscurity (정보 폐쇄에 의존하는 보안)에 의지하는 경향이 보편적입니다.
'우리 아니면 누가 알겠어?', '이거 우리나라에서나 쓰는 건데 설마 외국 해커들이 관심이나 보이겠어?' 하는 생각에서죠. 그러나 Security by obscurity 는 보안에 있어 효과적인 방법이 아닙니다.
Security by obscurity는 첫째로, 근본적인 보안 대책이 아니라 상대의 정보 부족에 의지하기 때문에, 상대가 공격에 충분한 정보를 획득하면 무너지게 됩니다.
둘째, 결과적으로 공격자의 공격을 도와주는 셈이 됩니다. 공격을 막기 위해선 어느 제품의 어느 버전이 취약한지, 어느 정도 피해가 발생하는지, 왜 취약한 것이며 원격에서 공격 가능한지 아닌지, 어떻게 대처해야 하는지 등 다양하고 깊이 있는 정보가 필요합니다. 그러나 이런 정보가 없는 입장에서는 취약하다는 사실 조차 모르고 시스템을 운영하게 되고, 설사 취약하다는 사실을 알아도 적절한 해결책을 몰라서 수수 방관할 수 밖에 없습니다. 반면 공격자 입장에선 인터넷 언더그라운드에 돌아다니는 취약점 정보를 손쉽게 획득하거나, 자신이 직접 연구하여 취약점을 알아낼 수 있습니다. 또한 이렇게 직접 알아낸 취약점은 대응법이 널리 퍼지지 않기 때문에, 혼자서 몰래 두고 두고 유용하게 활용할 수 있습니다.
셋째, Security by obscurity는 잘못된 가정에서 출발하기 때문에 효과적일 수 없습니다. '우리 아니면 누가 알겠어?', '이거 우리나라에서나 쓰는 건데 설마 외국 해커들이 관심이나 보이겠어?' 라는 가정은 최근의 추세를 보면 잘못된 가정임을 여실히 알 수 있습니다. 최근의 nProtect 보안 권고문, 삼성 ADSL 모뎀 보안 권고문, 제로보드 보안 권고문 등을 보면 알 수 있듯이 외국 해커가 국내 제품의 보안 취약점을 연구하여 발표하는 사례는 많고, 꾸준히 증가하고 있습니다. 쉬쉬하느라 우리는 모르고 있는 와중에 정작 외국 해커들은 우리 제품의 취약점 정보를 공유하고, 이를 공격하는 웜까지 나돌고 있는 실정입니다.
효과적인 보안을 위해서는 오히려 보안 취약점에 대한 정보를 보다 신속하고, 편리하게 획득할 수 있도록 장려해야 합니다. 국내의 보안 사이트를 보면 아직 해외의 보안 사이트에 필적할 만한 충분한 정보를 제공하는 사이트를 찾아보기 어렵습니다. 이는 물론 사이트 운영팀의 역량 부족일 수도 있겠으나, 보안 관련 정보 게재를 지나치게 통제하는 국내 문화에도 책임이 큽니다.
영어를 조금만 할 줄 알면 누구나 해외 사이트의 보안 정보를 보고, 양질의 해킹툴을 다운받을 수 있는 현실에서 한글로 된 보안 정보가 실린 사이트를 폐쇄시킨다는 것은 눈가리고 아웅하는 일입니다. 어차피 공격 기법을 배우려는 어린 스크립트 키드들로서는 기를 쓰고 정보와 툴을 수집하게 되어 있지만, 바쁜 보안 담당자들(한국은 서버,네트워크 관리 업무를 겸임하지 않는 보안 전담 인력이 매우 적습니다) 입장에서는 영어로 된 보안 정보를 일일이 찾아 보며 트렌드를 쫓아가기 어렵기 때문에 한글 보안 정보 사이트의 폐쇄는 결과적으로 현업 보안 담당자들의 피해로 돌아가게 됩니다.
해외와 국내의 보안 기술 격차만 커지게 만들고 정작 보안 향상에는 별 도움이 안되는 Security by obscurity 문화는 지양되어야 합니다. 보안 관련한 업무를 담당하는 분들은 어느 것이 한국 보안의 발전을 위해 보다 바람직한 일인지 현명한 판단을 해주셨으면 합니다.
---
JVN#41550845 | ||||||||||||||||||||||||
나가사키현 전자 현청 시스템에 있어서의 SQL 인젝션의 취약성 | ||||||||||||||||||||||||
| 개요 | ||||||||||||||||||||||||
| ||||||||||||||||||||||||
| 상정되는 영향 | ||||||||||||||||||||||||
| ||||||||||||||||||||||||
| vender 정보 | ||||||||||||||||||||||||
| ||||||||||||||||||||||||
| 참고 정보 | ||||||||||||||||||||||||
| ||||||||||||||||||||||||
| 사례 | ||||||||||||||||||||||||
이 취약성 정보는 , 정보 시큐러티 조기 경계 파트너십에 근거해 | ||||||||||||||||||||||||
| ||||||||||||||||||||||||
---
이 보안 권고문이 흥미로운 점은, 정부 기관에서 개발하고, 정부 기관에서 주로 사용하는 프로그램의 취약점에 대해, 정부 기관에서 보안 권고문을 발표했다는 점입니다.
한국에서는 Security by obscurity (정보 폐쇄에 의존하는 보안)에 의지하는 경향이 보편적입니다.
'우리 아니면 누가 알겠어?', '이거 우리나라에서나 쓰는 건데 설마 외국 해커들이 관심이나 보이겠어?' 하는 생각에서죠. 그러나 Security by obscurity 는 보안에 있어 효과적인 방법이 아닙니다.
Security by obscurity는 첫째로, 근본적인 보안 대책이 아니라 상대의 정보 부족에 의지하기 때문에, 상대가 공격에 충분한 정보를 획득하면 무너지게 됩니다.
둘째, 결과적으로 공격자의 공격을 도와주는 셈이 됩니다. 공격을 막기 위해선 어느 제품의 어느 버전이 취약한지, 어느 정도 피해가 발생하는지, 왜 취약한 것이며 원격에서 공격 가능한지 아닌지, 어떻게 대처해야 하는지 등 다양하고 깊이 있는 정보가 필요합니다. 그러나 이런 정보가 없는 입장에서는 취약하다는 사실 조차 모르고 시스템을 운영하게 되고, 설사 취약하다는 사실을 알아도 적절한 해결책을 몰라서 수수 방관할 수 밖에 없습니다. 반면 공격자 입장에선 인터넷 언더그라운드에 돌아다니는 취약점 정보를 손쉽게 획득하거나, 자신이 직접 연구하여 취약점을 알아낼 수 있습니다. 또한 이렇게 직접 알아낸 취약점은 대응법이 널리 퍼지지 않기 때문에, 혼자서 몰래 두고 두고 유용하게 활용할 수 있습니다.
셋째, Security by obscurity는 잘못된 가정에서 출발하기 때문에 효과적일 수 없습니다. '우리 아니면 누가 알겠어?', '이거 우리나라에서나 쓰는 건데 설마 외국 해커들이 관심이나 보이겠어?' 라는 가정은 최근의 추세를 보면 잘못된 가정임을 여실히 알 수 있습니다. 최근의 nProtect 보안 권고문, 삼성 ADSL 모뎀 보안 권고문, 제로보드 보안 권고문 등을 보면 알 수 있듯이 외국 해커가 국내 제품의 보안 취약점을 연구하여 발표하는 사례는 많고, 꾸준히 증가하고 있습니다. 쉬쉬하느라 우리는 모르고 있는 와중에 정작 외국 해커들은 우리 제품의 취약점 정보를 공유하고, 이를 공격하는 웜까지 나돌고 있는 실정입니다.
효과적인 보안을 위해서는 오히려 보안 취약점에 대한 정보를 보다 신속하고, 편리하게 획득할 수 있도록 장려해야 합니다. 국내의 보안 사이트를 보면 아직 해외의 보안 사이트에 필적할 만한 충분한 정보를 제공하는 사이트를 찾아보기 어렵습니다. 이는 물론 사이트 운영팀의 역량 부족일 수도 있겠으나, 보안 관련 정보 게재를 지나치게 통제하는 국내 문화에도 책임이 큽니다.
영어를 조금만 할 줄 알면 누구나 해외 사이트의 보안 정보를 보고, 양질의 해킹툴을 다운받을 수 있는 현실에서 한글로 된 보안 정보가 실린 사이트를 폐쇄시킨다는 것은 눈가리고 아웅하는 일입니다. 어차피 공격 기법을 배우려는 어린 스크립트 키드들로서는 기를 쓰고 정보와 툴을 수집하게 되어 있지만, 바쁜 보안 담당자들(한국은 서버,네트워크 관리 업무를 겸임하지 않는 보안 전담 인력이 매우 적습니다) 입장에서는 영어로 된 보안 정보를 일일이 찾아 보며 트렌드를 쫓아가기 어렵기 때문에 한글 보안 정보 사이트의 폐쇄는 결과적으로 현업 보안 담당자들의 피해로 돌아가게 됩니다.
해외와 국내의 보안 기술 격차만 커지게 만들고 정작 보안 향상에는 별 도움이 안되는 Security by obscurity 문화는 지양되어야 합니다. 보안 관련한 업무를 담당하는 분들은 어느 것이 한국 보안의 발전을 위해 보다 바람직한 일인지 현명한 판단을 해주셨으면 합니다.
덧글
fullc0de 2006/02/09 18:26 # 삭제 답글
아주 좋은 글입니다. 저 또한 외국 싸이트를 통해 많은 정보를 얻고 있지만 언제나한글로 된 좋은 싸이트가 생겨났으면 좋겠다고 생각합니다. 그리고 기회가 된다면
그런 움직임에 저도 일조하고 싶구요^^ 다시한번 좋은글 잘 읽고 갑니다.
peterpan 2006/02/11 23:25 # 삭제 답글
논란의 여지가 많죠 사이버 사기 수사대가 한글로 사이트 만드는곳 족치지 않으면 실적 올릴것도 없고 지금까지 천고의 역적 다루듯이 사화로 찍어 내듯이 찍어 내다가 순순히 정책을 바꿀거 같지도 않고 이젠 한글로 활발하게 활동할만한 리소스가 얼마나 남았는지도 궁금합니다. 사견으로는 의도하든 안했든간에 진공정책은 성공한듯 보입니다. 면역력은 턱없이 떨어져 버렸지만.......