보이지 않는 위협

저자 김홍선님은 엔지니어로 시작해 안랩에서 CTO 와 CEO 를 거친 분입니다. 그리고 SC제일은행 CISO 륾 맡고 있다고 합니다. 이 책은 은행에서 보안에 대한 기술을 경영 언어로 바꾸어 써온 메일을 기반으로 작성했다고 한 만큼 어려운 기술 이야기가 없습니다. 필요한 경우에는 아주 쉬운 설명으로 용어를 이해시켜주는 친절함도 베어 있습니다. 어느 분야에 오래 몸담고 있을수록 해당 분야 언어를 일반인이 알아듣기 쉽게 설명하는데는 엄청난 노력이 들기 마련입니다.

기술의 언어를 경영의 언어로

취약점은 사이버 보안과 한 배를 탄 영원한 동반자다.
취약점은 계속해서 나올 수밖에 없다.
문제는 취약점이 기술에 머물러 있으면
경영진은 그 어려움을 알 수가 없다.
따라서 IT 및 보안 담당자는
회사 경영진이 기술을 잘 이해하지 못하더라도
꾸준히 경영 언어로 소통하는 방법을 익혀야 한다.

3장 위협의 근원

‘사이버’라는 용어는 IT 에 몸담고 있는 분들은 사용하지 않는 대표적인 용어입니다. 다만 일반인이나 비즈니스에 활용되다 보니 외부에는 널리 사용됩니다. 그래서 저도 이 용어를 사용하는데 좀 불편한 감이 없지 않아 있습니다.

취약점은 기본적으로 개발자가 제대로 만들어야 합니다. 제품을 제대로 만들지 않았기에 취약점이 생기는 문제인 건 맞습니다. 하지만 건물을 아무리 튼튼하게 지어도 하자가 생기듯이 소프트웨어도 마찬가지 입니다. 나름 규모가 있는 IT 회사들이 보안에 신경을 쓰긴 하지만, 저자 이야기 처럼 취약점은 나올 수밖에 없습니다. 그러니 IT 회사가 아닌 이상에는 보안 담당자라 한다면 이를 다른 사람이 알아들을 수 있게 설명하는 것은 숙명입니다.

규제를 보는 서로 다른 관점

글로벌 은행에 일하다 보니
전 세계의 규제를 살펴볼 기회가 생기곤 한다.
미국이나 EU와 한국의 규제를 비교하니
확연히 다른 점이 있다.
한국에서는 정해진 가이드라인을
준수하는 체크리스트 방식이 일반적이다.
…
반면에 미국이나 EU의 규제 방식은
문제를 스스로 만들어 답을 찾아가는 형태다.

4장 보안의 퍼스펙티브

실제로 국내 회사들을 보면 보안을 규제만 지키면 본인들 잘못은 없다고 생각하는 경향이 있습니다. 실제로 법적으로도 그 책임이 경감되기도 합니다. 하지만, 피해는 고스란히 소비자에게 넘어갑니다. 해커들에게 넘어간 개인정보는 다시 가공되어 소비자에게 칼이 되어 다가오지만, 최초에 제대로 문을 걸어잠그지 않은 회사들은 더 이상 신경쓰지 않습니다. 책임 부분에선 외국 기업도 매한가지지만, 그래도 스스로 문제를 제기하고 방향을 잡아가는 능동성만큼은 우리도 배울 필요가 있습니다. 어떻게 물을지를 몰라 그저 주어진 답이 해답이라는 편견은 이제 버릴 때도 되지 않았나 싶습니다.

해킹을 대하는 기업 태도 2가지

“이 세상에는 두 가지 기업만 있습니다.
해킹을 당한 기업과 해킹당한 사실을 모르는 기업입니다.”
2021년 RSA 콘퍼런스 연설에서
FBI의 로버트 뮬러 국장의 간결한 메시지는 충격적이었다.

5장 빌드업

이 책을 기점으로 보안에 관련된 책을 다시 찾아 읽게 되었습니다. 다양한 침해 사고들을 보면 IT 에 몸담고 있는 저도 충격을 받을 정도로 많습니다. 중국 IT 기술 성장과 주요한 국가 연구 과제들, 그리고 정치… 정말 해킹이 관련되지 않은 것이 없다고 할 정도입니다. FBI 국장 발언이 괜한 경각심을 주기위한 충격 요법 수준은 아닙니다. 심지어 우리 개인 PC 에도 해커들은 드나들고 있을 가능성이 있습니다.

結

보안에 관심있으나 기술 용어가 높은 문턱인 분들은 이 책을 권합니다. 어렵지 않은 언어로 다양한 예시부터 결코 딱딱하지 않은 말랑한 표현으로 대처해야할 방향을 제시합니다. 저자는 책을 정말 많이 읽는 분인지 차용한 글들도 IT 범주를 넘는 경우가 많습니다. 게다가 글을 많이 써본 분이라는 걸 알 수 있게 글 흐름대로 편하게 읽을 수 있습니다.