질문은 TF지식인을 이용해 주시기 바랍니다
또 올라간 칼럼입니다. 기업 보안은 해도 해도 티가 안나는 분야니... 참 할말이 없네요
이렇게 함량을 낮추고 은화 물량을 확대하는 정책은 쉽다. 하지만 후대 황제로 갈수록 재정 적자를 정책으로 해결하기보다는 은화 함량을 떨어뜨려서 공급을 늘리려 했다. 사람들도 바보가 아닌지라 함량이 낮은 데나리우스 은화에 대한 불신은 점차 높아졌다. 로마제국이 거의 망할 즈음에는 데나리우스 은화는 4% 은만 함유하고 있을 만큼 가치를 상실한 상태였다고 한다.
이럴 때 어울리는 격언이 “악화가 양화를 구축한다”는 말이다. 한글로 풀어보자면 “나쁜 돈이 좋은 돈을 쫓아낸다”는 뜻이다. 시장에서 돈을 만지는 사람이 은 함량이 좋은 은화를 숨기고 가치가 떨어지는 은화는 손에 들어오면 유통해버리는 사태를 말한다. 영국 사업가이자 금융업자인 토마스 그레셤(Thomas Gresham)이 처음 주장한 말이어서 그레셤의 법칙으로 알려져 있기도 하다.
은행카드사 개인정보가 유출된 이후 보안업계와 담당자들은 장탄식에 빠진다. 어마어마한 사회적 지탄이 있었지만 벌금은 사회적인 인식과 달리 보안 담당자 1명 월급조차 안 되는 단돈 500만원만 나왔을 뿐이다. 대규모 정보가 유출된 이후 벌금이 이 정도로 나오자 누가 보안에 투자하겠냐는 냉소가 터져 나왔다. 결국 마키아벨리적 상상력이 보안업계에선 동원되기 시작됐고 심지어 법으로 정한 최소한의 보안만 준수하려는 회사도 생겼다.
보안 전문가나 회사에 지불하는 돈보다 보안으로 인해 문제가 생기면 벌금을 내는 게 저렴해진 상황은 마치 그레셤의 법칙이라고 할 수 있다. 필자로 일반 기업이나 금융회사의 보안 업무는 되도록 피한다. 이유는 시간대비 수익도 별로 되지 않고 레거시 시스템이 숨겨진 지뢰처럼 튀어나올 수 있기 때문이다. 결정적으로 1997년이나 2014년이나 받는 돈은 비슷하거나 물가대비로는 오히려 상당히 감액된 상황이다.
조언도 잘 하지 않는다. 쓸데없이 조언을 해봐야 “영업하는 것 아니냐”거나 “사이트 해킹하는 것 아니냐”는 불필요한 오해를 살 수 있기 때문이다.
이런 기업은 특성상 보안 스캐팅 프로그램을 돌리지 않아도 사이트를 웹서핑하듯 살펴보기만 해도 보안 취약점이 줄줄이 나오기 일쑤다. SSL 없이 로그인과 회원 가입을 한다든지 기본적인 OS 패치를 하지 않기도 한다. 증권사와 연결되어 있지만 IP 관리가 귀찮았는지 방화벽 설정하는 방법을 모르는지 방화벽 설정조차 안 되어 있는 막되어 먹은 사이트도 나온다. 언제였든 사고가 이미 났을지도 모르고 날지도 모를 경우가 대부분이다.
이런 문제는 기존 보안 업계가 소위 ‘용팔이’ 같은 업자가 되어 구형 재고 노트북을 팔 듯 보안 솔루션을 트렌드에 맞게 이름을 바꿔 2015년형 자동차처럼 판매한 업보일지도 모른다. 필자가 최근 두렵게 생각하는 보안 취약 기업은 다음과 같다.
자유게시판
Hot 게시글은 조회수1000 or 추천수10 or 댓글25 이상 게시물을 최근순으로 최대4개까지 출력됩니다. (타 게시판 동일)또 올라간 칼럼입니다. 기업 보안은 해도 해도 티가 안나는 분야니... 참 할말이 없네요
기업이 보안에 돈을 쓰지 않는 이유
[테크홀릭] 2,000년 전 국제 통화는 로마의 데나리우스 은화였다. 폭군으로 유명했던 네로 황제는 4g짜리 은화 무게를 줄이고 100% 은 순도를 92%로 낮춰 유통하도록 했다. 무게와 함량을 줄인 은화는 120년 동안 로마 경제의 통화 공급 확대에 도움을 줬다. 폭군이었지만 경제 감각이 탁월한 군주였던 모양이다.
이렇게 함량을 낮추고 은화 물량을 확대하는 정책은 쉽다. 하지만 후대 황제로 갈수록 재정 적자를 정책으로 해결하기보다는 은화 함량을 떨어뜨려서 공급을 늘리려 했다. 사람들도 바보가 아닌지라 함량이 낮은 데나리우스 은화에 대한 불신은 점차 높아졌다. 로마제국이 거의 망할 즈음에는 데나리우스 은화는 4% 은만 함유하고 있을 만큼 가치를 상실한 상태였다고 한다.
이럴 때 어울리는 격언이 “악화가 양화를 구축한다”는 말이다. 한글로 풀어보자면 “나쁜 돈이 좋은 돈을 쫓아낸다”는 뜻이다. 시장에서 돈을 만지는 사람이 은 함량이 좋은 은화를 숨기고 가치가 떨어지는 은화는 손에 들어오면 유통해버리는 사태를 말한다. 영국 사업가이자 금융업자인 토마스 그레셤(Thomas Gresham)이 처음 주장한 말이어서 그레셤의 법칙으로 알려져 있기도 하다.
은행카드사 개인정보가 유출된 이후 보안업계와 담당자들은 장탄식에 빠진다. 어마어마한 사회적 지탄이 있었지만 벌금은 사회적인 인식과 달리 보안 담당자 1명 월급조차 안 되는 단돈 500만원만 나왔을 뿐이다. 대규모 정보가 유출된 이후 벌금이 이 정도로 나오자 누가 보안에 투자하겠냐는 냉소가 터져 나왔다. 결국 마키아벨리적 상상력이 보안업계에선 동원되기 시작됐고 심지어 법으로 정한 최소한의 보안만 준수하려는 회사도 생겼다.
보안 전문가나 회사에 지불하는 돈보다 보안으로 인해 문제가 생기면 벌금을 내는 게 저렴해진 상황은 마치 그레셤의 법칙이라고 할 수 있다. 필자로 일반 기업이나 금융회사의 보안 업무는 되도록 피한다. 이유는 시간대비 수익도 별로 되지 않고 레거시 시스템이 숨겨진 지뢰처럼 튀어나올 수 있기 때문이다. 결정적으로 1997년이나 2014년이나 받는 돈은 비슷하거나 물가대비로는 오히려 상당히 감액된 상황이다.
조언도 잘 하지 않는다. 쓸데없이 조언을 해봐야 “영업하는 것 아니냐”거나 “사이트 해킹하는 것 아니냐”는 불필요한 오해를 살 수 있기 때문이다.
이런 기업은 특성상 보안 스캐팅 프로그램을 돌리지 않아도 사이트를 웹서핑하듯 살펴보기만 해도 보안 취약점이 줄줄이 나오기 일쑤다. SSL 없이 로그인과 회원 가입을 한다든지 기본적인 OS 패치를 하지 않기도 한다. 증권사와 연결되어 있지만 IP 관리가 귀찮았는지 방화벽 설정하는 방법을 모르는지 방화벽 설정조차 안 되어 있는 막되어 먹은 사이트도 나온다. 언제였든 사고가 이미 났을지도 모르고 날지도 모를 경우가 대부분이다.
이런 문제는 기존 보안 업계가 소위 ‘용팔이’ 같은 업자가 되어 구형 재고 노트북을 팔 듯 보안 솔루션을 트렌드에 맞게 이름을 바꿔 2015년형 자동차처럼 판매한 업보일지도 모른다. 필자가 최근 두렵게 생각하는 보안 취약 기업은 다음과 같다.
- POS회사
- 전산팀을 구조 조정한 증권사
- 유사 투자 자문업
- 사이비 사설 증권 업체
- 언론사 웹사이트
- 웹호스팅을 이용하는 쇼핑몰 업체
- CCTV
- 멤버십포인트
체크리스트를 보듯하는 보안 스페셜리스트를 만드는 학원이나 보안업계도 문제지만 결정적으로 기업이 이번 벌금의 판례로 제대로 된 학습 효과를 보게 된 것은 아닌지 모르겠다. 기업 입장에선 고가의 장비보다 인증을 통과한 저렴한 장비와 최소한의 인력 투자만 하게 될 것이 분명하다. 기업과 보안 시장에 나쁜 선례를 남긴 것이다. 그레셤의 법칙이 지배하는 세상이 됐다.
전자신문인터넷 테크홀릭팀
김호광 칼럼니스트 techholic@etnews.com
원문:
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=030&aid=0002291527