티스토리 뷰

숲이 아닌 나무만 볼줄아는 한심한 한국 정부의 보안인식

오늘은 저희 회사에서 현재 개발중인 소셜 큐레이션 서비스 "PostClip" 때문에 야근하고 집에 오는길에 Twiter에서 제미있는 링크를 발견해 자기전에 소개해 보려고 합니다. (아.. 이 글이 발행 될 쯤엔 새벽이겠네요 ㅡㅡ;;)

그리고 덤으로 급한대로 서비스 메인을 Sitemap을 응용하는 형태로 바꿨는데 테스팅이 필요해서 그러니 한번들 보시고 의견 좀 부탁드립니다. -> iamday.net 바로기가
 

서두가 너무 길었네요. 죄송합니다. 그럼 시작해 보겠습니다. Twitter에 보니 이런 글이 있더군요. "서울대학교 클라우드 서비스 차단" 이 글인데요. 내용을 읽어보니 뭐 이 정책대로 하면 한국인이 쓸 수 있는 클라우드 서비스는 사실상 서울대에서는 이용 불가능하다는 결론에 도달하게 됩니다. 

자세한 차단내용은 더보기를 눌러주세요. 


더보기(펼쳐보기)를 누르시면 아시겠지만 사실상 클라우드 이용하지 말라고 하는 겁니다. 불 이행시에는 서비스 접속을 강제로 차단한다고 한다네요. 해당 블로그의 저자가 밝힌 내용에 따르면 아마존의 AWS (aws.amazone.com)을 막는 경우 포스퀘어, PATH등 수백개의 온라인 접속이 불가능하니 사실상 클라우드가 지원되는 모든 서비스 이용을 중단하는 겁니다. ㅡㅡ;;



서울대학교 차단과 정부 IT 정책과 무슨 연관성이 있나?
단도직입적으로 말해 상관이 있습니다. 보통 공공기관의 보안 정책은 국가에서 일괄적인 지침과 가이드라인을 정해서 실시되는데 전반적으로 시행되는 경우도 있지만, 시범실시후 기관 전반에 걸쳐 실시되기도 합니다. 

결국 이번 사건은 서울대에서만 그치지 않고 작게는 한국의 공립대학은 기본적으로 시행 가능할 것으로 예상되며, 나아가 중앙기관과 지자체의 모든 기관에서 시행될 수 있는 한국 정부의 IT 보안 정책의 인식을 확인 할 수 있는 사건인 것입니다. 


클라우드 못쓴다고 죽나?
당연히 안죽지요. 저도 이전글 "애플 iCloud (아이클라우드) 곱씹어봐야 할 속 깊은 문제들.."에서 무분별한 클라우드 서비스 이용이 가져 올 수 있는 폐해와 문제점을 지적하기도 했습니다. 

그럼에도 정부의 IT 정책과 인식에 문제를 거는 것은 가이드라인을 만들고 적절한 보안 대응 기술을 개발하는 방향으로 정책을 강화하는게 아닌 일단, 문제 될 수 있는 것은 막고 보자는 식의 안일한 인식때문에 태클을 거는 것입니다. 


클라우드 보안의 심각성..
우선 최근 몇년사이에 있었던 DDOS가 결국은 이 클라우드 서비스의 초기 기술에 해당하는 P2P 서비스를 통해서 악성 코드가 유포되고 감염되어 큰 피해를 입혔습니다. (이것만으로 원인을 말씀드리는 것은 아니니 큰 틀에서만 봐주세요)

정부나 서울대의 입장에선 이런 클라우드 서비스들도 보안 위협의 대상이 될 수 있다고 보고 있는 것인데 이런점은 충분히 논의 될 수 있는 부분이라고 생각합니다. 

또, 위에서 언급했듯 이보다 더 심각한건 연구 기관등에서 불법적이고 악의적으로 데이터를 유출 할 수 있는 경로가 다양해져 보안적 문제를 심각하게 생각 할 필요가 있다는 점입니다. 

여기서 좀 더 나아가면 자신이 소중하게 간직해야 할 개인정보인 사진, 전화번호, 주소록, 각종 업무 서식.. 등 수많은 자료가 구글, 네이버, 다음을 통해 공유되고 있는데 이 데이터가 어떻게 보관되고 관리되는지 제대로 아는 사람은 거의 없다는 점입니다. 

이런 서비스를 이용하지 않을 수 없기에 이용은 하되 최대한 사적인 데이터와 업무적 기밀은 USB등을 불편하더라도 이용하는게 그나마 가장 안전한 차선이 아닐까 생각됩니다. 


보안 위협된다는데 왜? 정부 IT 정책이 문제인가?
이런 서비스를 너무 무분별하게 사용해도 문제지만 사용하지 않으면 결국 기술은 도퇴되고 나아가 국가 경쟁력에 심한 훼손을 가져 올 수 있습니다. 

향후 미래는 빅데이터의 시대로 서버 수백대로 처리할 수 없는 수준의 데이터들이 넘쳐나는 시대가 될 것이고 국가 기관도 이런 빅데이터 시대를 대비해야 하는데 이런 빅데이터를 결국 관리하구 유지하는데 필요한 주요 기술이 클라우드 인것입니다. 

대용량 스토리지를 구축하는 것도 현실적으로 어렵기 때문에 서버웨어를 결국 물리적 또는 비 물리적 네트워크로 묶어서 데이터를 관리고 운영하는 클라우드 시스템이 필요하게 됩니다. 

이를 위해선 기술 축적이 필요한데 미국은 이미 이런 기반 기술이 잘 육성되고 실제 성공한 사례를 만들고 있으나 아직 한국인 시작 단계라 많은 국민이 이용하고 활용하면서 서비스가 자리 잡을 수 있게 또, 각 연구 기관들이 이와 관련한 기술 연구를 통해 발전 할 수 있게 국가가 그 역할을 해야 하는 것이죠. 

그런데 보안정책이란 하나의 시각만으로 이런 기술을 차단하는 것은 결국 IT 기술 발전에 역행하는 하나의 사례인것이라 문제가 되는 것입니다. 


그럼 보안 위협과 클라우드 서비스 이용 어떻게 조정해야 하나?
사실 저도 명확한 답을 드리기엔 기반 지식이 너무 적어 정확한 기준을 제시하진 못하는데 제 알량한 지식을 짜내서 그나마 설명을 드리면 우선 보안 위협이 되는 부분은 일단, 물리적 네트워크와 비 물리적 네트워크를 감시 하는 기술과 원격 제어 기술등을 통해서 학교나 정부 기관내에 사용되는 컴퓨터 레벨에 따라 데이터 사용을 관리해야 합니다. 

예를들어서 일반 사용자의 컴퓨터는 보안 레벨을 최소화해 파일 다운로드 업로드가 가능하게 하되, 컴퓨터 사용이 끝나면 사용자가 내려받은 데이터를 삭제하거나 보안 데몬등을 개발해 컴퓨터 마다 상주시켜 이상 증상 발생시 중앙 관제팀에서 제어 할 수 있도록 하는 방안도 있습니다. 

물론 어렵습니다. 말처럼 쉬운거면 누구나 다 하겠죠.

그래도 해야 하며 이렇게 하면서 또 보안 기술이 성장하는 것입니다. 무지랭이인 제가 이런말 하긴 그렇지만 정책을 짤때 당장 실현 할 부분과 장기적으로 단계적 접근이 필요한 구분을 구분해야 하고 무었보다 기술 개발 필요한 부분과 필요 하지 않은 부분등을 나누어 정책을 결정 할 필요가 있습니다. 

그리고 보안 레벨이 높은 연구소등은 어쩔 수 없이 기관이나 정부에서 이용하는 클라우드 시스템을 활용하게하고 그 이외의 시스템은 아주 제한적으로 이용 할 수 있게 (예를들면 컴퓨터에 내려받지 않고 클라우드를 웹으로 연결해 데이터를 이용하게 한다던지하는 방법 이용도 가능합니다.)하는등 유연하고 탄력적으로 적용하는게 맞다고 생각합니다. 


클라우드 기반 기술 육성을 위해 한국형 클라우드 기술고 보안기술 개발해야
SaaS, PaaS.. 등 뭐 기술이 많지요. 저도 잘은 모르지만 이런 기술들 대부분 미국에서 왔습니다. 개념과 알고리즘은 어쩔 수 없더라도 이를 활용해 만든 서비스 기술과 보안 기술은 육성해야 합니다. 

그런데 얼마전 정부에서 진행하는 IT 지원 정책에 한국의 모 클라우드 업체가 컨소시엄 형태로 클라우드 기술 개발을 지원했다가 떨어졌다고 합니다. 

떨어진 이유가 그게 사업이 될지 안될지 판단이 안되서라고 했답니다. 그리고 채택 된 곳은 모바일 어플 개발하는 아이디어를 제시한 곳이었다고 합니다. 

모바일 어플 만드는 곳을 채택해서 그 지원책에 문제가 있다는 것은 아닙니다. 

다만, 한국의 정책이나 방향이 너무 단기적 성과에 집중되 있다는 점을 지적하고 싶은 겁니다. 클라우드 개발에 1년동안 한 1억 투자하면 나올까요? 모바일 어플 개발자 육성도 중요하고 모바일 서비스로 세계를 휩쓸 서비스 업체 육성도 시급합니다. 

하지만 이런건 굳이 국가에서 투자하지 않더라도 충분히 민간에서 흡수 할 수 있는 것들입니다. 국가가 지원한다면 최소한 3~4년의 장기 프로젝트이며 산업 최 말단의 기반 기술이 될 수 있는 요소 투자가 진행되어야 하지 않을까요?

또, 실제 투자도 바로 성과를 내는 부분도 중요하니 이런 부분의 비중을 6~70%를 두고 정부 기금을 지원한다면 최소한 3~40%는 실제 사업화가 안되더라도 개념과 접근하는 방법론이 괜찮으면 이런 부분에 투자도 선행 될 수 있도록해야 하지 않을까 생각됩니다. 

IT의 잃어버린 10년의 길을 현재 한국은 걷고 있는데 다시 잃어버린 20년이 되지 않으려면 현재 정부와 같은 인식을 갖어서는 안된다는 생각에 이번글 올려보며 마무리합니다. 
댓글