안철수연구소 선배가 가르쳐준 보안의 3요소

"보안의 3요소는 CIA입니다."
이 첫 문장으로 안랩 공채 8기 신입사원을 대상으로 김기영 전략제품개발실장의 '보안의 이해' 강의가 시작됐다. 

보안의 3요소는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)이다. 기밀성을 유지하려면 중요 데이터를 암호화 및 접근제어로 외부로 노출되는 것을 막아야 한다. 무결성은 중요 데이터가 내부 또는 외부의 위협으로부터 변조되거나 파괴되지 않도록 함으로써 유지할 수 있다. 그리고, 정당한 사용자는 원할 때 언제든지 정보를 열람할 수 있도록 가용성을 확보해야 한다.

학교에서도 이미 많이 들어봤던 터라 수업 내용과 별반 다르지 않을 것이라 예상했지만 그 예상은 완전히 빗나갔다. 그 동안 배웠던 내용은 이론적인 접근이었다면 이번 교육은 보안 제품을 만들고 서비스를 제공하는 입장에서 바라볼 수 있게 해주었다.

Integrity라는 단어를 그저 무결성이라고만 알고 있었지만 이를 일관성이라고 이해하면서 그동안 모호했던 여러 가지 개념이 확실하게 정리됐다. 데이터가 변경되지 않는 것을 보장하는 것이 무결성이라고 학교에서 배웠지만, 이번에는 보안 서비스가 일관되게 안전하지 않고 취약한 부분이 있다면 이는 Integrity가 만족되지 않아서 취약점이 있다는 것을 배웠다. 

가용성을 해치는 것은 공격자가 서비스 제공자의 리소스를 점유해서 사용자가 서비스 제공을 못 받게 하는 DDoS 공격이 대표적이라는 게 학교에서 배운 주 내용이다. 하지만 개발자의 입장에서 보안 제품이 너무 많은 리소스를 사용해서 사용자가 사용에 불편을 느껴서 보안 제품을 사용하지 않는다면 이 또한 Availability을 만족하지 못 하는 것이라는 내용이 있었다. 실제로 콘텐츠의 불법 배포를 방지하는 DRM 기술을 애플에서 사용하지 않기로 한 예에서 이러한 내용은 확인할 수 있었다.

이번 교육은 앞으로 보안 제품을 만들고 서비스를 제공해야 할 입장에서 보안이라는 주제를 어떠한 시각으로 바라봐야 하는지 배울 수 있는 시간이었다. '보안의 이해'라는 과목명처럼 자세한 내용보다는 보안이라는 주제를 전체적으로 살펴봐서 조각조각 알던 부분이 하나로 모아질 수 있었다. 큰 그림을 통해서 앞으로 공부해 나가야 할 방향을 알 수 있었다.

실장은 마지막으로 맹자의 시인함인(矢人函人) 말씀을 인용해서 직업을 선택할 때 자신의 본성을 착하게 만들 수 있는 직업을 선택하는 것이 중요하다고 강조했다. 평소에 하는 일이 그 사람의 생각과 마음을 바꿀 수 있기 때문에 직업의 선택이 중요하다는 것.

또한 보안 전문가와 악성 공격자는 매우 비슷한 점이 많아서 직업적인 윤리관이 매우 중요하다고 역설했다. 보안을 하다가도 직업윤리가 없으면 악성적인 공격자가 될 수도 있다는 것이다. 이러한 일이 발생하지 않도록 이론뿐 아니라 윤리의식과 사명감을 갖고 일을 해나가야 한다는 점을 배운 시간이었다. Ahn

김정현 / 안철수연구소 소프트웨어개발실


 

댓글을 달아 주세요

  1. 통통이21 2012.02.17 11:29  Address |  Modify / Delete |  Reply

    저희 회사에서도 안철수연구소 V3를 구매해서 사용하고 있는데
    이런 포스트를 볼때마다 든든합니다~~^^