사용자는 물론 정보보호 관리자가 보안을 쉽게 지킬 수 있는 방법을 고민해야 합니다. 사용자들에게 부담을 준다면 지키지 않는 보안 규정만 생기는 꼴이 됩니다.
27일 정경호 한국인터넷진흥원(KISA) 부원장은 잠실 롯데호텔에서 열린 시큐리티 넥스트 컨퍼런스(SNC) 2015에서 사용자 관점에서 사이버 정보보호 정책들을 살펴봤을 때 준수하기가 어렵게 만들어진 것들이 많다고 지적했다.
정 부원장은 윈도 비스타 사례를 들어 설명했다. 타임지가 2011년에 가장 기술적으로 실패한 10대 제품을 뽑았을 때 윈도 비스타가 2위를 차지했습니다. 윈도 비스타가 왜 실패했을까요? 다른 이유도 있겠지만 비스타에서 필요한 소프트웨어를 마음대로 설치 할 수 없어 불편했기 때문입니다. 비스타는 관리자계정으로 들어가야 소프트웨어를 설치할 수 있습니다.
윈도 비스타는 운영체제(OS) 개발부터 보안을 고려해 만들어졌다. 이용자가 위험한 행동을 하면 경고해 주고, 이용자들이 알지 못하는 위험 행위를 모니터링해서 조금이라도 위험하거나 보안에 위배되는 행동을 할때 막아주고 도움을 주려고 시도한 OS다. 보안을 높이려는 시도는 좋았지만 사용자가 이용하는데 어렵고 불편하게 만들었기 때문에 결국 실패할 수 밖에 없었다.
정 부원장은 복잡하고 어려워 오히려 사용자들이 보안을 지키지 않는 사례들가 많이 있다고 지적했다.
인터넷익스플로어에는 보안 설정에 대한 많은 기능이 있습니다. 방화벽, 백신도 있지만 보안 옵션도 많습니다. 이 옵션 하나가 어떤 의미를 갖고 내가 뭘하면 안되는지를 아는 사람은 많지 않을 것입니다.
아이디패스워드 보안 가이드라인은 어떤가요? 이용자들에게 랜덤하게 만들어라, 숫자와 특수 문자를 조합해서 유추할 수 없게 해라, 계정마다 다른 아이디와 패스워드를 써라, 적어도 3달에 한번은 변경하라고 하지만 다 지키기가 어렵습니다. 수 많은 서비스에 등록한 아이디 패스워드를 어떻게 다 다르게 만들 수 있겠습니까
그는 아이디패스워드 문제는 일반 사용자뿐 아니라 정보보호 관리자들에게도 어려운 문제라고 설명했다. 관리자들이 패스워드를 보통 어드민(admin)이나 12345678 처럼 쉽게 기억할 수 있는 걸 쓰는 경우가 많기 때문에 사고가 발생하는데, 한 사람이 관리하는 계정이 몇 천개씩 되기 때문에 이걸 다 다르게 하거나 자주 바꾸기가 사실 불가능하다는 얘기다.
관련기사
- 차세대 보안, 솔루션 넘어 플랫폼으로 진화2014.11.27
- "금융보안, IT조직과 현업간 협업이 핵심"2014.11.27
- 프라이버시에 대한 네이버의 5가지 원칙2014.11.27
- "IoT 보안, 글로벌IT업계 격전지로 부상"2014.11.27
아무리 정교한 보안 솔루션을 사용한다고 해도 사용자들이 보안 가이드라인 준수하지 않으면 소용없기 때문에 규정을 지키는데 들어가는 부담이나 노력을 최대한 줄여줘야 한다는 것이 그의 주장이다.
정 부원장은 보안 사고 중 70~80%는 사람 실수다. 그렇다고 그 사람이 나태해서 실수했다고 보면 안된다. 이용자와 정보보호 담당자가 정보보호 현상을 쉽게 이해하고 쉽게 사용할 수 있도록 전체 시스템 재 설립되지 않으면 우리가 원하는 안전한 서비스, 시스템 구현은 어려울 것이라고 강조했다.