작성일자

보안으로 혁신하라 | 혁신의 동반자

20130727-005316.jpg

보안으로 혁신하라. 신수정. p319

해커,해커의 사상과 윤리? 해커, 디지털 시대의 장인들
범죄를 저지르는해커? 크래커

사람들은 ‘진짜’ 돈을 훔치는 것은 꺼린다? 돈의 추상성이 큰 대상일수록 부정행위의 유혹에 쉽게넘어간다

기업이 투명하게 경영한다면 재무정보들을 누군가 가져가도 별 쓸모가 없을 것이다!!!

*사람들은 비용 수익 모델에 의해서가 아니라 심리에 의해 부정행위를 저지른다
불쾌감은 비도덕적 행위를 합리화하기 훨씬 쉽게 한다, 작은 부정이 큰 부정을 초래한다

해커가 잡히기 어려운 이유?
일차적으로 담당자가 은폐할 위험이 높다? 문책과 책임 추궁을 회피하기 위해!
책임을 묻는 방식은 오히려 신고를 억제한다. 신고가 더 큰 손실이 예상된다면 다들 숨길 수밖에 없다!

전설적 해커 캐빈 미트닉의 충고? 가장 중요한 정보 중 하나는 ‘전화번호부’? 고도의 해킹 기법은 최후의 수단, 목표물 접근하기전까지는 주로 전화 사용했다!

피싱이 기승을 부리는 이유? 단순하다! 비용대비 효과가 뛰어나다
사회공학? 조금 더 쉬운 방법? 바로 사람을 이용하는 방법이다!
불행히도 많은 기관이나 기업에서는 보안시스템에는 강력한 투자를 하지만 사람들에 대해서는 큰 투자를 하지 않는다!

디폴트 계정과 패스워드, well known id/password-디폴트 변경은 기본, 그러나 현실은..

공격자가 가장 꺼리는 기업은? 강력한 초기 대응은 공격자에게 겁을 준다
착한 주인과 철장 속 과수원 vs 무서운 주인과 울타리 없는 과수원, 서리하고싶은 곳은?!

부패방지의 첫걸음은 부패행위가 일어나서는 안 되는 일로 생각하는 것에서 벗어나 일어나는 일로 인식하는 데 있다

(현실 인정/수용 후 대책 마련이 중요)

잘 되고 있다는 보고는 믿을 수 있는가?
대부분의 담당 임원은 거짓말을 하는 것이 아니라 구체적으로 챙기지 않기에 현상을 잘 모른다!
그러므로 그들의 말을 믿어서는 안 된다. 구체적으로 질문을 해야 한다!
구체적으로 챙기지 않으면 임원도 구체적으로 챙기지 않고, 보안 책임자도 구체적으로 챙기지 않는다

보안 시스템의 원리는 간단하다? 패턴 매칭! 정의되지 않은 패턴은 감시 불가
값싼 솔루션이 좋다? 솔루션은 눈에 보이지만 패턴은 눈에 보이지 않는다!

기술적으로 뛰어난 시스템이면 모든 문제 해결? 완벽한 기술은 불가, 기술보다 중요한 사람! 운영이 중요하다, 기술에만 의존하지 말고 관리/운영 부분까지 세심하게 구현해야 한다

생체 인식 시스템? 너무도 쉬운 우회로!(미화원 아주머니)
기술적인 부분 못지 않게 중요한 운영! 시스템 구입과 설치보다 더 중요한 것은 ‘제대로 된 운영‘이다

공격자가 말하는 진정한 가장 약한 고리는 무엇일까?

“보안 상품 자체가 완벽한 보안 체계라고 생각하는 사람은 보안이라는 착각 속에 만족하고 있는 것이다. 보안 기술자다 더욱 완벽한 보안 기술을 발명해서 기술적 취약점을 보안하도라도 더욱 더 많은 공격자는 사람이라는 요소를 이용하려 할 것이다. 사람이 바로 가장 약한 고리이다.”

공격자는 사람의 심리를 철저하게 이용한다!

인증과 시스템이 뚫리는가 여부와는 큰 관계가 없다. 그럼 인증은 왜 받는가? 정보 보호 관리 활동이 제대로 돌아가고 있는지 여부에 초점!

중요한 것이 위험한 것인가? 그럴 수도 아닐 수도 있다(발생가능한가)
위험Risk=f(위협의 실현 가능성likelihood,실현 시의 영향impact)

기업 보안 대응의 핵심적인 비결 중 하나는 사소한 것을 간과하지 않는 데 있다(보안 담당자의 자질? 꼼꼼한 업무 태도)
(대부분의 사고는 작은 징조와 시도의 연속선상에서 이루어진다)

비행기 추락 사고를 피하는 가장 좋은 방법은? 거림낌 없이 의견을 말할 수 있는 활달한 성격의 부기장!!! (신고에 대해 열린 문화가 필요)

관리비용 최소화? 버릴 것은 버리고 구조화할 것은 구조화하라!

촘촘한 보안 솔루션 구축으로 안전을자부하지만 실상은 구멍 투성이? 아직도 우리는 보이는 것을 중요시하기 때문일 것이다. 장비가 들어오면 무언가 투자하는 것 같지만 사람이 들어오면 무언가 돈을 버리는 것 같다

프로세스로 정착되어야 한다? 프로세스화 되지 않으면 실행력이 없다!(절차 없는 대책만 있으면 한두 번 수행하고 그칠 수 있다)

보안 시스템의 핵심? 모든 임직원의 태도와 ‘인식’이다(생각이 바뀌어야 행동도 바뀐다!)

보안으로 혁신하라? 최고 혁신 기업의 철통같은 보안 기업 문화? 애플!!

보안과 혁신은 어울리지 않는 단어가 아니다. 보안은 혁신의 뒤를 따라갈 수 밖에 없는 단어이다. 혁신하는 기업일수록 보안을 강화할 수밖에 없다. 혁신된 노하우, 차별화된 특허,…이를 보호하지 않는다면 그처럼 어리석은 일이 없을 것이다.

보안은 혁신을 뒤따라감과 동시에 혁신을 이끌 수도 있음을 고려해야 한다

댓글 남기기