지금까지 사고가 없었던 게 기적 by 함부르거

회사 안에 다른 부서에서 운영하는 시스템이 있는데 알면 알 수록 소름이 끼친다.

구체적인 건 말할 수 없지만 보안을 위한 기초적인 조치가 하나도 안 되어 있다고 보면 된다. -_-;;;; 대체 어떤 식으로 사업을 해 왔는데 시스템을 이렇게 구성할 수 있는지...

관리자가 전산 문외한인 것인 두말 할 나위도 없지만, 나름 전문업체에서 파견나온 직원이란 친구도 기본적인 개념이 없다. Fail-Safe를 위한 이중화와 백업을 같은 개념으로 보고 있으니 뭐... -_-;;;;;

이러고도 여태까지 보안사고가 없었다는 게 기적같다. 아니 아마도 너무 완벽히 장악되어 있어서 탐지를 못하고 있는지도 모른다. -_-;;; 아마도 일반인들 대상 시스템이 아니라 눈에 띄지 않아서이기 때문일까.

이러면서 내가 보안 때문에 이거저거 하라고 하면 귀찮아만 하고, 나보다 훨씬 선배인데다, 예산도 별도고, 일단 '우리들 거 건드리지 마' 이런 마인드니 뭐... 내가 할 말이 없다 정말. 내 전임자들도 그냥 나 몰라라 하고 있었던 모양이다. 하긴 관여하면 다칠 게 뻔히 보이는데 워쩔겨.

휴... 이놈의 보안업무라는 게 일은 무지하게 많으면서 일해봤자 눈에 띄지도 않고, 다른 사람들은 협조도 안해주고, 어디 가서 이야기 하면 얼굴들이나 찌푸리고, 그러면서 사고 터지면 욕은 일순위로 들어먹는 일이다. 진짜... 그래도 (우리 거 빼고) 계속 사고 터지고 하다 보면 인식들이 좋아지지 않을까...는 개뿔. 10년이 넘게 계속 대형사고 터지는 나라는 대한민국이 유일하다 정말. -_-;;;

결국 대한민국에서 보안 쪽 일은 어떻게 하면 사고났을 때 책임 피하느냐 하는 게 핵심인 거 같다. 나머진 사고 안나라고 기도하는 게 전부고. 이게 한국적 현실이다. -_-;;;;;;;

덧글

  • JOSH 2013/03/25 10:50 #

    일이 안 터지면 말해봤자 돈 안쓰려 하고...
    '왜 괜히 그런걸 알려줘서 의사결정하게 만드냐'는 미움 만 받고...
  • 함부르거 2013/03/25 10:56 #

    그렇죠. 그래도 윗사람에게 인식이 있으면 그나마 나은데 기본적인 개념이 없는 경우가 너무 많으니까요.
  • 小さな願いのあすか 2013/03/25 12:03 #

    기본적으로 보안에 돈쓰기 보다는..
    그돈으로 돈벌이거리를 더 만들어라가 기본 방침이니까요..

    보안 이전에.. 경영진에서 IT에 대한 마인드도 거의 없는 한국에서...
    제대로 돌아가면 그게 신기한거지요..
  • 떠리 2013/03/25 12:05 #

    보안... 좋죠...
  • 함부르거 2013/03/25 12:21 #

    다들 안좋아합니다. 일하는데 불편하다고. 보안담당 좋아하는 사람은 국정원 사람들 정도일 겁니다. ^^
  • bergi10 2013/03/25 12:06 #

    대한민국에선 그게 정상인가요....
  • 함부르거 2013/03/25 12:18 #

    분명 정상은 아닌데 한국에선 'de facto 정상'입니다. 낄낄.

    그래도 제가 맡고 있는 쪽은 나은 편이예요. 민간기업 쪽은 답이 없어요.
  • 먹보 2013/03/25 12:42 #

    인식 자체가 그러하니 안전 불감증 일어난다해도 피해입은 사람만 손해보는거죠. 잡아먹히기 참 좋은 나라예요. 아날로그처럼 싸울 필요가없죠.
  • 함부르거 2013/03/25 12:44 #

    하긴 정보보안만 문제가 아니죠. 안전관리도 전혀 인식이 없고...
  • Niveus 2013/03/25 13:34 #

    일터지기전엔 돈아깝게 거기 왜 돈을 써? 하고 일 터지면 도대체 뭘 했길래 털린거야?
    ...돈을 줘! 돈도 안주고 뭐가 되길 바라는건 뭔가?!

    이나라 보안 전문가가 적다고 맨날 지랄하는데 간단하죠 돈이 안되니까 -_-;;;
    돈만 많이 벌 수있으면 당장에 보안 전공하겠다는 사람이 줄을 설겁니다.
  • 함부르거 2013/03/25 13:54 #

    그렇죠. 당장 자격증이다 뭐다 만들고 있지만 돈이 안되니 누가 가겠습니까.
    그나마 있는 보안업체들도 일감 없어서 허덕허덕하고 사업 철수하는 판인데. -_-;;;
  • 긁적 2013/03/25 15:07 #

    디스 이즈 IT 강국 (...)
  • 함부르거 2013/03/25 22:51 #

    THIS! IS! KOREAAAAAAAAAAA!
  • 나인테일 2013/03/25 15:45 #

    지금 화이트 해커 드립을 치고 있는데 해커양반이 서버에서 난리를 치고 다녀도 과연 저 기관들이 조치를 취하긴할까 모르겠습니다. 그 이전에 이번 해킹 사고도 망분리 정도만 재대로 했어도...
  • 함부르거 2013/03/25 22:53 #


    망분리만 했어도 업무용 PC까지 일제히 뻗진 않았겠죠. 특히 방송국.
  • NoLife 2013/03/25 17:30 #

    그러고보니 농협해킹사고 이후 은행들이 서버 보안 점검을 했더니 비번 1111을 무더기로 발견했다는 괴담도 있었죠(...)
  • 동굴아저씨 2013/03/25 17:36 #

    -_-;;;;;;;
  • 함부르거 2013/03/25 22:53 #

    ㅋㅋㅋㅋ 그정돈 아니길 빌 뿐이죠.
  • widow7 2013/03/25 19:56 # 삭제

    일본 네티즌과 대만 네티즌이 항상 하는 말 있잖아요. 모든 게 한국 탓, 모든 게 삼성 탓.....우리 나라엔 '모든 게 북한 탓'이 있잖아요? 책임 소재가 항상 명확한데 뭐하러 보안에 신경을.........
  • 함부르거 2013/03/25 22:55 #

    에구… 원래 이런 사고는 범인 잡기 쉽진 않지만 범인 못 잡을 것 같으면 무조건 북한 탓 하고 사건 종결시키는 것 같다는 강력한 심증이 있습니다. ㅎ
  • virustotal 2013/03/25 22:56 #

    보안뉴스에서 취약점을 분석을 해달라고 분석을 하니

    이거 어떻게 짠건지 뭐가 뭔지 몰라 분석을 못해 먹겠다

    우선 제대로 짜고 어떻게 막든가 말든가 하자던 유명한 글이 있습니다.

    http://www.boannews.com/media/view.asp?idx=24871&page=1&kind=1&search=title&find=%BA%B8%BE%C8%C3%EB%BE%E0


    [기자수첩] A은행에서 보안취약점이 발견되지 않은 까닭은?

    “먼저 제대로 소스부터 수정하고 진단을 받을 것”







    [기자수첩] A은행은 얼마 전 시스템통합을 위한 사전단계로, 외국계 회사를 통해 주요 재무시스템에 대한 보안 취약점을 점검 받았다. 그 결과 취약점을 파악할 수 없었다는 답변이 왔다.



    그 이유는 취약점이 정말 없어서 파악할 수 없었다는 이야기가 아니라 시스템의 코드가 엉망이라 취약점을 찾을 수 없었다는 이야기였다. 이어 받은 답변은 “먼저 제대로 소스부터 수정하고 진단을 받을 것”이었다고 한다.
  • 함부르거 2013/03/26 09:06 #

    갑을병정무기경신임계까지 내려가는 하청구조, 박봉, 살인적 야근, 끝없이 반복되는 요구사항 변경... 이 상황에서 보안은 커녕 코드 품질을 유지하는 것도 어렵죠. 한국 IT는 뿌리부터 썩어 있습니다.
  • 코토네 2013/03/31 22:40 #

    해커한테 털리는 사고가 몇 번도 넘게 터져도 여전히 달라지지 않는군요. CIH 바이러스한테 전국적으로 크게 당한 사건하고 전국 인터넷망이 불통된 사건이 엊그제 같은데... -_-;;
  • 함부르거 2013/04/02 09:34 #

    아... CIH 바이러스.. 추억의 이름이군요. ^^;;
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.


트위터위젯