불과 작년까지만해도 정보보안 관련 업무를 하다가 올해 서비스 운영 업무로 바뀌게 되면서 2가지 생각이 드네요.
1. 보안점검하면 뭔가 조치할 건 나오게 되어 있다.
서비스 모의해킹과 같은 취약점 점검을 하게 되면, 뭔가 약점이 튀어 나오게 됩니다.
왜냐하면 나올때까지 찾기 때문이죠. 지금도 CVE 취약점등이 실시간으로 업데이트 되는 상황에 작년에 모든 취약점 조치를 했다고 해서 이번에는 그냥 넘어가겠지라는 것도 없을거고요...예전에 Log4J와 같이 전혀 문제 없다고 생각했던 라이브러리도 갑자기 중대 취약점이라고 전수조사해서 죄다 바꿔야하는 사태가 일어나기도 하죠
그래서 중요성이 상/중/하로 구분해서 결과보고서가 나오게 됩니다. 보안부서는 운영부서에 이 보고서를 던져주고 언제까지 조치하라는 내용을 보내게 되죠.
2. 취약점 점검조치에 불가능은 없다, 다만 불편해질 뿐...
시간과 돈만 있으면 다 가능하죠. 취약점 조치가 뭐....난이도는 있겠지만, 다만 중요한건 얼마나 서비스 이용에 불편을 주지 않으면서 처리할 수 있는지가 운영입장에서는 중요합니다.
예를들어, 로그인을 할때 아이디와 패스워드 방식에 대해 보다 보안을 강화할 필요가 있다고 나오면서 2차인증을 적용하라고 했을때...
운영입장에서는 2차인증을 적용했을 때 예상되는 불편항의들..(서비스 이용자가 왜 갑자기 불편해졌다고 나오겠죠.)이 있을건데, 그렇다고 답변으로
'아~ 저희도 불편한거 아는데 보안팀이 하라고 해서 어쩔수 없네요..ㅠ'
이렇게 이야기할수가 없으니까요, 뭐...해볼 수 있는건
'고객님의 소중한 정보를 보호하기 위하여 이용에 양해 부탁드립니다.' 라는 멘트만 날려야 하겠죠.
그래서 2차인증도 방식을 여러방식을 제공하거나, 요새 나오는 간편비밀번호 같은 걸 주면서 최대한 불편하지 않도록 하는 노력이 필요해보입니다.
추가적으로 더 여러가지들이 있겠으나, 결론적으로는 안되는 건 없으니 알아서 잘 불편을 줄여서 조치하라는
어려운 답변밖에 없네요.
그래서 필요한건 커뮤니케이션이라 봅니다. 프로젝트 관리에서도 나오듯이
범위와 일정을 먼저 이야기해서 협의를 해야겠죠.
무작정 해라 또는 못한다로 나오는 건 의미없는 싸움일 뿐이라 봅니다.
'공공기관 전산직 활동' 카테고리의 다른 글
| SW사업정보저장소? 정보화 사업 담당자라면 반드시 알아야 할 것 (0) | 2023.09.28 |
|---|---|
| 감리지적-jQuery 버전 1에서 3 버전으로 변경하라는 사항 (0) | 2023.09.28 |
| 다음주 발표를 준비하면서(초등학생도 알수있게) (0) | 2023.05.21 |
| 과업심의위원회 개최 후기 (0) | 2023.04.02 |
| 전산장애 후기(ORA-3136) (0) | 2023.03.28 |