이 데이터 유출 사고는 제가 이전 회사에서 겪었던 일을 떠올리게 합니다. 직원들의 비밀번호가 유출되어 해커들이 회사의 데이터 자산과 코드를 악의적인 목적으로 악용하는 것을 목격했습니다. 2017년 주요 뉴스였습니다. 검색해 보세요. 이 상황에서 해고당하는 것은 경범죄였고, 어떤 사람들은 심지어 감옥에 가기도 했습니다.
나중에 저는 이 취약점을 해결하기 위해 보안팀으로 발령받았습니다. 비슷한 문제를 해결하기 위해 파이썬 프로그램을 개발했습니다. 회사 관련 키워드 몇 개를 직접 설정하고 Github 같은 곳에서 API를 매일 검색했습니다. 회사 관련 정보가 발견되면 즉시 이메일 알림을 보내고 직접 검토했습니다. 이렇게 간단한 전략에도 불구하고 거의 두 달마다 유출 사고가 발생했다는 사실에 놀라실 겁니다.
여기에는 첨단 기술이 필요하지 않습니다. 중견 기업이든 대기업이든 자체 보안을 위해 이러한 시스템을 갖춰야 합니다. CSDN은 플랫폼으로서 작성자에게 경고하는 감지 메커니즘을 갖춰야 합니다. Github은 이미 이러한 노력을 기울이고 있습니다.
많은 개발자들이 보안 의식이 매우 부족하다고 생각합니다. 무엇을 기밀로 유지해야 하는지, 개인 키와 공개 키의 차이점을 이해하지 못하고, 심지어 Git을 잘 사용하는 방법도 모릅니다. 비밀번호를 알아낸 후, 비밀번호를 삭제하기 위해 커밋을 제출합니다. 도대체 무슨 일인가요? 4/n
이 주제에 대해 이전에 [직장 실수에 대해 이야catcoding.me/p/avoid-mistak…Ube0B)라는 글을 쓴 적이 있지만, 충분히 포괄적이지 않습니다. 보안은 광범위한 주제이므로 참고할 만한 몇 가지 사례 연구를 소개합니다. 특히 코드와 작업이 많은 사용자에게 영향을 미칠 때, 자신의 업무에 대해 존중하는 태도를 유지하세요. 작은 실수라도 심각한 피해를 초래할 수 있습니다.
안전 교육은 입사 시뿐만 아니라 입사 후에도 정기적으로 필수입니다. 간단한 안전 원칙이라도 직원들에게 지속적으로 교육해야 합니다. 회사의 경우, 가장 짧은 안전 수칙을 지키는 것이 중요합니다. 회사 인원이 일정 수준에 도달하면, 직원 수의 하한선이 어디인지 알 수 없게 됩니다.
생각나는 대로 계속 쓰겠습니다. 회사 이름은 언급하지 않았네요. 이 보안 문제는 심각한 결함입니다. 선전의 탄탄한 공급망과 선구적인 기술 전문성 덕분에 이 회사 제품은 대부분 미국에서 판매됩니다. 미국인들은 비슷한 제품을 만드는 데 그다지 능숙하지 않습니다. 따라서 이 데이터 유출은 끊임없이 의문시되어 왔으며, 미중 무역 전쟁으로 인해 중국 또한 미국 서버에 데이터를 저장하지 않도록 요구하고 있습니다. 6/n
하드웨어 회사의 인터넷 부서로서 2~3년 동안 저희는 대부분의 시간을 취약점을 정리하고, 수정하고, 패치하는 데 투자했습니다. 아마존 사용량을 점차 줄이고 최대한 알리바바 클라우드로 이전했으며, 알리바바의 해외 서버도 활용했습니다. 최악의 시나리오까지 대비했습니다. 미국 서버가 모두 중단될 경우를 대비하여 이미 유럽의 알리바바 클라우드 노드에 서버를 구축해 두었습니다.
저희 회사는 미국 블랙리스트에 올랐다는 소문이 끊이지 않았지만, 실제로 블랙리스트에 오르기 전까지는 오랫동안 공식 등재되지 않았습니다. 그래서 그 기간 동안 회사는 공황 상태에 빠져 여러 차례 시정 조치와 자체 점검을 진행했습니다.
지쳐 있었지만, 당시 무역 전쟁은 저에게 일할 동기를 부여해 주었습니다. 마치 보기 드문 역사적 순간을 경험하는 것 같았기 때문입니다. 사실, 몇 년 후 무역 전쟁을 떠올린다면, 지친 몸을 이끌고 집으로 돌아와 눕던 그 느낌이 분명 떠오를 것입니다.
이제 보안에 대해 이야기해 보겠습니다. 저희 회사의 핵심 사업이 하드웨어이기 때문에 네트워크 보안 보호 및 도구 조달은 당연히 필요했고, 이 과정에 상당한 시간을 투자했습니다. 저는 제품을 평가하고 외부 업체와 협력하여 회사 내에 구현하는 업무를 담당했습니다. 이 과정을 통해 강력한 자체 보안 업체인 보안 업체들이 얼마나 인색한지 깨달았습니다. 물론 회사 입장에서는 이러한 인색함이 불가피하며, 비용 절감도 필수적입니다.
제가 특히 싫어하는 것은 자사 평판을 악용하는 관행입니다. 많은 제조업체들이 이러한 이점을 활용하려 하며, 외부 제조업체들을 크게 억압합니다. 제품 시험 기간은 구매 절차조차 거치지 않고 반복적으로, 심지어 거의 1년 반 동안 연장됩니다. 시험 기간이 실제로 불가능해질 무렵에는 구매 절차를 시작해야 하며, 선택해야 할 회사는 서너 개에 불과합니다. 어떤 회사들은 결국 총알받이가 될 운명인 것도 당연합니다.
코드 스캐닝을 예로 들어 보겠습니다. 이 도구는 국내외 수많은 제조업체에서 제공합니다. 당연히 해외 제품은 제외되었지만, 국내 제품은 대기업과 스타트업 모두에서 만들었습니다. 저는 두 회사의 제품 두 가지를 최소 1년 동안 사용해 보았고, 체험 기간 연장을 위해 이메일을 보내기가 너무 민망할 때쯤 마침내 구매를 시작했습니다. 오랜 협상과 다른 채널을 통한 흥정 끝에 최종 가격은 믿을 수 없을 정도로 저렴했습니다. 12/n
이렇게 말씀드리겠습니다. 이 보안 도구 세트의 가격은 중급 보안 개발 엔지니어의 월급과 거의 같습니다. B 측이 이처럼 길고 힘든 협상과 엄청난 인력 투입 끝에 마침내 이 가격에 합의하는 데 얼마나 큰 부담을 느꼈을지 상상해 보십시오. 하지만 합의하는 것이 합의하지 않는 것보다는 낫지 않습니까? 결국 우리는 합의에 서명했습니다. 13/n
이 과정에서 저와 동료들은 제3자 시장의 종속성을 어느 정도 경험했는데, 그중 일부는 정말 미묘했습니다. 예를 들어, 제 동료가 개를 좋아한다는 것을 알고는, 한 여성 영업 사원이 주말에 그를 데리고 산책을 하러 가자고 권했고, 또 다른 여성 영업 사원이 저녁에 그를 커피 한 잔 마시자고 권하는 등 여러 가지 일이 있었습니다. 물론, 우리 모두는 성실하고 소심한 프로그래머였습니다.
그러니 구매 부서 직원들이 얼마나 큰 유혹에 직면했을지 짐작할 수 있습니다. 어느 해 구매 부서 직원들 중 상당수가 체포되어 투옥되었습니다. 그들 중 다수는 공급업체로부터 뇌물을 받았고, 다른 직원들은 회사를 조종하여 품질이 떨어지는 제품을 판매했습니다. 나중에 들으니 구매 부서의 신입 교육 과정에 교도소 방문이 포함되어 있었다고 합니다.
과거에 손실을 경험하지 않은 기업이 보안을 진지하게 받아들이기는 어렵습니다. 제가 당시 근무했던 회사는 오랫동안 유니콘 기업으로 국내외적으로 명성을 떨치고 있었습니다. 하지만 이번 중대한 보안 사고 이전에는 보안 관리가 상당히 낙후되어 있었습니다. 기술 혁신을 표방하는 기업이 달성할 수 있는 수준이었습니다. 그렇다면 정부 부처의 보안 수준은 어떨지 상상해 보십시오.