IT's Fun2016.11.16 06:30

마음으로만 시도하고 있던 한빛출판네트워크의 IT기사번역에 처음 참여를 해보았습니다. 눈으로 읽으면서 머릿속으로 이해하던 것을 넘어 우리글로 의미를 전달하는 작업이 쉽지 않다는 것을 뼈저리게 느낀 번역이었습니다. 얼마 안되는 영문 기사를 한글로 옮기는 것도 이렇게 힘든데, 두꺼운 전문 번역서들을 다루시는 분들에게 진심어린 박수를 드리고 싶습니다. 번역서 작업을 하다 포기했던 지인의 마음을 다 헤아리지 못하겠습니다만, 비슷한 맥락이었을 것 같습니다.


이번에 번역에 참여한 글은 오라일리 미디어가 주최하는 보안 컨퍼런스에 참석한 한 발표자와의 인터뷰였습니다. 보안 분야의 저명한 인사들을 잘 알지 못해 인터뷰 당사자에 대해서 자세히 알지는 못하지만, 인터뷰 내용 중에 기억에 남는 문구 몇가지를 공유해 봅니다. 협업이라는 것과 특정한 분야에서의 전문성. 그리고 일의 생산성이 높아지는 것의 상관관계가 생각지도 못한 방향에서 나올 수 있다는 이야기가 담겨 있습니다.




번역이 적절했는지 조금 애매합니다만 Laura Mather 는 "Groupthink" 라는 단어를 사용했습니다. 사전적인 의미로 "집단의 순응적 사고"라는 다소 모호한 뜻을 가지고 있는 단어입니다. 집단에서 어떤 사안에 대해 의견을 주고 받다 보면 비판과 논쟁의 과정을 거치면서 어느 특정한 방향으로 의견이 모아지는 현상을 이야기 한다고 해석해 보았습니다. 이런 흐름이 나쁘것은 아니겠지만 조직 내에서 힘을 가지고 있거나 평판이 압도적인 사람의 의견은 따라야만 할 것 같은 생각이 드는 경험을 우리 모두 해왔기 때문입니다.


그런데 만약, 팀의 구성원들이 정말 다양한 배경과 전문지식을 가지고 있다면 이런 순응이 어느정도 경감될 수 있지 않을까요? 가령 어떤 사람이 자신의 삶이 경험에 비추어 의견을 이야기 했을때, 그 분야의 경험이나 지식이 없는 상태에서 무작정 그 의견에 동조하며 고개를 끄덕이기는 쉽지 않을 겁니다. 보안팀은 많은 경우 굉장히 압박을 받을 수 밖에 없고 시간이 많지 않은 상황에 내몰리면서 의사결정과 해법을 내놓아야 합니다. 하지만, 동시에 공격자들은 점점 다양해지고 패턴 역시 예상하기 힘들게 진화하고 있습니다.


실용적인 해법과 창의적인 토론 과정을 만들어내는 컨텍스트(Context)로서 다양한 구성원을 팀으로 만드는 것이 분명 도움이 될 수 있을 것 같습니다. 물론 현실적으로는 팀의 구성원들이 어느 특정한 분야에 쏠릴 수 밖에 없겠지만, IT 섹터 안에서만이라도 조금 더 다양한 배경과 지식을 가진 사람들이 팀을 구성한다면 꽤 괜찮은 생산성을 보일 수 있을 것 같기도 합니다. 


한빛출판네트워크 웹 사이트에서 IT기사번역본 살펴보기 [바로가기]



저작자 표시 비영리
신고
Posted by 노피디
IT's Fun2016.06.29 09:17

근래에 가장 화두가 되고 있는 해킹 공격은 역시 누가 뭐래도 랜섬웨어(Ransomware)를 통한 공격입니다. 랜섬웨어 공격은 메일이나 토런트, 메신저 등으로 유포된 악성 코드가 실행되면 로컬 디스크에 저장되어 있는 중요한 파일들이 암호화되고 이를 복호화 하기 위해서는 비트코인이나 비용을 요구하는 방식의 실직적인 경제 이득을 노린 방식으로 그 피해가 날로 커지고 있습니다. 랜섬웨어 뿐만 아니라 전통적인 해킹 공격 역시 지속적으로 발생하고 있는데요, 때문에 많은 사람들이 안티바이러스 프로그램이나 멜웨어 검출 프로그램을 통해 피해를 입지 않도록 준비하는 것을 많이 볼 수 있습니다.


강력한 소프트웨어나 보안 패치 등을 통해 지속적으로 보안 위협에 대응하는 것은 중요한 절차입니다. 하지만 우리가 가장 먼저 신경써야 하는 것은 컴퓨터를 부팅하고 로그인하는데서부터 사내 서비스나 외부의 인터넷 서비스에 접근하기 위해 사용하는 패스워드에 대한 보안일 것입니다. 많은 보안 보고서들이 기본적으로 "강력한 패스워드를 사용하는 것"이 보안의 출발점이라는 이야기를 하고 있기 때문입니다. 시스템에 엑세스 하기 위한 가장 기본적인 절차가 보안되지 않는다면 그 이후에 준비한 수많은 보안 절차, 통제는 무용지물이 될 수 있기 때문이지요!


패스워드를 건초더미(Haystack)에 숨겨두세요! (출처 : GRC 웹 사이트)



패스워드 보안에 대한 의식을 고취(?)하기 위해 일종의 정신교육처럼 활용할 수 있는 웹사이트가 있어서 소개해 드리고자 합니다. 이 사이트를 통해 지금 사용하고 있는 몇 가지의 패스워드만 입려개 보더라도 "나의 계정은 언제 털릴 것인가?"를 예상해 볼 수 있고 무언가 패스워드에 충분한 조치를 취해야 겠다는 생각이 들게 해주는 소중한 곳입니다. 간단하게 영문 소문자와 숫자만으로 구성된 패스워드를 입력해보니 정말 부지불식간에 유추가 가능하다는 결론이 내려져 간담이 서늘합니다.



패스워드를 전문적인 툴이나 시행착오형 공격에 대해 방어하는 가장 좋은 방법은 길게 그리고 다양한 문자 (대문자, 소문자, 숫자, 특수문자 등) 를 섞어서 만드는 것입니다. 꼭 길지 않더라도 몇 가지 가능한 조합을 적절히 사용하는 것 많으로도 공격자들이 패스워드를 유추하고 탈취하는 것을 굉장한 수준으로 지연시킬 수 있습니다. 간단한 조합으로 만들어본 아래의 결과를 위의 단순한 패스워드 결과와 한번 비교해 보시기 바랍니다.



늘상 사용하는 패스워드이다보니 기억하기 편리한 것을 오랫동안 여러 서비스에 걸쳐서 사용하는 것이 불행히도 현실입니다. 하루 아침에 모든 패스워드를 복잡하게 변경했다가는 패스워드를 찾기 위해 아이핀에 가입하고 모바일 메세지로 보안 문자를 입력하고 수많은 번거로움을 거쳐야만 하기 때문에 망설여지기도 합니다. 원패스워드(1password)와 같은 훌륭한 툴을 이용하면 그나마 상황이 나아지긴 합니다만 이래저래 복잡한 패스워드를 만들고 관리하는 것은 영원한 챌린지(Challenge)가 될 수 밖에 없는 것 같습니다. 여러분의 패스워드는 얼마나 안전하십니까?


내 패스워드의 보안강도는 얼마나 충분할까? 테스트 하러 가봅시다! [바로가기]



저작자 표시 비영리
신고
Posted by 노피디
IT's Fun2015.10.16 15:59

디지털 시대에 개인정보 보호는 무척 첨예한 화두입니다. 디지털이라는 환경의 특성상 복제와 변조가 용이하고 유출되는 경우 손쉽게 퍼져나갈 수 있는 파급력이 있기 때문입니다. 이런 이유 때문에 많은 서비스들은 수집하는 사용자 정보를 최소화 하는 노력을 하고 있고 저장된 정보, 실시간으로 주고 받는 개인간의 대화와 같은 정보 컨텐츠를 어떻게 하면 더 잘 보호할 수 있을 것인지에 대해 무척 많은 관심과 노력을 기울이고 있습니다. 디지털 시대로 변화하면서 사람들의 커뮤니케이션패턴을 음성에서 데이터로 송두리째 바꾸어 놓은 메세징 서비스(Messging Service) 역시 그런 핫 이슈에서 자유롭기는 힘듭니다.


오랫동안 경찰이나 검찰, 국정원과 같은 국가 기관들은 수사의 목적으로 통신사에 정보를 요청하는 경우가 많았습니다. 이런 정보 제공 요청 역시 디지털 시대에 걸맞게 데이터베이스나 사용자들이 주고받은 메세지 등으로 범위가 확대, 변형 되면서 개인의 정보는 어디까지 보호될 수 있을 것인지에 대한 말들이 많습니다. 작년도에 텔레그램(Telegram) 으로의 사이버망명 사태를 일으켰고 최근 다시 한번 붉어지고 있는 카카오톡(KakaoTalk) 감청 논란은 이런 변화의 피해자 일지도 모르겠습니다.



출처 : 라인 공식 웹사이트 (http://line.me/en-US/)



메세징 서비스를 제공하는 회사들이 이런 논란으로부터 자유롭지 못한 것은 사용자들이 단말, 메세지 클라이언트를 이용해 주고 받는 기술의 특성 때문입니다. 공개키 기반의 암호화 기술들은 정보를 주고 받는 당사자들간의 구간에서는 주고받는 정보가 보호되겠지만 이를 받은 후 다시 다른 사용자에게 전달하는 과정과 루트는 다시 별도의 암호화 구간이 되는 한계를 가지고 있어 만에 하나라도 서버 자체가 공격을 당하는 등의 상황에서는 메세지가 평문으로 노출될 수 있습니다.


라인(LINE)이 13일 공식 개발자 블로그를 통해 공개한 사용자간의 종단간 암호화 기술 레터실링(Letter Sealing)은 중간의 릴레이 역할을 하는 서버나 장비들이 전송되는 내용을 해석하여 다시 암호화 하는 방식이 아니기 때문에 일반적인 구간별 암호화 보다는 훨씬 안전할 것으로 예측됩니다. 사용자간의 키를 교환하는 과정 등에서도 여러가지 보완책을 통해 가능한 안전한 키교환을 할 수 있는 방법을 통해 보안을 보장하기 위해 애쓴 내용들도 블로그 포스팅 곳곳에서 발견됩니다.






출처 : 라인 개발자 블로그 (http://developers.linecorp.com/blog/ko/?p=162)



물론 이러한 종단간(End-To-End) 암호화 기술을 적용하게 되면 사용자들의 대화 내용 등을 미리 토스트 팝업(Toast Popup)으로 알려주는 것과 같은 부가적인 메세징 서비스들의 기능을 활용할 수 없게 되는 등 약간의 불편함이 발생할 수 있습니다. 하지만 근래의 감청 논란에서 비롯되는 것처럼 중간에 누군가 장비를 설치하던 서버를 압수하던가 하는 방식의 수사나 악의적인 공격으로 서버가 탈취 당했을 때 발생할 수 있는 정보 보호의 이슈에서는 분명 자유로와질 수 있을 것입니다.


현실에서의 이슈들은 기술발전을 이끌어냅니다. 물론 그런 이슈가 긍정적인 것인지 부정적인 것인지에 따라 기술의 활용이나 기술 자체의 가치는 다르게 평가받을 수 있을 것입니다. 라인이 공개한 레터실링과 같은 기능 역시 사용자들의 메세지 교환을 적극적으로 보호해 준다는 순역할과 함께 서비스에 대한 위협(?)이 되고 있는 악의적인 공격이나 수사의 압박 등에서 비교적 자유로워질 수 있다는 순역할이 존재합니다. 어떤 것이 맞고 틀리고를 떠나서 이러한 움직임들은 그냥 하나의 기능 개선으로 보기 보다는 조금 더 진중하게 무엇이 문제이고 이슈인지에 대해 이야기 할 수 있는 담론의 장이 있었으면 하는 생각입니다.


라인 개발자 블로그 "더 안전한 대화를 위한 Letter Sealing" 전문 살펴보기 [바로가기]



저작자 표시 비영리
신고
Posted by 노피디

티스토리 툴바