컴퓨터 보안은 여전히 “핫한 주제”입니다. 많은 기업과 개인이 엄청난 시간과 돈을 투자하고 있음에도 불구하고 여전히 보안 문제에 시달리는 이유는 무엇일까요?
1. 기본 허용
컴퓨터 보안의 가장 큰 문제 중 하나는 “기본 허용”입니다. 방화벽 규칙에서 흔히 볼 수 있는 이 접근 방식은 관리자가 새로운 취약점을 발견할 때마다 이를 차단할지 여부를 결정하게 합니다. 이는 해커와의 무한 경쟁을 초래합니다. 반대로 “기본 거부” 접근법은 더 나은 보안 솔루션이 될 수 있습니다.
2. 나쁜 것 나열하기
초기 컴퓨터 보안에서는 몇 가지 잘 알려진 보안 구멍만 있었습니다. 그러나 인터넷이 발전하면서 악성 요소가 좋은 요소보다 많아지게 되었습니다. “나쁜 것 나열하기”는 모든 악성 요소를 나열하고 차단하는 방식으로, 이는 매우 비효율적입니다. 오히려 “좋은 것 나열하기”가 더 나은 접근법입니다.
3. 침투 및 패치
“침투 및 패치”는 보안 취약점을 발견하고 이를 수정하는 방식입니다. 그러나 이 방식은 코드의 근본적인 문제를 해결하지 않습니다. 보안 시스템은 설계 단계에서부터 안전하게 만들어져야 합니다.
4. 해킹을 멋지게 여기는 것
해킹을 사회적 문제로 보지 않고 기술적 문제로만 보는 것은 어리석은 생각입니다. 해커를 영웅시하는 것은 해킹을 장려하는 것과 다름없습니다. 보안 전문가가 해킹 기술을 배우는 것도 어리석은 생각입니다. 해킹은 사회적 문제로 접근해야 합니다.
5. 사용자 교육
사용자 교육은 “침투 및 패치”의 인간 버전입니다. 사용자를 교육하는 것은 근본적인 해결책이 아닙니다. 문제를 해결하는 대신 문제를 제거하는 것이 더 나은 접근법입니다.
6. 행동이 무행동보다 낫다
새로운 기술을 도입하기 전에 충분히 검토하고 기다리는 것이 더 나은 전략입니다. “어리석은 행동을 하지 않는 것이 똑똑한 행동을 하는 것보다 쉽다”는 것을 기억해야 합니다.
결론
오늘은 컴퓨터 보안에서 흔히 저지르는 어리석은 실수를 알아 보았습니다. 보안 시스템을 설계할 때는 근본적인 문제를 해결하는 것이 중요합니다. 또한 해킹을 멋지게 여기는 문화는 해킹 문제를 악화시킬 수 있으며, 사용자 교육보다는 문제를 근본적으로 해결하는 접근법이 필요합니다. 마지막으로, 새로운 기술을 도입할 때는 충분히 검토하고 신중하게 접근하는 것이 중요합니다.
참고 자료: ranum.com, “The Six Dumbest Ideas in Computer Security”