• Skip to content
  • Skip to secondary menu
  • Skip to primary sidebar
  • Skip to footer

ㅍㅍㅅㅅ

필자와 독자의 경계가 없는 이슈 큐레이팅 매거진

  • Home
  • 스타트업
    • 마케팅
    • 투자
  • 시사
    • 경제
    • 국제
    • 군사
    • 사회
    • 언론
    • 역사
    • 정치
    • 종교
  • 문화
    • 게임
    • 교육
    • 덕후
    • 만화
    • 스포츠
    • 애니
    • 연예
    • 영화
    • 인문
    • 음악
    • 책
    • 학문
  • 테크
    • IT
    • SNS
    • 개발
    • 공학
    • 과학
    • 디자인
    • 의학
    • 환경
  • 생활
    • 건강
    • 부모
    • 성인
    • 여행
    • 영어
    • 음식
    • 패션
  • 특집
    • 개드립
    • 인터뷰
  • 전체글

‘기업기관의 모니터링 시스템 구축 시 생각해볼 점’이란

2017년 7월 18일 by 강명훈

내가 종사해온 ‘보안관제’라는 분야는, ‘관제’라는 단어의 어감에서 알 수 있듯이, 주로 모니터링, 그러니까 컴퓨터 로그를 지켜보는 일이 주 업무이다.

물론 마냥 지켜보기만 하는 건 아니다. 읽고, 이해하려고 노력하는데, 문제는 로그가 너무 많아서(..)

망치 든 사람에겐 모든 게 못으로 보인다고, ‘기업, 기관의 모니터링 시스템 구축 시 생각해볼 점’이란 글을 본 순간, ‘오옷~ 보안관제?’ 이러면서 클릭했다. 주요 내용을 살펴보면,

1. 범위: 모든 보이스를 커버하는 것은 사실상 불가능

“모든 범위 커버하면야 좋겠지만… 아시다시피 자원은 한정적입니다.”

2. 시기와 주기: 그러니까 다 먹고 살자고 하는거..

“범위와 마찬가지로 시시각각으로 해주면 뭐 좋죠. 근데 해보시면 알겠지만, 이거 사람 미치는 일입니다(…)”

3. 정리와 평가: 모니터링 해봤자 티도 안 나잖아요

” 이슈를 방지하면 이슈가 아닌 게 되고, 이슈가 이슈가 되면 이슈관리에 실패”

4. 전파와 관리: 이게 포인트

“이슈를 어떻게 관리하느냐는 요체”

5. 그리고: 투비컨디뉴드

“모니터링 시스템은 …(중략)… 지속해서 개선되고 단순히 ‘시스템’이 아니라, 유기적으로 기능하는 체계가 되어야”

읽어보신 분은 알겠지만 미디어 이슈 관리 방법론에 관한 글이다. 깜박 속음.

하지만 읽는 내내 보안관제 분야랑 상황이 너무 흡사해서 신기했다. 과연 차이점은 없을까?

 

1. 커버 범위

보안관제 역시 모든 범위를 커버…하면 좋지만 시간, 돈, 결정적으로 사람이 부족하기 때문에 주로 주요 길목인 네트워크에서 알려진 위협을 우선 모니터링한다.

네트워크 따위는 우회해버리는 톰 아저씨

문제는 그럼 네트워크는 모두 커버하느냐인데, 전에 비슷한 얘기를 했었지만 네트워크 보안 장비의 룰은 보통 수천 개, 모니터링 하는 범위는 수백 개(..)

 

2. 시기와 주기

24시간 365일 교대근무가 기본.

 

3. 평가

해킹을 막으면 해킹이 아니기 때문에 하는 일이 없어 보이는 이 분야 특성상, 사고 발생 시 몇 분 내 대응, 몇 시간 내 보고서 작성 완료 등이 주가 되는 SLA(Service Level Agreement)가 체결된다.

모니터링 범위에 대한 평가는 아예 논외. 누구 책임이라고 말하기도 어렵다. 십여 년 넘게 잘못 꿴 첫 단추가 유지되고 있을 뿐. 우리만 그런 것도 아니고(..)

www.itworld.co.kr/news/93192

 

4. 관리

‘알려진 악재는 더 이상 악재가 아니다’란 증권가 격언이 있다. 정보보안도 마찬가지. 알려진 위협은 위협이 아니다. 하우투를 결정할 수 있고, 관리할 수 있기 때문. 하지만 모니터링 하지 않고 있는 범위에서 발생하는, 그래서 알려지지 않은 위협은 관리할 수 없다.

 

5. 그리고

미디어 이슈 관리 분야처럼 ‘지속 개선되는 시스템’이 필요하지만, 현실은 미국발 최신기술 찬양에서 끝나는 경우가 많다. 왜 그럴까? IT 기술 발전의 역효과를 뜻하는 ‘생산성 역설’이란 용어가 있다.

“‘생산성 역설(productivity paradox)’은 최근 들어 더욱 뚜렷이 모습을 드러내고 있다. 예컨대 (컴퓨터도 제대로 보급되지 않았던) 1947년부터 1983년까지 미국의 노동생산성 증가율은 평균 2.8%였다. 하지만 (인터넷 사용이 보편화된) 2000부터 2007년 사이 비율은 오히려 2.6%로 떨어졌다. ‘스마트폰 혁명’이 일어난 2007년부터 2014년 사이는 어땠을까? 정확히 반토막이 난 1.3%였다.”

‘생산성 역설’이 나타나는 이유는 무엇일까?

“‘제도’가 구비되어 있지 않았기 때문이다. 교육제도와 노동조직 등이 적절하게 준비되지 않으면 컴퓨터를 아무리 많이 설치하더라도 생산성은 정체된다. 기술과 제도는 공진화(co-evolution)한다. 따라서 컴퓨터 시설에 맞는 제도를 마련하자.”

시스템이 인력과 조직에 내재화되고, 기본 프로세스가 되기까지 시간이 필요하며, 비싼 시스템의 뽕을 뽑으려면 인력과 조직에 대한 지원이 뒤따라야 한다는, 쌀로 밥 짓는 얘기.

차이점을 찾아볼까 했지만 실패했다. 로그가 발생할 때마다 위협의 진위를 확인해야 하는 보안관제 업무의 특성에서 차이가 나지 않을까 했지만, 미디어 이슈 관리 분야도 발생한 이슈의 진위 확인이 필요할 것 같고.

IMF 여파가 지속되던 1999년, 하드디스크 백업 사업(?)을 하다 혼쭐이 난 후, 운 좋게 논문을 이북으로 만드는 ‘정보화 공공근로사업’에 참여한 적이 있다. 입력팀이 키보드를 두드려가며 논문을 입력하면, 검수팀이 오타 등을 검수하는 방식.

입력팀의 노력 여부와 관계없이 입력된 모든 논문을 눈이 빠져라 전수조사 해야 하는 검수팀의 신경은 항상 날카로웠고, 내심 미안하면서도 검수팀이 아님에 안도했던 기억이 난다. 분야를 떠나 모니터링이란 게 티도 안 나는 주제에 사람 참 피곤하게 만드는 일인 듯하다.

Filed Under: 테크

필자 강명훈 twitter twitter

4년간의 시스템 엔지니어 경험만으로 용케 아직까지 정보보안 분야에 종사 중. 사고 분석이 아닌 데이터 분석 관점의 보안 솔루션 활용 방안에 관심 많음. 『엘라스틱서치로 알아보는 이상징후 분석』 『데이터 분석이 쉬워지는 정규표현식』 『빅데이터 분석으로 살펴본 IDS와 보안관제의 완성』 세 권의 책을 썼다.

Primary Sidebar

SPONSORED

RECOMMENDED

Footer

ㅍㅍㅅㅅ

등록번호: 서울, 아03293
등록일자: 2014년 8월 18일
제호: ㅍㅍㅅㅅ
발행인: 이승환
편집인: 이승환
주소: 서울특별시 서초구 강남대로 369 12층
발행일자: 2014년 8월 18일
전화번호: 010-2494-1884
청소년보호책임자: 이승환
Privacy Policy

Copyright © 2025 · Magazine Pro on Genesis Framework · WordPress · Log in