dyway

I'm very well : Life of an ordinary programmer

Archive for 11월 2012

비상식적인 사무실 보안 점검

회사에서의 보안은 정말 중요하다.

그런데, 보안 점검을 한답시고 켄싱턴 락을 걸어서 책상 위에 놓고 사용하는 노트북 PC를 퇴근할 때 서랍에 넣고 다니라는 건 정말 납득이 안 가는 내용이다. 데스크톱 PC의 본체는 켄싱턴 락도 없이 책상 위에 있고, 아이맥같은 일체형 PC역시 마찬가지로 책상 위에 놓여있는데, 어째서 노트북 PC만 그래야 하는 건지. 어떤 이유를 갖다 붙여봐도 말이 안 된다. 비상식적이기 때문이다. 노트북 PC를 훔쳐가는 게 데스크톱 PC를 훔쳐가는 것이나 그 안에 있는 하드 디스크만 훔쳐 가는 것보다 쉽다고 생각하는 걸까. 어차피 누구든지 간에 훔칠 마음으로 사무실에 들어왔으면 게임 끝인 거다. 1층에 수위 아저씨가 있고, 사무실 문은 지문을 입력해야 열리고, 사무실로 들어올 수 있는 세 곳의 입구 위에는 24시간 가동되는 CCTV 카메라가 달려있기 때문에 사무실로 PC를 훔치러 들어오면, 잡히는 건 시간 문제가 될 뿐이다. 대체 누가 이런 정책을 만들어서 보안 점검 항목 중 맨 위에 넣고 “노트북의 경우 켄싱턴락의 시건 여부와 관계 없이 적발 대상” 운운하는 건지 궁금할 따름이다.

회사에서 보안 점검 항목이라고 일러주며 점검 나오기 전에 알려주는 건 수 년 째 거의 같은 내용이다. 노트북 PC는 서랍에 보관, 업무 관련 문서 방치 금지(업무와 무관한 메모 포함), PC 비밀 번호 설정(CMOS, OS), 화면 보호기 설정, 퇴근 시 서랍 시건 확인, 서랍 열쇠 책상 근처에 보관 금지, 업무 시간에 비 업무 또는 도박 관련 사이트 접속 금지, 클라우드 관련 서비스 이용 금지, 외부 네트웍과 연결 가능한 사설 AP 사용 금지 등 매우 뻔한 내용이다.

이런 웃기지도 않는 보안 점검을 하는 것보다 차라리 사무실에 들락날락 거릴 수 있는 인원에 대한 보안이나 실질적 시스템 상의 보안에 신경을 쓰는 게 더 중요한 게 아닐까 라는 생각이 든다. 어차피 노트북 PC든, 데스크톱 PC든 사무실 밖으로 가지고 나간 PC는 관제 센터에서 모니터링이 가능한, 한 마디로 완전히 통제되는 기기에 불과하기 때문이다.

사무실 밖으로 PC를 들고 나갔다고 치자. PC에 전원을 넣으면 CMOS 암호, OS 암호를 입력해야 한다. 이 암호는 풀기가 어렵다. 혹시나 올바른 암호를 입력했거나 하드 디스크만 따로 떼어내서 다른 PC에 연결했다고 가정한다고 해도 하드 디스크 안의 대부분 파일에는 DRM이 걸려있고, 이 DRM은 사내 네트웍에 접속하여 사용자 인증이 된 상태에서만 파일을 열 수 있기 때문에 외부에서는 도저히 열어볼 수가 없는 상황이 된다. 간단한 텍스트 파일이나 소스 코드의 경우 DRM이 걸리지 않을 수도 있지만, 일반 직원들 PC에는 DRM을 풀어서까지 봐야할 중요한 문서같은 게 있을 리가 만무하다. 소스 코드는 대부분 오픈 소스를 사용하고, 로직 자체가 복잡한 경우는 많지 않기 때문에 걱정할 게 안 된다. 또, 정말 핵심이 되는 기술들은 일부 직원들 만이 접근이 가능할 것이다. 만약에 DRM을 풀었다면, DRM 솔루션을 파는 업체가 지금까지 존재할 수가 없었을 것이고, 외부에서 DRM 서버에 접속해서 인증을 받고, 문서를 열게 된다면, 이건 단순히 문서 문제가 아니라 VPN이 뚫렸다고 생각해도 될 것이다. 그렇게 되면 그 회사 네트웍이 반 쯤은 뚫렸다는 거니까 도둑맞은 PC는 일도 아니게 될 거다.

직원들이 전부 퇴근하고 나서 사무실을 돌아다니며 책상마다 서랍은 열렸는지 확인하고, 남의 책상이나 뒤지는 게 보안이 아니라고 보안 담당하는 사람들이 직접 얘길해주면 좋겠다. 고차원적인 생각, 아니 상식적인 수준으로만 생각해도 업무와 상관없는 메모가 책상 위에 있다거나, 켄싱턴 락을 걸어서 사용하는 노트북 PC를 책상에 놓고 퇴근을 하는 게 사무실 보안 위반 사항이 아니란 걸 알 수 있을 것이다. 어떻게 회사에서 사용하는 업무용 PC를 업무용 책상 위에 쇠줄로 걸어 놓는 게 보안 위반 사항이란 말인가.

어제 퇴근할 때 버스에서 보니까, 앞자리에 앉은 차-부장급으로 보이는 아저씨가 스마트 폰으로 회사에서 쓰는 클라우드 서비스에 접속해서 신사업 아이템 관련 문서와 무슨 예산이 적힌 문서를 보고 있던데, 그런 문서 보관소에 접근해서 열어볼 수 있는 스마트폰 같은 걸 잃어버렸을 때에 아무나 볼 수 없도록 만드는 게 조금 더 보안을 지키는 것에 가까운 게 아닐까 하는 생각이 든다.

몇 달 전부터 보안 점검이 있을 때마다 자꾸 노트북을 서랍에 넣고 다니라고 얘길 해대서 적어놨던 글에 오늘 또 점검 나온다고 얘기가 나와서 적어본다. 이것도 웃긴다. 올 때엔 그냥 오지도 않고, 미리 대비하라고 다 알려주고 와요. 그들의 논리는 이런 거다. “알려줘도 걸리잖아?”

광고

Written by dyway

2012년 11월 23일 at 5:35 오후

내 경험에 게시됨

Tagged with , ,

휴대폰, 카메라, 이어폰

세계에서 가장 많은 카메라와 이어폰을 생산 또는 판매하는 회사는 가장 많은 휴대폰을 판매하는 회사일 것이다. 하지만, 아무도 그 회사의 카메라와 이어폰이 세계 최고의 제품이라고 말하지 않는다. 휴대폰에서 가장 많이 사용하는 기능인 카메라와 가장 많이 사용되는 액세서리인 이어폰을 고가 브랜드의 제품 수준으로 좋게 만들 생각을 못하는 걸까. 어마어마한 실험을 할 수 있을텐데. 참 희한하다.

Written by dyway

2012년 11월 20일 at 7:47 오전

요즘 생각에 게시됨

%d 블로거가 이것을 좋아합니다: