조선미디어그룹의 정보통신기술(ICT) 전문 매체 IT조선은 마이크로소프트웨어(이하 '마소') 389호 발간을 기념해 2017년 세 번째 '마소의 밤'을 8월 24일 개최했다. 마소 389호는 지난 7월 10일 '보안의 자각'을 주제로 최근 빈번히 발생하고 있는 보안 이슈의 대응 방법에 대해 개발자의 시각으로 다뤘다. 마소의 밤은 IT조선 연결지성센터에서 박형준 IBM 에반젤리스트, 노규남 가비아 CTO, 공재웅 모의 침투 연구회 해커가 직접 독자들에게 설명해주는 미니 콘퍼런스 형식으로 진행됐다.
박형준 IBM 에반젤리스트가 클라우드 보안의 모범사례를 설명하고 있다. / 마이크로소프트웨어 제공
박형준 IBM 에반젤리스트의 '클라우드 보안을 정복하는 기술'로 첫번째 순서를 시작했다. 보안은 기업이 클라우드를 도입할 때 가장 신경쓰고 주의 깊게 검토해야하는 항목이다. 클라우드는 계약의 형태별로 각각 전산 센터(On-Premise IDC) 환경과 많은 차이가 생긴다. IaaS(Infrastructure as a Service), Paas(Platform as a Service), Saas(Software as a Service) 형태에 따라 보안 관리 책임이 다르므로, 서비스 및 데이터 중요도에 따라 적절한 선택을 해야한다. 박형준 에반젤리스트는 "클라우드와 전산센터 중 어느 곳의 보안이 더욱 강력한지 자주 질문을 받는다"며 "어느 한쪽이 절대적으로 강력하다고 평가하기 힘들기 때문에 도입 목적에 따라 클라우드 종류별로 정확한 이해가 필요하다"고 설명했다.
노규남 가비아 CTO가 클라우드 서비스 보안인증을 받으면서 진행한 작업들을 소개하고 있다. / 마이크로소프트웨어 제공
노규남 가비아 CTO는 가비아가 클라우드 서비스 보안인증(CSAP) 취득에 도전했던 계기로 말문을 열었다. 클라우드 서비스 보안인증은 공공기관이 민간 클라우드를 도입할 경우 지켜야하는 정보보호에 대한 기준을 규정하는 인증제도다. 현재 국내에서는 KT, 네이버비즈니스플랫폼(NBP) 외에는 가비아만 유일하게 인증을 취득한 상태다. 인증준비, 예비점검, 서면·현장 평가, 취약점 점검, 모의 침투 테스트, 이행점검, 인증 유지 등 CSAP 취득을 위해서는 많은 단계를 통과해야 한다. 노규남 CTO는 "자체 개발한 스택을 가지고 있었고, 전사가 하나가 돼 진행해서 난관들을 극복할 수 있었다"며 "정부와 관련 기관, 업계의 공조를 통해 클라우드가 시장에서 융성하게 발전하기를 간절히 바란다"고 밝혔다.
공재웅 모의 침투 연구회 해커가 취약점 분석가와 모의 침투 전문가의 차이을 설명하고 있다. / 마이크로소프트웨어 제공
마지막으로 공재웅 모의 침투 연구회 해커가 'MS17-010' 취약점 모의 침투를 설명했다. 'MS17-010' 취약점은 SMB 포트를 이용한 공격으로 지난 5월 12일부터 발생한 워너크라이(WannaCry) 랜섬웨어가 이용했던 취약점이다. 공재웅 해커는 "워너크라이의 배포자로 지목된 섀도 브로커스(Shadow Brokers)의 존재 여부에 대한 진실은 현재까지 아무도 모른다"며 직접 분석한 내용을 들려줬다.
마소는 2017년 10월 '오픈소스와 오픈데이터'를 주제로 통권 390호가 발간될 예정이며, 이후 11월에 네번째 마소의 밤은 누구나 참여할 수 있는 콘퍼런스로 확대할 계획이다.
