[Oh! 반면교사 시즌 2] “외부랑 연결 안되면 보안 문제없는 거 아냐?” 라면서 이상한 주장을 펼치는데는 뭐가 있구나

이건 내가 반면교사 시리즈에 넣어야 할지 말지를 좀 고민하고 있다가… 일단은 넣기로 했다. 오씨 까는 시즌 1때에도 오씨 까는 것보다 전반적인 이해 부족으로 인한 문제점을 적은 내용도 조금 있었으니깐…..

당연하게도, 해외 개발회사랑도 일을 많이 한다. 그러다 보면 당연히 영미, 유럽 회사들도 만나게 되는데…

이 글을 읽는 분들도 잘 알겠지만, 일본인들 영어 실력 진짜 극과 극이다. 잘하는 사람들은 잘 대화되고(그래도 일본인인 거 티가 확 난다.) 못하는 사람은 진짜로 못한다. 심각하다. 회사 공식문서를 영어 일본어 동시 작성한다 하면 일본어를 그냥 구글 번역으로 돌리고 끝인 경우도 많다. (내 계약서 관련해서, 그리고 내 퇴직 관련 문서에서 그렇게 그냥 구글 번역 돌려서 작성해준 문서 많다.) 그러다 보니, 미국 회사에서 3년 일하고 온 내 경력은 이들에게 있어서 중요한 거다. 가끔 기술 관련 영어 번역이나 통역에 쓰이니깐.

그리고 이번 케이스에서의 스토리처럼, 외국 회사들 관련해서 미팅 있으면 통역해야 하니깐…

….뭐, 잠시 딴 이야기로 좀 샜습니다만…

그래서 외국 회사들은 자기네 시스템, 솔루션을 가져다가 쓰고 그러면 보통 여러모로 물어보는 것이 참 많습니다. 한국 회사들 물어보는 건 쨉도 안될 수준으로요. (한국 대기업들은 좀 다르려나… 제 경험에는 순수 자기들 기술 가진 중견기업에서는 사전에 엄청 묻는 경우는 얼마 없더군요.) 그러다보니 여러모로 대답을 해줘야 할 경우가 많은데, 거의 항상 마지막에 나오는 이야기는 다음과 같습니다.

“귀사의 솔루션의 보안적인 측면은 어떻습니까?”

라고 물을 때, 제일 힘드네요. 왜냐….

결론부터 말하면,

“저희 회사 시스템은 외부 네트워크와 연결되지 않는 분리된 시스템으로 동작하기 때문에 외부 보안적인 측면에서는 전혀 문제가 없습니다.”

…뭐, 틀린 말은 아닙니다. 실제로 시큐리티 엄청 신경쓰는 연구소라던가 그런 곳들은 격리된 네트워크를 쓰고, 필요한 repo 같은 것들은 전용 서버 만들어서 거기서 받아서 하죠. 미러 서버를 만들어서 외부 업데이트와 내부 망을 나눠서 처리하기도 하고요.

그래서 솔직히 저 대답에 뭐 잘못된 건 없다고 봅니다. 실제로 회사 팜플렛에서 회사 솔루션의 전체 구성도를 보여주고 있고, 그게 어떻게 전체적인 구조 안에서 동작하는지를 파악하는 전체적인 설명을 들으면 충분히 납득이 되는 상황이 많이 일어나곤 합니다.

뭐, 실제로 제조된 기계의 입장으로 봐도 그렇게 단독으로 구성된 시스템에서 뭐 건드릴 거 없습니다 진짜로… 그런 임베디드 기계들 뭐 한둘도 아니고요.

근데 이걸 생각보다 다른 곳에서 악용하는 케이스를 보게 될 줄은 몰랐습니다. 누가요? 바로 그분입니다. (욕쓰기도 아깝습니다 이젠…) 그리고 팀장도, 주임도 생각 외로 그렇게 생각합니다. 그 백그라운드를 설명하겠습니다. 설명 들으면 진짜로 뒷목 잡을 껍니다.

일전에 게임이라는 단어가 들어있다는 이유로 개발 관련된 사이트도 차단했다고 했죠? 뭐 프로그램 다운로드 사이트들도 마찬가지입니다. 일본에서는 다운로드 사이트를 공식 홈페이지가 아니라 옛날 옛적에 한국처럼 서드파티로 다운로드 하는 곳에서 받아서 쓰는 그런 습관들이 여전히 남아있는 거 같습니다. 실제로 일본 내에도 그런 사이트들 판을 치고(한국은 거의 죽었죠. 개인 수준의 사이트들밖에 안남았습니다. 그리고 그들마저도 공문으로 시달리고요.) 한국으로 치면 옛날 네이버 다운로드 같이 프로그램 모아서 다운로드 하도록 되어있는 그런 사이트들이요. 요즘은 그런 사이트들 가면 이상한 프로그램 설치하고 해서 여러모로 말이 많아서 잘 안가게 되지만…

뭐, 저런 것들이 여전히 남아있어서 그런지 지금도 보면 그런 다운로드 사이트 같은 곳들에 대해서는 여러모로 차단을 다 걸어두고 있습니다. 그리고 다운로드 관련으로도 여러모로 제약을 걸어두고 있습니다.

그럼 대체 궁금하죠? 아니, 필요한 프로그램들은 어떻게 쓰라는 거냐? 그냥 메모장, 그림판 뭐 이런것만 쓰라는 거냐??? 할 수 있겠죠?

바로 저 ㅆㄴ의 부서인 정보관리과에 사용 신청을 하면, 자기들이 다운로드 받아서 백신도 돌려보고, 문제 없는지 보고, 보안 관련해서 문제 없는지 보고 그렇게 해서 다 통과 되면 인스톨러를 제공해 주겠다고 합니다. 반대로 당신들이 멋대로 접근하면 바이러스나 악성 프로그램을 받을 수 있다는 기적의 논리로요.

……….

자, 전에 글에서 저 기적의 논리에 대응해서 제가 지금 회사의 보안이라는 것을 설명한 적이 있습니다. 백신에 안걸리면 장땡인 논리입니다. 저들은 오픈소스라서 소스코드를 제공해도 코드 분석은 커녕 돌릴 수 있는 프로그램을 가져와라라고 저한테 역으로 협박을 합니다. 그러면서 저런 내용에 대한 대안이 저딴 보안입니다.

그럼 그냥 저런 거 지켜가면서 회사 생활 하면 되는 거 아닌가요? 라고 물을 수 있는 분들께….

그런 곳에서 쓰는 프로그램의 최종 만능 툴이 일본 SI 시장의 최고 대명사인 사쿠라 에디터입니다. SI 현장에서 다른 건 다 안되는데 저 에디터는 무조건 OK라는 소리의 그 주인공…

저딴 걸로 스스로 갈라파고스 되는 케이스를 보고 있습니다. 그나마 다행인 것이 북미, 유럽권 외국인들도 있는 회사라서 저런 에디터만 쓰는 환경은 아니라서 여러 프로그램들을 쓰긴 합니다만…

저 이상한 주장이 이상하다는 걸 못느끼는 팀장급, 주임급들이 넘쳐난다고 생각해보세요…. 라고 하고 전 일단 이번 글은 마칠께요. 머리아파요…..