난 보안 관련으로는 그렇게 내가 스트레스를 받을 것이라고 생각해 본 적이…. 모르겠다. 근데 일단 보안 관련해서는 기술적인 문제로는 머리 싸메고 그럴 거라고는 생각해본 적은 없다. 보안 관련해서는 오히려 사람에 의해서 생기는 사고가 너무 많아서 그런가, 기술적인 걸로 뭐 내가 보안 관련된 업데이트나 기본적인 것들만 잘 갖춰놔도 스크립트 키즈들한테 당할 거라고는 생각하지도 않고, 포너블 하면 멋있어 하는 것도 현실적으로 실무에서는 그런 것보단 그냥 계속 기능 돌려보면서 취약점인지 확인하고, 의심되면 리버싱 하기 바쁜 일상에서 그렇게 뭐 쉽게 뚫리려나… 하는 생각도 좀 있다.
정말 뚫린다면 레인보우 테이블 돌려서 비밀번호 뚫리는 게 더 빠르겠다만….
그래서 좀 생각을 깊게 안하다가 요즘 일로 인해서 여러모로 좀 생각을 깊게 하게 되었는데…
다른 게 아니라 바로 저놈의 security policy의 남발이다.
말로는 멋있는데, 그냥 이거 안됨. 저거 안됨. 이라고 그냥 사람이 명시해놓은 게 전부다. 거기에 시스템이 더해지면 무슨무슨 금지 프로그램 같은 거 막 깔리고, 디렉터리 서비스로 인해서 어떤 계정 그룹에서는 이런 작업 금지, 어떤 계정 그룹에서는 이런 거 금지 하는 걸 걸어버리는 그런 것까지 확장되는데…
문제는 이게 신규 도입 시스템하고 충돌날 경우에 발생한다. 신규 도입 솔루션에서는 하지 말라는 걸 통해서 문제 해결이 되면서 생산성이 향상된다는 것에는 프로젝트 구성과 설계를 해서 명세까지 내놓았다. 난 그걸 확인해달라고 고객한테 요청도 했다. 그러나…
“시큐리티 폴리시 때문에 힘들 거 같습니다.”
…좀 뒷목 잡고 싶다.
님들 기술 개선 하고 싶다면서요. 네?
신규 솔루션을 새로운 작업 도구라고 정의하면 솔직히 문제 될 건 없다. 작업을 위해서 이런 이런 도구들이 필요하다라는 형태라면, 그 도구에 새로운 도구가 더 있을 뿐이다. 작업을 더 진행하기 위해서 말이지.
근데 그걸 거부한다. 그놈의 시큐리티 폴리시 때문에… 특히 일본 회사들이 이게 좀 심한 거 같다.
이전 회사에서도 뭔 허접이 보안 땜에 개발 툴 성능 깎아먹는 프로그램 중지 시켰다고 위에 사람 부르고 난리치고 그러던데…. 그때를 다시 보는 듯 하다. 실제로 보안 문제 없는거 검증하라고 프로그램하고 소스코드까지 들이 밀면 검증도 못하는 것들이 말이다.
후…. 그럴꺼면 진짜 시큐리티 폴리시를 대체 누구를 위해서 그렇게 만들어서 사람들 죄여 메냐…