End User들의 Security에 대한 개념
글쓴이: airpro / 작성시간: 수, 2005/07/27 - 9:33오후
저는 시스템 엔지니어 쪽으로 일하고 있습니다.
가끔가다가 어이 없게 End User들이 엉뚱한 부탁을 합니다.
그것도 아주 보안에 취약한 메일 클라이언트를 쓰고 있습니다.(Outlook)
어쩌다가 우리가 다른 회사랑 한계약이 End User들의 Outlook의 백업과 회사 기밀 문서를 백업하는 것입니다.
그리고 우리가 계약하고 있는 대부분의 회사들은 다국적기업이면서 참 개념이 없습니다. (ftp 서버에서 영화보기, 웹서핑하기 메일서버에서도 마찬가지) 전문적인 IT 요원들은 한명도 없습니다.
그냥 전혀 다른 과의 여사원 붙여 놓았더군요.
문제는 이 회사에서는 절때적으로 보안컨설팅을 아예 안합니다. 게다가 엔드유저들이 정말 멍청합니다. -_-(지 메일과 파일 하나 간수 잘 못합니다.) 그리고 초보 유저들도 충분히 해킹을 할수 있는 여지가 있습니다. 강력한 Dos 소스 코드로 공격하면 죄다 부서질거 같습니다. 그리고 사업연속성계획도 아예 없습니다.
이러다가 회사 보안상에 문제가 생기면 우리 회사와 엔지니어 들이 책임을 져야 하는 건가요? 아니면 그 회사 쪽이 손해를 감수해야 하는 것인가요? 한번 유저들의 생각을 듣고 싶습니다.
Forums:
다른것을 잘 모르겠습니다만,모든 유저들이 보안에 대한 생각을 가지고 있다
다른것을 잘 모르겠습니다만,모든 유저들이 보안에 대한 생각을 가지고 있다고 보시면 않됩니다.
님의 회사에 건의해 보시는 것이 좋을듯합니다.물론 문서로 작성해서입니다.햔재 상황은 어떻고 어떤 문제가 있고 차후 이것이 원인이 되어 어떻게 될지에 대해 문서를 통해 보고(?)를 하셨으면 합니다.그리고 문제에 대한 해결책 몇가지도 같이 상급자분께 보고서를 작성한 다음 제출하셨으면합니다.
제 짧은 경험으로는 그렇습니다.(하xx idc내의 두xxxxx에 에서 파트타임 하면서 보았던 문제였습니다.)
봄들판에서다
딴은 그나마 신경쓴다고 관리자모드 비밀번호를 16자리 이상으로 해놓고 통
딴은 그나마 신경쓴다고 관리자모드 비밀번호를 16자리 이상으로 해놓고 통보하면,
우리는 그런거 어려워서 잘 기억 못하니까 쉽게 1111로 해주세요, 아니면 우리 회사 전화번호 뒷자리로 해주세요 라고 전화하는 클라이언트들.
아무리 위험하다고 설명을 해도 막무가네 입니다. 결국 졌다, 하고 바꿔주죠.
다른쪽은 잘 모르겠는데, 웹에서 다른 획기적인 인증방법이 나오기 전까지 아이디-패스워드 기반의 인증방법이 유일하다면 제아무리 내부적으로 고난도의 로직을 써도 비밀번호를 이리도 추측 가능하게 해달라는 클라이언트들이 있는한 보안은 요원한 일인 것 같습니다.
--->
데비안 & 우분투로 대동단결!
충고 감사 드립니다.
여기 회사도 참 재미있습니다. ^^ 그나마 패스워드를 1111 이런걸로 안쓰는 대신 회사 이름을 씁니다. ^^ (-_-;;;;) 아무래도 End -User 들의 인식이 좀 큰 문제 같습니다.
패스워드도 그렇고 모든게 다 ~ 설마 누가 여기 내 피씨를 해킹 하겠어? 방화벽 있어서 절때 못들어 올꺼야 ~ 대부분 이런 생각을 가지고 있습니다. 그러다가 한번 사건 터지면 밤늦도록 우리는 죽어라 고생을 해야 합니다.
위에 두분다 참 힘드시겠습니다. ^^;;
화이팅 입니다. ^^ :D
실제 사이트에서 보안사고가 발생하면
90% 이상이 내부자의 소행입니다.
또한 보안 Concern의 큰비중을 차지하는게
무지한 사용자로 분류하고 있습니다.
그 만큼 위험이 크다는 것이지요.
방화벽 HA를 구성하는 만큼이나 내부자의 보안인식을 높히는 것이
상당히 중요한게 오늘날의 IT인프라 인것 같습니다.
PS 너무 End user를 탓하지 말아주세요
airpro님의 정신건강을 해칠수 있어요.
모르는게 죄가 될 수 있는 세상이지만 보안만큼은 당해봐야
'아차'하는 거니까니요.
PS2. 여전히 많은 보안관계 종사자 분들도 방화벽 뒷단의
유저는 안전하다고 생각하세요.
이미 유저는 방화벽을 지나 인터넷을 사용하고 있는데도 말이죠
지나가다 울컥해서 몇자 남깁니다.
행복하세요 ^_^
제가 다니는 회사는 다국적 기업입니다.보안에 대해서라면 전세계 공
제가 다니는 회사는 다국적 기업입니다.
보안에 대해서라면 전세계 공히 아주 엄격하죠.
결국 엔드 유저들이 쥐뿔도 모르고 관심도 없다고 하면,
돈 들여서 회사에서 추진해야 합니다.
그렇지 않으면 회사의 중요한 자산이 심각한 손실을 입을 수도 있죠.
엔드 유저는 아무 생각이 없다.. 가 맞을 듯 합니다.
북한산(X) 삼각산(O) 백운대(X) 백운봉(O)
sms와 nms로 회사에서 떡칠을 하죠그리고 여러가지의 인증 솔루
sms와 nms로 회사에서 떡칠을 하죠
그리고 여러가지의 인증 솔루션 ip관리 솔루션등 ㅋㅋㅋ
때돈 드려서 떡칠하죠 그래두 내보의 바이러스쪽은 떡칠해도 막강한 파워를 자랑하긴 하더군요 ㅋㅋㅋ
----------------------------------------------------------------------
웃는 얼굴 헤죽 헤죽
이런 글을 볼 때마다 무지하게 불쾌합니다.늘 이런 식입니다. "멍
이런 글을 볼 때마다 무지하게 불쾌합니다.
늘 이런 식입니다. "멍청한 엔드유저들이...", "아무 생각 없는 엔드유저들이...", "개념도 없는 엔드유저들이...", "아는 건 쥐뿔도 없으면서 이것 저것 요구하기만 하는 것들이..."
엔드유저들이 다 여기 모이는 사람들처럼 구루에다 빠삭한 개발자여야 한다고 생각하십니까? 그렇담, 여기 사람들 죄다 실업자됩니다 :oops: ....
자동차 제조회사에서는 그러겠지요. 쥐뿔도 모르는 것들이 자동차에 문제가 있다고 떠든다고... 전자제품 회사에서는 또 그러겠지요. 멍청한 소비자들이 A/S 요구한다고... 당연히 엔드유저는 생각이 없습니다. 그러니 돈 주고 서비스와 물건을 구입하는 겁니다. 돈을 낸 만큼 편리하길 원하는 거구요. 우리도 다른 경우엔 다 똑같이 행동합니다. 우리도 결국은 엔드유저입니다.
엔드유저들이 사용하기 편하면서도 안전한 방법을 만드는게 개발자들의 의무라고 생각하지 않으시나요? 더구나 상용 제품을 만들거나 상용 서비스를 제공한다면요. 그리고 엔드유저들에게 다소 불편하더라도 안전한 방법을 취하도록 설득해야 할 의무도 있는 거구요. 저만 그렇게 생각하나요?
현실에선 저도 항상 클라이언트의 멍청함과 무지함을 탓하지만, 그게 핑계에 지나지 않는 경우도 많답니다. :oops:
아직 멀쩡히 살아있는데 死因은 무슨....
우선 조언해주고..받아들이면 OK고..(대신 돈을 더 지불해야겠지
우선 조언해주고..
받아들이면 OK고..(대신 돈을 더 지불해야겠지만..)
아니면 말고..
뚫리면 책임지지 않는다는것은 확실하게..
엔드유저가 멍청하던지 말던지 그것은 신경쓸것이 아닙니다.
돈 문제와 책임소지만 확실하면 그만이죠.
본인은 다른분야의 End-User 가 안될것 같습니까?일반적으로
본인은 다른분야의 End-User 가 안될것 같습니까?
일반적으로 생각했을때 사용자들은 매뉴얼을 읽지 않는다는것과, 보안의식이 없다고 보시면 됩니다.
불만이 있으시면 회사측에 건의해서 교육을 받도록 하세요
http://kkanari.egloos.com/
end user 가 멍청하고 그것때문에 시스템 관리자가 죽어날 지경이라면
end user 가 멍청하고 그것때문에 시스템 관리자가 죽어날 지경이라면 ...
시스템 관리자가 그 멍청한 end user 보다 멍청하기 때문입니다.
시스템 관리는 하드웨어만을 말하지는 않습니다. 말 그대로 회사 자체를 하나의 시스템으로 보고 그 시스템을 관리하는 것을 말할 수 있고, 회사를 구성하는 요소중 하나는 end user 도 꽤 크게 들어갑니다.
저또한 네트웍 관리를 몇년 해 봐서 처음에는 골탕도 먹고 힘들었지만, 나중에는 정해진 정책 외에는 허용하지 않는 것으로 해서 바이러스나 크래킹 피해, 웜 피해, p2p 등등을 다 막았었습니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
[quote="snoman"]이런 글을 볼 때마다 무지하게 불쾌합니다.
이글 쓰신분께 동의합니다.
사람들은 모두 단지 자신의 분야의 전문가일뿐 여타분야에 대해선 모두가 엔드유저 입니다.
예전에 명함을 만들려고 일러스트파일로 얼기설기 만들어서 명함 만드는 곳에 가져갔습니다.
그랬더니 저를 앉혀놓고서 설교를 하려고 하더군요. 이게 흑백이면 CMYK 에서 무슨값과 무슨값은 0 이 되어야 한다는둥. 출력인데 왜 RGB 로 해 가지고 왔냐는둥.. 어이가 없어서 나와버렸습니다. 여기서 안뽑겠다고.
그 파일을 가지고 다른곳엘 가니 단지 한두가지 질문만 하고 자기가 알아서 보정해서 처리해 주더군요. 마찬가지 입니다. 내가 명함을 뽑기위해서 일러스트나 CMYK 를 다 알필요 없듯 메일을 보내기 위해서 보안에 대한 상식이 반드시 있어야 할 필욘 없습니다. 물론 어느정도의 상식을 가지면 좋겠지만 그건 말처럼 쉬운게 아니죠.
엔드유저가 멍청해서 죽을지경이라면 자신의 사람들을 다루는 실력이나 혹은 상황을 제어하는 요령이 멍청해서가 아닌지 다시한번 생각해 보십시오.
Re: End User들의 Security에 대한 개념
어이없는 엔드유저의 생각을 듣고 싶으셔서 따사로운 답변이 나오는 겁니다.
이렇게 다시 써주세요.
ㅎㅎ.... 농담이구요.
이런 말이 있죠.
가끔 문의 전화를 보면 아예 매뉴얼조차 읽지 않는 사람이 많죠.
답답해서 썰 풀러 오신것 이해는 합니다만.... 그럴수록 계몽한다는 마음으로 엔드유저를 살살 다뤄 주세요. (거칠게 다루면 돈을 안줍니다 -_-;; )
개발자, 기획자가 나서서 계몽(? )을 하다 보면 언젠가 우리 나라에도 컨설팅업이 활성화 되는 날이 오겠죠, 뭐.
life is only one time
[quote="notnull"]예전에 명함을 만들려고 일러스트파일로 얼기
저와 같은 경험을 가지고 계시군요.
대학교 동아리 공연에 쓸 팜플렛과 홍보 책자를 제가 제작하게 되었는데
인쇄소에 파일 넘겨줄때 엄청 쿠사리를 먹었습니다 ㅠ.ㅠ
하지만 전, 그렇게 지적해주시는 인쇄소 주인장이 고맙더군요.
그때 DPI, CMYK라는걸 처음 접했고,
책자를 만들때는 chapter와 chapter 사이에 페이지를 맞춰서 여백 페이지도 넣어야하고
제본을 위한 여백도 남겨둬야 한다는걸 알게됐죠.
그래서 다음해에 똑같은 일을 하게 됐는데.. (=_=;; )
이번엔 한큐에 빠르게 일 처리를 할 수 있어서 좋았습니다.
제가 미리 다 편집해둬서 그날 바로 인쇄를 다 해주시더군요 ^o^
음.. 그래도 인쇄업자들이 보기엔 허접한 end-user지만요..
end-user가 조금이나마 배우고 익히려는 자세만 있다면
전문가와의 이런 마찰이 줄어들지 않을까 싶습니다.
2005년 8월 18일.
저도 같은 SE를 하고 입는 입장에서 ...상황에 대한 불만,불평
저도 같은 SE를 하고 입는 입장에서 ...
상황에 대한 불만,불평을 하다 보면 SE라는 직업을 후회합니다. 일 못하지요.
그 상황에 대한 파악과 그에 대한 대처 방안을 내놔야 사랑받아요 ㅡㅡ;;
역시나 답은 보고서에 있지 않을까요.
상황정리와 그에 대한 대처 방안을 예산을 짜서 올려야 할 듯 싶네요.
관리자는 어찌됐는 타겟입니다. 혼자만 알고 있다 일 터지면 죽도록 욕먹지요.
일단 문제제기를 하고 그에 대한 선택은 결정권자에게 넘겨주세요.
거기까지가 최소한 관리자가 해야 할 몫인것 같습니다.
안좋게 보면 면피로 보이지만 현실은 거기까지가 한계가 아닐런지...
방안으로는,
보안컨설팅 의뢰쪽을 생각해 보겠습니다.
보안툴 또는 해킹툴의 피해를 보여줄 수 있는 데모를 진행해서 그 피해의 심각성에
대한 결과를 잘 포장해서 보여주면 될 것도 같은데요.
다른 SE분들은 어떻게 하실련지..
[quote="warpdory"]end user 가 멍청하고 그것때문에
멍청해서라기 보단, 상황이나 여건이 허락이 안될 수도 있죠.
변명인가...ㅡㅡ;;
가제는 게편이라.... :wink:
[quote="snoman"]이런 글을 볼 때마다 무지하게 불쾌합니다..
그런데 어처구니 없는 일을 매일 겪는 어드민의 스트레스도 생각하신다면 불쾌할 것까진 없지 않을까요. 이런 데서 그저 화풀이 정도 한다고 생각하시면 마음이 좀 누그러지실 것 같군요.
북한산(X) 삼각산(O) 백운대(X) 백운봉(O)
[quote="coyday"][quote="snoman"]이런 글을 볼
그렇다면 불쾌하다는 것도 화풀이 정도로 받아줘야죠?
무지하다고 까지 했는데..--;;
여친이 길르는 용..
[quote="Little Jerry"][quote="warpdory"]
그런 상황이나 여건을 만드는 것도 일종의 능력이라고 봅니다.
예를 들어서 일단 보안 권고나 문제가 있을 수 있다, 그러니 이러 이러한 조치를 언제까지는 취해라 안하면 날려먹을 수 있다는 정도의 공식적인 문서나 공문을 보내놓고서는 일부러 바이러스나 백오리피스 같은 걸 깔아서 날려버린 다음에 당한 쪽에서 뭐라고 하면 '거 봐라 전번에 보안 공문 보낸 건 어따 팔아먹었냐' 이런 식으로 근거를 만들어 두는 식으로 처리를 하는 거죠. 학교에서 처음에는 말도 안되는 소리 하던 괴수들도 나중에는 대학원생을 시켜서라도 보안 메일 보내면 처리하더군요. 일종의 충격요법이나 시범케이스랄까... 뭐 그런 걸 만들어둘 필요가 있더군요.
물론, 처음에는 욕 먹을 각오 해야 합니다.
p2p 막았더니 바로 전화 수십통 오더군요.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
[quote="warpdory"]p2p 막았더니 바로 전화 수십통 오더군
p2p....역시 연구에 보탬이 되는 기술이 것이로군요 8)
life is only one time
[quote="zeon"][quote="coyday"][quote="sn
저는 화낸 적은 없습니다.. 그러니까.. 이미 화풀이로 받아들이고 있다는 의미입니다. ^^
북한산(X) 삼각산(O) 백운대(X) 백운봉(O)
[quote="warpdory"][quote="Little Jerry"]
저 한마디가 왜 이렇게 가슴에 와닫는지...;;;
오랜만에 예전 주제를 봤는데 초기 이슈를 했던 의도와는 조금
이렇게 다시 덧글을 남깁니다.
무지한, 개념없는, *뿔도 모르는 EndUser라는 말이 그렇게
기분좋을리는 만무하리라 생각합니다.
이 이슈화된 문제의 요점을 주관적으로 제가 정리하자면
자사의 EndUser들은 반드시 주기적인 보안교육을 받아야 한다는
것입니다.
위에 좋은 지적이 있었습니다. 자신의 분야를 제외하면 다
EndUSer입니다.
맞습니다. 그래서 관리자분들도 새로운 솔류션이 들어오면
교육부터 받습니다. 솔류션 업체 기준으로 보면 관리자가
EndUSer가 되기 때문이죠.
그렇게 교육을 받고 사규에 의거 보안수칙을 어기는 EndUser라면
처벌대상이라고 생각하고요.
특히 대국민(?)서비스를 하는 곳이라면 더욱 강력한 처벌이 있어야
할 것입니다.
보안을 업으로 살고 있기때문에 더욱 EndUser보안에 신경을
쓰고 있는지는 모르겠으나 보안교육은 지나침이 없다고 개인적으로
생각합니다.
PS. 정말 열심히 보안교육 시켜놓고도 노트북/PC Screen Saver도
동작 안시키고 식사하시러 가는 것 보면 울컥할 수 밖에 없습니다.
행복하세요 ^_^
이런 ..... 글이 많이 올라와 있군요.
위에 분이 정답을 말해 주신듯 합니다.
End - User들에게는 반드시 보안 교육이 필요합니다.
어제도 또 보안사고가 터졌다고 전화가 왔습니다. ^^
(제가 안받고 잠시 외출한 사이에 다른사람이 받았더군요.)
모 저위에 위에 분들처럼 그렇게 이야기를 해서 씨알이 먹히는
회사라면 상관이 없지만....
정보보호에 돈쓰는 걸 무지하게 싫어하는 사람들입니다.
(심지어 바이러스는 시만텍 백신 회사가 제조해서 퍼뜨리는 것이다! 라고 정의하는 사람이 있을 정도로)
하긴 -_-ㅋ 공유기가 최고의 방화벽으로 지 입으로 떠들어 대는 사
람들이지요. ^^ (iptime 공유기가 방화벽보다 뛰어나다는 멍청한 사람들 이지요.)
한국에는 이런회사도 있구나.. 하고 깜짝 놀랐습니다.
보 모든 서버의 패스워드가 동일하니 어쩔수 없죠.
그냥 옆에서 모니터링만 해 줘야 할듯 합니다. ^^
제 와이프를 5년간 귀에 못이 박히도록 갈구어 보았지만, 5년동안 할 수
제 와이프를 5년간 귀에 못이 박히도록 갈구어 보았지만, 5년동안 할 수 있는 것은 없더군요. (그래도 서당개 3년이면 풍월을 읊는다고.. 친구들 한테는 아는 척 합니다. 와이프 친구들은 와이프가 컴퓨터를 굉장히 잘 안다고 생각하더군요. 덕분에 그 일을 제가 다 처리하고 있기는 합니다만..)
와이프가 할 줄 아는 것은.. 기사를 보고 "보안버그 나왔데.. 고쳐줘.." 또는, "트레이에 이상한거 떴어.. 뭐 픽스 하라는데.." 입니다. 그나마 망가지기 전에 이런 말을 해 준다는 것만 해도 5년동안의 교육이 보람이 있었다고 봅니다. (새로 설치 하려면.. --;) .. 물론 그 전에 제가 픽스해 놓지만 말이죠. T.T
End-user가 적당히 사고도 치고 가끔 사이트에 심각하지 않은 한도내
End-user가 적당히 사고도 치고 가끔 사이트에 심각하지 않은 한도내에서 자잘한 문제도 생겨줘야 관리자가 대우를 받지 않을까요? 보안관련 제품 만드시는 분들도 먹구 살아야졈 :lol:
보안성과 사용자 편의성은 언제나 반비례하잖아요^^
-----[꼬릿말 절취선 시작]-----
삽질전에 먼저 구글신께 기도하자.
-----[꼬릿말 절취선 끝]-----
ING 생명 광고의 카피가 떠오릅니다."전문가에게는 전문가가 필요
ING 생명 광고의 카피가 떠오릅니다.
"전문가에게는 전문가가 필요합니다"
보안에 무관심한 사람이라도 의외의 분야에서 마에스트로일 수도 있습니다. 문서 작성의 달인, 커피타기의 달인.
물론 잘 구성된 체제를 흐트리는 고객을 잘 설득할 필요도 있구요.
만약 고객이 지속적인 불편을 호소한다면 체제가 바뀌되 보안성은 그대로 유지하는 방법이 필요하겠습니다.
life is only one time