컴퓨터 사용자가 알아야 할 필수 보안 법칙

 

  사용자가 알아야 할 '필수 보안 법칙'-①보안의 10대 불변 법칙  

사용자가 알아야 할 '필수 보안 법칙'-①보안의 10대 불변 법칙
보안의 중요성은 알아도 보안에 대해 전혀 아는 바가 없는 일반 사용자들이 이용하는 시스템에서 완벽한 보안을 기대하기는 어려운 일이다. 실제로 요즘 일어나는 많은 보안 문제들이 일반 사용자와 관련된 부분이 많다는 것을 보안을 공부하는 사람이나 일반 사용자 모두 느끼고 있다. 따라서 여기서는 일반 사용자들이 알아야 할 보안의 법칙을 알아보고 이를 바탕으로 생존 법칙을 모색해 보는 기회를 갖도록 하겠다.   필자가 속한 보안 동아리에서는 매주 한 가지 주제를 가지고 세미나를 한다. 지금까지 공부한 주제들을 살펴보면 주로 시스템이나 프로그램의 기술적 문제점이 가장 많았고, 그 다음으로 보안의 정책적인 문제를 많이 다루었다. 이러한 주제들은 시스템 관리자나 개발자와 관련된 것들이었고 사용자 측면에서 알아야 할 것은 많이 다루지 않았었다. 사실 사용자가 숙지해야 할 점에 대해서는 동아리 회원 모두가 잘 알고 있기 때문에 잘 다루지 않은 점도 있지만, 일반 사용자가 지켜야 할 부분보다는 보안 전문가들이 알아야 하는 부분이 더 중요하다고 생각해서 자주 토론하지 못했던 것 같다. 실제 대부분의 보안 문제는 일반 사용자와 관련된 부분이 많기에 이번 글에서 일반 사용자가 짚고 넘어가야 할 보안 법칙에 대해 알아보도록 하자. 보안의 10대 불변 법칙 자사의 소프트웨어로 인해 가장 많은 보안 문제점을 겪고 있는 회사가 마이크로소프트(이하 MS)이지만, 그만큼 보안에 대한 노하우도 많은 것이 MS이다. 이런 MS의 홈페이지에는 ‘보안의 10대 불변 법칙’을 주제로 하는 두 종류의 좋은 글이 있다. 하나는 보안 관리자를 위한 10대 불변 법칙이고, 다른 하나는 일반 사용자를 위한 10대 불변 법칙이다.     일반 사용자를 위한 보안의 10대 법칙은 다음과 같다. 법칙 1 : 어떤 사람이 당신에게 준 소프트웨어를 실행했다면, 그 컴퓨터는 더 이상 당신의 것이 아니다. 법칙 2 : 어떤 사람이 당신 컴퓨터의 운영체제를 변경할 수 있다면, 그 컴퓨터는 더 이상 당신의 것이 아니다. 법칙 3 : 어떤 사람이 당신의 컴퓨터에 물리적으로 접근할 수 있다면, 그 컴퓨터는 더 이상 당신의 것이 아니다. 법칙 4 : 어떤 사람이 당신의 웹 사이트에 프로그램을 업로드할 수 있다면, 그 웹 사이트는 더 이상 당신의 것이 아니다. 법칙 5 : 어떤 철통 같은 보안도 비밀번호가 노출되면 소용없는 일이다. 법칙 6 : 관리자가 얼마나 믿을만한가에 따라서 기계의 보안 수준이 달라진다. 법칙 7 : 암호화된 데이터는 복호화 키만큼만 안전하다. 법칙 8 : 오래된 바이러스 백신을 사용하는 것은 바이러스 백신을 사용하지 않는 것과 거의 차이가 없다. 법칙 9 : 완벽한 익명성 보장은 없다. 실생활에서도 그렇고 웹에서도 그렇다. 법칙 10 : 기술은 만병통치약이 아니다. 보안 법칙이라 할 수 있는 것은 상당히 많지만 앞의 법칙은 실질적으로 느낄 수 있는 것들만 모아 놓은 것이기 때문에 간단하지만 알아두면 많은 도움이 되는 법칙들이다. 이 법칙이 실제로 어떻게 적용되는지 몇 가지 예를 들어 알아보자.

(옮긴글 :  블로그>스위스쮜리히대학원)