정보보안

[정보 보안] 우리가 보안 윤리 교육을 받아야 하는 이유.

jjin502 2023. 3. 23. 23:57
🚨 본 글은 필자가 정보보안 수업을 들은 후 정리한 생각을 풀어낸 글입니다 :)

 

요즘 보안은 정말 다양한 곳에서 쓰이고 있다. 작게는 우리가 사용하는 휴대폰 부터 크게는 우리가 생활하는 집까지. 정보화 시대가 되면서 보안의 역할이 더 중요해졌다. 보안은 사회 안전과 질서를 유지하는 것을 목표로 하기 때문에 다양한 분야에서 일하며, 경찰, 소방관, 군인 등이 있다. 보안인이라 함은 사회 질서 유지에 기여하는 사람으로, 다양한 위협에 대응하고 사회의 안전과 질서를 보호하는 역할을 수행한다. 

 

보안 철학 & 보안인

보안인은 기본적으로 "보안 철학"을 가지고 있다. 

보안 철학이란, 안전과 질서를 유지하는 데 집중하는 보안과 개인의 경험과 신념에 기반한 철학적 원리를 결합한 개념이다. 그 중 현대 시대에 가장 중요한 '정보보안 철학'은 이러한 보안 철학 중 하나로, 정보 위협으로부터 정보를 지키는 자신의 신념과 철학적 원리를 바탕으로 보안에 관련된 역할을 수행하는 것을 의미한다. 또 보안 철학을 가진 사람은 보안인이 될 수 있고, 다양한 분야에서 일하며 사회 안전과 질서를 유지하는 역할을 수행하는 사람으로서의 역량을 가진다는 것을 의미하기도 한다.

 

해커

보안 분야에서의 해커는 크게 화이트해커와 크래커로 나뉜다.

화이트해커는 시스템 보안을 강화하기 위해 시스템에 취약점이 있는지를 찾아내고, 그 취약점을 보완하는 역할을 한다.

반면 크래커는 악의적인 목적을 가지고 다른 사람들의 시스템을 침입하거나, 손상시키는 등의 행위를 한다.

 

해커의 수준

보안 실무에서 해커의 수준은 레이머부터 앨리트까지 다양하게 나누어지며, 보안 수준도 이에 맞게 강화되어야 한다. 그리고 정부에서는 보안 정책을 4단계까지 마련해놓았지만, 앨리트 수준의 해커들은 잡히지 않을 정도로 해킹을 잘하기 때문에 취급하지 않는 경우가 많다.

해킹이 일어나는 이유는 여러 가지가 있지만, 대표적으로는 재미로 혹은 돈이 필요해서 그리고 범죄의 기준이 달라서 등이 있다. 따라서 해커들은 위험을 감수하더라도 가치가 있는 목표를 위해서 해킹을 시도하는 경우가 많다.

 

그들의 활동

해킹은 불법적인 활동으로 간주되고, 그 결과 조직이나 개인에게 큰 충격을 줄 수 있다. 또한 해커가 시스템에 침투하면 흔적을 남기게 되어 발견과 추적이 가능한 경우 법적 제재를 받을 수 있다.

해커가 시스템에 침투하여 얻을 수 있는 정보나 자산의 가치는 매우 높을 수 있으며, 이는 해커의 심리적 동기 중 하나가 된다. 해커는 종종 조직이나 개인과의 관계를 맺고 있기도 하기때문에, 해킹을 수행하는 데 영향을 미친다.

 

한 미국 대학의 실험

이 실험은 2014년에 University of Maryland, Baltimore County의 컴퓨터 과학부에서 해커들이 돈을 동기로 어떤 행동을 하는지를 조사하기 위한 실험을 진행하였다.

이 실험에서는 참가자들에게 다양한 도전 과제를 제공하였다. 이 도전 과제는 컴퓨터 시스템의 보안을 테스트하고, 특정 서버에 대한 액세스 권한을 얻기 위한 것이었다. 참가자들은 해킹 기술과 기법을 사용하여 도전 과제를 완료할 수 있었다.

실험은 참가자들에게 미리 정해진 금액의 보상을 제공했는데, 이 보상은 참가자들이 도전 과제를 성공적으로 해결할 때마다 지급되었다. 실험은 10일 동안 진행되었고, 보상의 총액은 55,000달러였다고 한다.

실험 결과, 참가자들 중 일부는 보상을 얻기 위해 더 높은 수준의 해킹 기술과 기법을 사용했다. 또한, 일부는 더 많은 시간을 투자하거나 다른 참가자들과 협력하여 보상을 얻으려고 했다.

이 실험은 해커의 동기와 행동을 이해하고, 컴퓨터 보안 분야에서 보안 취약점을 찾는 데 사용될 수 있는 새로운 해킹 기술과 기법을 발견하는 데 도움이 되었다. 하지만, 이 실험은 인간 실험에 대한 윤리적 문제가 제기되었으며, 이에 대한 논란이 생겼다.

 

이 실험의 주요 의의는 해커의 동기와 행동에 대한 이해를 높이고, 보안 취약점을 찾는 데 사용될 수 있는 새로운 해킹 기술과 기법을 발견하는 것이었다. 그러나 실험 참가자들이 다른 사람들의 정보를 탈취하거나, 피해를 입힐 가능성이 있었기 때문이었다. 또한, 실험에서 제공된 돈이 범죄 행위를 유발할 수 있으며, 이러한 행위에 대한 동기를 부추길 수 있다는 우려도 있었다.

그 후 실험에 참여한 대학이 실험 참가자들의 동의를 받았는지, 실험 결과에 대한 적절한 후속 조치가 이루어졌는지 등에 대한 문제가 제기되었다.

 

해커도 사람이기 때문에, 그들의 심리적인 상태는 해킹을 수행하는 데 영향을 미친다. 제도적 형태에 따라 해커의 심리가 달라지기 때문에, 제도적 대응 방안도 고려해야 한다고 생각한다.

 

그 중 하나가 보안 윤리 교육이고, 그래서 우리는 보안 윤리 교육을 받아야한다.

 

보안 윤리 교육

보안 교육은 해커를 방지하고, 시스템을 보호하는 데 도움이 된다. 제도적 형태에 따라 해커의 심리가 달라지기 때문이다.

또한, 정보 비식별 조치를 취하여 정보를 식별하기 어렵게 만드는 것은 해커가 정보를 탈취하는 것을 방지하는 데 큰 도움이 되지만, 정보를 식별하기 어렵게 만드는 것만으로는 완전한 보안을 보장할 수 없기 때문에, 보안 전략은 다양한 방법을 포함해야 한다.

이러한 내용들은 보안 전문가나 개인이 보안에 대해 이해하고 대처하는 데 도움이 될 것이다.

 

보안의 발전

보안은 끊임없이 발전해야한다. 해킹이 발전하고 다양해지는 만큼 보안 역시 발전시켜 나가야 하며,

이는 보안 전문가나 일반인 모두가 함께 노력해야 할 일이라고 생각한다.

 

하지만 무엇보다도, 보안은 사람이 양심을 가지고 행동하는 것이 가장 중요한게 아닐까? 보안 교육이나 제도적 대응만으로는 충분하지 않으며, 개인의 윤리적인 가치와 인성이 보안에 큰 영향을 미친다고 생각한다. 따라서, 보안 전문가나 일반인 모두가 개인의 윤리적인 가치와 인성을 존중하고, 보안에 대한 중요성을 인식하며 행동해야 한다.