“Opsec Bible”이라는 제목의 글을 보면서, 예전에 보안 컨설팅을 하던 시절이 떠올랐다. 그때는 기업 보안에만 집중했었는데, 개인의 운영 보안도 마찬가지로 중요하다는 것을 나중에야 깨달았다.
운영 보안이란 무엇인가. 쉽게 말하면 “적에게 유용한 정보를 주지 않는 것”이다. 군사 용어에서 출발했지만, 디지털 시대에는 모든 사람에게 적용된다.
우리가 흘리는 정보들
SNS에 올린 사진 한 장, 이메일 서명에 적힌 전화번호, 공개 저장소의 커밋 이력. 이런 것들이 모이면 놀랍도록 상세한 프로필이 만들어진다. 40대가 되어서야 20대 때 인터넷에 뿌린 정보들이 얼마나 많은지 깨닫게 되었다.
개발자로서 특히 주의해야 할 것들이 있다. API 키가 담긴 설정 파일, 내부 서버 구조가 드러나는 에러 메시지, 고객 데이터가 포함된 테스트 코드. 한 번의 실수가 몇 년 후에 문제가 되기도 한다.
편의성과 보안의 트레이드오프
솔직히 말하면, 완벽한 운영 보안은 불편하다. 매번 VPN을 켜고, 모든 서비스에 다른 이메일을 쓰고, 메타데이터를 신경 쓰는 것. 대부분의 사람에게는 과한 것처럼 보일 수 있다.
하지만 위협 모델이라는 것이 있다. 모든 사람이 같은 수준의 보안이 필요한 것은 아니다. 자신에게 실질적인 위협이 무엇인지 파악하고, 그에 맞는 수준의 보안을 유지하면 된다.
기본기의 중요성
오랫동안 이 업계에 있으면서 느낀 것은, 화려한 해킹보다 기본적인 실수가 더 많은 문제를 일으킨다는 것이다. 비밀번호 재사용, 피싱 링크 클릭, 2단계 인증 미사용. 이런 기본기만 지켜도 대부분의 위협은 막을 수 있다.
운영 보안은 하루아침에 되는 것이 아니다. 습관이다. 조금씩 의식하고 실천하다 보면 자연스러워진다.
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
