금융권에서 보안 전문가란 타이틀로 근무하기에는 여러 가지 어려움이 많은 거 같다.
보수적인 문화와 군대식의 상명하복의 체계 등등 처음에는 뭐가 뭔지 모르다가 낯설기만 한 이런 문화가 싫기만 했다. 오랫동안 근속한 직원들을 보면 이미 몸에 체화되어서 그걸 느끼지 못한다는 것에서 괴리감이 느껴진다.(일을 하면서 보람을 찾기가 참 어렵다는 이야기다...)
요즘 금융권은 감사 시즌이라고 해도 과언이 아니다. 그래서인지 정기 감사를 앞두고 취약점 조치이행과 서버 사전 점검 등등을 윗선에서 챙기기 시작했다. 그러다 보니 일손이 부족해서 직접 참여하게 되었다. 업무 담당자이지만 실제 직접 점검을 하지는 않으니 오랜만에 실무를 하게 된 기분이랄까? 옛날 생각도 나고 익숙한 일을 하니 뭔가 모를 성취욕 같은 것도 느껴지는거 같다.
며칠 전에 UNIX서버 300여대를 운영파트에서 자체 점검을 하려고 하는데 보안점검 스크립트 결과만을 보고 취약/양호를 판단하기 어려우니 분석해서 기준을 알려 달라는 요청이 있었다.
웬걸, 부서에서 이걸로 점검해서 감사 전에 다 조치하라고 하신다. 마치 우리가 하려고 했던것 처럼 시스템 운영자에게 스크립트를 수행하고 분석해서 3일내에 달라고 하셨다.
그리고 갑자기 오후(금요일)에 월요일날 IDC로 출근하라고 하신다. 그냥 가서 지원해 주라는 건데, 뭘 지원해야 하는지 내용 없다. 보안파트에서 이렇게 지원해 줬다는 그림을 만들려고 그랬던거 같은데...
보통은 운영자가 보안 스크립트 결과를 보면 충분이 이해할 수 있고 더 이해도가 높은 경우도 많다. 결과를 이해 할 수 있냐와 300여대를 분석해서 결과를 정리하는 것은 또 다르다. 몇 명 안 되는 운영자가 3일안에 분석한다는 것은 턱없이 부족한 기간이다.
월요일 날 뭘 지원할까 고민하다가 분명 분석하여 취약/양호 정리하는데 가장 큰 예로 사항이 될 거 같단 생각이 들어서 50개 항목 중에 25개를 분석해서 갔다.
회의에 참석해서 항목을 일부 설명하다 보니 중요한건 감사대비로 각 부서에서 요청한 게 너무 많아서 이많은걸 오늘 저녁까지 어떻게 분석하냐며 어려움을 토로했다.
다행이 생각해 뒀던게 맞았다. 정규식과 grep 또는 findstr로 이렇게 하시면 금방 가능하다고 샘플을 보여줬다. 그래서 정규식을 모두 만들어 주기로 했지만 다들 분석지원해 주기를 원하는 눈치였다.
평소 운영도 고생을 많이한다. 모르는것도 아니고 하루 지원하기로 한거 최대한 지원해 보자고 했다.. 오후부터 저녁 9시가 되니 51개항목중에 45개 항목을 233대나 분석을 완료 했다.
그냥 하나하나 분석하자면 엄청난 부담이 되고 불가능해 보이는 일이지만.. 경험이 많은 익숙한 사람은 그렇게 부담이 안되는 일이었다...
나에게 시스템에 조치를 하라고하면 하루종일 몇대 못할것이다. 하지만 운영 담당자는 수십대를 할 수 있을 것이다...
사람별로 자기 경험이 있고 익숙한 일이 있는데, 직원들의 업무 적성과 능력을 고려하지 않고 업무를 부여하는 게 참 아쉽단 생각이든다. 업무 적성과 능력을 최대한 살리지 못하고 편의데로만 업무를 부여해서 하는게 아쉽다..
매일 뭔가와 싸우는지 모르겠다. 삶에 여유가 없으니 블로그도 거의 못한다. 여유가 많아도 안하는데 요즘은 여유거 없어서 블로그에 소홀한거 같다. 아쉽다..
시스템 점검을 지원하고 오랜만에 성취감을 느꼈다. 월급값을 한다는 기분이랄까..
매일 뭔가와 싸우는지 모르겠다. 삶에 여유가 없으니 블로그도 거의 못한다. 여유가 많아도 안하는데 요즘은 여유거 없어서 블로그에 소홀한거 같다. 아쉽다..
시스템 점검을 지원하고 오랜만에 성취감을 느꼈다. 월급값을 한다는 기분이랄까..
