요즘 다시한번 느끼는 거지만 우리가 언제까지 외국의 시큐리티 포커스나, 시큐니아에서 발표되는 취약점 어드바이저리를 봐야되는가 하는 문제에 회의를 느낀다. 간혹 국내 제품의 취약점이 국내가 아니라 국외에서 발표되는 사례가 증가하고 있다. 그러나 국내의 보안회사 어느 누구도 이에 대해서 관심을 가지려고 하지 않는다. 아니 관심이 없다기 보다는 국내에서의 국내 제품이나 S/W에 대하 취약점 발표는 거의 금기시하고 있다. 이는 여러가지 원인이 복합적으로 작용하기 때문이다
몇몇 회사를 제외하고는 국내 S/W 회사는 영세성을 벗어나지 못한다. 따라서 제품을 납품해도 제값을 받지 못하기 때문에 매출이익이 늘수가 없고 따라서 제품에 재 투자될 수 있는 여지가 적어지고, 또한 외산 제품에서 취약점이 나오면 아무런 이야기도 없다가 국내 제품에서 취약점이 발견되면 거의 니들이 책임져라식의 고객의 요구는 취약점이 발견된 해당 회사에는 상당한 타격이 되기때문에 어쩌면 취약점 발표를 필사적으로 막아보려고 할 수도 있다.
아니면 처음부터 취약점 발표해서 알려줘도 관심이 없다가 고객으로부터 클레임을 받거나 하면 마지못해 할 수도 있을 것이다.
아무튼 내가 아는 것만해도 발표만 안했지 취약점이 있는 국내 제품, S/W가 몇건있다.
최근 네이트온이나 nProtect 등에서 심심찮게 나오고 있다. 해당 벤더는 더이상 취약점에 무 대응으로 방관하지 말고 즉시 패치를 하고 이를 고객에게 알려서 신뢰을 쌓아야한다. 그리고 국내 보안회사도 더이상 취약점 발표를 주져하지 말아야 한다.
국내 정보보호 산업이 발전하려면 취약점 발표에 대해서 매도시해서는 기술발전은 절대로 기대할 수 없다.
몇몇 회사를 제외하고는 국내 S/W 회사는 영세성을 벗어나지 못한다. 따라서 제품을 납품해도 제값을 받지 못하기 때문에 매출이익이 늘수가 없고 따라서 제품에 재 투자될 수 있는 여지가 적어지고, 또한 외산 제품에서 취약점이 나오면 아무런 이야기도 없다가 국내 제품에서 취약점이 발견되면 거의 니들이 책임져라식의 고객의 요구는 취약점이 발견된 해당 회사에는 상당한 타격이 되기때문에 어쩌면 취약점 발표를 필사적으로 막아보려고 할 수도 있다.
아니면 처음부터 취약점 발표해서 알려줘도 관심이 없다가 고객으로부터 클레임을 받거나 하면 마지못해 할 수도 있을 것이다.
아무튼 내가 아는 것만해도 발표만 안했지 취약점이 있는 국내 제품, S/W가 몇건있다.
최근 네이트온이나 nProtect 등에서 심심찮게 나오고 있다. 해당 벤더는 더이상 취약점에 무 대응으로 방관하지 말고 즉시 패치를 하고 이를 고객에게 알려서 신뢰을 쌓아야한다. 그리고 국내 보안회사도 더이상 취약점 발표를 주져하지 말아야 한다.
국내 정보보호 산업이 발전하려면 취약점 발표에 대해서 매도시해서는 기술발전은 절대로 기대할 수 없다.
최근 덧글