[특별기고 8-3]절대적 보안이 아닌 객관상대적인 보안을 이루어야 한다

대한민국 보안, 헌법이 필요

미국은 세계의 최강이지만 사이버에서는 중국이나 북한에 해킹을 당하기도 합니다. 하지만 미국은 사고 분석, 대응 및 복구에는 아무도 따라갈 수도 없는 국가입니다. 중국은 산업경제는 미국의 코밑에 있으며 사이버 공격력은 뛰어날지 모르지만 사이버 방어는 미국을 따라갈 수 없습니다. 최근 중국은 이란 해커로 추정되는 침입자에 의한 DDOS 공격으로 진땀을 빼지 않았습니까? 미국이 왜 세계 최강이며, 왜 미국이 세계 최강 자리를 다른 국가에게 쉽게 넘겨주지 않을 지를 마지막 연재에서 보이고, 왜 대한민국이 미국을 따라가지 않으면 안 될 지에 대해 언급하겠습니다.

2009년 ISEC에서 "객관화된 신뢰성 보안관리 체계(Security Management Structure by Objective Trusted View) 라는 제목으로 발표를 한 바 있습니다. 상대적인 보안관리란 누군가 "해킹을 100%막아야지 뭐하고 있어?" 라는 지적을 하는 사람이 아무도 없다는 사실에서 기인합니다. 이제 대부분은 "이런 취약점을 사전에 없애지 못했지? 사고 대응을 어떻게 하길래 이 정도 피해가 났지?" 등의 의문을 품습니다. 그리고 또 생각해보면 "이런 취약점을 가진 부서는 도대체 어디야, 어떤 사람이 보안업무를 실수했을까(Accountability)?" "이 부서는 보안 법적준수사항(Compliance)를 알고 있기는 했어?" 라고 합니다. 해당 부서는 "취약점을 어떻게 관리해야 하는지 누가 알려 주긴 했나? 법적준수사항은 또 뭐지?" 이런 이야기를 할 수 있습니다. 보안부서는 혼자 해서는 절대 안됩니다. 모든 직원에 대한 보안교육이 이루어져야 합니다. 교육은 Education, Training, Awareness 등을 제대로 알고 진행해야 합니다.

항목	내용	비고
Security Education	보안전문가에 의한 교육	보안전문가
Security Training	보안관리, 외부획득, 설계개발, 구현운영, 검토평가, 사용	보안관리, 보안담당자, IT 기술자 등
Security Awareness	보안인식	전 직원

현재, 악성코드, 웹 취약점, 심리적 공격 등 해킹을 100% 막을 수 있는 방법이 불가능하므로, Accountability. Compliance 가 중요하고 절대적인 보안이 아닌 상대적인 보안을 해야 한다는 것입니다.

최근 옥션 사건 판결에서 보듯이 외부에서의 신종 공격을 받는다면 모든 업체는 ‘면죄부’를 받을 가능성이 있는 것인가요? 향후 이런 신종 기법이 3배 정도는 많아질 텐데요. 그럼 기업이 보안을 최선을 다하고 있다는 기준이 뭔가요?

ISO27001, ISMS등에서의 최소한의 보안통제를 하고 있다면 사고가 없을까요?

정부는 다음 사항을 사이버보안 중점과제로 진행하여 왔습니다.

1. 사이버침해 대응력 제고

2. 국가 기반시설 보호강화

3. 개인정보보호 체계 강화

4. 정보보호기반기술 확충

5. 정보보호 산업인력 육성

6. 정보보호 문화 육성

125대란 이후 비슷한 내용의 반복입니다. 항상 같은 내용의 반복이란 있을 수 없다고 생각합니다. 국민들은 식상해 하고 혼란을 느낄 수 있습니다. 정부가 명확한 기준 후 촉진 제어하길 바라고 있습니다. 한결같은 보안 정책, 사업 계획 수립 필요합니다. 자녀가 듣는 노래 가사처럼, 대한민국 보안의 “굳건한 믿음 하나..” 대한민국 모든 국민의 ‘대한민국 헌장’과 같은 ‘대한민국 보안헌장 및 사업 정책’이 필요합니다. 모든 기업이 이해하고 보안담당자들을 장과 절까지 외울 수 있는 보안 정책이 없습니다. 다만 가끔 나타나는 새로운 문제가 발생할 시, 이를 업데이트할 필요가 있습니다. 하지만 모든 문제마다 단순 명료 간결한 대책을 제시함으로써 국민들이 쉽게 접근하도록 해야 합니다. 또한 문제의 실무적인 대응책은 단순해서는 안 되고 매우 구체적인 대책을 세워야 합니다. 또한 복합적인 스펙트럼으로 대책을 강구할 필요가 있습니다. 일전 원고에 개인정보 침해에는 다양한 모든 보안이 이루어져야 한다고 말씀 드리지 않았습니까? 대한민국 보안 구조적인 문제가 있습니다.

‘Top Security Policy’ 는 무슨 내용을 담고 있어야 하는지 알고 계십니까? ISO27001(ISMS) 등의 보안통제를 다 담고 있어야 합니다. 보안절차를 다 담고 있어야 합니다. 보안 기술을 다 담고 있어야 합니다. 하지만 대한민국 보안의 근본, 즉 보안정책 및 헌장이 담겨 있어야 합니다.

대한민국 헌법(1987.10.29 헌법 제10호)은 다음 전문에 있으며, 제1장 총강과 국민의 권리와 의무 등 국회 행정부 등 10장이 설명되어 있습니다. 헌법의 일부를 소개합니다. 보안도 만들 수 있지 않겠습니까?

전문

유구한 역사와 전통에 빛나는 우리 대한국민은 3·1운동으로 건립된 대한민국임시정부의 법통과 불의에 항거한 4·19민주이념을 계승하고, 조국의 민주개혁과 평화적 통일의 사명에 입각하여 정의·인도와 동포애로써 민족의 단결을 공고히 하고, 모든 사회적 폐습과 불의를 타파하며, 자율과 조화를 바탕으로 자유민주적 기본질서를 더욱 확고히 하여 정치·경제·사회·문화의 모든 영역에 있어서 각인의 기회를 균등히 하고, 능력을 최고도로 발휘하게 하며, 자유와 권리에 따르는 책임과 의무를 완수하게 하여, 안으로는 국민생활의 균등한 향상을 기하고 밖으로는 항구적인 세계평화와 인류공영에 이바지함으로써 우리들과 우리들의 자손의 안전과 자유와 행복을 영원히 확보할 것을 다짐하면서 1948년 7월 12일에 제정되고 8차에 걸쳐 개정된 헌법을 이제 국회의 의결을 거쳐 국민투표에 의하여 개정한다."

제1장 총강

제1조 ①대한민국은 민주공화국이다. ②대한민국의 주권은 국민에게 있고, 모든 권력은 국민으로부터 나온다.

제2조 ①대한민국의 국민이 되는 요건은 법률로 정한다. ②국가는 법률이 정하는 바에 의하여 재외국민을 보호할 의무를 진다.

제3조 대한민국의 영토는 한반도와 그 부속도서로 한다.

제4조 대한민국은 통일을 지향하며, 자유민주적 기본질서에 입각한 평화적 통일 정책을 수립하고 이를 추진한다.

제5조 ①대한민국은 국제평화의 유지에 노력하고 침략적 전쟁을 부인한다.②국군은 국가의 안전보장과 국토방위의 신성한 의무를 수행함을 사명으로 하며, 그 정치적 중립성은 준수된다.

제6조 ①헌법에 의하여 체결·공포된 조약과 일반적으로 승인된 국제법규는 국내법과 같은 효력을 가진다.

②외국인은 국제법과 조약이 정하는 바에 의하여 그 지위가 보장된다.

제7조 ①공무원은 국민전체에 대한 봉사자이며, 국민에 대하여 책임을 진다.

②공무원의 신분과 정치적 중립성은 법률이 정하는 바에 의하여 보장된다.

제8조 ①정당의 설립은 자유이며, 복수정당제는 보장된다.

②정당은 그 목적·조직과 활동이 민주적이어야 하며, 국민의 정치적 의사형성에 참여하는데 필요한 조직을 가져야 한다.

③정당은 법률이 정하는 바에 의하여 국가의 보호를 받으며, 국가는 법률이 정하는 바에 의하여 정당운영에 필요한 자금을 보조할 수 있다.

④정당의 목적이나 활동이 민주적 기본질서에 위배될 때에는 정부는 헌법재판소에 그 해산을 제소할 수 있고, 정당은 헌법재판소의 심판에 의하여 해산된다.

제9조 국가는 전통문화의 계승·발전과 민족문화의 창달에 노력하여야 한다.

객관적 보안은 어디서 올 수 있을까요

ISO27001(BS7799), ISMS는 조직이 할 수 있는 최소한의 보안을 정의해 두고 있습니다. 그런데 국내에서는 BS7799(ISO27001)과 ISMS(Information Security Management System)이 기업에서는 하나의 장식물로 이해되고 있는 것은 아닌가요? 이 Accreditation 을 받은 조직은 외부에서 최소한의 보안통제를 하고 있다는 증명서인 것입니다.

미국의 접근 방식도 유사하기는 하지만 근본적으로 다른 것이 있습니다. 국내에서는 어떤 27001 인증을 받은 조직이 Minimum Security Control 을 하고 있는지 아닌지 외부 감사사(Security Auditor)에 의존한다는 점입니다. 하지만 미국은 같은 외부 감사가 필요하기는 하지만 조직 스스로가 보안을 하는 많은 가이드라인이 존재하고 있습니다. 미국의 FISMA(Federal Information Security Management Act)는 스스로 할 수 있는 가이드라인이 필요함을 정의해 두고, (1) 조직의 업무 목적에 따르는 시스템과 정보의 분류 표준, (2) 정보와 정보시스템에서 필요한 최소한의 보안요구사항에 대한 기준, (3) 정보시스템에 대한 보안통제 항목 선택 가이드라인, (4) 보안통제의 효과(Effectiveness)를 평가하는 가이드라인, (5) 정보시스템 Certification/Accreditation) 가이드라인을 제공하고 있습니다.

FISMA가 정의하는 최소한의 보안은 SP-53(Security Control)에 모두 있습니다. Management, Technical, Operation 으로 나뉘어져 있어서 실무오퍼레이션, 보안직무, 관리경영으로 나누어질 수 있으며 모든 보안 통제는 코드화가 가능합니다. 코드화가 가능하다는 것은 자동화 된다면 실시간 보안관리가 가능할 것입니다. 그리고 SP-53은 ISO27001 과 ISMS의 보안통제와 그다지 다르지 않습니다. 미국의 접근 방식과 ISO 접근 방식의 차이는 이 모든 보안 통제를 이용하여 스스로 보안을 하도록 하는가 아닌가에 달려 있는 듯 합니다. 미국 정부는 이를 FISMA에 두고 의무화를 하고 있는 반면 ISO 는 단지 권고사항입니다.

<연재 순서>

1. 대한민국 보안, 무엇을 바꾸어야 할까요?,

2. 보안뉴스 TSRC의 보안 개념과 10개의 이슈

3. 보안은 한 사람이 아닌 대중이 만들어 가야 한다.

4. 보안 전문가는 국가의 소중한 자산이 되어야 한다.

5. 기술보다 실천 경험이 더 중요하게 여겨져야 한다.

6. 한 사람의 지식이 아닌 집단적인 지식이 필요하다.

7. 지식의 문서화, 전략정보화가 중요함을 알아야 한다.

8. 사용자들에게 단순 명료하면서도 풍부한 보안을 제공하여야 한다.

9. 절대적 보안 아닌 객관상대적 보안을 이루어야 한다.

10. 보안 기술만이 보안의 필수 요소라고 믿지 말아야 한다.

11. 개방적이며 비용 효율적 보안이 중요함을 알아야 한다

12. 선진국 보안을 위하여 과학적, 민주적인 보안접근이 필요하다.

[글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)]

*TSRC: Trusted Security Research Center

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)