Home > 전체기사 > 외신
진짜 변화를 원한다면, HSO라는 책임자가 필요하다
  |  입력 : 2018-12-07 18:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사람이 보안에 미치는 영향 너무 커, 누군가 책임지고 담당해야
CISO에게 몰린 일들 지나쳐...인적 요소와 교육의 중심 잡아줄 사람 필요해


[보안뉴스 문가용 기자] 최종 사용자들은 항상 최고의, 혹은 가장 중요한, 공격 통로였다. 피싱 공격, 소셜 엔지니어링 공격, 물리적 강탈이나 탈취, 고급 공격 등 공략하는 방법도 다양하다. 네트워크의 구멍을 찾아 뚫고 들어가는 것보다 사람을 통해 침투하는 게 훨씬 쉽다는 걸 해커들은 일찌감치 깨닫고 있다.

[이미지 = iclickart]


심지어 공격당하지 않더라도 사람은 스스로 구멍이 되기도 한다. 회사에 악의를 품고 데이터를 훔치기도 하지만, 그렇지 않은 사람도 잘 몰라서, 혹은 실수로, 깜빡 잊고, 구멍을 만들고 데이터를 흘린다. 그래서 보안 업계는 계속해서 교육과 훈련의 중요성을 강조해왔다. 물론 이 교육과 훈련의 효과를 무시할 순 없다. 하지만 이것에만 기대 ‘언젠가는 개선되겠지’라고 믿는 것 이상의 조치가 필요해 보인다.

보안 기술의 역할은 사용자의 위험할 수 있는 행위 혹은 입장을 미리 막는 것이다. 안전이라는 분야에서 현장 사고의 90%는 막을 수 있었다는 게 주류 이론이다. 다칠만한 환경에 내몰리지 않을 수 있었다는 것이다. 예를 들어 한 공장에서 근무자가 중장비에 자꾸 부딪히는 일이 있었다. 다행히 큰 사고로 이어지지는 않았지만, 언제라도 사람이 크게 다칠 수 있었다. 그래서 공장 운영자는 둘의 작업 공간을 분리시키고 동선이 겹치는 곳에 안내선을 그려놓았다. 큰 도움이 되었다. 사람과 장비의 충돌 사고는 거의 전부 막혔다. 다만 핸드폰을 보면서 걷느라 자기가 어디에 있는지도 모르는 경우에는 부딪힘을 막을 수가 없었다.

사이버 보안의 세계는 어떨까? 보안 담당자들은 백신, 안티 멀웨어, 스팸 필터 등을 사용해 위험 요소와 사용자를 분리시킨다. 사용자들에게 아무 소프트웨어나 설치하지 말라고 해서 위험이 들어오지 않도록 한다. 이렇게 환경만 잘 조성해도 문제의 대부분은 예방된다. 공격자가 들어오는 것도 차단되고, 사용자가 엉뚱한 곳으로 가는 것도 막을 수 있다. 그럼에도 성공하는 공격이 있다. 즉 누군가는 ‘핸드폰을 보며 걷는 것처럼’ 안전 장치를 무시하고 종횡한다는 것이다. 보안 인식이 충분히 높지 않다는 것이다.

이 문제의 뿌리에는 비효율적인 보안 인식 제고 프로그램이 있다. 그들의 보안 인식을 높이려면 ‘그들이 하고 있는 일’이라는 맥락 속에서, 와 닿는 내용을 다루어야 한다. ‘이걸 무서워하고, 저걸 무서워하세요’하는 식으로는 아무도 설득할 수도 없고, 어떤 색다른 깨달음도 줄 수 없다. 사용자가 모든 위협 요소를 다 피해갈 거라고 기대해서는 안 된다. 전체 운영(거버넌스)의 기조를 바꿔 사용자가 안전하게 좇을 수 있는 길을 만들어주는 것이 더 효과를 발휘한다는 것이다.

사용자에게 집중하라
현대의 기업들은 어느 정도 보안에 필요한 소프트웨어를 갖추고 있다. 이를 통해 공격자들이 직원들에게 접근하는 것을 막는다. 보안 교육도 조금씩 보편화되고 있다. 보안과 관련된 정책이나 업무 진행 절차도 이전보다 더 많이 보이기 시작했다. 그런데 이 모든 노력들이 각각 따로 논다. 파편화되어 있다. 큰 줄거리를 만들지 못하니 일반 사용자들의 귓가를 맴돌다가 흩어지기 일쑤다.

왜? 담당자가 없어서다. 사용자의 보안 인식이나 업무 관련 행위들을 책임지고 보살펴줄 사람이 없으니 그 때 그 때 필요한 것들만 1회성으로 충족시킨다. 그래서 필자는 HSO라는 직책이 필요하다고 주장한다. HSO란, 인간 보안 책임자(Human Security Officer)다. 사람과 관련된 사이버 범죄자들의 공격 기법을 전문으로 하고, 사용자들의 행위를 파악해 위험한 길을 가지 못하게 막아주는 사람이다. 사람을 겨냥한 공격을 예방하고, 탐지하고, 대응하는 또 다른 CISO인 셈이다.

물론 이런 말을 하면 “원래 CISO가 하던 일 아니냐”라는 반박을 많이 듣는다. 혹은 “인사 담당자가 해야 할 일”이라는 주장도 들었다. 하지만 현실을 보자. 보안 인식 제고 프로그램을 듣는 사람들은 조직 내에서 각자가 맡은 특수한 일만을 처리하는 사람들인데, 그들에게 제공되는 것은 광범위하고 보편적인, 그리고 때론 천편일률적인, 내용물들이다. 그러면서 그들의 보안 인식이 올라가고 행동이 바뀌길 기대하는 게 현주소다. 그러한 변화가 없을 때, 즉 성과가 없을 때, 아무도 책임지지 않는다. ‘사람이 다 그렇지, 뭐’라고 하면 다 용서가 된다. 누군가 이 모든 사태의 중심에 서서 확실하게 책임과 권한을 받아 일을 진행하지 않으면 우리가 바라는 교육의 효과라는 건 영원히 나타나지 않을지도 모른다.

HSO가 있다면 여느 보안 담당자들이 CVE를 확인하듯 사람과 관련이 있는 취약점을 파악한다. 그리고 이를 완화하거나 해결하기 위해 인간 중심적인 방법을 사용한다(물론 기술을 전혀 사용하지 않는다는 건 아니다). 그렇게 하기 위해서는 사업이 진행되는 과정도 알아야 하고, 어떤 기술들이 최적의 생산을 위해 가동되고 있는지도 알아야 한다. 직원들이 어떤 기술을 선호하고, 또 사용하고 있는지도 인지하고 있어야 하고, 교육 관련 프로그램의 효과가 정말로 나타나도록 책임을 져야 한다.

물론 CISO가 할 수 있다면 굳이 HSO를 만들 필요는 없다. 그러나 CISO가 부담하고 있는 게 이미 너무 많다. 이들에게 ‘직원에게서 변화가 일어나지 않는다’고 책임을 지라고 하는 건 너무 가혹하다. 솔직히 어떻게 IT 기술, 법과 규정, 신기술, 보안, 심리학을 한 사람이 다 이해할 수 있을까? 누군가는 사람을 맡아줘야 한다. 진짜 변화를 원한다면 HSO가 필요한 시점이다.

3줄 요약
1. 사람, 어쩌면 영원히 변치 않을 보안의 구멍.
2. 교육으로 메우는 건 한계가 있음. 사람이 가진 변수가 너무 크고, 교육도 효율적이지 않기 때문임.
3. 사람만을 담당하는 CISO 혹은 HSO를 마련하는 건 어떨까?


글 : 아이라 윙클러(Ira Winkler), Secure Mentem
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향