너무 많아 문제인 보안 솔루션, 벤다이어그램으로 줄인다

스탠드얼론 보안 솔루션들, 너무 많이 존재하면 보안 업무의 주객전도 일어나
벤다이어그램 통해 현황 파악하면 겹치는 부분 보여...전략적으로 제거하면 1석2조

[보안뉴스 문가용 기자] 2019년 11월 중순, 포레스터(Forrester)와 태니엄(Tanium)은 한 연구 결과를 발표했다. IT와 OT를 위한 보안 솔루션을 따로따로 구축했을 때 오히려 전체적인 보안이 약화된다는 내용이었다. 그러므로 통합된 엔드포인트 관리 시스템이 필요하다고 두 회사는 결론을 내렸다.

[이미지 = iclickart]

12월 초, 플로리다 주의 보안 업체인 렐리아퀘스트(ReliaQuest)도 연구 보고서를 발표했다. 따로따로 작동하는 스탠드얼론 보안 솔루션을 구매해 사용했을 때 어떤 일이 일어나는지에 관한 것이었다. 렐리아퀘스트는 1000명 이상의 규모를 가진 조직에서 보안 책임자 역할을 맡고 있는 사람 400명과 면담했으며, “너무 많은 도구들이 있을 때 오히려 보안이 약화되는 것 같다”는 답을 들었다.

왜 그런 느낌이 들까? 응답자들은 다음과 같이 대답했다.
1) 도구를 100% 활용할 만한 능력이 조직 내에 없어서(71%)
2) 유지 보수에 대한 압박감이 크고 자원이 많이 투자돼서(69%)
또한 제각각 따로 노는 보안 도구들이 너무나 많아서 보안 부서 팀원들이 지쳐간다고 말한 책임자가 53%나 되었다.

태니엄의 CISO인 크리스 할렌벡(Chris Hallenbeck)은 “사건이 발생해서 문제가 발견될 때마다 조직들은 가장 쉬운 해결책을 모색하려는 경향을 보인다”고 설명한다. “문제가 되는 곳에 돈을 투척하고 손을 터는 게 가장 쉬운 해결책이죠. 문제의 근원을 찾고, 제대로 된 분석가와 함께 파헤쳐 뿌리를 뽑으려고 전사적으로 움직이는 것보다 ‘백신 하나 더 구매해’라고 지시를 내리는 게 속편하니까요. 하지만 세상에 공짜는 없습니다. 누군가 문제를 쉽게 해결하려했다면, 누군가는 어려움에 부딪혀야만 합니다. 솔루션들이 너무 많아서 보안에 방해가 된다는 그 어려움을 CISO들이 고스란히 떠안고 있습니다.”

그래서 할렌벡은 “제품의 기능을 벤다이어그램으로 도식화 해보라”라고 권장한다. “그러면 어느 부분이 겹치고 과잉인지 눈으로 볼 수 있을 겁니다. 겹치는 부분들은 예산과 인력이 낭비된 곳이라고 봐도 됩니다. 보안에는 전혀 보탬이 되지 않고 말이죠. 겹치는 부분을 두고 ‘다단계 보안’ 혹은 ‘멀티레이어 보안’이라고 말하지 않습니다. 아주 약간 겹치고 서로 다른 영역을 책임지는 장치들이 많을 때 멀티레이어 보안이 구현되고 있다고 말할 수 있는 것입니다.”

실제 할렌벡에게 상담을 받고 벤다이어그램을 그려본 기업들은 꽤나 많은 수의 보안 도구들을 삭제할 수 있었다고 한다. 보안 수준은 똑같이 유지되거나 오히려 더 좋아지면서, 관리 부담은 확 줄어든 것이다. “정확한 현황 파악을 기반으로 해서 모자란 부분을 찾고, 그 부분에 딱 맞는 솔루션을 구매함으로써 예산과 보안 솔루션을 최대한으로 활용할 수 있게 됩니다.”

당연하지만, 이런 식의 접근은 시간을 필요로 한다. 할렌벡은 “꽤나 장기적인 접근법이며 세심한 전략성이 뒷받침 되어야 한다”고 말한다. “게다가 벤다이어그램을 통해 문제만 파악한다고 다 되는 건 아닙니다. CISO라면 새로운 고민이 오히려 시작될 수도 있습니다. 예를 들어 두 개의 매우 좋은 솔루션이 확보된 상황인데, 알고 보니 영역이 대부분 겹친다면 어떻게 해야 할까요? 둘 다 성능이 우수해서 신뢰가 잔뜩 쌓인 솔루션이라면요? 그런 상황에서의 판단 하나하나가 시간이 걸리죠. 둘 다 버리고 새로운 도구를 살 수도 있고, 둘 중 하나만 선택할 수도 있습니다.”

만약 조사를 통해 두세 가지 제품이 겹치고, 이를 대체할 하나의 제품이 있다는 걸 알게 되었다면, 그래서 그 하나의 제품을 실제로 구매해서 사용하기 시작했다면 소프트웨어 라이선스 정리까지도 제대로 해야 할 것이다. 그저 시스템 몇 개에서 지워냈다고 해서 지출이 멈추는 게 아니기 때문이다. 할렌벡은 “라이선스 정리 또한 몇 년 걸릴 수 있다”고 말한다. “갱신 날짜가 정해져 있는 경우가 많을 텐데, 소프트웨어 제조사에 연락을 취해서 그 갱신을 앞당기든지 예외를 부탁할 수도 있습니다. 그런 요청을 들어준다면 비용 절감에 더 도움이 되겠죠.”

할렌벡은 “새해 들어 보안 솔루션의 사용 현황을 벤다이어그램으로 정리하는 작업을 많은 조직이 시작하길 바란다”고 말한다. “천천히 시간을 가지고, 전략적으로 이 프로젝트를 진행한다면 불필요한 지출을 줄이고 보안도 강화할 수 있을 겁니다. 현재 설치된 보안 도구들만 정리돼도 조직들은 훨씬 더 튼튼해질 겁니다.”

3줄 요약
1. 필요한 보안 솔루션들을 따로따로 구매하고 쌓았다간 보안에 위협이 됨.
2. 벤다이어그램을 통해 보안 도구 현황을 파악하면 겹치는 부분들 보이기 시작함.
3. 이 부분 제거하면 비용도 절감되고, 보안도 강화되며, 보안 담당자 업무 능률도 올라감.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)