Home > 전체기사
보안 업계와 사용자 기업 간의 컨소시엄이 절박한 이유
  |  입력 : 2020-05-26 17:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 솔루션과 서비스의 개념증명...호환성과 인터페이스의 사용성만 측정 가능
단시안적인 구매력만을 높이는 보안 솔루션, 장기적 효과 없이는 소비만 위축시켜


[보안뉴스 문가용 기자] 사이버 보안 솔루션은 어떻게 평가해야 할까? 개념증명(PoC)? CISO나 보안 팀원들이 개념증명을 보면 알 수 있는 것들이 있다. 기존 IT 환경에 얼마나 빠르고 정확하게 구축될 수 있는지, 또 사용자를 위한 인터페이스는 얼마나 직관적인지 등이다. 이런 것들이야 한 번 구동시켰을 때 눈으로 확인이 가능하다. 그러나 실제 장기적인 방어력이 어느 정도인지는 개념증명용 버전으로는 알 수가 없다.

[이미지 = utoimage]


장기적인 실험과 평가를 하려면 비용이 든다. 이 비용은 수많은 조직들에게 있어 대단히 아깝게 여겨지는 게 현실이다. 따라서 보안 솔루션이나 서비스를 온전히 파악한 상태에서 구매하는 경우가 거의 없다. 사용자 기업의 이러한 상황을 보안 업계는 잘 알고 있고, 솔직히 말해 이를 적극 활용하고 있는 게 현실이다. 그래서 높은 호환성과 직관적인 인터페이스로 높은 점수를 따려고 노력한다. 실제 성능과 무관하게 말이다. 이제 이러한 평가 문화를 고쳐야 할 때가 됐다.

일단은 보안 솔루션을 만드는 벤더들이 조금씩 움직임을 보이고 있다. 그러나 보안 산업 전체에 적용될 새로운 평가 시스템과 표준을 구성하는 데 있어 벤더들만 참여할 수는 없는 노릇이다. 오히려 실질적인 변화를 일으키려면 사용자 기업들에서 움직여야 한다. 특히 코로나 사태가 끝나지 않아 경제 활동이 위축되고, 예산이 대폭 줄어든 기업들이 많아져 가는 지금이 보안에 대한 투자 효율을 높이기 위한 이야기를 꺼내기에 좋다고 본다.

물론 정부 기관이 이미 활용하고 있는 평가 시스템이라는 것이 있다. 여기서부터 표준을 논해도 나쁘지 않다. 그러나 정부 기관이 보안 솔루션이나 서비스로부터 요구하는 것과, 일반 사기업이 요구하는 것은 분명 다르다. 겹치는 부분도 상당히 있긴 하겠지만, 다른 부분 역시 존재한다는 걸 기억해야 보다 온전한 평가 시스템이 도출될 수 있을 것이다. 게다가 나라마다 내세우는 기준이 다르기 때문에 다국적 대기업은 정부의 표준에만 기댈 수 없는 상황이다.

파편화 된 시장
사이버 보안 시장은 계속해서 잘게 쪼개지고 있는 중이다. 세분화 되고 있고, 각 영역별로 전문화가 심화되고 있다. 이 때문에 보안을 책임져야 하는 사람들은 큰 압박을 받게 된다. 세분화 된 영역별로 모든 것을 다 구할 수도 없고, 그렇다고 놓치기에는 찜찜한, 그런 상황이 계속되는 것이다. 이는 소비의 위축으로 이어질 수밖에 없다. 사용자들의 소비를 활성화시키기 위해서라도 보안 산업이 전체적으로 컨소시엄을 열고 평가 제도를 마련해야 한다. 사용자들이 진짜로 돈을 아낄 수 있는 방법을 마련해야 안심하고 소비할 수 있게 된다.

물론 각자의 영역에서 많은 솔루션들이 등장함으로써 경쟁이 활발해지고, 이로써 품질이 높아지는 측면도 존재한다. 이런 시장의 메커니즘을 삭제하자는 게 아니다. 지나치게 전문적으로 변함으로써 사용자들이 이해하지 못하는 곳에 돈을 투자했다가 ‘헛돈을 썼다’는 배신감을 느끼지 않게 하자는 것이다. 그런 의미에서 보안 업계 종사하는 사람들은 경쟁자이기도 하지만 동료가 될 수도 있어야 한다.

업계가 이렇게 뭉쳐서 동료의식을 발휘하려면 가장 필요한 게 무엇일까? 필자는 객관적인 진실만을 추구하는 ‘테스터’라고 생각한다. 어느 업체에도 종속되어 있지 않고, 따라서 평가제에 따라 이득이나 손해를 보지 않는 사람이나 단체여야 한다. 솔루션이나 서비스의 실제적이며 장기적인 효능을 진심으로 알아볼 수 있는 그런 서드파티가 필요하다.

또한 현존하는 위협들만이 아니라 아직 나타나지 않은 미래에 대한 보호도 이 새로운 평가제와 표준 내에서 고려되어야 한다. 그러려면 평가에 참여하는 벤더들이 설계, 구축, 엔지니어링 현황 등에 대해 투명하게 공개해야 할 것이다. ‘영업적 비밀’이라는 말 뒤로 엉성함을 감추지 못하도록 해야 한다는 것이다. 말뿐인 약속, 그러므로 소비자들이 느끼는 배신감이라는 것은, 업계에 악영향만을 미칠 뿐이다.

이렇게 모든 것이 투명하게 공개된다면, 철저히 중립적일 수밖에 없는, 엄선된 테스터가 실제 솔루션과 서비스의 기획과 설계에서부터 소스코드와 관련 문건들까지 샅샅이 평가할 수 있게 된다. 그 후에는 기존에 알려진 위협들에 대한 ‘화이트 박스 테스팅’을 실시하는 게 중요하다. 문을 닫아놓고 실험 과정을 숨긴 채 결과만 알려주는 방식을 피해야 한다는 것이다. 그 다음은 예상되는 미래의 공격도 최대한 실험해볼 수 있어야 한다. 이러면 실험에 들어가는 비용이 꽤나 들 테지만, 컨소시엄 멤버들이 이를 나눔으로써 부담을 줄일 수 있을 것이다.

이렇게 컨소시엄을 꾸려 객관적인 테스터를 선임하고 예산을 나눠서 집행하는 능동적인 평가 방식이 정착하게 된다면 사용자 기업의 신뢰가 높아질 수밖에 없다. 이러면 솔루션과 서비스를 제공하는 업체들도 활발히 움직이게 되는데, 이것이 보안 업체들 사이의 담합으로 이어지지 않으려면 컨소시엄에 반드시 사용자 기업들도 포함되어 있어야 한다.

현재 CISO들과 사용자 기업들은 상상도 못할 정도의 사이버 위험을 마주하고 있다. 문제는 광범위하면서도 깊기까지 하다. 따라서 이들을 도와줄 좋은 보안 서비스가 절실히 필요한 때다. 다만 어떤 서비스가 정말로 도움이 될 런지 아무도 확신할 수가 없어서 구매 결정을 잘 내리지 못하게 된다. 어렵게 결정을 내렸을 때, 보안 솔루션이 아무런 도움을 주지 못한다면 실망감은 곱절이 된다. 사용자 기업들과 보안 벤더들의 컨소시엄이라면 이 간극을 줄일 수도 있을 것이다.

너무 이상적인 얘기라고 치부하는 독자가 있을 수 있다. 하지만 ‘이상’에만 그리는 것을 현실로 구체화시켜야 할 정도로 지금 상황은 급박하게 돌아가고 있다. 또한 지금의 평가 제도와 시장 상태로는 장기적인 꿈을 꾸기도 어렵다. 힘을 합해야 할 때다. 엄중하고 객관적이며 흔들리지 않는 테스터를 중심으로 소비자와 개발사가 투명하게 서로에 대해 알릴 장이 필요하다. 그래야 장기적으로 효과를 발휘하는 제품들이 나오기 시작할 것이다.

글 : 헨리 해리슨(Henry Harrison), Garrison
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)