Home > 전체기사
모든 걸 방어하려다가는 모든 걸 잃게 된다고 그는 말했다
  |  입력 : 2020-02-13 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지금 보안 프로그램으로 정확히 뭘 막고 계세요?....대부분 ‘다 막는다’ 답해
모든 걸 다 막는다는 건 허술하게 막는다거나 돈이 줄줄 센다거나 둘 다거나


[보안뉴스 문가용 기자] 당신의 정보보안 프로그램은, 과연 무엇을 보호하고 있는가? 무엇을 막고 있는 것인가? 이는 의외로 답하기가 까다로운 문제다. 필자가 실제 보안 전문가들이나 경영진들에게 이 질문을 불쑥 하면, 의외의 답들이 나오는데, 많은 경우 실망을 하지 않을 수가 없다. 보통 “전부 다 막죠”라고 하는데, 이 말이 제일 실망스럽다.

[이미지 = iclickart]


전부 다 막는다는 건 조직 내 존재하는 모든 시스템과 저장된 모든 데이터를 보호하고 있다는 것이다. 실제 전부를 보호할 수 있는지 없는지는 논외로 하더라도, 이런 기업들은 보통 보호 수위에 차등을 두지 않으며, 더 중요하게 보호해야 할 자산과 비교적 덜 중요한 자산을 구분하지 않는다. 또한 모든 시스템과 데이터를 하나의 항목으로 뭉텅 그려 보호한다는 것으로, 비효율의 극치를 암시하기도 한다.

프리드리히 2세는 이렇게 말했다. “모든 것을 방어하려는 자, 모든 것을 잃는다.” 난 이 말이 사이버 보안에 있어서 지극히 사실이라고 생각한다. 모든 것을 방어한다는 건, 우선순위를 두지 않는다는 뜻이고, 그러므로 대단히 중요해서 반드시 지켜야만 하는 디지털 자산에도, 일반 평문 보호 원리를 적용한다는 뜻이다. 가장 삼엄하고 비싼 보안 장치를, 사소한 계정이나 문서 하나 보호하는 데에까지 활용한다는 뜻으로 뒤집어 이해하는 것도 가능하다. 아무 것도 보호하지 못하거나, 돈을 왕창 낭비하고 있거나, 둘 중 하나다. 대부분은 둘 다다.

이 시점에서 중요해지는 건 ‘기회 비용’이라는 개념이다. 우리 모두는 유한한 자원만을 가지고 있다. 빈 수표를 가지고 보안 전략을 짤 수 있는 사람은 거의 없다. 유한한 자원 안에서 도구를 사고, 직원을 훈련시키고, 전문가를 영입해야 한다. 그러므로 영리하게, 상황에 가장 어울리는 선택을 해야 하고, 그런 만큼 다른 선택지를 포기해야 한다. 한 분야의 전문가를 고용한다는 건, 다른 기술의 전문가를 놓친다는 뜻이 된다. 솔루션에 대한 뒷조사를 하는 시간은, 첩보 분석에 사용될 수도 있었다.

그렇기 때문에 우리는 우선순위를 정해서 투자 계획을 세워야 한다. 우선순위가 정해져 있지 않다면 우리는 그때 그때 생각나는 대로, 혹은 유행이 지나가는 대로, 혹은 기분이 내키는 대로 투자를 하게 되고, 그러면서 ‘가장 이상적일 수 있는’ ‘최고의’ 방어 체계를 놓치게 된다. 그렇다면 우선순위는 어떻게 정하는가? 이는 보유한 자원을 목록화 하는 것에서부터 시작한다.

모든 것을 수집하라
‘모든 것’이란, 방어 체계에서 나와야 할 말이 아니라, 자원 파악에서 나와야 할 말이다. 내가 가지고 있는 모든 것을 상세히 알아내는 것이 중요하다. 디테일에 가치가 숨겨져 있기 때문이다. 의자, 책상, 컴퓨터... 이렇게 목록을 만드는 게 전부가 아니다. 책상이 어떤 재질로 만들어져 있으며, 어떤 상태이고, 언제 입고되었고, 가격대나 어느 정도나 되는지 등도 상세하게 기입해야 한다. 누구나 완성된 목록표를 보면 조직 내 모든 자원의 모든 것을 한 눈에 알 수 있을 정도로 만들어야 한다.

모든 것을 이해하라
이렇게 모든 항목이 정리되었다면, 자동으로 큰 그림이 머릿속에 그려지는 걸 느낄 수 있을 것이다. 시스템이 어떻게 연결되어 있고, 상호작용이 어떻게, 어떤 순서로 이뤄지는지도 파악할 수 있다. 조금 더 들여다보고 고민하면 업무 프로세스가 실제로 어떤 식으로 실행되고 있는지도 상세히 알아내는 게 가능하다. 그렇다면 진짜로 중요한 핵심 요소가 무엇인지 알게 되고, 이거 하나는 무슨 일이 있어도 지켜야 한다는 생각이 든다. 중요도의 랭킹이 자연스럽게 떠오른다는 것이다. 주로 자산의 존재 목적이나 생성되는 데이터의 유형 등에 따라 이 랭킹이 결정된다. 이 랭킹이 바로 보안의 효율을 높여준다.

통합
여기까지만 일이 진행돼도 보안에 대한 자신감이 남달라지는 걸 느낄 수 있을 것이다. 물론 일이 끝난 건 아니다. 위에서 정해졌던 랭킹에 따라 가장 중요한 요소들을 실제로 보호하는 일이 남았다. 이는 보호책을 고안하고 실제 대입하는 것만이 아니라 제대로 작동하는지 확인하는 것까지를 포함한다.

정보 보안에서 중요한 건 ‘무엇이 제대로 작동하지 않는가’를 확인시켜 주는 자산 관리 개념이다. 또한 보증(assurance)도 대단히 중요하다. 즉, ‘이렇게 했으니 잘 될 거야, 잘 작동할 거야’라는 생각은 위험하다는 것이다. 사용자의 의도 그대로 모든 요소들이 제대로 작동하고 있는지 확인하고 또 확인해야 한다. 그런 후 이렇게 확인된 내용과 요소들을 자산 목록에 상세하게 기록하는 것을 빼먹지 말아야 한다.

그러나 현실은 이상적이지 않다. 상세한 자산 목록을 갖춘 조직을 난 거의 보지 못했다. 왜 이렇게 자기가 보유한 재산을 파악하는 게 어려울까? 일단 조직 내 자산을 자동으로 파악해주는 도구가 없기 때문이다. 못을 박으려면 망치를 써야 하고, 브레이크에서 소리가 나면 기름칠을 해줘야 하는데, 자산은 도대체 어떤 도구로 파악해야 하는가? 엑셀 말고는 마땅한 답이 없는 게 현실이다. 그러니 간단한 작업이 아니게 되고, 따라서 자연스럽게 미뤄진다.

또한 자산의 목록화를 통해 얻을 수 있는 효과는 가시적이지 않다. 백신을 설치해서 순식간에 멀웨어 257개를 삭제하는 것과는 다르다. 모든 상황을 한 눈에 볼 수 있고, 그러니 큰 그림을 더 정확하고 효율적으로 그려갈 수 있다는 게 그 효과인데, 이걸 수치적으로 표현할 방법이 없다. 그래서 간과된다.

필자도 인정한다. 자산 관리나 재고 파악은 흥미롭거나, 신선하거나, 창의적인 일은 아니다. 게다가 그 성과라는 것도 멋있어 보이거나 섹시하지 않다. 엑셀에 깨알같이 적힌 글자와 숫자들이니 말이다. 그렇지만 그 글과 숫자들 사이로, 보안 담당자들만 볼 수 있는 비밀들이 넘쳐흐른다. 세상에 나만 아는 비밀이 생긴다는 것이다. 그리고 그 비밀 때문에 내 전문분야, 내 위치에 대한 자신감이 넘치기 시작한다. 이건 경험해보지 못하면 보안을 10년 공부해도 모른다. 또한 이런 과정 없이 보안을 한다는 사람들이 장님 코끼리 만지기 한다는 걸 알게 된다. 이거 무슨 포교 행위 같기도 한데, 제발 보안 담당자라면, 디지털 자산 파악을 해봤으면 좋겠다. 그 지난한 과정이 얼마나 당신을 위대한 보안 담당자로 만드는지를 경험해보길 바란다.

글 : 케빈 쿠르자와(Kevin Kurzawa), Security Auditor
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)