Home > 전체기사
늘어나는 보안 평가 시스템, 이대로 괜찮은가?
  |  입력 : 2020-05-26 16:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소비자들의 올바른 결정을 내리기 위해 마련된 평가 및 순위 매김 서비스
좋은 점수 얻는 것만을 목적으로 한 솔루션들, 실제 현장에서 효과 발휘 못 하기도


[보안뉴스 문가용 기자] 고객들이 보안 제품과 서비스를 선택하는 데 있어 도움을 주는 순위 매김 서비스가 증가하고 있다. 마치 신용등급을 평가한 후 대출 금액이 정해지는 것과 비슷하다. 노턴라이프락(NortonLifeLock)은 트위터 계정 배후에 있는 게 봇일 확률을 평가해주는 시스템을 공개했고, 노비포(KnowBe4)와 인포섹(Infosec)은 피싱 시뮬레이션을 통해 직원 한 사람 한 사람의 보안 등급을 매기는 서비스를 제공한다. 비트사이트(BitSight)와 시큐리티스코어카드(SecurityScorecard)는 기업을 평가함으로써 침해 사고 가능성을 추정해준다.

[이미지 = utoimage]


이 때문에 많은 기업들이 각종 점수에 신경이 곤두 서 있는 상황이다. 파트너사를 찾을 때나 직원을 고용할 때도 관련 점수부터 들여다본다. 보험회사들 역시 보험 상품의 가격을 결정할 때 피보험자의 ‘점수’를 중요시 여긴다. 비트사이트의 CEO인 스티븐 보이어(Stephen Boyer)는 “고객사들을 만나서 면담을 해보면 사업적 결정을 내릴 때 이런 점수들을 중요한 자료로서 참고한다는 걸 알 수 있다”고 말한다.

이런 ‘점수’ 서비스를 제공하는 업체들은 수많은 요소들을 종합해 하나의 점수로 표기한다. 그렇기 때문에 직관적이고 알아보기 쉽다. 그리고 이 점수들은 ‘위험성이 얼마나 되는가’가 아니라 점점 ‘이 조직이나 사람을 내가 얼마나 믿을 수 있는가?’에 대한 지표가 되고 있다. 실제 이런 평가 서비스 제공자들도 이런 점을 부각시켜가며 홍보 활동을 한다.

예를 들어 지난 주 노턴라이프락도 트위터 계정을 평가해주는 도구인 봇사이트(BotSight)를 출시하면서 비슷한 뉘앙스로 발표했다. 평가를 위해 20개가 넘는 항목들에 대한 검사를 실시하지만, 이를 소비자들에게 나타날 때는 모든 것을 종합해 간단한 숫자로만 표기한다는 것이다. 글로벌 사업 부문 부회장인 페트로스 에프스타소풀로스(Petros Efstathopoulos)는 “복잡한 정보가 가지고 있는 다중적인 의미를 소비자들에게 알맞게 제공하기 위해서는 간소화 할 필요가 있다”며 “그래야 좀 더 많은 사람들이 올바른 결정을 내릴 수 있게 된다”고 말했다.

그러면서도 에프스타소풀로스는 “복잡하게 구성된 데이터를 요약할 때는 상당히 신중해야 한다”고 강조한다. “간소화 된 수치나 평가 결과를 만드는 게 불가능한 일은 아닙니다. 필요한 일이기도 합니다. 하지만 매우 조심스럽게 접근해야 하기도 합니다. 그렇지 않으면 요약자의 편견이나 의견이 담긴 편향적 정보가 만들어지거나, 사실은 아무런 내용이 없는 무의미한 데이터가 완성되니까요. 그렇게 되면 올바른 결정을 돕기는커녕 방해만 될 뿐입니다.”

물론 여러 가지 고려 사항과 평가 항목을 단 하나의 숫자나 글자로 변환하는 건, 얼른 생각해도 풍부한 세부 사항을 하나도 살릴 수 없는 작업이다. 어떤 경우 이 한 글자로 압축된 숫자가 현실을 전혀 반영하지 못하기도 한다. 예를 들어 보안 업체 노비포의 과거 고객사의 경우, 한 부서에서 자꾸만 악성 문서가 열리는 사고가 발생했다. 평가로만 치면 그 회사 혹은 그 부서는 신뢰할 수 없는 곳으로 단정 지을 수 있었다. 이유를 찾아보니 그 부서는 직원 채용에 늘 애를 먹고 있었고, 따라서 365일 내내 이력서를 열람할 수밖에 없는 곳이었다.

노비포의 보안 전략가인 페리 카펜터(Perry Carpenter)는 “맥락과 환경이라는 요소들은 하나도 생각하지 않은 채 점수 딱 하나만 보고 결정을 내리는 건 대단히 위험한 일이 될 수 있다”고 강조한다. “평가 시스템을 단순화 한다고 해서, 그걸 사용하는 사람들도 단순하게 사고하기 시작하면 결국 승자가 아무도 없는 결과만 낳습니다. 그게 평가 시스템의 함정입니다. 모두가 이기는 상황, 즉 윈윈이 되는 환경을 만들기 위해 평가를 한다는 걸 잊지 말아야 합니다. 서비스 제공자나 사용자 모두 말이죠.”

점수제의 또 다른 단점은, 기업 혹은 사람이 자신의 평가를 올리기에만 집중하게 된다는 것이다. 그것도 최대한 효율적인 방식으로 말이다. 영어 시험을 잘 보기 위해 실제 언어로서 영어를 공부하는 게 아니라 시험을 잘 보는 전략을 습득하는 것과 같다. 이러면 짧은 기간 내에 시험 점수는 조금 올라갈지 몰라도, 영어 구사력이 의미 있게 늘어나기는 힘들다. 보안과 관련된 점수를 한 번 받은 벤더들의 경우도 이런 함정에 종종 빠진다. 평가 항목이 낡아서 쓸모없는 것이 되더라도 그것에 맞춰 제품을 개발한다는 것이다. 그러면 점수만 높고 실제 효과는 낮은 물건이 나온다.

그래서 비트사이트의 보이어는 “점수 평가 시스템을 만드는 쪽에서는, 점수가 현실성을 있는 그대로 반영하도록 해야 한다”고 강조한다. “결국 평가 시스템이 현실의 위험을 반영해야 한다는 겁니다. 평가 제도를 의식한 채 솔루션을 만든다고 해도 현실에서 높은 효과를 거두도록 말이죠. 그런 시스템이 결국에는 벤더와 소비자 모두에게 신뢰를 받을 것입니다.”

그런 의미에서 취약점의 심각성을 평가하는 CVSS 점수 제도도 요즘 보안 관계자들의 입에 오르내리고 있다. CVSS 점수가 높다고 해서 실제 익스플로잇 가능성이 높은 것이 아니고, CVSS 점수가 낮다고 해서 취약점 패치를 나중으로 미뤄도 되는 게 아니기 때문이다.

보안 평가 점수를 참고하려는 사용자들이라면 “점수를 하나의 참고 자료로만 활용해야 한다”고 노비포의 카펜터는 강조한다. “이게 절대적이면서 종합적인 신뢰 점수가 아니라는 걸 이해해야 합니다. 점수는 분명 흥미로운 시스템이고, 보안 산업에 있어 필요한 요소임에는 분명합니다. 하지만 이걸 광고하고 활용하는 부분에 있어서 좀 더 지혜로워질 필요가 있습니다. 부족한 부분을 보완하라는 것이 점수의 가장 큰 의의이고, 이를 통해 더 많은 사람들이 이득을 보는 것이 맞습니다. 점수 때문에 아무 보안 솔루션도 쓸 수 없다는 결론이 나고 소비자와 벤더가 상호 신뢰를 잃어버린다면, 그것이 가장 큰 해악일 것입니다.”

3줄 요약
1. 보안 서비스나 솔루션에 대한 평가 시스템, 점점 늘어나는 중.
2. 이 때문에 ‘현실 보안’이 아니라 ‘성적표 보안’에 집중하는 현상이 나타나기도 함.
3. 점수를 매기는 가장 큰 이유는 부족한 부분을 보완하여 ‘윈윈’ 상황을 만들기 위한 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)