신 수 정 / 인포섹 컨설팅본부장, 공학박사  
 


사이버 공간에서의 보안 위험이 점차 커지자 정보보안과 관련된 많은 노력이 금융·통신·첨단제조 기업들을 중심으로 이뤄지기 시작했다. 더구나 최근에는 과거 폐쇄되었던 기업의 정보와 시스템이 점차로 인터넷에 연결됨에 따라 금융·통신권 뿐만이 아닌 대부분의 일반 기업들도 점차 보안문제를 심각하게 인식, 대응하고 있다.
 

 
 

많은 기업들은 나름대로 보안관련 예산을 할당하고, 필요한 보안시스템 구입 및 전문가를 통한 모의침투 테스트 등을 통해 나름대로 보안의 위험에 어느 정도 대응해왔다. 하지만 기업들은 보안에 적지 않은 노력과 투자를 했음에도 불구하고 여전히 무엇인지 모를 한계가 있음을 토로하고 있으며 이번, 인터넷 대란에서도 확인할 수 있었듯이 보안문제 발생시 여전히 뒷북을 치고 있다. 또한 과거의 보안 활동들이 기업의 보안수준을 얼마만큼 향상시켰는지에 대해서도 명확히 답하지 못하고 있다. 이런 상황이므로 보안의 중요성을 깨닫고 보안을 시작하려는 기업들은 어떻게 보안을 시작해야 시행착오를 겪지 않을지, 지금 고민 중에 있다.

 
기술적 대책만이 능사는 아니다

왜 그 동안의 보안 노력에도 불구하고 기업들이 충분한 확신을 갖지 못하며 어려움을 느끼고 있는지 몇 가지 주요 이유를 정리해 보면 다음과 같다.

첫째, '보안'을 단순히 기술적 문제로만 생각
지금은 이러한 인식이 변하긴 했지만 여전히 많은 사람들이 '보안'하면 고도의 기술적인 느낌이 드는 '해킹'이라는 단어를 가장 먼저 떠올린다. 또한 보안문제의 해결을 일반인의 참여로는 불가능하고 특수한 전문가 집단이나 그들이 만든 강력한 기술적 IT 대책만으로 가능하다고 생각하며 자연스럽게 보안의 모든 책임을 IT부서에 이관시켜왔다. 하지만 보안시스템이 구축된 이후에도 여전히 치명적인 문제들이 발생하자 이러한 문제가 단지 기술적 시스템만으로는 해결될 수 없음을 깨닫기 시작했다.
세계에서 가장 보안이 강력하다고 알려진 미 국방성 등을 해킹해 해킹세계의 전설적인 인물로 알려진 캐빈 미트닉은, 최근 '해킹, 속임수의 예술'이라는 책에서 보안을 기술적인 대책으로만 해결하려는 일이 얼마나 어리석은 일임을 보여주고 있다. 그는 자신이 사용한 여러 침투사례를 열거하면서 세상에서 존재하는 가장 최상의 보안시스템이나 암호화를 복잡한 전문 기술이 아닌 일반인도 할 수 있는 손쉬운 방법으로 우회하는 사례를 보여줬다. 그는 물론 컴퓨터 전문가이긴 했지만, 기술적 시도만을 수행한 것이 아니라 침투를 하기 전에 먼저 내부의 다른 사람으로 위장해 내부직원이나 IT담당자 들에게 전화를 걸어 손쉽게 내부 정보를 파악하고, 시스템의 위치, 접근방법과 패스워드를 알아내었다. 이후 이러한 취약성을 통해 얻어진 정보를 바탕으로 기술과 결합해 침투함으로써 강력한 보안시스템들을 쉽게 우회할 수 있었다.
그는 이 책에서 보안솔루션이 완벽한 보안을 가져다 준다고 생각하는 것은 착각이며, 진정한 보안의 문제는 '사람'이라는 요소에 있다는 말을 함으로써 기술적인 문제로만 보안에 접근하려는 기업의 담당자들에게 경종을 울렸다.
실제 보안의 문제를 예방하고 대응할 수 있는 효과적인 방법은 굉장한 보안기술의 이해나 강력한 시스템의 구축에 달려있다기 보다는 오히려 근면한 IT담당자의 꾸준한 보안패치 설치, 확인되지 않은 사람들에게는 내부의 정보를 제공하지 않는 것, 개인의 이메일이나 PC의 보안에 주의를 기울이는 것 등과 같은 작은 것에 민감한 임직원들의 보안의식이라고 보안전문가들은 이야기 한다.

둘째, 다양한 시나리오와 문제발생으로 인한 위험 분석의 부족
정보에 대한 보안 위협은 다양한 경로를 통해 발생할 수 있다. 내부 혹은 외부로부터 발생할 수도 있고 이메일과 물리적인 경로를 통할 수도 있다. 그러므로 기업은 다양한 침입 시나리오를 살펴보고 보안의 위험을 측정할 수 있어야 한다. 또한 보안에 대한 효과분석과 우선순위를 설정하고 위험에 근거해 우선순위 대책을 수립, 이러한 대책이 얼마만큼의 위험을 감소시킬 수 있는 지를 분석해야 한다.
그러나 많은 기업들은 이런 식으로 보안활동에 접근하기 보다는 주먹구구식으로 접근해왔다. 예를 들어 이메일에 문제가 많다고 하면 이메일 보안시스템을 구축했고, 네트워크에 문제가 있다면 네트워크 보안시스템을 구축하는 식으로 보안활동을 해온 것이다. 그러므로 이러한 보안시스템이 과연 내부의 보안위험을 얼마나, 어떻게 감소시키는지 그리고 현재 어떠한 위험이 잔존해 있는지 파악하기 어려웠다. 때문에 끊임없는 보안 노력을 하면서도 현재의 보안수준이 어떠한지, 보안위험이 어디에 남아있는지에 대해 확신할 수 없었던 것이다.

셋째, 조직내의 동의와 참여 부족
보안에 대한 충분한 인식제공과 교육이 수행되지 못함에 따라 대부분의 임직원들은 보안활동을 특정 인력이나 IT직원들의 몫이라고 생각해왔다. 그러나 보안문제는 실제로 일반 임직원들이 악성 이메일 첨부파일을 함부로 열어 보거나 별 생각없이 사무실 출입문을 열어둠으로써 발생할 수 있으며, 주요 문서를 책상 위에 방치하거나 신원이 확인되지 않은 자를 내부직원으로 여겨 전화로 내부 정보를 제공함으로써도 발생할 수 있다. 그러므로 보안은 모든 임직원의 총체적인 동의와 참여 없이는 실패라 해도 과언이 아니다.

넷째, 주기적인 평가와 측정 그리고 지속적인 관리의 부족
많은 기업들은 보안을 일회성 프로젝트로 인식한다. 이에 따라 한꺼번에 관심을 가지고 한꺼번에 보안대책을 이행한 이후에는 더 이상 적극적인 활동을 하지 않아왔다. 이로 인해 심지어는 원상태로 다시 돌아가는 경우도 많았다. 지속성을 유지하기 위해서는 주기적인 '평가와 측정' 및 이에 대한 최고 경영층의 검토가 필수적이다.

자연스러운 보안문화를 정착시켜라

기업의 정보보안 어떻게 할 것인가? 사실 위에 제시한 이유 속에 벌써 답이 숨어있음은 독자들이 쉽게 예상할 수 있다. 이를 요약하자면 다음과 같다.
먼저 기업은 총체적인 각도에서 보안 모델을 수립해야 한다. 이 모델에는 기술뿐 아니라 인력, 프로세스에 대한 방면도 포함해야 한다. 기술대책은 쉽지만 오히려 인력의 생각이나 프로세스를 바꾸는 것은 더 어렵다. 그리고 관리적, 물리적, 기술적 영역도 포함해야 한다.
둘째, 기업은 다양한 위험 시나리오를 분석하고 관련된 위험을 측정해야 한다. 처음부터 정확할 수는 없다. 그러나 현재의 위험을 계량화하고 위험의 포인트를 찾아내려는 시도는 무엇보다도 중요하다.
셋째, 기업은 다양한 위험에 대한 대응 전략, 기업의 문화, 투자여력 등을 고려해 보안위험에 대응할 수 있는 기준선을 정하고 이에 따라 기업의 보안정책을 수립해야 한다.
넷째, 기업은 보안정책을 이행할 수 있는 보안 청사진을 수립해야 한다. 이러한 보안 청사진은 그때그때 필요에 따라 임기응변식으로 수행하는 대책의 모음이 아니다. 이러한 청사진은 거시적이고 통합적이어야 한다.
다섯째, 수립된 보안정책과 청사진의 이행에 대해 전사원의 동의와 협력을 구해야 한다. 이를 위해 다양한 변화관리와 인식제고를 위한 홍보와 교육의 노력이 필요하다.
여섯째, 청사진을 꾸준하게 이행해야 한다. 꾸준하고 근면한 보안관리자들과 보안의식이 생활화된 임직원들이 있다면 대부분의 보안문제를 쉽게 예방하고 대응할 수 있다는 것을 명심해야 한다.
마지막으로는 주기적인 평가와 측정을 통해 보안수준이 어느 정도 상승했는지, 보안위험이 어느 정도 감소했는지 측정하고 이러한 보안활동이 지속성을 유지할 수 있도록 해야 한다.
이러한 보안활동의 궁극적인 목표는 '강력한 보안 시스템 구축'이 아니라 '자연스러운 보안문화 정착'이다. 강력한 보안으로 사용자를 괴롭히고, '정보공유'를 억제하며, 폐쇄를 지향하는 것이 보안의 초점이 아니다. 사용자들이 자신이 속한 기업정보의 가치를 보존하는 보안활동을 거추장스럽지 않고 자연스럽게 느끼며 효율적인 '정보공유'활동과 조화를 이루는 문화를 정착하도록 하는 것이 보안의 초점이다.
세계적인 경제석학인 레스터 서로우 교수는 <지식의 지배>라는 책에서 이런 말을 했다. "질서를 다른 모든 것보다 높이 평가하는 사회는 창의적일 수 없다. 하지만 어느 정도의 질서가 없다면 창의성은 마치 블랙홀에 빨려 들어가듯 사그라지고 만다."그는 어느 사회나 국가가 궁극적으로 성공하기 위해서는 위의 두 개의 대립되는 힘 가운데 역동적 긴장감을 창출하고 관리할 수 있어야 한다고 역설했다. 이러한 그의 주장을 '보안'과 '정보공유(효율)'의 이 두 개의 영역에도 그대로 적용할 수 있을 것이다.