Why Information Security Fails Often in Korea? (1)

국내 정보 보안은 뭐가 문제인가?
(Why Information Security Fails Often in Korea?)

오랫동안 이 포스팅을 언젠가는 해야겠다는 생각을 했다. 다소 표현이 부드럽지 못하거나 글솜씨가 유연하지 못해도 정말 한국에서 보안 일을 해 온 사람으로 허심탄회하게 쓰고자 했다. 가능하면 객관적인 내용을 쓰려 노력(?)했으며 주관적인 내용이나 본인 견해와 다른 내용은 댓글로 언급해도 좋다. (그러길 바란다) 하지만 옳고 그름(the rights and the wrongs)의 단순 이중잣대로 접근하지 않았으면 한다.


A. Episodes

우선 다음 에피소드를 통해 흔히 조직에서 추진되는 업무 단면을 살펴보자. 편의상 부하직원을 X, 직속상사를 Y, 상급상사를 Z라고 칭한다. 또한 경험에 기반하여 실제 있음직한 대화를 가정하여 기술했으며 특정조직과 전혀 관련없음을 알린다.

(Scene 1)
X: 이 수레바퀴가 잘 돌아가려면 모양을 원으로 변경해야 합니다.
Y: 음, 그래? 지금 하트모양도 그럭저럭 굴러가고 있잖아.
X: 하트모양은 이러이러해서 둥근 원만큼 에너지 효율이 높지 못합니다.
Y: 일단 내가 결정할 수 있는 게 아니니 Z님에게 여쭤봐야 할 듯 하네.
X: 원으로 만들면 기술적으로 A,B,C와 같은 장점이 있습니다. 또한 단점 A',B' 정도가 존재하지만 상쇄할 만 합니다.
Y: 중요한 사항으로 보이니 내일 Z님에게 바로 보고하도록 하자. 금일 퇴근 전까지 한 장으로 요약해서 보내줘.
X: 금일까지요? 네, 알겠습니다.

(Scene 2)
Y: X야 어제 만든 보고서 봤는데 그 안에 내용이 좀 어렵더라, 내가 봐도 어려운데 좀 쉽게 작성해 볼래?
X: 네? 전문용어라 딱히 풀기가 어려워 그렇게 작성했는데, 다시 한 번 작성해 보내드리겠습니다.
Y: 아 그리고 보고서 양식이 이전 것이더라구, 이번에 새로 바뀐 게 있으니 그걸로 해.
X: 네 알겠습니다. 

(Scene 3)
Y: Z님, 수레바퀴 모양을 변경해야 할 필요가 있을 거 같습니다.
Z: 그게 무슨 말이지? 작년에 네모모양이라 하트모양으로 바꾸는 게 나을 거 같다고 해서 바꾼 거잖아.
Y: 네 알고 있습니다만 기술적으로 검토해 본 결과 원으로 다시 개조하는 것이 좀 더 좋을 것 같습니다.
Z: 작년에 프로젝트팀이 따로 만들어져 면밀히 검토해서 나온 결과인데 그럼 그 팀의 위상이 뭐가 되나? 확실한지 다시 검토해 봐.
Y: 네 알겠습니다.

(Scene 4)
Y: X야 Z님께 보고드렸더니 이러쿵저러쿵해서 쉽지 않아 보이네.
X: 네 그런가요? 하지만 하트모양의 수레바퀴를 원으로 바꾸면 비용감소 뿐 아니라 안전성도 증가합니다.
Y: 그래 그건 나도 이해한다만 일단 Z님이 그렇게 생각하니 보고서에 추가자료를 좀 삽입하자꾸나. 뒤에 참고로 넣으면 되겠지?
X: 네 보고자료 재수정하겠습니다.
Y: 그럼 이번 주말까지 보완해서 보내주고 진척상황 공유해 줘.

(Scene 5)
Y: Z님, 한 주간 재검토해서 자료 보완한 보고서입니다.
Z: 음, 그래. 일단 비용은 얼마나 들게 되지? 그리고 작년 프로젝트팀 위상도 생각해서 보고서 좀 바꿔야겠다.
Y: 네 그렇게 하겠습니다. 금액은 @억 정도 소요될 것으로 판단됩니다.
Z: 뭐가 그렇게 비싸나? 원으로 바꾸는 게 별로 어려울 거 같지도 않은데..
Y: 이러하고 저러해서 상당한 비용이 들어가는 것으로 보입니다.
Z: 업체 좀 더 알아보고 보고서에 추진배경, 일정 다시 조정해 봐. 이슈사항도 꼼꼼히 챙기고.
Y: 알겠습니다.

(Scene 6)
Y: X야, Z님 의견은 이러하시다. 보고서 수정을 다시해야겠다. 세부적인 내용은 사실 나도 잘은 모르겠고 Z님이 관심을 보이시니 
   암튼 잘 챙겨줘. 그리고 추진할 수 있는 업체를 알아봐. 내일까지 수정본 메일로 보내놓고.
X: 아 그런가요? M,N 업체에 회의 요청하겠습니다. 수정본은 제가 지금 급한 건이 있어 모레까지 드리겠습니다.
Y: 모레면 Z님이 어디 참석해서 안계셔. 일단 하는 거 다 중지하고 야근을 해서라도 내일까지 하도록 하자.

(Scene 7)
Y: Z님, M,N 업체에서 온 견적이 이 정도입니다. 
Z: 너무 비싸다. 다시 협의해 보도록 하고 임원진에게 당장 보고해야 하니 좀 더 수정해 봐. 내용이 전체적으로 눈에 잘 안 들어오거든.
Y: 네, 일단 두 세번 견적을 다시 맞춘 것이긴 한데 다시 요청하겠습니다.
Z: Y도 알다시피 @원을 넘어가면 경영전략 검토를 또 해야 해, 가능하면 이 금액 이하로 맞춰봐.

(Scene 8)
Y: X야, 요새 고생이 많다. Z님이 금액을 더 낮추라고 하시네.
X: 그거 업체에도 무리해서 많이 낮춘 건데 말이죠. 그리고 사실 그 예산 내에서 하기가 쉽지 않습니다. 이것도 필요하고 저것도 필요하거든요.
Y: 그래, 그래도 어쩌겠니. Z님의 얘기니 나도 어떻게 할 수가 없네. 그리고 임원분께 보고도 할 건가 봐.
X: 아 네 알겠습니다. 다시 한 번 더 연락하겠습니다.
Y: 내가 전에 임원진한테 작성했던 자료가 있으니 한 번 보고 보고서를 새로 써야 할 거 같다.
   그리고 M,N 업체에 RFP(제안요청서, Request For Proposal) 보낼 것도 작성하고 BMT도 한 번 해 보자. 견적서도 잊지 말고.

(Scene 9)
X: Y님 M,N 업체에 RFP 작성한 거 한 번 검토해 주세요.
Y: 아 지금 내가 다른 것 때문에 바빠서 그러는데 일단 나한테 보내.
X: 네 그리고 BMT 관련 자료도 작성해야 하나요?
Y: 당연하지. 작년에 했던 유사한 게 있는데 그거 참고해. 어디어디 가면 있을 거야.
X: 네 또 빨리 드려야 하는 건가요?
Y: 사안 중요한 거 알면서. 참 그리고 T부서 협조가 필요할 테니 먼저 관련내용 협의하고 유선연락 취해 놓구.

(Scene 10)
X: Y님 BMT 자료도 작성했으니 검토 부탁드리겠습니다.
Y: 그래 수고했고 RFP는 요건을 좀 더 상세히 정의해야 할 거 같다. 다른 업체는 없니?
X: 네 M,N이 수레바퀴 쪽에서 시장선두이고 점유율(Market Share) 또한 높습니다.
Y: 견적도 우여곡절 끝에 겨우 맞춰왔습니다. 그런데 이렇게 하면 비용을 너무 낮춰 잘 지원이 안될지도 모르겠습니다.
Z: 그런 건 우리가 걱정할 바가 아니고 일단 보고드리자.

(Scene 11)
Y: Z님 보고자료 좀 더 보완했고 지시하신 대로 가격도 맞췄습니다.
Z: 그래 한 번 보자. 흠, BMT는 좀 일정을 당겨 진행하고 담주까지 결과를 보도록 하자고.
Y: 그게 업체에서 이런저런 사유로 시간이 좀 더 필요할 거 같습니다.
Z: 그건 자네가 알아서 업체와 잘 풀어야지. 임원진 보고 자료는 다 만들어졌나?
Y: 그게 다른 업무가 좀 밀려서.. 내일까지는 바로 보고드리겠습니다.
Z: 아니 그걸 변명이라고 하나, 모레 당장 보고해야 할 사안인데 일을 어떻게 하고 있는거야?

(Scene 12)
Y: X야 급한 거 알면서 오늘까지 왜 다 못했어? Z님 기분이 언짢으신 거 같다.
X: 네 그게 T부서에 요청한 자료가 아직 안 와서요. 다시 연락해 보겠습니다.
Y: 그래 내일까지는 어떻게든 완료하도록 해. RFP 답변 온 거 정리해서 간단히 요약보고 만들고, BMT는 담주까지 끝내라는 지시야.
X: 네? BMT는 수레바퀴 원형틀을 만들기 위해 이런저런하려면 기술적으로 시간이 걸립니다.
Y: 뭐 그야 업체사정이니 알아서 하라그래. 우린 어차피 요청만 할 거니깐. 어떻게든 해올거야.
X: 네에..  그렇게 전달하겠습니다.

(Scene 13)
X: Y님 일주일 내내 야근한 끝에 BMT는 금일 다 끝났습니다.
Y: 그래 수고했네, 어디가 더 낫든? 우선 간단하게 정리해서 보고서 하나 작성하자. 세부내용은 첨부파일로 넣어 보내줘.
X: 양쪽에 장단점이 있는데 M업체 강점은 이러하고 또 N업체는 이러한 장점이 있습니다.
Y: 일단 점수화해서 검토해 보고 최종선정하자고.
X: 알겠습니다.

(Scence 14)
Y: 찾으셨습니까 Z님
Z: 그래, 결과 봤는데 M이 낫겠다. 그런데 하는 김에 수레바퀴 강도를 조금 높이는 걸로 같이 해 보자고. 임원진에서 말이 나와 말야.
Y: 아 그렇습니까. M 업체에 한 번 얘기해 보겠습니다.
Z: 그래 한 번 만나보고 결과를 알려줘.

(Scence 15)
Y: X야 이번 프로젝트 하는 김에 강화재료를 사용하는 방향도 같이 고려해 보자 하시더라.
X: 네 그런가요? 그런데 수레바퀴 재료가 변경되는 원자재 가격 변동이 있을 텐데요.
Y: M과 하기로 했으니 가능한지 건의는 해 봐야지. 그런데 이번에 원으로 바꾸기만 하면 다 좋아지는 거야?
X: 음.. 그게 모양만으로 모든 게 되는 건 아니죠. 새로 만들어진 원모양을 지탱할 수 있는 하부구조와 내구성도 필요하구요, 무엇보다 품질테스트도 중요합니다.
Y: 그래, 일단 나머지는 Z님이 언급하지 않았으니 우선 원자재 쪽으로 집중해서 알아보자꾸나.

(Scence 16)
Y: 안녕하세요 Y라고 합니다. 진행상황이 어떻게 되나 해서 회의요청했습니다.
M: 안녕하십니까 처음 뵙겠습니다. 이러쿵저러쿵 진행 중인데 원래 프로젝트 RFP에 포함되지 않았던 자재 문제 때문에 좀 어려운 점이 있습니다.
Y: 아 네, 저희도 그 점을 이해하지 못하는 건 아니지만 내부적으로 추가비용 산정이 좀 어렵습니다. 좀 잘 마무리해주셨으면 합니다.
M: 네 최선을 다하고 있습니다만 가격적인 부분이라 저희도 쉽지 않습니다. 최대한 해결하도록 노력해 보겠습니다.
Y: 네 그렇게 해 주시면 감사하겠습니다. 중간 진행 상황 보고서 작성해서 금일 오후에 보내주시겠습니까?

위 대화는 수레바퀴를 초점으로 한 전개이나 정보보안을 기준으로 생각해 보면 사실 국내 정보보안의 문제점은 정보보안 고유의 문제로 국한시키기 어렵다는 사실을 알 수 있다. 여러 장면에 볼 수 있듯이 조직의 규모가 클수록 정보보안 자체에 초점을 맞추기 힘들다. 가상 시나리오를 읽은 후 어떤 생각이 들었는가? 동의하는 부분이 있다면 다음 물음에 대답해 보자. 실제 위 조직에서 중요하게 생각하는 것은 무엇인가?

(1) 수레바퀴 (2) 수레바퀴 문서 (3) 수레바퀴  보고문서 (4) 상사가 좋아할 법한 수레바퀴 보고문서

잠깐 딴 길로 빠져보자. 이전에 조직 또는 프로젝트를 수행할 때 너무 자주 들을 수 있는 명사와 동사를 정리해 본 적이 있다. 잘 관찰해 보면 하루에도 아래 단어가 얼마나 많이 사용되는지 알 수 있을 것이다. (동사는 -하다를 뺀 형태다.)

명사: 결과, 과정, 과제, 관리, 구조, 내역, 대책, 문서, 사례, 사업, 신청, 역할, 영향, 요건, 원인, 이력, 일정, 자료, 정책, 책임, 체계(적), 현황, 분석, 이슈(사항) 

동사: 개선, 개정, 검토, 계획, 고도화, 공유, 공지, 교육, 권고, 대응, 도출, 등록, 미팅, 배포, 변경, 보고, 보완, 분석, 상의, 송부, 수립, 심의, 안내, 연수, 요망, 요약, 요청, 이행, 작성, 전파, 점검, 정리, 조사, 주의, 준비, 진단, 참석, 처리, 추진, 취합, 협의, 확인, 회의, 훈련

좋다. 이제 정보보안에 대한 얘기를 해 보자. 몇 가지 간단한 지식과 전반적인 내용을 이해하고 문제점을 짚어보자. 일반적으로 정보보안이 제공해야 하는 (교과서적인) 서비스 내용은 다음 세 가지다.

기밀성(confidentiality), 무결성(integrity), 가용성(availability)

좀 더 나아가면 아래 네 가지 서비스도 포함한다.

인증(authentication), 인가(authorization), 접근통제(access control), 부인봉쇄(Non-repudiation)

"정보보안(information security)"이란 정체는 위 서비스를 제공하겠다는 뜻과 같다고 해도 과언은 아니다. 아래 수많은 보안 장비/솔루션을 정리한 자료가 있지만 실상 위 7대 서비스로 그 존재 가치를 설명할 수 있다. 여기서 기인한 정책이 보안 정책이고 정책에 기반해서 보안 표준/지침/절차/가이드라인을 제공한다. 또한 보안 장비 또는 보안 솔루션은 주요 서비스를 제공하는 도구이며, 관련된 기술적 규약이 보안 프로토콜, 그리고 이를 가능토록 도와주는 보안 컨설팅과 제도(compliance)가 존재한다. 이 모두는 전반적으로 위험관리(risk management)를 위해 존재하며 보통 위험이란 용어를  위협(threat), 취약성(vulnerability), 자산(asset)으로 정의한다. 정량적 분석(quantitative analysis)이니 정성적 분석(qualitative analysis)이니 하는 얘기는 일단 접어두자.

한 가지 더 내면을 들여다 보면 정보보안의 주체는 (필자도 이분법을 좋아하지 않지만 간단히 서술하면) 무언가를 노리는 자와 지키려는 자로 나눌 수 있다. 여기서 "~하는 자"에 주목하자. 그렇다. 사람이다. 보안은 필연적으로 사람이 개입된다. 공격하려는 자(attacker)도 방어하려는 자(defender)도 모두 사람이다. 결국 보안은 사람 문제다. (Security is a people problem.) 그래서 IT 보안 거버넌스(governance)라는 용어도 등장했다. 종합해 보면 어떤 사람이(공격자) 뭔가(asset)를 노리고 약점(weakness 또는 vulnerability)을 교묘히 이용해 건드리는(threat) 형국 이것이 보안의 실체이며 여기서 대상은 주로 정보(information)이므로 정보보안이라고 일컫고, 조직에 해가 될 수 있는 나쁜 일이 일어나지 않도록 위 7가지 서비스를 제공하는 것이 바로 정보보안 서비스다.

보안에서 자주 듣는 격언같은 말을 하나 떠올려 보자.

보안은 가장 취약한 부분만큼 강하다 (Security is as strong as the weakest link) 

무엇이 떠오르는가? 취약한 고리는 바로 인간이다. 보안정책/표준/지침/절차/장비/솔루션/규약이 아무리 잘 되어 있어도 사람이 삐끗하면 사고난다. 자산을 잘 알고 취약성이 뭔지도 잘 알고 위협을 효과적으로 방어하기 위해 노력한다 해도 이를 행하는 자는 사람이기 때문이다. 조금 더 비약해서 얘기하면 사람이 없으면 보안 문제는 발생하지 않는다! 그 이유는 공격자도 방어자도 없기 때문이다. 수많은 기술적인 공격 유형보다는 그래서 사회공학(social engineering)이 더욱 각광받고 있는지 모른다. 좀 더 자세히 알고 싶은 궁금한 분들은 다음 책을 참고해도 좋다.

사회공학과 휴먼해킹 (http://www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788960772939)
Social Engineering: The Art of Human Hacking (http://www.amazon.com/Social-Engineering-The-Human-Hacking/dp/0470639539)

자, 그럼 국내에서 정보보안이 생각처럼 잘 되지 않는 이유는 무엇일까? 우선 보안이 제공해 주는 서비스와 위험관리를 떠나 일반적인 조직은 어떻게 돌아가고 있을까? 과연 정보보안만의 문제일까?


The writing here covers why information security fails so often in Korea. I have spent many years for information security domain and tried to demonstrate obstacles in order to achieve its final aim in Korea.

In general, security services should offer the followings: confidentiality, integrity, availability, authentication, authorization, access control and non-repudiation. It sounds quite simple and clear but definitely true. In other words, it is not exaggerated that it would be successful merely if security provides those services in a proper manner. Based upon these services above, common organization makes a variety of settings such as security policy, standards, procedures and guidelines. Now the services bring out the concept of the risk in order to measure how well people in charge of security carry out. The risk can be determined by three main factors: threat, vulnerability and asset to protect. I am not going to deal with the methodology of risk analysis from quantitative or qualitative aspects. Ironically any of factors consisting of the risk hardly approaches zero. If there is no asset, there is nothing to safeguard. Having certain weakness seems unavoidable because humans represent the beauty of imperfection at all times. Likewise outer elements dominate threats. For these reasons, the best policy needs to mitigate and/or reduce remaining risk, which gives rise to deploy manifold security solutions. Well, I am not a big fan of dichotomy however I should mention two independent sides: attacker and defender in security nature. See anything in common? They are all humans. Security innately involves them all the time no matter what shape they have transformed. In the long run, security is a people problem. Putting it all together, in a word, security means endless interactions between (potential) attackers which attempt to exploit the target using vulnerability and (passive or active) defenders who make an attempt to block unwanted invasions with countermeasures. Come to think of humans, it reminds me of a maxim; security is as strong as the weakest link and the links are normally people. That is why social engineering still works well. Without taking the essence of security into consideration, it is needless to say that costly security solutions become worthless from time to time. Again it is obvious that poor understanding causes poor decisions and inevitably far-reaching consequences. The redundant descriptions highlight the importance of the core of security. Let me draw a glimpse picture of organizations inside regarding with security problems.

Above all, it is essential that confining information security to its own problem cannot be accounted for current failure we have faced. Since information security is also a part of an organization, which supports managements' decision making, chances are slim to accomplish its goal without the buttress.



B. Overview drawing a big picture

조직이 가지고 있는 문화 중 특히 정보보안에 영향을 미치고 있는 문제점은 다음과 같다.
어느 조직이든 문화라는 게 존재하므로 서로 다를 뿐 그 자체에 대한 옳고 그름을 판단할 수 있지는 않다. 여기서는 주관적인 것보다 객관적인 접근을 취해 보면 대체적으로 정보보안을 더디게  하는 요인이란 의미다.

• 상사 또는 임원의 얘기와 관심사가 항상 우선이다.
• 정보보안에 종사하는 이(또는 정보보안 관련부서)의 지식에 의존하여 판단하는 경우가 많은데 지식 부족과 예산 한계 문제로 의사결정자와 소통이 원활하지 않다.
• 문제점을 알고 개선해야 한다고 인식하고 있으나 그냥 둘 수 밖에 없다.
• 대형 조직의 경우 수직상하적이고 관료주의 문화가 배여 있다.
• 기술적인 문제가 생겼을 경우 문제 자체보다는 책임부서와 책임자를 가리기에 급급하다.
• 보고문서를 작성하는 데 과도하게 리소스를 낭비하는 경향이 있다.
• 급한업무 때문에 중요업무가 뒷전인 경우가 잦다.
• 부서 간의 보이지 않는 갈등이나 부서간 지나친 경쟁 등으로 인해 NIMBY, PIMPY 현상이 빈번히 발생한다.
• 전문분야의 경우 대부분 외주위탁(outsourcing)을 통해 해결하며 특히 계약관계에서 갑을 관계로 인해 실제 경쟁력 있는 기술제공과 그에 상응하는 대가를 제공하는 테이블에서 공평하지 않은 계약을 한다.
• 사실상 자산이나 현황 관리 자체가 잘 되고 있지 않다.
• 조직 내 복잡한 정치적 상황이나 이해관계, 논리 등이 얽힌 경우 계약 또는 프로젝트 등이 지연되거나 폐기되기도 한다.

여기서 한 가지 짚고 넘어가자. 본 글의 목적은 의견표출보다는 사실에 입각해서 정보보안의 발전을 염두에 두고 작성했다. 뭐 안 그런 조직이 어디 있나, 다른 업종(field, area)도 마찬가지다, 일개 노동자가 무슨 힘이 있나 등의 반응은 사절이다. 그렇기 때문에 Fail이 나고 있는 사실을 보고 내부를 잘 들여다보면 이런 원인이 상대적으로 크게 작용했음을 알리고 싶은 것이다.

국내 정보보안을 보면 조직내부 보안정책 수립과 표준 등의 관리적 부문은 컨설팅 등을 통해 해결하고 있다. Compliance 또한 KISA에서 주관하는 ISMS, 국제보안인증인 ISO27001, 보안장비 공통규약이라고 볼 수 있는 CC인증(Common Criteria) 등을 도입하여 적용하고 있으나
특정 산업분야에 특화된 HIPPA(의료분야, Health Insurance Portability and Accountability Act), PCI DSS(금융분야, Payment Card Industry Data Security Standard), SOA(회계분야, Sarbanes-Oxley Act) 등은 미흡한 실정이다. 좀 더 상세한 내용을 보고 싶으면 Wikipedia의 다음 링크를 참고하기 바란다.
http://en.wikipedia.org/wiki/Category:Security_compliance


C. How many assets do I possess?

가장 큰 문제는 자산의 파악이다. 사실 자산 현황 파악이 아이러니하게 가장 어렵다. 자산은 위에 언급했듯이 위험관리를 할 때 필수적인 요소이나 무엇을 소유하고 있는지 파악하는 것부터 어려우니 보안에 첫번째 결함이 발생한다. 감가상각을 고려해도 정보 자산은 상당수 폐기, 미사용, 일시 사용중단, 현재 가용 중 등의 히스토리를 개인이 모두 알 수 없다. 그 이유는 조직개편 등 내외부의 끊임없는 인력이동과 장비도입/운영/서비스 부서의 불일치, 복잡한 서비스 구조 등에 기인한다.

큰 조직의 경우 한 번 상기해 보자. 예를 들어 수천 대의 장비가 운영되고 있을 경우 수백 명의 인원이 관리할 수 밖에 없다. 일반적으로 IT장비는 5년~7년 감가상각이 이루어진다고 하면 가령 3,000여대의 장비는 매년 평균 5~600대씩 신규 투자가 되어 교체대상이 될 것이다.
여기서 장비라고 함은 보안에 위협을 가할 수 있는 모든 자산을 의미한다. 이 자산은 궁극적으로 CPU와 Memory, 어느 정도의 Storage를 포함하므로 일반 PC, 노트북, 네트워크/서버/보안장비는 물론 프린터, Setop box, Smart TV까지 모두 해당된다. 하지만 그렇게 딱 잘라 자산을 나눌 수 없다. 자산의 보유형태도 A가 사서 B가 운영하는 형태, A가 사서 A가 운영하지만 물리적 위치만 B가 관리하는 형태(Co-Location이 그렇다), 물리적 위치 뿐 아니라 논리적으로 A,B가 연결되어야 하는 접점이 필요한 경우 등등 매우 복잡한 형태로 구성된다.여기서 금전적인 부분이 맞물리면 Customer의 투자방식에 따라 교체가 될 경우도 있고 안될 경우도 있으며, 이런 복잡한 장비 운영은 결국 운영자의 몫이 된다.

게다가 조직은 생기발랄(?)하다. 늘 움직인다. 연말이면 조직개편이란 이름으로 현업/실무를 고려하지 않고 인원 교체는 물론 진급에 따라 관리영역으로 들어가면 업무를 더 이상 맡지 않을 수도 있고 관리하는 사람이 퇴사를 할 수도 있다. 운영자가 이 복잡한 상황을 Excel File로 깔끔하게 정리할 수 있다고 믿는가? 한 걸음 나아가 자산 시스템이 있다고 해도 최근 업데이트가 즉각 이루어질까? (자동 업데이트는 한계가 있다) 자신이 아는 서비스만이라도 정확히 파악해 보겠다는 의기양양한 후배들이 자산파악에 뛰어들었다 몇 주간 이곳저곳 전화만 하다 좌절하는 경우도 적지 않게 봤다.

위에서 장황하게 설명한 Risk 관리, 이미 자산 파악부터 이렇게 hole이 생긴다. 더 놀라운 일은 어느 누구도 이 전체 자산을 다 알지 못하거니와 알지도 못하는 우스운 광경이 벌어진다는 점이다. 이 글을 보는 이가 보안 담당자라면 자산얘기를 하니 크게 안 와닿을 수도 있겠다. 왜냐하면 자산 관리자는 또 따로 있기 때문이다. 그럼 다음 질문에 대한 답변은 어떤가?

1000명 이상의 조직에서 수십 또는 수백 개의 서비스가 이루어지는 10년째 운영 중인 방화벽의 정책(rule)을 정리해 보라.

어느 누구도 감히 함부로 정책을 수정, 삭제하기 힘들 것이다. 특히 중요한 서비스가 섞여 있는 경우엔 더더욱 그렇다. 정보보안의 어려움은 여기서 출발한다. 자산 파악이 안 되니 취약점과 위협의 범위를 정확히 예상하기 어렵고 그렇기에 때로 정보보안 사고 징후도 포착하지 못하는 경우가 허다하다.


D. No single siver bullet when it comes to Security solutions

다시 원점으로 돌아와서 조직에서 보안을 위해 투자하는 대부분의 예산은 보안 장비 또는 솔루션을 도입하고 운영하는데 사용한다. 국내 보안 종사자라고 하면 연구직을 제외하고는 대부분 보안조직 구성원, 보안 장비/솔루션 제공 및 운영, 관제, 침투 테스팅(penetration testing)을 포함한 광의의 컨설팅, 그리고 인증관련 심사원에 포함된다. 그 중 보안장비/솔루션은 운영과 관제인력을 포함하여 높은 비중을 차지할 수 밖에 없는데 바로 보안 산업을 이끄는 핵심역할을 하기 때문이다.

지금까지 출시된 그리고 사용하고 있는 보안 솔루션을 다음과 같이 정리해 봤다.



기타서비스를 제외해도 40개도 넘는 보안 장비/솔루션 종류가 즐비하고 있음을 알 수 있다. 단순히 종류만 이 정도다, 각 종류별로 국내외 장비/솔루션을 버전별로 나열하면 수천 개에 이른다. 그렇다면 보안 시장에서 판매하는 수많은 장비를 검토하여 도입하고 운영, 관제하는 것이 매우 큰 포션을 차지할 것이라 예상할 수 있다. 대다수 의사결정자는 (심지어 보안 총책임자마저도) 보안 솔루션만 도입하면 상당수 해결될 것이라는 기대를 한다. 하지만 현실을 보면 보안 솔루션은 잘 관리해 주지 않으면 투자대 효용비가 그다지 높지 않다. 최소한 도입에서 운영까지 상당한 비용이 발생하며 기존 사용하는 장비와 호환성 등 보이지 않는 비용(invisible cost) 또한 매우 높은 편이다.

솔루션 기본 기능을 테스트하고 기존 솔루션과 충돌 여부를 파악한 후 현존하는 솔루션 중 BMT를 통해 최선의 장비를 선택했다고 하자. 배포 프로세스와 도입한 보안 솔루션이 해결하지 못하는 영역은 무엇인지 (잔여위험, residual risk) 그리고 누가 운영할 예정이며 기존 프로세스에서 어떻게 자연스럽게 흘러가도록 할지도 판단해야 한다. 하지만 대부분 성급한 도입 결정과 내부 일정 문제로 이렇게 중요한 부분을 해결하지 않은 채 도입하여 운영하게 된다.

그럼 유지보수 및 운영 영역은 무엇일까?

• 실시간으로 뿜어대는 수많은 로그는 어떤 형태로 저장하고 누가 볼지
• 어떤 부분을 문제점으로 정의해서 사고로 보고할지
• 현재 사양으로 처리가 부족하여 증설 또는 교체해야 할 경우 누가 어떤 절차로 진행할지
• 장애가 발생할 경우 대응은 어떻게 할지 (하드웨어/소프트웨어)
• 중요한 정책의 경우 어디서 의사결정해서 반영할지
• 주요 데이터는 무엇이며  백업 및 복구는 어떻게 할지
• 도입으로 인해 새로운 프로세스가 필요할 경우 누가 어떻게 정의할지
• 이를 통해 조직 내 구성원이 해야 할 일 또는 그들에게 알릴 사항은 무엇인지

자, 하나의 보안 솔루션만 도입하여 배포하거나 운영한다 해도 수많은 부분을 세밀하게 손보고 지속적으로 관리해야 함을 알 수 있다. 이는 무엇을 의미할까? 예를 들어 방화벽과 VPN이라는 보안장비를 도입/운영하는 조직에서 이번에 신규로 IPS를 도입하여 운영하기로 했다고 하자. 그냥 단순히 보안장비 하나만이 늘어 있는 것처럼 보이나 실제 보안담당자가 해야 하는 업무는 매우 가중된다는 사실이다.

여기에 함정이 있다. IT가 수많은 일을 자동으로 해주고 있지만 그로 인해 할 일이 줄었는가?
잘 따져보면 절대 그렇지 않다. 오히려 할 일이 늘어나고 더욱 복잡해졌을 뿐이다. 프린터기가 없어 보고서를 손으로 써야 할 경우에는 오히려 잦은 수정이 적었을 것이다. 매번 보고서를 수작업으로 직접 쓴다면 10번을 고친다면 의사결정이 너무 늦어질 테니 말이다. 하지만 전산기기와 소프트웨어의 도움으로 손쉽게 문서를 작성하는 것이 더욱 잦은 업데이트를 유발하고 있음도 사실이다. 데이터 관련 통계를 하나 더 보자. 엑셀이라는 훌륭한 소프트웨어는 수천, 수만 이상의 데이터를 가공하여 엄청난 속도로 거의 실시간으로 통계와 다양한 수식을 통해 원하는 바를 달성하게 해주고 있다. 하지만 할 일이 줄지는 않는다. 이를 이용해 더 자세히 분석하고 더 체계적이고 정교한 의사결정을 하도록 도와줄 뿐이다. 실제 데이터를 분석하여 의미를 부여하는 일은 오히려 늘어난 셈이다.

대다수 관리자는 보안 솔루션이 저와 같이 복잡하고 많은 작업이 필요하고 잔손이 많이 가는 작업임을 잘 알지 못한다. 실제는 담당자만 처리해야 할 수많은 잠재적인 문제를 안게 되어 할 일이 가중될 수 밖에 없는 구조이다. 또한 이런 보안 솔루션은 대부분 통제수단이다 보니 조직 구성원이나 IT관련 부서조차 첫 번째 의심의 눈초리를 돌리는 경우도 많다. 실제 보안 담당자들은 적지 않은 시간을 문제가 발생할 경우 그 문제가 보안 문제가 아님을 밝히는 데 많은 에너지를 소요하곤 한다. 특히 End-point 보안 솔루션처럼 일대일 대응이 필요할 경우 하루종일 문의전화를 응대해야 할 웃지 못할 상황이 발생하기도 한다.

또한 많은 보안 관련 장비/솔루션의 경우 타 장비/솔루션과 다르게 대부분 신규 공격에 대한 방어용으로 새롭게 만들어지고 있다. 그러다 보니 출시일에 임박한 많은 장비업체 또한 예외처리나 QA 등의 테스트를 사실 충분히 하지 못한 상태에서 제품이 출시되고 있는 경우도 있다. 전세계에서 가장 소프트웨어를 잘 만드는 마이크로소프트조차 운영체제 출시 당시 내부적으로 인지하고 있는 버그만 수천 개에 달한다고 하니 그 복잡성은 말로 언급하지 않아도 될 정도다. 어쨌건 이러한  위험은 또 보이지 않는 버그와 장애, 에러, 다운 등으로 이어지게 되어 보안 담당자의 짐이 된다.

(To be continued..)