네트워크를 기획하고 구성하는 일은 대단히 복잡하고 힘든 것이라 어마어마한 전문성이 요구된다. 하지만 전문가들이라도 간혹 빼먹는 것이 있는데, 바로 책임과 역할을 세부적으로 나누고 담당자를 지정하는 것이다. 이 단계를 그냥 넘어가면 나중에 혹독한 대가를 치른다.

[보안뉴스 문정후 기자] 사이버 공격이 매일처럼 벌어지는 날들이 수년 동안 누적되면서 우리는 이런 질문을 하는 데에 익숙해졌다. “생산성을 저해하지 않으면서도 안전한 네트워크를 설계하고 만드는 책임은 누구에게 있는가? 그런 환경은 누가 책임지고 만들어야 하는가?”


이 ‘책임 소재’는 사이버 보안에 있어서 항상 애매한 것이었다. IT 인프라 구성과 보호에 있어 수많은 역할들이 존재하고, 이것들이 칼로 선 긋듯 명확하게 구분되는 게 아니라 이리 저리 겹치니 그럴 수밖에 없었다. 그리고 그 결과는 참혹했다. 이는 단순히 기업들만의 이야기가 아니라 강력한 정부 기관들에도 똑같이 적용되는 이야기다. 

문제는 질문이 애초에 너무 광범위하다는 것이다. ‘책임은 누구에게 있는가?’라는 질문 앞에 다음과 같은 것들이 붙어야 한다.

1) 네트워크 필수 사항 정의는 누구의 책임인가?
2) 필수 요건들을 마련할 재원은 누가 충당해야 하는가? 기술적 지원은 누가 책임져야 하는가?
3) 전략과 표준은 누가 만들어야 하는가? 그것이 제대로 지켜지는지 누가 책임지고 확인해야 하는가?
4) 최초 시스템 설계는 누구의 책임인가? 설계된 내용을 구축하고 도입하는 건 누구의 책임인가? 구축하고 도입한 것을 유지 관리 보수하는 건 누구의 책임인가?
5) 시스템 아키텍처와 인프라의 구성(유선과 무선 케이블의 배선까지)은 누구의 책임인가?
6) 인프라 내 모든 영역과 층위들의 안정적인 운영 상태를 유지하기 위해 인력을 모자람 없이 지켜내거나 수급해야 하는데, 이는 누구의 책임인가?
7) 기업이 꼭 해야 하는 활동들과 네트워크의 기능들을 맞추는 것은 누구의 책임인가?
8) 새로운 애플리케이션과 도구들을 통합하고, 트러블슈팅을 하는 것은 누구의 책임인가?
9) 새로운 네트워크의 보안은 누구의 책임인가? 

필자는 미국 국방부와 공군 네트워크의 기획, 구성, 보안을 25년 동안 담당해 왔는데, 개인적으로 위의 질문들을 꾸준히 추적하고 논의해 갈 때 결국 다음 질문에 봉착하는 것을 여러 번 경험해 왔다. “누구의 책임인지 아는 사람은 누구인가?”

미국 국방부의 네트워크를 구성할 때 이런 질문들을 세세히 묻지 않았고, 그래서 책임 소재를 분명히 하지 않은 채 넘어간 적이 있었다. 사소한 것 같았다. 하지만 그 때문에 일부 기능들이 제대로 작동하지 않았고, 보안에 구멍이 발견되기 시작했으며, 유지 보수에도 문제가 불거져나왔다. 하나하나 예를 들기에는 지면이 모자랄 것이다. 하지만 어떤 때는 기능이 제대로 구현되지 않아서, 어떤 때는 구멍을 막아줄 사람이 없어서, 어떤 때는 필요한 예산을 특정 기능에 특별히 할당하지 못하여 이런 저런 문제들이 끊임없이 나왔다.

필자가 공군에 있을 때도 마찬가지였다. 보안 점검을 제대로 거치지 않은 새로운 시스템이나 애플리케이션이 아무렇지도 않게 공군 네트워크에 연결되는 것을 수도 없이 목격했다. 공군은 거대한 조직이고, 따라서 수많은 하위 조직들이 자신들만의 네트워크 영역을 가지고 있었다. 그렇기 때문에 충돌이 일어나고, 버전 차이가 생기는 등 관리자 입장에서는 최악의 상태로 유지되곤 했었다. 관리자도 제각각이었고, 권한도 제각각이었다. 그러니 사건이 발생할 때 대응을 할 수 있을 리가 없었다. 

이런 상황 가운데 공군 네트워크에서 일어나는 크고 작은 모든 일들은 늘 하나의 결과만 도출했다. 바로 ‘스스로 자초한 일’이었다. 필자는 새로운 시스템과 애플리케이션이 매일 전체 네트워크에 연결됐다 사라지는 그 현상만 가지고 얘기하는 것이다. 그 외에도 여러 가지 문제의 요인들이 네트워크 안에 항상 도사리고 있었고, 그러니 공군의 네트워크가 얼마나 엉망진창이었는지는 여러분들의 상상에 맡기겠다. 뭘 상상하든 그 이상이었다.

네트워크의 사용자들만이 사고의 원인이 되는 건 아니다. 네트워크 관리자나 유지 보수 책임자 역시 고장에 크게 기여를 하는 경우들이 있다. 사실 네트워크 관리자나 운영자들만큼 새로운 소프트웨어를 네트워크 내에 아무렇지 않게 설치하는 부류도 드물다. 특정 소프트웨어의 기능 몇 개를 써보고는 또 어디선가 다른 소프트웨어를 구해와서 몇 가지 실험을 해보는 등의 활동을 이들은 정말 많이 한다. 그럴 때 허가 절차를 밟지 않는 경우들이 있고, 사용하지 않는 소프트웨어를 그냥 방치해 두는 경우도 많다. 이 역시 이들에게 너무 광범위한 책임을 맡겼기 때문에 생기는 일이라고도 볼 수 있다.

네트워크는 수많은 사람들이 사용하는 공동의 공간이다. 그런 만큼 모두가 자기의 몫을 책임감 있게 담당해야 하는 게 이상적인 일이다. 하지만 사람의 일이란 게 생각만큼 이상적으로 이뤄지지 않는다. 책임져야 할 항목들을 분명히 정하고, 그걸 누군가에게 배분해 주어야 한다. 그리고 누가 어떤 역할을 담당한다는 걸 명시해 모두가 알고 있어야 한다. 책임을 정하지 않고 ‘모두가 책임감을 가지고 잘 해 주세요┖라고만 한다면 그 때부터 그 네트워크에서는 지옥의 문이 열린다.

오랜 시스템 담당자나 커뮤니티 운영자들에게는 한 가지 암묵적인 규칙이 있다. 인간의 선의에 의존한 구조는 반드시 망가진다는 것이다. 그러므로 세세하게 명시된 규칙이 있어야 하고, 그 규칙을 어길 시 어떤 일이 일어나는지 패널티도 분명하게 정해야 한다. 그리고 각자에게 세분화된 책임을 줘서 자기가 무슨 일을 언제 해야 하는지도 이해시켜야 한다. 선의란 건 저절로 발현되지 않는다. 네트워크 공간에서 이는 더 명백해지는 사실이다.

글 : 마크 패클러(Marc Packler), 회장, Silent Quadrant
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>