극장형 보안이 판을 치고 있다. 다들 겉으로 드러나는 보안 강화에만 집중하지 내실을 다지는 일에는 소홀하다. 아니, 어떻게 하는지를 모르고 있다. 이 극장, 더 유지해봐야 소용이 없다.

[보안뉴스=제이슨 렙홀즈 CISO, Corvus Insurance] 우리는 매일처럼 유명 회사들에서 정보 침해 사고가 일어나는 걸 목격하며 살아가고 있다. 덜 유명한 회사나 조직들에서 일어나는 사이버 사건의 소식들이 침묵 속에 사라진다는 것까지 생각하면 우리가 살아가는 지금의 시대가 얼마나 공격과 위협으로 난무하는지 어느 정도 상상할 수 있다. 그러니 이런 질문이 떠오를 수밖에 없다. ‘보안 도입과 강화 절차라는 게 정말 진지하게 진행되고 있기는 한 건가? 혹시 우리는 보여주기식 보안만 하고 있는 건 아닐까?’


보여주기식 보안의 굴레
‘보여주기식 보안’은 ‘극장형 보안’이라고 부르기도 한다. 겉으로 드러나는 보안 정책과 보안 강화 방법들에 집중하여 ‘보안 수칙을 잘 지키는 안전한 조직’이라는 이미지를 심는 행위를 말한다. 의도를 가지고 눈속임을 하는 경우도 있지만 대부분은 내실 없는 보안 강화 항목들에 집중하여 적지 않은 자원을 투자한 뒤 ‘이 정도면 우리 회사 보안은 튼튼해’라고 스스로 속는 경우가 훨씬 많다. 극장형 보안이라는 것은 스스로에게 가장 큰 함정이 된다고 볼 수 있다.

예를 들어 A라는 회사 내규에 비밀번호를 3개월에 한 번씩 바꿔야 한다는 항목이 있다고 하자. 이런 내규가 있다는 사실만으로 A 회사의 임원진들과 직원들은 ‘우리 회사는 보안이 강력한 회사’라고 여길 수 있다. 하지만 실상 비밀번호가 진짜로 3개월에 바뀌는지 확인하는 담당자도 따로 없고, 기술적으로 그러한 조치를 강제하지도 않는 상황이라면 어떨까? 내규는 글자로만 존재하고 현장에서 실제 이걸 잘 지키는 임직원은 없다시피 할 것이다. 그렇다면 강력한 보안 내규가 있음에도 불구하고 이 회사는 약한 회사로 남게 된다. 그러나 임직원들은 속고 있기 때문에 그 사실을 알아채지 못한다.

필자가 지난 수년 동안 여러 회사들과 상담을 한 결과 알게 된 사실이 하나 있다면 ‘극장형 보안’이 만연하다는 것이다. 극장형 보안을 채택하게 되는 데에는 여러 가지 이유가 있고, 사연은 회사마다 복잡하다. 단순히 보안에 대한 경험이 부족해도 이런 일이 일어난다. 일손이 부족해서 할 수 있는 것부터 처리하다가 그렇게 될 수도 있다. 서드파티 보안 벤더가 일을 잘 못해서 그럴 수도 있고, 보안 담당자가 게을러서 그럴 수도 있다. 이 모든 이유들이 복합적으로 존재하기도 한다.

극장형 보안이 해악인 이유
보안은 단 한 알로 만병을 치유하는 마법 같은 솔루션이나 전략이 아니다. 무슨 말인가? 그 어떤 규정이나 표준으로도 모든 상황을 아우를 수 없다는 뜻이다. 기본 바탕이 될 수는 있겠지만, 딱 그 정도이지 보안 사고와 리스크 야기의 모든 경우의 수를 한두 가지 규정과 표준으로 짚어내고 방어할 수 없다. 그 어떤 프로그램도, 그 어떤 플랫폼도, 그 어떤 천재적 CISO도 마찬가지다. 다만 규정과 표준을 잘 따른다는 건 확인이 쉽고 따라서 가시적으로 잘 드러난다. 그렇기 때문에 보안을 강화하려는 수많은 조직들이 ‘규정 준수가 곧 보안 강화’라는 함정에 빠지게 되고, 그것이 극장형 보안으로 이어진다.

그랬을 때 조직이 겪는 피해들에는 다음과 같은 것들이 있다.
1) 실질적인 보안 효과가 없는 곳에 돈을 쓰게 된다. 그러므로 각종 자원이 낭비된다.
2) 보안에 대한 오해가 생긴다. 특히 ‘우리 조직은 안전하다’는 생각이 심겨지게 되는데, 이는 대단히 위험하다. 반드시 해야 할 것들을 무시하거나 못하게 되며, 따라서 지킬 것을 지킬 수 없게 된다.
3) 공격의 가능성이 도리어 높아진다. ‘극장형 보안’에 만족하는 조직은 아주 기초적인 보안 수칙 사항들만 잘 지킨 것이므로, 사실상 공격자들에게는 난이도가 낮은 표적이 된다.

공연의 막을 내려야 할 때
다행히도 이런 ‘극장형 보안’은 얼마든지 종식시킬 수 있다. 무엇에 집중해야 하는가를 정확히 파악하고 이를 적극적으로 해결해가면 된다. 이를 좀 더 세분화 해서 설명하자면 다음과 같다.

1) 처음 진행해야 할 건 모든 자산들을 목록으로 만드는 것이다. 장비, 솔루션, 앱, 여러 단계의 망, 서드파티 요소들, 각종 데이터를 전부 찾아내 파악해야 한다. 그렇게 하는 이유는 보호해야 할 환경을 최대한 정확히 이해하기 위해서다.

2) 그 다음으로는 환경 내 존재하는 모든 것들에 대한 이해도를 바탕으로 리스크 평가를 진행해야 한다. 구체적인 리스크를 파악해야 이 작업이 의미를 갖는다. 이런 저런 자산을 가지고 있고, 이런 저런 사업을 하고 있는 조직이 어떤 위험을 맞닥트릴 수 있는지, 정확하게 진단해야 한다.

3) 그런 후에는 파악된 리스크를 기준으로 현재 조직 내에 도입되어 있는 각종 보안 장치와 제도들을 다시 검토하는 작업이 필요하다. 즉 지금의 보안 상태 어디에 어떤 구멍이 어떤 크기로 나 있는지를 알아내야 한다는 것이다. 그래야 그 구멍을 메우고 조직 전체가 실질적으로 단단해질 수 있다.

4) 각종 사이버 공격들을 예방하기 위한 전략을 수립해야 한다. 최근 공격자들이 어떤 식으로 조직 내에 침투하는지를 파악하고, 거기서부터 방비를 세워나가는 것이 효율적이다. 대표적인 건 아이덴티티 및 접근 관리 시스템(IAM)과 회사 내 각종 엔드포인트들이다. 제로트러스트라는 원칙 아래 이 요소들을 보호하고 모니터링도 쉴새 없이 하는 게 중요하다.

5) 복구 능력을 키우는 게 관건이다. 아무리 예방을 위한 조치들을 빈틈없이 취한다고 해도 한 번쯤은 뚫리고 결국 공격을 허용하게 된다. 이는 세상 모든 조직들에 일어날 수 있는 일이다. 그러므로 만일의 사태에 대비한 ‘빠른 복구’ 계획을 수립하는 게 중요하다. 여기에는 왕도가 없고, 조직의 특성과 상황에 맞춰 가장 빠르게 복구할 수 있을 만한 아키텍처를 고안해 구축해야 한다. 데이터 백업과 망 분리 실시 정도는 대부분 복구 계획에 꼭 필요한 요소가 될 수 있다.

6) 극장형 보안의 가장 큰 특징 중 하나는 조직 모두가 알게 모르게 관여되어 있다는 것이다. 보안 담당자들만의 책임이 아니다. 극장형 보안은 꼭 필요한 최소한의 것만 지키는 것이므로 당사자들 입장에서는 편할 수밖에 없고, 그러니 문제를 제기하는 사람이 없으며, 따라서 간접적으로라도 모두가 공범이 된다. 그래서 극장형 보안을 제거하려면 모두가 관여되어야 한다. 즉 전 임직원을 대상으로 한 보안 교육이 반드시 수행되어야 한다는 것이다.

보안은 공연되는 성질의 것이 아니다. 그런데 수많은 사람들이 자기도 모르게 공연을 추구하기 시작했고, 그런 상태로 너무나 많은 시간이 흘렀다. 그래서 공격자들은 보안 솔루션들이 얼마나 강력해지는지 아랑곳 하지 않고 공격을 실시하고 성공시킨다. 취약점이 나오고 패치가 등장해도 공격자들은 코웃음 친다. 결국 보안이 실질적인 단계에까지 이르지 못했다는 걸 간과한 것이다.

공연을 끝낼 때다.

글 : 제이슨 렙홀즈(Jason Rebholz), CISO, Corvus Insurance
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>