우선 순위에 따라 맞춤 보안 전략 실행해야

관리적 보안 인프라 구축을 통한 보안 자산의 효율적 활용 필요

 

▲ 소프트런 김상관 금융사업팀장 ⓒ 소프트런

IT환경이 아무리 급속도로 변화를 거듭하고 있다고 해도 그 기술은 결국 과거와 현재, 그리고 미래의 사회와 경제 등의 상황을 바탕으로 한 목적성을 띠고 있다. 기업 운영의 각 분야에서 합리적이고 적절한 전략 수립이 중요한 이유는 현 상황을 제대로 분석하고 이를 바탕으로 미래를 전망함으로써 목적 달성을 위한 가장 합리적인 방향과 방법을 제시하기 위한 것이기 때문이다. 전 세계적인 경기 침체로 인해 불황이 장기화될 것으로 예측됨에 따라 기업에서도 이에 대응하기 위한 전략을 수립하는데 고심하고 있다.

 

그렇다면 현 시점의 상황을 고려한 IT보안 전략에는 어떠한 것이 있을까. 일각에서는 경기 침체가 오히려 보안 위협을 가중시킬 것으로 전망하면서 기업이나 공공기관에서는 IT보안의 투자를 확대할 것으로 관측하고 있다. 그러나 각종 경제 지수가 더욱 극심한 불황을 예고하고 있는 이때, IT보안 전략은 보다 합리적이고 명확한 기준을 바탕으로 수립되어야 할 것이다.

IT보안, 무엇이 가장 우선인가?

최근에 보안 패치가 발표되지 않은 상황에서 MS 운영체제의 취약점이 공개돼 한국을 비롯한 전 세계가 발칵 뒤집힌 사건이 발생했다. 다른 나라에 비해 MS운영체제의 사용률이 월등히 높은 우리나라의 경우 더욱 큰 피해가 예상되고 있다. 언론이나 업계에서는 이에 대한 임시방편으로 엑티브 스크립팅 설정 변경 등의 방법을 제시하고 있지만 분명 대부분의 PC이용자들은 불편함을 감수하고서라도 보안을 유지하는 방법보다는 당장의 업무 효율을 위해 설정 변경을 포기할 것이다. 한 자리 수에 못 미치는 소수의 PC외에 대부분이 사실상 대규모 보안 사고에 노출되어 있다고 해도 과언이 아니다. 이처럼 보안에 있어서 윈도우 운영체제의 취약점이란 자칫하다가 큰 재앙을 불러올 수도 있을 만큼 중요하고도 치명적인 부분이다.

 

우리는 매달 발표되는 윈도우 보안 업데이트가 너무나 익숙해서, 또는 별도의 비용을 지불하지 않고도 언제든 설치할 수 있는 것이라는 이유로 보안 패치의 설치를 미루거나 심지어 무시하는 경우를 주위에서 쉽게 볼 수 있다. 특히 바쁜 업무에 시달리는 직장인들에게 설치 과정에서 컴퓨터의 속도를 느리게 만들거나 때로는 재부팅의 불편함까지 감수해야 하는 패치를 발표 즉시 적용하고자 하는 의지가 얼마나 있을까. 그러나 유감스럽게도 기업의 내부 인프라 및 외부서비스를 위한 서버를 운용하는데 있어서 보안사고 및 문제점 발생이 사소하게 여겼던 보안패치의 즉각적인 적용이 이뤄지지 않아서인 경우가 대부분이다. 보안 패치 한 두 개 설치하지 않았다고 설마 무슨 일이 생기기야 하겠는가 하는 인식이 일반적이지만 안타깝게도 패치 발표나 적용이 하루, 이틀 늦어지는 것만으로도 공격자들은 순식간에 악성코드를 통해 목표로 하고 있는 기업의 네트워크 시스템에 파고들 수 있다.

뿐만 아니다. 제로 데이 공격이라는 말이 등장할 정도로 서버 및 서비스의 취약점을 대상으로 한 공격의 주기가 짧아지고 있다. 이제는 패치 적용이 되고 안 되고의 문제가 아니다. 조금이라도 빨리 패치를 모든 클라이언트 PC에 설치해 보안 사고를 예방하는데 적극적으로 나서지 않는다면 대 다수의 많은 서버 및 서비스가 그만큼의 공격 대상으로 노출되기 쉬워진다. 경기가 어려워서 IT보안에 대한 과감한 투자가 여의치 않는 상황일수록 가장 기본적이면서도 핵심적인 보안에 집중해야 피해를 최소화 할 수 있다. 실제로 당사에서 패치관리시스템 의 도입검토를 위한 고객사BMT를 진행했을 때 전체 패치 설치율이 50~60%에 불과한 것을 확인할 수 있었다. 패치 설치율을 극적으로 개선할 수 있는 자동화 시스템의 중요성을 가슴에 새겨야 할 때이다. 

투자 대비 가장 큰 효과, 효율성 

IT자산의 효율적인 운영과 비용 절감을 위한 관리의 포인트는 크게 두 가지로 나눌 수 있다. 첫 번째는 IT자산의 효율적인 배분 및 기업 내 IT관련 계획 수립을 위한 소프트웨어, 하드웨어 등의 현황 파악이며 두 번째는 IT자원 활용도를 향상시키기 위한 설치율의 극대화이다. 하지만 많은 기업의 IT인프라 담당자들이 이에 대한 체계적인 관리의 어려움을 호소하고 있다.

 

아직도 많은 기업에서는 사내 PC의 현황뿐만 아니라 기존에 도입한 소프트웨어, 하드웨어의 현황을 파악하지 못하고 있다. 이러한 수치가 제대로 확인되지 않은 상태에서 새로운 장비나 솔루션을 구입하는 것은 비합리성을 초래하기 마련이다. 투자 대비 가장 큰 효과를 거두기 위해서는 체계적인 관리와 정확한 현황 파악의 과정이 수반되어야 한다. 이 기능은 향후 추가 도입 계획을 체계적으로 수립하기 위해서도 반드시 필요하다.

한편 2008년도에 발생한 일련의 대형 사고를 통해 IT보안이 이제는 기업의 명운을 좌우할 정도로 핵심적인 사안이라는 것을 인식한 대기업을 중심으로 각종 보안 솔루션의 도입이 활발하게 이루어졌다. 또한 업무 능률 향상을 위해 각 기업에서는 필요에 따라 응용 소프트웨어를 구입해 전사PC에 적용해왔다. 높은 비용을 지불해 백신 등의 보안 솔루션이나 응용 소프트웨어를 구입했지만 대규모 엔드 유저에게 이를 100% 적용시키고 또한 때에 맞춰 업데이트를 진행하도록 하는 것은 생각처럼 쉬운 일이 아니다. 설치나 업데이트가 철저하게 이루어지지 않으면 아무리 좋은 백신이라도 신형 바이러스를 제대로 잡아내지 못할 것이며 업데이트 미비로 인한 응용 프로그램 취약점의 위험은 오히려 대형 침해사고의 원인이 되어 예상하지 못한 피해를 초래할 수 있다. 따라서 보안 소프트웨어 및 응용 소프트웨어의 설치율을 높여 효율성을 제고하는 방안을 모색할 필요가 있다. 

기업 보안에서 일원화된 관리 시스템이 요구되는 이유

이처럼 많은 기업 관리자들이 공통적으로 가지고 있는 문제 중 하나가 바로 현황 파악과 관리의 부분이다. 중앙관리 시스템이 구축되지 않은 상황에서는 관리자가 신뢰할만한 데이터나 프로세스가 정립되어 있지 않기 때문에 자원의 불필요한 낭비가 불가피해진다. 그러나 기업에서 패치관리 솔루션에 입각한 보안 정책을 수행하게 되면 하나의 중앙 관리, 설치 배포의 툴을 갖게 된다고 볼 수 있다. 모든 것이 하나의 시스템으로 관리되면서 여러 단계의 프로세스가 하나로 연동되며, 모든 정보들에 대한 지속적인 접근이 용이해진다. 그에 따라 기업의 해당 업무에 따른 자원 낭비를 대폭 줄일 수 있으며 보다 쉽게 목표를 달성할 수 있다. 운영체제의 취약점을 보완하는 전문 솔루션이자 일원화된 관리 시스템으로 기업, 금융기관, 공공기관 등에서 각광받고 있는 패치관리시스템이 이제는 더 나아가 기업의 경영성과를 높이기 위해 필수적으로 갖춰야 할 기본적인 인프라로 자리잡아가고 있다. 불황일수록 효율적인 IT자산 운용에 있어서 자원의 효율적인 배분과 활용이라는 가치를 중요시해야 한다.

[글 소프트런 김상관 금융사업팀장 prada@softrun.com]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>