지난 3월 미국 보스턴에서 개최된 시큐어월드 엑스포(Secureworld Expo)에서 참관객들로부터 가장 많은 관심을 받은 강연은 기업의 정보보안 정책에 관해 날카로운 비판을 제기한  찰스 C. 우드(Charles Cresson Wood)의 기조연설이었다. ‘정보보호 정책의 위험성(The Criticality of Information Security Policies)’이라는 주제의 기조연설을 통해 우드는 “조직들이 정보보안 정책을 정상화하고 리스크를 제거해야만 한다”고 강조하고 “DDoS 공격과 같은 것에 수동으로 대응한다는 것은 터무니없는 일”이라며 정보보호의 패러다임이 변화하고 있음을 역설했다. 이에 본지는 우드의 기조연설과 관련해 전 세계적인 경기 침체의 상황에서 기업들의 정보보호 정책이 효과를 거두기위해서는 무엇이 필요한지 들어봤다. 얼마 전까지 뱅크오브어메리카(Bank of America)의 수석 네트워크 보안 컨설턴트를 역임했으며 현재 프리랜서 보안 컨설턴트로 활하게 활동하고 있는 우드는 1979년부터 정보보안 분야에 종사해온, 그야말로 정보보안의 선구자들 중 하나라 할 수 있다.

정보보호 정책을 강조하며 DDoS 공격에 대한 수동 대응을 비판한 바 있는데 이와 정보보호 정책 구축의 연관성은 무엇인가?

다양한 인터넷 공격에 대한 수동 대응(manual response)은 이제 처절할 만큼 시대에 뒤떨어진 케케묵은 방법이다. 일부 조직들이 비용절감의 측면에서 약간의 효과를 보았을지 모르지만 수동적인 대응 전략은 분명 더 이상 충분하지 않다.

대다수의 현대적인 공격들이 계획되어있기(scripted) 때문에 한 조직이 수동으로 대응할 때쯤이면 이미 손상을 입게 된다. 즉 비상 대책 등의 방어도 함께 계획되어있어야만 한다. 다이내믹하게 권한을 변경하고 스페셜 로그를 작동하며 연결을 추적하고 경고를 알려주는 등의 방어대책을 수립할 필요가 있다.

그러나 어떤 조직이 우선 스스로를 어떻게 방어할 것인지에 대해 명확히 이해해야만 대응책을 계획할 수 있다. 조직이 스스로를 어떻게 보호할 것인지를 명확히 하기 위한 첫 번째 단계가 바로 정보보안 정책을 작성하는 것이다. 관리에 도움을 줄 정책은 다양한 정보보안 이슈와 전략, 접근 방법을 정확하게 어디에 세울지 한정시킨다. 이러한 것에 대한 관리가 명확해져야 기술 담당자들은 스크립트와 다른 자동 대응 메커니즘을 개발하거나 구매하고 구현할 수 있다.

지난 7월 한국과 미국의 정부 및 주요 웹사이트를 노린 대규모 DDoS 공격이 발생했는데 이와 관련해 조언하고 싶은 것이 있다면?

최근의 미국과 한국에 대한 DDoS 공격은 비즈니스 연속성과 관련한 모든 조직의 헌신적인 노력의 중요성을 강조하고 있다. 정책, 절차, 프로젝트 플랜, 직업 역할 등 정보보호 인프라스트럭처의 모든 것이 이러한 비즈니스 연속성 플랜의 개발, 개선, 그리고 테스트를 지원해야만 한다.

효과적인 정보보호 정책 구현을 위해 필수적인 것이 있다면?

조직들은 단순히 다른 조직의 정보보안 정책을 모방한 후 조직의 이름만 바꿔 결과 문서를 발표하고는 한다. 이는 보안 정책의 수립 및 공표 여부 확인만을 우선적인 목표를 두고 있는 일부 감사원들은 만족시킬 수는 있을 것이다. 그러나 장기적인 측면에서 이것은 결코 제 역할을 할 수가 없다. 이것은 결국 보안의 겉치레일 뿐, 실제가 아니기 때문이다. 이보다는 공식적인 위험 관리의 일환으로써 규칙적인 위험 사정을 수행해야 한다.

위험 사정(risk assessment)은 조직이 직면하고 있는 고유의 위험들을 명확히 드러내준다. 이후 이러한 고유의 위험들을 문제의 조직에 효과적인 조건들로 맞춰진 정보보안 정책으로 해결해야만 할 것이다. 나는 지금 조직이 종속된 법률이나 규제 사항에 대한 단순한 반응 이상의 것을 말하고 있는 것이다. 즉, 정보보안에 어떤 일이 벌어지고 있는지에 관해 명백한 그림을 경영진에게 제공해주는 규칙적인(이상적으로는 연간) 프로세스에 관해 말하고 있는 것이다. 위험 사정 리포트에 나타나는 이 명백한 그림을 통해 경영진은 리소스들이 어디로 가야하는지, 어떤 문제에 좀 더 관심을 기울여야 하는지, 어떤 프로젝트가 수립되는지 등에 관해 가장 훌륭한 결정을 내릴 수 있게 될 것이다. 따라서 위험 사정이야말로 최적화된 정보보안 정책 작성에 길잡이가 될 수 있다 할 것이다.

‘획일적인(One size fits all)’ 보안 정책과 ‘파라미터화된(parameterized)’ 보안 정책이라는 표현을 썼는데 이에 대한 설명해 준다면?

“획일적인(one size fits all)” 보안 정책은 더 이상 현명하지 않다는 것으로, 이는 동일한 정책이 모든 조직에 통하는 것은 아니라는 의미다. 조직들은 매우 다른 보안 문제를 갖고 있다. 예를 들어 어떤 군사 기관은 비인가된 정보공개를 가장 우려하는 반면 어떤 상업 은행은 사기 방지와 평판 유지를 가장 염려할 수 있다. 또 어떤 소매업체에게는 좀도둑질과 재고 관리가 가장 큰 관심사일 수 있다. 따라서 보안 정책은 이러한 수많은 차이점을 고려해야만 한다. 각각의 조직이 제공하는 제품 또는 서비스도 다를 것이며 사용자 유형도 다를 것이다. 또한 수집하고 유지하는 정보의 유형도 다를 것이고 정보 시스템 기술의 유형도 다를 것이며 벤더와의 합의 내용 등도 다를 것이다. 이 모든 것과 기타 요소들은 정보보호 정책으로 일관되고 논리적으로 다뤄져야만 한다.

‘파라미터화된(parameterized)’ 보안 정책이란 암호화 키처럼 다이내믹하게 변경되는 정책을 의미한다. 지속적이며 신뢰할 수 있는 보안 레벨을 생성하기 위해서는 특정 수준의 변이성이 있는 정보 시스템을 구축하고 있어야 한다. 이것이 결국 공격자들을 혼란시키고 단념하게 만들 것이다. 일례로 일부 소매 업체들은 종종 의심스러운 신용카드 트랜잭션에 대한 추가적인 인증을 요구하고 있다. 이 추가적인 인증이란 운전 면허증 제출이나 카드 발급 은행으로의 전화가 될 수 있다. 이어 인증 센터의 소프트웨어는 이러한 트랜잭션을 의심스러운 것으로 표시하고 이후 더 많은 인증을 요구하게 된다. 이것이 바로 파라미터를 제공하는 것이다.

정보보호와 관련해 비행기의 ‘블랙박스’와 같은 장치가 필요하다는 흥미로운 주장을 했는데 이에 관해 좀 더 자세히 듣고 싶다.

비행기 조종석에서 발견되는 비행 기록장치와 같은 ‘자동 기록장치’를 의미하기 위해 “블랙박스”라는 표현을 썼다. 비행기 사고시 조사관들은 무슨 일이 벌어졌는지 알아내기 위해 비행기 잔해들에서 블랙박스를 복구한 후 그 안에서 발견된 데이터를 분석한다. 그런데 현대의 정보 시스템에서는 반박의 여지가 없으며 변경 또는 위조될 수 없는 것은 매우 드물다. 예를 들어 내가 마치 미국 대통령이 보낸 것처럼 보이는 이메일을 발송할 수도 있다. 피싱 공격자들은 바로 이 사실을 이용하고 있는 것이다. 이러한 면에서 블랙박스와 같은 장치가 제공할 수 있는 것은 바로 실제로 무슨 일이 벌어졌는지를 보여주는 믿을만한 증거 소스다. 예를 들어 특별히 보안된 로그도 법정에서 수용될 수 있는 증거가 될 수 있다.

네트워크에 어떤 일이 발생하고 발생하지 않았는지에 대한 논쟁을 해결하는데 블랙박스를 이용할 수도 있다. 블랙박스는 공격자가 지울 수 없는 증거를 제공할 수 있다. 이와 관련해 어떤 한쪽을 편들어 줄 이유가 없는 독립적인 제 3자들이 더욱 더 블랙박스를 제공하게 될 것이다.

컴플라이언스와 관련해 오늘날 기업 정보보호의 문제점 또는 과제가 있다면?

미국이 직면하고 있는 근본적인 문제 중 하나는 컴플라이언스에 대한 지나친 강조다. 수많은 업체들이 특정 법규 또는 표준을 준수하고 있음에도 불구하고 고위험의 심각한, 또한 엄청난 비용의 정보보안 침해 사고를 겪고 있다는 것을 알고 있는가?

일례로 17만 5,000여개의 소매업체들의 트랜잭션을 처리하는 신용카드 지불처리업체 하트랜드(Heartland Payment Systems)는 최근 1억건 이상의 신용카드 트랜잭션의 비인가된 공개로 곤란을 겪었다. 이 침해 사고의 결과 미국 내 수백 개의 은행이 신용카드를 재발급해야만 했다. 여기서 눈여겨 봐야할 점은 당시 하트랜드사는 PCI 컴플라이언스를 충분히 준수하고 있음을 인증받은 업체였다는 것이다.

너무 많은 기업의 경영진들이 지나치게 컴플라이언스를 강조하고 있다. 단순히 모든 관련 법률, 규제, 표준 등의 준수로 적절한 정보보호를 달성할 수 없다. 이러한 컴플라이언스가 정의하는 내용을 좇는 경영진들이 많을수록, 즉 이러한 컴플라이언스 준수를 위한 모든 노력은 위험 관리를 적절히 처리하기 위한 시간을 갖는 경영진들이 여전히 매우 적다는 것을 의미한다.

그렇다면 컴플라이언스 또는 규제의 목표는 무엇이 되어야 하는가? 또 어떤 식으로 보완해야 하는가?

정보보호는 업계에 따라 상당히 다르다. 예를 들어 의료 분야에서는 프라이버시가 매우 중요한 문제다. 그러나 소매업에서는 프라이버시가 그리 큰 문제가 아니다. 한편 미 정부를 예로 들자면 미국은 위험이 발생할 때마다 특정한 문제를 처리하며 개별적으로 조정해오고 있다. 그러나 이러한 접근 방식은 효과를 보지 못하고 있어 보다 선행적이고 포괄적이며 통합적인 전략이 절실히 요구되고 있다. 이와 관련해 최근 미(美)연방 정부 내에서 새로운 논의를 통해 이러한 유형의 전략이 나타나기 시작했다. 일례로 연방 정부 전반의 정보보호를 책임질 담당자 임명에 대한 논의도 포함됐다. 이러한 보다 선행적이고 통합적인 접근 방식은 중요한 주제들이 해결되고 있는지 보장해야 한다. 현재 우리는 이러한 접근 방식을 확보하지 못 했지만 ISO 20001 등과 같은 특정 업계 표준에서는 논의되었다.

기업의 정보보호에 가장 심각한 위협이 되는 것은 무엇이라고 생각하는가?

우리가 직면하고 있는 가장 심각한 위협은 바로 정보보호에 대한 경영진의 인식 부족이다. 경영진과 결정권자로서의 그들의 위치는 종종 위험을 실제적으로 이해하지 못하게 하기 때문에 그들은 정보보호에 충분한 관심과 리소스를 쏟지 않는다. 결과적으로 심각한 문제들이 계속해서 발생하고 이러한 문제들은 현재 취해놓은 대응책들의 결함을 계속해서 강조하게 된다. 정책은 인식의 수준을 높이는 가장 중요한 방법 중 하나다. 정보보호 정책은 모든 직원들이 참여해야하는 인식 프로그램의 요건 사항을 정의할 뿐만 아니라 경영진이 선택한 위험 수준을 명백히 설명한다. 특히 이러한 명백함은 경영진이 처음부터 어느 정도의 위험을 수용하는 것에 대한 찬반양론을 이해하기 위해 시간을 가졌을 경우에만 필연적으로 확보할 수 있다.

그렇다면 기업 보안 정책과 관련해 경영진들은 어떠한 역할을 해야 하는가?

언스트앤영(Ernst & Young)의 연구 결과에 따르면 정책의 명료화와 기타 정보보호 컴플라이언스에 대한 투자는 100%에서 1,000%의 ROI(return on investment)를 가져오는 것으로 나타났다. 낭비할만한 자금의 여유가 없는 요즘, 기업의 정보보호 정책 구축은 정보보호 비용 감소 등 많은 이익을 가져온다.

그러나 최고 경영진은 너무 바쁘기 때문에 정보보안 정책을 작성하기 어렵다. 경영진의 역할은 적합하게 훈련되고 자격을 갖춘 사람들이 이러한 문제를 처리하고 있는지 확인하는 것이다. 이어 이들의 작업에 대한 지원 또한 최고 경영진들의 몫이다. 정보 자산을 포함한 자산을 보호하는 책임은 궁극적으로 최고 경영진의 몫이다. 그러나 수많은 기업들이 아직까지 정보보호와 관련해 최고 경영진이 무엇을 해야 하는지 파악하지 못하고 있다.

안전한 정책(Sound policy)과 관련해 기본(basic)이 잘 지켜지지 않고 있다고 했는데 그렇다면 기본이란 무엇인가?

좋은 시스템 설계의 가장 기본적인 측면들 중 하나는 요건 사항을 분명히 하는 것이다. 정보보호 정책과 관련해 오늘날 많은 업체들은 여전히 그들이 무엇을 하고 있어야만 하는지에 대해 뚜렷하게 알지 못하고 있다. 또한 무엇을 하고 있어야만 하는지 모르는 것과 마찬가지로 자신의 조직을 적절히 보호하지 못하는 시스템을 만든다. 이 외에도 감사와 컴플라이언스 체크 등과 같은 기본들도 잘 지켜지지 않고 있다. 또한 경영진이 강요하지 않는, 또는 관심을 기울이지 않는 정책은 오히려 역효과를 가져온다.

정보보호 정책이 실제 조직에 적용되는데 있어 가장 큰 어려움이 무엇이라고 생각하는가?

개인적인 생각도 그렇지만 여러 조사의 결과들에 따르면 필요한 것을 하기 위해 충분한 투자를 하는 것이 가장 어려운 점으로 드러났다. 특히 현재의 경제적 어려움이 이 분야를 더욱 악화시키고 있다. 경기 침체 상황이라고 해서 인터넷상의 맬웨어 프로그램이 감소한다거나 인터넷 기반 신용카드 사기에 관련된 범죄 조직의 활동 등이 감소하는 것은 아니기 때문이다.

정보보호 정책이 기업적인 측면에서뿐만 아니라 정치적인 문제에서도 핵심이 되고 있다고 했는데?

뉴스를 접하다보면 이것이 현재 사실로 나타나고 있음을 확인할 수 있을 것이다. 수많은 예가 있지만 두 가지 예만 들어보겠다. 최근의 예로 미 공군에서 개발 중이었던 매우 정교한 제트기의 설계와 관련된 컴퓨터를 중국이 해킹한 것으로 알려졌다. 이것은 현재 외교 문제이며 정치적인 논의 대상이다. 마찬가지로 몇 년 전의 엔론(Enron)/아서 엔더슨(Arthur-Andersen) 사태는 사람들이 정보보호 정책(이 경우 법적 보존 정책)의 구현에 혼란스러워하면 얼마나 심각한 결과가 나타날 수 있는지를 보여줬다. 이 혼란은 결국 전 세계에서 가장 크고 가장 유명한 회계 업체 중 하나(아서 앤더슨)의 붕괴와 소멸로 이어지고 말았다.

한국 기업 내에는 아직 기업의 정보보호 정책에 대해 다소의 저항감이 있는 편이다. 이에 관해 조언해준다면?

무언가를 얻으려면 다른 것을 포기해야만 한다. 만일 당신이 세계 최대 금융 업체들 중 하나의 증권거래인이 되고 싶다면, 그것을 직업으로 삼고 싶다면 당신은 마지못해서라도 어느 정도의 감시를 수용하게 될 것이다. 이러한 감시는 온당한 것이다. 특권과 권한에는 대가가 있기 마련이며 감시와 어느 정도의 프라이버시 침해가 바로 그러한 대가인 것이다.

보안과 프라이버시는 때로는 상충되기도 하고 때로는 조화를 이루기도 한다. 이러한 점을 비롯해 여러 가지 충돌을 해결하고 적절한 균형을 잡아 특정한 조직의 요구(need)를 고유의 방법으로 반영하는 것이 바로 CISO(chief information security officer : 정보보안 담당이사)의 역할이다. 이 역시 앞서 언급한 획일적인(one-size-fits-all) 접근이 좋은 생각이 아니라는 또 다른 예라 할 수 있다.

<글 : 김동빈 기자(foreign@boannews.com)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>