컴퓨터는 인류에게 획기적인 편리함과 안락함을 가져다 주었다. 기업의 사무실과 비즈니스 현장에서 다양한 용도로 사용되고 있는 컴퓨터가 사라진다면 상당한 불편함이 도래할 것이며 데이터베이스(DB)에 쌓여 있는 다량의 데이터(Data)를 확인하는데 있어서도 어려움이 발생한다. 우리의 삶에 필수품이 된 컴퓨터는 이제 컴퓨터를 사용함과 동시에 지속적인 존재가치를 생산해야 하는 사용자, 사용자의 업무 효율을 높여주는 프로그램, 그 프로그램을 통해 생산되는 수많은 데이터(Data)와의 연속성을 보장하고 내부로부터 생산된 정보를 외부의 위협으로부터 안전하게 지키기 위해 관리자와 사용자 모두에게 주의를 요하고 있다.

인류의 역사는 이제 컴퓨터 없이는 설명하기 어렵다. 인류가 탄생한 시점부터 컴퓨터가 생성되기 전까지를 천천히 흘러가는 조그마한 물줄기에 비유한다면 컴퓨터의 등장 이후부터 지금까지 전 세계 인류는 급속도로 변화의 물결을 탔다고 해도 과언이 아니다. 과거에는 각각의 데이터(Data)를 개인 플로피디스크(Floppy Disk)등을 통해 저장하고 이동시켰으나 90년대로 오면서 세상은 웹(Web)과 인터넷(Internet)이라는 인류 역사상 가장 혁신적인 도구와 함께 ‘네트워킹 시대’에 본격적으로 접어들게 되었다.

세상이 편리해진 만큼 기업의 보안 또한 쉽게 해킹되고 있으며 각종 정보가 외부로 쉽게 유출되는 등 정보유출사례가 빈번하게 발생되고 있다. 이에 따라 기업마다 ‘정보보안’에 대한 수요가 점차 확대되고 있으며 ‘정보유출’에 대한 관심 또한 높아지고 있다.

기업에서는 ‘해킹’ 및 ‘정보유출’로부터 기업의 중요한 데이터(data)를 보호하기 위해 Anti-Virus, PMS, DB보안, ESM, IDS, IPS, Anti-DDoS 등의 많은 제품을 도입하여 운용하고 있다. 이와 상반되게 고비용의 솔루션을 도입하기 어려운 기업이나 업체의 경우에는 관리자 없이 1~2개의 솔루션에 의존하는 경우도 볼 수 있다.

전자의 경우에는 관리 대상이 관리자수에 비해 상대적으로 많다 보니 전문 관리자가 있다고 하더라도 이들 모두를 통제하는 것이 쉽지 않다. 또 소수의 관리자가 사용자 개개인의 취향에 따라 설치된 모든 프로그램의 기능을 아는 것 역시 무리가 있다. 후자의 경우에는 별도의 제품 관리자가 정해져 있지 않아 기업 보안에 틈이 생기는 결과를 유발하기도 한다.

이 두 경우 모두 제품의 보다 효율적인 관리와 내부정보유출방지를 위해 기업은 전문적인 관리자를 필요로 한다. 최근에는 해킹 방법이 점차 전문화되고 있어 기업의 보안 책임자로서의 관리자 역할은 더욱 중요해지고 있으며 보안 제품의 업데이트 속도를 능가하는 다양한 기법들이 등장하여 기업을 위협하고 있어 관리자에게 더욱 많은 보안 책임을 요구하고 있다. 관리자는 다음과 같은 방법들을 통해 한 기업의 관리자로서의 역할을 충실히 할 의무가 있다.

기업에서의 관리자의 역할 및 제품 운용 방안

첫째, 제품 도입 시에는 제품의 중추 기능을 파악하고 제품이 사용되는 주된 환경을 파악해야 한다. 현재 운용중인 보안 제품의 중추적 기능을 중심으로 각각의 기능적인 면을 충분히 습득한 후 사용해야 한다. 제품에 따라서는 기업의 요구에 따라 제품 교육이 제공되는 곳이 많으며 기업에서는 이런 좋은 기회는 놓치지 않는 것이 중요하다. 기업이 신제품 도입에 급급한 나머지 관리자의 신제품 분석에 대한 시간투자 및 신기술에 대한 이해부족 등의 이유로 이를 제대로 활용하지 못하는 경우 고가의 비용을 들어 신제품을 도입하는데 대한 의미가 없어지게 된다.

최근의 제품들은 다양한 기능을 탑재하고 있어 더욱 절실한 교육이 요구되고 있다. 한 제품에 다양한 기능이 있어도 각 업체 또는 기관에 맞춰서 사용할 수 있는 기능은 환경에 따라 다를 수 있다. 그렇기 때문에 관리자는 소속된 기업의 네트워크 및 시스템을 누구보다 잘 파악하여 기업의 환경에 최적화된 제품설치 및 환경설정으로 제품의 기능을 최대한 활용할 수 있어야 한다. 모든 기업에 최적화된 제품은 만나기 힘들지만 자신의 기업에 최적화된 제품은 관리자의 정책만으로도 큰 빛을 발할 수 있다.

둘째, 최신 보안정보에 능동적인 관리자가 되어야 한다. 매일 새롭게 등장하는 보안정보에 대한 각종 세미나와 단기교육 등이 많이 이루어지고 있다. 여러 제품을 도입해야 하는 기업의 관리자 입장에서는 다양한 업체의 제품을 한 자리에서 보고 체험할 수 있다는데 그 의미가 크다. 관리자뿐 아니라, 주요 정책 결정자의 경우에도 기업의 실무자와 같이 신기술 세미나 등에 참여하여 최신 정보를 습득하고 ‘기업의 보안 마인드’를 키우는데 있어 앞장설 수 있도록 해야 한다. 경영자의 관심이 기업을 변화시키는데 큰 역할을 한다.

셋째, 관리자는 지속적인 정보습득으로 지식을 무장해야 한다. 다양한 정보를 제공하는 곳의 뉴스레터(mailing list)에 자신의 이메일을 등록하여 새로운 정보를 매일 또는 주기적으로 받아보는 방법이다. 이 방법은 당장 효과를 보기 힘들지만 꾸준히 지속적으로 정보를 수집하여 적시에 유용하게 사용할 수 있으며 고객들에게 유용한 정보를 제공하는 역할을 하기도 한다. 자신의 업무에 좀 더 관심을 갖고 일에 열중하다 보면, 국내외에서 주기적으로 제공하는 보안 및 IT관련 정보를 제공받을 수 있다. 단순히 받는 것에 그치지 않고 필요한 정보만 요약해 두면 이 정보들이 쌓여 시간이 지나면서 지식으로 자리잡게 된다. 이렇게 관리자의 머리 속에 자리 잡힌 지식들은 다양한 분야에 종사하고 있는 사람들과 의사를 나눌 수 있는 활용의 장이 되기도 한다.

넷째, 관리자는 제품에 대한 능동적인 관리 방법을 익혀야 한다. 많은 관리자들이 제품의 자동 운용 기능에 의존하고 있다. 기업의 관리자가 관리적인 측면에서 소홀한 채 제품에 의존하는 경우 기업의 안정성과 위협에 대해 제대로 파악하지 못하게 된다. 제품의 우수성에 대한 중요성이 큰 만큼, 그에 따른 운용적인 부분도 반드시 뒷받침 되어야 한다.

다섯째, 전문성 향상을 위한 국제적인 보안 자격증 취득으로 전문성을 뒷받침 한다. IT 보안을 담당하는 관리자들이 관심을 갖고 취득하면 업무에 도움이 되는 자격증으로는 CISSP, CISA, CISM, SIS 1급/2급 등이 있다. 그 외에도 CCNA, CCNP, CCIE 및 LPIC, RHCE, SCSA, SCNA, MCP, MCSE 등 네트워크와 리눅스/유닉스/윈도우 관련 자격증을 취득하는 것도 보안에 필요한 근본적인 공부를 할 수 있는 기회를 자신에게 부여할 수 있다. 보안의 첫 번째 주요 요소는 사람이다. 그 최전방에 있는 사람이 관리자라고 할 수 있다. 관리자의 보안 인식에 따라 기업의 보안에 대한 전체적인 향방이 가려지듯이 관리자의 역할은 중요하지 않을 수 없다.

관리자 못지않게 사용자의 역할 또한 중요

현재 시장에 출시된 많은 제품들이 기업에 도입되어 운용 중에 있으며 서버실에서 운용되는 제품의 수보다 사용자(End-User)들이 사용하는 제품이 많다. 도입 시에는 IT 담당자의 업무에 국한되기도 하지만 도입 후에는 실질적으로 사용자(End-User)에 의해 매일 반복적으로 사용해야 하는 솔루션이 대부분이다.

고가의 제품일수록 도입자는 각 제품의 우수성과 안정성에 많은 비중을 두고 사용자들의 협조를 통해 제품의 기능을 최대한 발휘할 수 있기를 기대한다. 반면 사용자(End-User)들은 자신의 개입 없이도 제품이나 프로그램이 자체적으로 또는 자동적으로 모든 것을 막아 주리라 생각한다. 소수의 관리자와 고가의 장비로 기업의 보안이 안전할 수 있다는 생각은 금물이다. 관리자가 사용자와 함께 보안 의식을 갖고 행동할 때 비로소 기업의 보안은 조금씩 자리잡기 시작한다고 볼 수 있다. 그 중에서도 사용자는 관리자가 지시하는 사항에 빠르게 응대하는 것이 중요하다. 보안은 이제는 필수불가결한 요소가 되었다. 사용자의 역할을 통해 다음 행동을 실천하고 기업 보안에 한걸음 더 다가설 수 있도록 노력해야 한다.

사용자를 위한 제품 사용 및 관리 방법

첫째, 내 PC의 관리자는 나라는 생각으로 PC를 다루자.

간단한 사용법조차 모른 채 모든 것을 관리자에게 의존한다면 제품 도입의 의미는 금방 사라지고 말 것이다. 이를 위해 사용자는 자신의 PC에 설치되어 있는 제품을 주기적으로 파악하고 있어야 한다. 또 최소 두 가지 이상의 제품 기능은 정확히 알고 있어야 한다. 이를 통해 제품 사용시 발생되는 기본적인 문제점은 스스로 해결할 수 있도록 해야 한다. 설치된 제품목록과 사용법을 익히고 사용설명서를 구비해 두는 것도 한 방법이 될 수 있다. 관리자는 기업의 보안을 책임지는 관리자로서의 역할을 위해 존재한다는 사실을 기억하고 기업의 관리체계에 따라 사용자가 함께 보안 의식을 가져야 한다는 사실을 잊어서는 안 된다.

둘째, 업데이트가 필요한 제품을 확인하자. 제품에 따라서는 최신 업데이트가 필요하며 최신 버전인지 확인하는 습관이 필요하다. 예를 들어 안티바이러스(Anti-Virus)제품의 경우에는 기본적으로 2~3회 이상의 정기 업데이트가 이루어지며 긴급 바이러스와 같이 감염성이 높거나 전파력이 뛰어난 악성코드의 경우에는 수시로 업데이트 된다. 그러나 일부 사용자의 경우 간단한 바이러스 검사조차 실행하고 있지 않아 바이러스에 감염되는 경우를 종종 볼 수 있다. 기업과 같이 네트워크를 사용하는 경우에는 사용자의 부주의로 침투한 악성코드가 기업 전체로 전파되기도 한다. 이를 예방하기 위해서는 안티-바이러스 업체들은 관리자와 사용자들에게 최신 엔진 업데이트를 제공하고 있으며 개인의 PC를 매일 또는 주기적으로 검사하는 것을 권장하고 있다. 셋째, ‘윈도우 보안 취약점’이 발표되면 실시간으로 업데이트 하자.

MS사에서는 매월 ‘윈도우 보안 취약점’을 발표하고 있다. 위험성이 큰 취약점부터 일반적인 취약점에 대해 발표하고 있으며 근래에는 위험성이 큰 취약점 발표가 대다수를 이루고 있다. 국내에서 가장 점유율이 높은 운영체제로 알려져 있는 MS의 ‘윈도우 보안 취약점’이 외부의 공격에 노출되는 것은 시간문제다. 취약점 노출은 수에 관계없이 단 한번만으로도 발생되는 피해가 상당히 크며 심각한 경우 데이터 삭제가 이루어지기도 한다. 이를 방지하기 위해 관리자는 사용자에게 ‘윈도우 보안 패치’를 업데이트할 수 있도록 강력히 권고하여야 하며 사용자 또한 이를 숙지하고 있어야 한다. 윈도우 보안패치 솔루션을 도입하지 못한 기업들은 서버군에 대한 우선적인 윈도우 보안 패치를 적용하고 사용자들에게도 윈도 보안 패치를 적용하도록 해야 한다.

넷째, 사용자들의 보안 인식 재고의 필요성이다. 나 하나쯤이야 하는 생각으로 전체적으로 피해를 끼치는 상황이 발생할 수 있다. 어쩔 수 없이 당하는 피해일 경우 재발 방지책 등을 통하여 좀 더 보완할 수 있으나 사용자들의 적극적인 협조 없이는 이러한 방지 대책은 무용지물이 될 수 있음을 각인해야 한다.

지금까지 다양한 솔루션에 대한 관리자적인 측면과 사용자적인 측면에서 바라보았다. 마지막으로 간단하게 실천할 수 있는 내부 보안에 대해 말하고자 한다.

내부 보안은 작은 실천으로부터

현재 많은 곳에서 내부 기밀 유출을 방지하기 위하여 다양한 솔루션이 도입되고 있다. 솔루션이 없는 경우에도 간단한 방법으로 정보유출을 예방할 수 있다. 사용자 입장에서는 간단한 방법으로 보안을 실천할 수 있다.

뛰어난 제품보다 경영진과 사용자의 관심이 필요

최근에는 보안관제 센터를 운용하고 있는 업체들이 많이 늘어나고 있다. 이들 중 한 업체의 서버 담당 인력이 P2P를 통해 프로그램을 설치하고 각종 데이터를 다운로드 한 사례가 있었다. 이 당시 다운로드 된 파일에서 바이러스 감염과 함께 이것을 탐지한 로그가 발견되었다. 보안의 처음과 끝은 사람이다. 사람이 할 수 있는 가장 중요한 것은 무엇보다 실천이다. 실천되지 않는 보안은 열어 놓은 현관문과 같다고 볼 수 있다. 제품 도입만으로 우리 회사의 보안은 이제 한 단계 올라섰다고 방심하는 순간, 그 보안은 뚫린 것이다. 항상 아쉬움이 남는 부분이 바로 이 부분이다.

보안 관리자는 매일 또는 수시로 도입된 제품에 대하여 점검하고 기능상 활용을 잘 할 수 있도록 고민해야 하며 각 구성원들과 협조를 통해 최상의 보안을 유지할 수 있도록 해야 한다. 보안을 위하여 IT 실무진만이 아닌 경영진과 사용자가 모두 함께 관심을 갖는 것이 무엇보다 중요하다. 과학이 발달하여도 사람들의 ‘보안의식’이 변하지 않는 한 내부정보 유출을 막기 어려운 것이 현실이기 때문이다.

앞서 얘기한 것들은 아주 기초적인 방법에 불과하다. 모두 각자의 위치에서 ‘보안의식’을 갖고 실천하는 것이야 말로 최상의 보안 대책이 될 수 있을 것이다. 최상의 보안을 위하여 모든 구성원들의 협조가 필수적이며 그 중심에는 사람이 있다는 것을 명심하자.

<글 : 양현철 하우리 기술지원센터 차장(hcyang@hauri.co.kr)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>