기업에서 효과적인 보안 관리 대책 또는 전략

대부분의 기업들은 자사의 중요 정보자산 보호를 위해 다양한 정보보호 시스템과 솔루션을 도입해 운영하거나 추가적인 도입을 고려하고 있다. 하지만 보안 시스템만 도입한다고 해서 모든 보안 문제가 해결되는 것은 아니다. 이를 적절하게 운영하고 관리할 수 있는 보안 전문 인력도 필요하고 보안 시스템의 운영과 도입을 위해 적절한 보안 정책과 전략을 수립해야 한다. 이러한 것들이 모두 정확히 연계돼야만 기업은 효율적인 보안 관리와 운영을 해나갈 수 있을 것이다.

최근의 정보보호 동향을 살펴보면 국내ㆍ외적으로 분산서비스 공격(DDoS), 중요정보의 해킹이나 유출ㆍ누출사건 등이 끊임없이 발생하고 있다. 또한 이러한 공격기법 등이 점점 더 지능화되고 규모 또한 대형화되고 있어 기업 보안 담당자로서 대책 마련에 부심하지 않을 수 없게 되었다.

전 세계적으로 개인정보 유출 사건은 지속적으로 발생하고 있으며 이는 더욱더 기업 보안 담당자들을 긴장시키고 있다.

더욱이 OSF TOP 10에는 들지 못했지만 국내를 떠들썩하게 했던 사건 중 GS Caltex가 11위를 기록하고 있다. 여기에서 흥미로운 부분이 있는데 정보유출의 경로부분이다. 이 통계를 보면 우리의 상식과는 좀 다르다고 생각하지 않는가? 보는 바와 같이 웹이나 해킹 등 온라인을 통해 유출되는 경로와 도난, 절도(StolenComputer, StolenLap top) 등과 같이 오프라인을 통해 유출되는 경우도 무시하지 못할 수치임을 알 수 있다. 이와 같이 최근의 보안경로는 인터넷, 스마트폰, VoIP, 무선랜, 분실, 도난, 절도 등 수없이 많은 것을 알 수 있다.

그럼 이중 2위에 랭크하고 있는 사건으로 미국의 TJX컴퍼니사의 정보유출 사고를 예로 살펴보도록 하겠다. 2007년 12월에 발생한 사건인데 USB를 통해 단말기에 악성프로그램을 침투시켰고 무선랜의 취약점(WPA암호 Crack)을 통해 관리자 권한(ID/PW)을 획득한 후 고객정보 4,570만건을 해킹한 사건이다. 이때 누출된 고객정보가 현재도 도용되고 있다고 하니 기가 막힌 일이 아닐 수 없다.

효과적인 기업 보안관리는?

지금까지 최근의 정보보호 현황을 살펴보았다. 그러면 기업의 보안 담당자들은 어떻게 해야 할까? 모든 영역에 대한 정보보호 시스템을 닥치는 대로 도입해야 할까? 아니면 너무나 많기 때문에 그냥 놔 둘까? 그렇다면 정보보호 시스템만 도입했다고 다 해결되는 것일까? 그 많은 정보보호 시스템을 누가 다 관리할까? 해당 기업의 정보보호를 효과적으로 관리하기 위해서 생각을 하게 되면 정말로 염두해 둬야 할 것이 많다.

기업에서 정보보호를 효과적으로 관리하기 위해서는 프로세스, 인력, 보안장비 이 3가지가 조화롭고 균형있게 이루어져야 한다. 첫째, 보안관리 표준에 맞는, 체계적인 업무특성에 맞는 프로세스가 수립되어야 한다. 둘째, 실력있는 전문 인력 확보와 지속적인 교육수행을 통해 튼튼한 정보보호 조직이 구성되어 있어야 한다. 셋째, 해당 네트워크 환경에 적합하고 검증된, 유지보수 등 기술지원이 확실한 보안 시스템이 구축되어 있어야 한다.

지속적인 점검과 관리 중요

그럼 지금부터 실제적인 몇 가지를 살펴보도록 하겠다. 첫 번째로 정기적인 취약점 점검을 통한 근본적인 취약점을 제거하는 것이다. 최근에는 보안 사고나 사회적인 이슈를 통해서 보안컨설팅이나 보안취약점 점검 등을 외부업체나 자체적으로 수행하는 곳이 많아졌다. 이는 도출되거나 잠재되어 있는 취약점을 찾아내고 근본적인 원인을 분석하기 위한 것이다.

또한 도출된 취약점은 상주 및 전문 인력을 통해 신속하고 정확한 조치와 이행점검을 수행하도록 한다. 하지만 단발성으로 끝내거나 도출된 취약점을 조치하지 않아 아무런 도움이 되지 않고 비용만 소비되는 경우가 많이 있다. 이에 컨설팅 등을 수행할 때 해당 컨설팅이 끝이 난 후에는 자체적으로 점검할 수 있는 방법이나 체크리스트 등을 요청하는 게 도움이 된다.

두 번째는 신규 위협으로부터의 서비스망을 보호하기 위한 지속적인 대책이 강구되어야 한다는 것이다. VoIP, 무선랜, 스마트폰 등 많은 보안 이슈와 위협요소 등이 많이 발생하고 있다. 이를 기업의 보안담당자 혼자 감당하는 것은 현실적으로 불가능하다. 이에 보안세미나, 커뮤니티, RSS 등을 활용하는 것도 하나의 방법이라고 하겠다.

셋째, 기업의 보안 Hole을 없애는 것이다. ‘보안에는 예외란 없다’란 말이 있다. 일반적으로 100-1=99이지만 보안에서는 100-1=0 이라는 공식이 적용되는 것과 같다. 기업의 메인 홈페이지나 중요한 시스템은 대체적으로 보안관리가 잘되어 있다. 하지만 휴먼 및 관심이 적은 시스템은 그만큼 보안관리가 미흡한 경우가 대부분이다. 당연한 결과인지도 모른다. 실제 해킹사고가 발생한 경우를 보면 아주 어처구니없는 곳에서 발생하는 경우를 많이 보게 된다.

예를 들면 사내 이벤트를 위해 잠깐 게시했던 게시판의 경우 테스트를 위해 잠깐 정책을 오픈한 사이에 발생하기도 한다. 이를 위해서는 보안의 Hole을 제거하거나 정기적으로 보안 솔루션의 역할이나 성능을 최적화하는 작업이나 보안 정책을 현행화 하는 작업이 필요하다.

마지막으로 기업에서 효과적으로 보안 관리를 수행하기 위해서는 기업의 현황을 정확히 분석한 후 기업에 맞는 보안 정책 및 분석ㆍ설계를 하는 것이 중요하다.

또한 이렇게 수립된 보안정책은 업무 서비스를 훼손하지 않는 범위에서 적용되어야 하며 직원들의 불편을 최소화하는 것이 관건이다. 정보보호를 너무 강조하면 서비스가 어려워지고 서비스를 너무 강조하다 보면 정보보호가 취약해지기 때문이다.

이렇기 때문에 기업의 보안 수준을 지속적으로 향상시키기 위해서는 임직원들을 이해시키고 협조를 끌어내는 노력이 필수적이다. 또한 고성능의 보안 시스템을 아무리 많이 구축했더라도 관리를 소홀히 하면 Rule Update가 제대로 되지 않은 채 보안 시스템이 운영될 수 있다는 것이다. 보안의 홀은 관리 소홀과 방심이다. 순간의 방심이 대형 보안사고로 이어질 수 있다.

끝으로 한 가지 이슈를 더 말하면 2차 세계대전 당시 미국 폭격기를 수리해야 했던 영국의 정비공들은 충분한 기술과 장비를 가지고서도 단 한 가지 이유로 인해 폭격기를 고칠 수 없었다고 한다. 그 이유가 무엇일까?  바로 나사다. 규격에 맞는 나사가 없기 때문.

현재 많은 기업과 기관에서 다양하고 고성능의 보안 시스템을 가지고 있다. 하지만 이 시스템을 꿰거나 연결하는 나사가 없거나 있을지라도 꽉 맞지 않는 나사를 사용하고 있다면 무용지물이 될 수도 있다. 정보보호 담당자는 조직의 정보보호를 하나의 시스템으로 연결시키는 나사가 되는 것이다. 그냥 나사가 아닌 조직의 정보보호에 꼭 맞는 나사 말이다.

<글 : 정일옥 이글루시큐리티 보안관제센터 팀장(okkida@igloosec.com)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>