위협의 관점 넓히고 그에 따른 대응방식 다양화해야

근래 들어 정보보호와 관련된 소식이 뉴스의 첫 번째 소식으로 자주 노출되고 있는 상황이다.

지난 3.4 DDoS 사건을 7.7 DDoS 사건과는 다르게 적절하게 대응하여 비교적 큰 영향 없이 안정화 되고 있던 시기에 개인정보보호 이슈인 현대캐피탈의 고객정보 유출 사건으로 개인에게 중요한 금융정보 유출의 사회적 우려가 높아졌고 이번에는 농협의 정보시스템 이상으로 전체 서비스에 문제가 발생하는 사태까지 나타나게 되었다.

현대캐피탈의 경우 정보보호 시스템이나 관련 서버 등의 모니터링이 적절하게 이루어졌다면 정보유출이 진행됐다고 판단되는 두 달 동안의 상황을 지금보다 적절하게 컨트롤 할 수 있었다고 보여지기에 아쉬움이 남는 부분이다.

모니터링은 대응 방식 중 사후적 대응으로 볼 수 있으며 적절한 모니터링은 사고의 임팩트와 파장을 줄여줄 수 있다. 또한 사후 원인 파악에 결정적 단서를 제공해 줄 수 있는 중요한 보안 요소라고 볼 수 있다.

농협의 경우는 결과적으로 전체 서비스가 중단되었다는 사실만으로 사전에 예방 차원의 다양한 위협을 미리 파악하고 대응을 충분히 했느냐에 대한 아쉬움이 남는 것이 사실이다.

금번의 사고들은 기존의 전통적인 보안위협들이 발전하는 IT기술과 다양한 환경의 변화와 결합되면서 생각했던 범위를 벗어난 임팩트를 가져올 수 있는 시기로 변화하고 있다는 사실을 반증하는 사례가 아닐까 생각된다.

정보보호를 위한 활동은 다양한 위협들을 파악하고 조직에 수용 가능한 적용수준(DoA-Degree of Assurance)을 정하여 그에 맞는 보호 활동들을 통해 조직의 연속성을 보장하도록 하는데 초점이 있다고 할 수 있다.

하지만 현재의 전반적인 정보보호 수준은 기존의 위협에 초점이 맞추어져 있고 체계적으로 관리되고 있는 조직 또한 많지 않은 것이 현실이다 보니 앞으로도 크고 작은 보안 사고는 지속적으로 발생하고 조직의 연속성 보장을 위해서는 더 많은 노력이 필요할 것이다.

보안업체나 보안담당자들은 컨설팅을 진행하거나 보안에 대한 진단을 할 경우 다양한 관점에서 위협을 식별할 필요가 있고 그에 따른 방안을 마련함에 있어서도 충분한 의견을 전달할 필요가 있을 것이다.

앞으로 보안 수준은 발전하는 IT기술과 사회 환경의 변화와 함께 눈에 보이던 가시광선 영역의 위협뿐 아니라 눈에 보이지 않는 분야까지 위협을 파악하고 그에 따른 적절한 대응 방식을 만들어 가는 방향으로 변화되어야 할 것이다.
[글 _ 박나룡 보안전략연구소 소장(isssi@daum.net)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>