• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[대한민국 보안진단-1]보안적 상상력 2011.11.29

지속적으로 늘어가는 해킹공격으로 인해 금융기관, 게임회사까지 공격자들에게 큰 타격을 받았다. 이처럼 대형 해킹공격으로 인한 사고가 끊임없이 발생하는 이유는 해킹공격이 점차 사회적 범죄화되고 있다는 것을 의미한다.

이런 상황에서 대한민국 보안은 새로운 변화를 요구하고 있다. 과연 대한민국 보안에 필요한 것은 무엇일까? 보안뉴스는 우리 보안환경에 정말 필요한 것은 무엇인지를 면밀히 살펴보고자 한다.


<순 서>

1. 보안적 상상력

2. 웹서비스 계획에서의 보안 

3. 보안담당자보다 범죄자가 더 무서워야 할 법

4. 누구나 사이버범죄자의 공범이 될 수 있다


[보안뉴스 오병민] 해킹공격이 점차 사회적 범죄화되고 있는 상황에서 보안은 공격자와의 싸움이라고 볼 수 있다. 그런데 공격자는 한 두 명이 아니다. 그런 공격자들의 수 많은 공격에 대해 어떻게 대비해야 할까? 지금까지의 전통적인 보안 방법으로는 대응할 수 없다는 것이 전문가들의 의견이다. 특히 보안적 상상력이 없는 보안으로는 공격적 상상력을 가진 공격자와의 싸움에서 이길 수 없다고 이야기한다.


그렇다면 보안적 상상력이란 무엇일까? 한 보안 전문가는 보안적 상상력에 대해 이렇게 이야기한다.


“예를 들어 보안적 상상력은 어떤 보안 위협이 나타날지를 예측하는 상상력일 수 있고 어떻게 하면 공격자들의 타깃에서 벗어날 수 있을지, 어떻게 하면 공격자를 끝까지 추적해 법에 심판대에 올릴 지까지 포괄적일 수 있다.”


즉 보안적 상상력은 활발한 보안 활동에 대한 상상력이라는 이야기다. 그러나 국내 IT환경 내에서는 이런 보안적 상상력을 발휘하기란 쉽지 않다. 상상력을 가질 여력도 없고 설사 상상력을 가진다해도 이 같은 상상력은 단지 엉뚱하고 비효율적인 생각으로 치부되는 환경 탓이다.


몇몇 보안 담당자들에게 보안적 상상력에 대해 물었다.


“공격자들은 창의적이고 다양한 방법으로 해킹공격을 구상해 공격을 시도하고 있다. 그러나 현재 보안부서들은 보안적 상상력을 갖기 힘들다. 그 이유는 여러 가지 지만 일단 여유가 없고 책임으로 인한 강박관념도 매우 크기 때문이다”


“나름대로 다양한 보안적 구상을 하고 있다고 생각하지만 그건 단지 내부 시스템을 제외한 네트워크 밖에서 안으로 들어오는 공격을 막는데 한정돼 있다”


“업무 구성이 보안적 상상력을 가지기 위한 여유를 주지 않는데다가 보안적 의견제시가 비즈니스와 맞물릴 경우 의견조차 내지 못하는 위축 효과도 충분히 존재한다”


보안 담당자들이 여유가 없다고 말하는 데는 이유가 있다. 일단 대부분 기본적인 보안 점검과 시스템관리, 관제 업무를 진행하는 것도 인력이 부족한데다가 인증업무나 안전진단, 감사 등의 업무가 있을 때는 더욱 일손이 부족하기 때문. 더불어 상황마다 바뀌는 내부 보안 프로세스도 부담을 가중시킨다.


한 보안전문가는 이에 대해 이렇게 이야기한다.


“보안적 상상력을 갖기 위한 여유가 있으려면 일단 보안 업무가 안정돼야 하지 않을까 생각한다. 그리고 보안적 상상력으로 새로운 보안 프로젝트나 업무가 늘어난다면 그 만큼 인력을 투입해 업무안정을 유지해야 상상력을 발휘할 수 있으리라 생각된다.”


위축효과도 보안적 상상력을 제한시키는 중요한 요인으로 작용한다. 위축효과(chilling effect)는 엄격한 규율이나 분위기로 인해 표현을 자제하는 현상을 말한다. ‘아무리 말해도 어차피 안된다’는 심리가 위축효과를 만들 수 있다는 이야기다. 이런 위축효과는 보안이 비즈니스 안에 녹아들지 못해서 나타나는 경우가 많다.


“처음 보안을 맡았을 때 겁 없이 문제를 제기한 적 있다. 내부연동 시스템에서 문제점을 발견하고 그 시스템의 재구축이나 부분적인 재구축하면서 보안을 적용해야 한다는 의견을 제시했는데 비용문제가 크다며 입을 막았다. 그러나 앞으로 그로 인한 문제가 언젠가는 발생할 수 있다는 생각은 변함없다.”


“내부망의 보안이 허술해 내부망에도 암호화를 적용하자고 이야기 했다가 내부망 자체가 우리만 쓰는 것인데 왜 비용을 두 배로 투입하냐는 이야기를 들은 후 어떤 의견도 제기하지 않았다”


보안상상력을 바탕으로 한 의견제기에 대한 위축효과를 막기 위해서는 보안에 대한 고려가 단지 비용투자라는 생각에서 벗어나 비즈니스 리스크 감소라는 측면에서 고려돼야 한다.


한 보안 컨설턴트는 말한다.

“그래도 많은 기업의 CEO들이 보안에 대한 중요성을 잘 알고 있는 듯하다. 그런데 비즈니스를 바꿀 만큼 치명적으로 중요하다는 생각은 아닌 것 같다. 보안의 중요성을 긍정하면서도 잘 바뀌지 않는 이유인 것 같다.”


또 다른 한 보안전문가는 이렇게 이야기 한다.

“보안적 상상력은 전통적으로 관례처럼 해왔던 보안을 벗고 현재 자신이 속한 조직의 특성과 문제점, 그리고 이런 것을 고려해 앞으로 발생할 문제점을 고치기 위해 꼭 필요한 요소다. 기업이 보안을 강화하기 위해서는 보안적 상상력을 바탕으로 한  활력적인 보안 활동을 보장해야 한다. 임원급 보안최고책임자(CSO)가 필요하다는 이야기는 이런 활동을 책임감 있게 보장하는 사람이 필요하다는 이야기이지, 단지 보안 사고에 대한 책임자를 세우기 위한 것이 아니다.”

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>