가장 효과적인 보안은 끊임없이 막아 공격자를 지치게 만드는 것

[보안뉴스 오병민] 지난해 줄을 잇던 개인정보 유출사고로 인해 보안에 대한 중요성이 한층 강조됐다. 그러나 우려되는 것은 개인정보보호법으로 인해 개인정보보호에 대한 투자가 늘었지만 그 외의 보안투자는 오히려 줄어들고 있다는 점이다.  

기업의 입장에서 보안은 생산성이 없는 투자를 요구하기 때문에 투자기피 분야 중 하나다. 그러나 해킹으로 인한 피해는 상상을 초월한다. 작년 대규모 개인정보 유출 해킹사고로 피해를 입은 SK커뮤니케이션즈는 그 영향 탓인지 작년보다 영업이익이 77.9% 감소하고 당기순이익도 61% 감소한 것으로 나타났다.

보안에는 위험한 보안과 강력한 보안이 있다. 위험한 보안은 공격자가 공격의지를 갖게 하는 것이며, 강력한 보안은 공격자가 보안의지를 상실하게 만드는 것이다.

그렇다면 공격자는 언제 공격의지를 상실할까? 얼핏 보기에는 다양한 고성능 보안 솔루션으로 철벽 방어막을 치면 공격의지를 상실할 것으로 보이지만 실제로는 그렇지 않다. 공격자들은 고성능 솔루션으로 만든 철벽 방어막보다는 보안 솔루션이 대단하지 않더라도 적극적이고 끊임없이 공격에 대응하는 쪽을 오히려 기피한다.

보안은 절대 못 뚫게 막는 것이 아니라 끊임없이 막아서 공격자를 지치게 하는 것이기 때문이다.

결국 가장 효율적인 보안투자는 인력투자인 셈이다. 공격이 발생하면 보안팀 구성원 각각이 내부 시스템을 잘 알고 공격에 따라 각자의 역할을 맡아 유기적으로 수행할 수 있는 인력 구성이 필요하다는 것이다. 그러나 이러한 강력한 보안팀은 외부에서 전문가 몇 명 데려온다고 해결되지 않는다. 기업마다 IT 인프라와 구성체계가 대부분 다르기 때문에 오랫동안 공격에 대응한 경험이 누적돼야 강력한 보안팀을 구축할 수 있다.

이를 위해서는 보안팀이 스스로의 자긍심을 느낄 수 있도록 분위기를 만들어줌으로써 언제나 자긍심을 갖고 능동적으로 대응할 수 있도록 하는 것이 중요하다. 아울러 능동적으로 대응할 수 있는 방법을 고안할 수 있도록 충분한 인력적인 지원도 필요하다.

해킹사고로 피해를 입은 기업들은 항상 엄청난 자금을 쏟아 보안 시스템을 대규모로 강화했다고 이야기한다. 그러나 이런 일시적인 보안투자보다 인력에 꾸준히 투자하는 것이 안정적인 보안체계를 구축하는데 가장 큰 도움이 된다.

보안 시스템도 다른 IT 기기와 같다. 따라서 아무리 많은 돈을 쏟아 붓더라도 일정한 시간이 되면 교체해야 한다. 그러나 강력한 보안팀은 오랜 시간 경험이 누적될수록 더욱 강력한 힘을 발휘할 수 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>