[보안뉴스=임채호 KAIST 정보보호대학원 교수] 작년에 실린 중앙일보의 기사를 본적 있으십니까?

“보안이란 안전을 확인하는 행위다. 국제 표준 보안기법은 인터넷 업체들이 안전한 사이트임을 사용자에게 보증하는 것에 중점을 둔다. 보안 연결 기능을 가진 웹브라우저, 인터넷 사이트, 그리고 제3의 인증기관들이 공조함으로써 사용자들이 인터넷을 안심하고 쓸 수 있게 해준다. 표준 보안접속은 약속된 절차에 따라 진행되기 때문에 추가 소프트웨어를 다운로드할 필요가 없어 안전하며 편리할 뿐만 아니라 어떤 플랫폼, 어떤 프로그램도 모두 지원 가능하다는 장점이 있다.”

“한국의 보안방식은 이와는 달리 인터넷 사이트가 자신의 안전을 사용자에게 보증하지 않는다. 은행과 쇼핑몰이 의심하는 것은 사용자들이다. 그들은 자기들만의 보안 연결 프로그램, 방화벽, 키보드 해킹 방지, 백신 등을 다운 받게 한 다음 사용자의 컴퓨터를 조사한다. 그러나 이런 소프트웨어를 다운 받는 순간에 대한 보안이 전혀 되어 있지 않다. 사용자들은 사이트가 안전한지 여부를 스스로 알아서 판단해야 한다. 이 커다란 보안 구멍을 그대로 두는 한 그 어떤 대책을 세워도 무용지물일 뿐이다. 한국의 보안방식은 사이트의 안전은 보장하지 못하면서 사용자를 감시하는 데만 과도한 집착을 보이고 있다.” - 중앙일보 기사 인용

이러한 행태는 보안담당자들의 보안시각에서 비롯됩니다. 신뢰성(Trust)을 무시한 보안은 언제든 문제가 발생할 수 있다는 사실을 잊어버리고 있는 것입니다, 시스템 엔지니어는 SW 개발 방법론에서 항상 검사과정을 거치고 운영 중 발생하는 오류를 지속적으로 피드백해 수정하는 라이프 사이클 체계를 가지고 있는 것입니다.

그럼 최근 나온 개인정보 관련 일간지 기사를 한번 보겠습니다.

이 기사에서 안랩이 제공한 자료에 의하면 현대캐피탈, 전자금융, NH투자증권, 리딩투자증권, SK컴즈, 넥슨 등 매우 많은 인터넷 업체들이 줄줄이 개인정보를 유출당한 사실이 있습니다. 특히, 2011년 나타난 농협 해킹 사태는 인터넷 보안사고의 최고 정점을 보여주고 있지만 향후 구체적이고 실질적인 대응책은 거의 없는 실정이라고 보아도 무방합니다.

QA(Quality Assurance)가 없는 대한민국 사이버 보안

대한민국 정부는 국가 및 민간의 보안을 보장(Assure)하기 위하여 ISMS(Information Security Management System) 정보보안관리체계 인증을 장려하고, CC(Common Criteria) 평가를 통해 정보보호 제품을 국민들을 대신하여 평가 인증하고 있습니다.

그렇다면 ISMS 평가를 받고, CC인증 받은 제품을 이용하면 보안을 완벽하게 할 수 있다는 것일까요? 그러나 정부 측은 100% 보장한다는 뜻은 아니라고 합니다. 그런데 대한민국에 정말 많은 현장의 보안담당자들은 이 틀(굴레)에서 벗어나지 못하고 있습니다. 즉, 정부가 인증한 틀 말입니다.

2011년 1차로 ISMS 인증을 받았던 농협은 엄청난 피해를 입었습니다. 피해금액은 이루 말할 수 없는 규모이고, 농협과 현대캐피탈 등이 겪었던 어려움은 순식간에 CEO의 책임어린 후회와 항변의 목소리로 언론에 쏟아졌습니다(박스기사 참조).

그 당시 피해를 당한  금융권의 보안담당자나 실무자는 할 수 있는 방법을 몰랐으며, 정부나 전문가, 보안업체가 제공하는 최소한의 보안체계를 안심하고 있었으며, 현재도 별다를 바가 없습니다.

이러한 사태는 항상 되풀이되고 있습니다, 지금까지도 또 앞으로도 되풀이 되는 상황입니다, 보안 QA는 고객에 대한 약속입니다. ‘인터넷 보안체계 무용지물’이라는 기사의 내용도 인정하지만 제3자 인증도 결코 충분조건이 아니라면 보안 QA를 어떻게 해야 하겠습니까?

자기평가(Self Assessment)를 통한 조직(기업) 보안수준평가

미국의 SP-55(Security Performance Measurement Guideline)는 미국 정부기관의 보안능력을 향상시키고 조직의 보안 위험(Security Risk)을 관리할 수 있는 프레임워크를 제공하고 있습니다. 그림을 보면 “모든 것은 때가 있다”는 주역(周易)에서 말하는 인생의 시기를 보듯 라는 원(元)-형(亨)-리(利)-정(貞), 즉 태어나고 공부하고 능력을 발휘하고 죽는 사람의 인생단계 4단계를 이야기하는 것과 유사하게 기업의 보안수준을 이야기합니다.

일반적인 기업을 보아도 마찬가지일 것입니다. KOSPI 200 기업 특히, 삼성, LG, 현대자동차 등은 마지막 단계일 것입니다. 정말 우수한 기업이라면 마지막 단계가 100년 이상 갈 수 있습니다. 그럼 삼성전자, 현대자동차라면 어떨까요? 삼성전자는 핸드폰, TV, 반도체를 잘 만들고 판매하는 것이 비즈니스입니다, 현대자동차는 자동차를 잘 만드는 것이 비즈니스입니다.

보안의 최종단계인 ‘Business Impact’ 단계는 그 기업의 비즈니스에 가장 적합한 보안을 잘할 수 있다는 것입니다. ISMS가 정의한 150여개의 보안통제(Security Control)를 다 잘 해야 하지요. 하지만 BI(Business Impact) 단계가 되면 많은 보안통제 중 자신의 비즈니스에 가장 적합한 보안통제를 하므로, 울창한 숲이 아닌 엉성하지만 가장 필요한 나무들만이 있는 숲을 이루는 것입니다.

SP-55가 지향하는 방향은 조직의 보안관리를 점점 발전시켜서 BI 단계까지 발전시키고 지속적인 보안관리를 할 수 있어야 한다는 뜻입니다. 하지만 현재의 ISMS 및 PIMS 인증체계는 이 인증을 받는 기업은 1단계(Security Goal)  혹은 2단계(Implementation) 수준이 된다는 사실을 모르고 있습니다, 왜냐하면 정부나 국제 표준의 보안관리는 최소한의 요구사항이기 때문입니다.

[글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>