[보안뉴스=김정덕 중앙대학교 교수] 모바일, 클라우드, 소셜, 개인화 등 새로운 형태의 컴퓨팅 환경이 등장함에 따라 기존의 정보보호 접근방법으로는 한계를 나타내고 있으며 새로운 패러다임이 요구되고 있다.

이러한 컴퓨팅 환경의 변화로 인해 정보보호와 비즈니스와의 통합에 대한 요구사항이 더욱 강조되고 있으며 비즈니스를 효과적으로 지원하기 위한 정보보호관리 프로그램 구축이 요구되고 있다.

국내의 정보보호관리 프로그램은 일반적으로 언급되는 5단계의 성숙도 단계에서 두 번째 단계에 해당되는 관리프로그램 개발단계에 해당된다고 할 수 있다. 그러나 정보보호관리 프로그램 개발 등이 공식적으로 존재하지 않으며, 보안관리자 개인의 역량에 의존하여 프로그램이 개발되고 있는 상태다. 또한, 정보보안 이슈에 대한 비공식적 의사소통이 진행되고 있는 상태라고 할 수 있다.

한 단계 성숙된 단계로 이전하기 위해서는 무엇보다도 비즈니스와 정보보호 활동간의 연계 및 통합이 요구되고 정보보호 거버넌스 상의 문제점을 개선해야 하며, 기존 문제점에 대한 정확한 인식하에 새로운 시도가 필요하다고 할 수 있다. 따라서 이번 시간에는 정보보호 환경의 변화와 함께 현재 정보보호관리 패러다임의 한계점을 소개하고자 한다.

정보보호관리 패러다임의 문제점

정보보호 환경의 변화

새롭게 변화하는 IT 환경은 모바일, 클라우드, 소셜, 개인화 등으로 대변할 수 있으며, 이는 IT와 비즈니스 그리고 개인 간의 관계를 변화시키고 있다. 이에 따라 공식적인 정책과 통제기반의 기존 정보보호 접근방법은 점차 그 효력을 상실하고 있다.

법과 규정은 점차 강화되고 있으며, 이의 준수를 위한 보안대책은 제한적이고 강제적인 성격을 가질 수밖에 없다. 기존의 정보보호관리 접근방법은 정보자산 보호의 효과성(effectiveness)을 높이기 위해서 많은 노력을 경주했다고 할 수 있다. 그러나 미래에는 정보보호의 효율성 및 생산성을 높이기 위한 노력으로 방향 전환이 될

것으로 예상된다.

현재의 컴퓨팅 및 비즈니스 환경 변화를 기반으로 미래의 정보보호 환경을 예측하는 것은 매우 어려운 일이면서도 중요한 일이다. 현재 발생하고 있는 환경변화를 요약하면 다음과 같은 세 가지 주요 메가트랜드로 구분할 수 있을 것이다.

첫째, APT 등 기존의 전통적인 보안접근방법으로는 해결하기 어려운 위협들이 지속적으로 나타나고 있으며, 이로 인한 보안사고는 향후 계속해서 나타날 것이다.

둘째, 대부분의 경우 새로운 공격은 금전적 목적으로 시스템 또는 개인을 대상으로 기밀정보를 유출하고자 할 것이다. 중요 시스템 중단이나 비즈니스 업무중단을 통해 재무적 손실을 목표로 하고 있다.

셋째, 클라우드 서비스, BYOD 등의 최근 추세로 인해 IT부서는 사용자 디바이스나 서비스를 직접 소유 및 제공하지 않게 되고 이로 인해 통제능력이 상당부분 감소될 것이다.

이러한 메가트랜드는 다음과 같은 두 가지 측면에서 기존 정보보호 전략의 한계를 보여주고 있으며 새로운 패러다임으로의 변화를 요구하고 있다.

예방적 대책 위주의 정보보호 한계

지난 수십 년 간 정보보호에 대한 많은 노력에도 불구하고 정보보호 사고는 계속해서 발생하고 있으며 미래에도 이러한 증가 추세는 멈추지 않을 것으로 예상된다.

이 현상은 현재의 예방적 보안 접근방법으로는 다양하고 지능화되는 APT공격을 예방하기에는 한계가 있다는 점을 대변하고 있다. 즉, 침입차단시스템, IPS, 악성코드 백신 시스템 등에 대한 투자 및 노력은 미래에도 필요하기는 하나, 모든 공격을 예방하기는 어렵다.

따라서 앞으로는 정보보호에 대한 투자는 신속 대응 및 대응역량을 높이는 데 사용되어야 할 필요가 있다. 침입패턴에 기반한 공격탐지기법으로는 새로운 침입을 탐지하기 어려우며, 따라서 악의성 의도를 의미하는 비정상행위를 식별할 수 있는 광범위한 모니터링이 필요하다. 즉, 정밀하고, 전반적이며, 상황인식에 기반한 위협 모니터링 구축이라는 방향으로 정보보호 노력이 집중될 필요가 있다.

기술적 대책 위주의 정보보호 한계