[보안뉴스=김정덕 중앙대학교 교수] 새롭게 변화하는 IT 환경에 따라 기존 정보보호 접근방법은 점차 그 효력을 상실하고 있다. 지난 시간에 소개한 현재 정보보호관리 패러다임의 한계점인 예방적 대책 및 기술적 대책 위주의 정보보호의 한계를 보면 알 수 있다.

따라서 이번 시간에는 향후 나아가야 할 보안의 미래상을 제시하고, 기존 정보보호관리 프로그램 개선방향을 위한 로드맵을 제시하고자 한다.

지속적 모니터링

예방적 대책의 한계를 극복하기 위해서는 지속적이고 포괄적인 모니터링이 필요하다. 그러나 구체적으로 무엇을 모니터할 것인가라는 질문에 답하기 위해서는 예상 시나리오에 따라 달라질 수밖에 없다. 침입 공격이 기업이나 조직을 대상으로 할 경우에는 모니터링은 응용, DB, 파일 시스템, 콘텐츠 관리 시스템 등 전사적 시스템에 대한 접근을 모니터링 해야할 것이다.

사용자의 접근 패턴을 기반으로 비정상적 행위, 즉 접근빈도, 다운로드 정보의 규모, 접근대상 정보의 유형, 접근요청 기기나 접근시점 등과 같은 접근 상황정보 등을 기반으로 침입을 식별해낼 수 있어야 한다. 특히, 클라우드를 통해 정보와 IT서비스를 사용할 경우, 클라우드 접근에 대한 비정상행위 탐지를 수행하는 서비스가 추가로 요구된다고 할 수 있다.

개인에 대한 공격 시나리오에서 효과적인 모니터링 및 탐지를 위해서는 개인의 ID와 역할에 따라 단말기에서의 활동을 모니터링 할 수 있는 기능을 제공해야 할 것이다. 이미 관련 모니터링 및 포렌식 도구들이 존재하며, 향후 단말기 보안 플랫폼을 제공하는 업체에서 이러한 모니터링 기능을 제공할 것으로 예상된다.

효과적이며 지속적인 모니터링과 함께 모니터링 정보 분석의 정확성을 높이기 위해서는 상황정보를 추가적으로 사용할 필요가 있으며, 모니터링 정보를 저장할 수 있는 대용량의 저장장치를 준비할 필요가 있다.

2013년 7월 미국 DHS 주도하에 미 정부기관에서의 지속적 모니터링을 위한 노력으로 향후 5년간 60억불을 투자해 지속적 진단 및 대응 프로그램(Continuous Diagnostic and Mitigation Program) 구축 사업을 개시함으로써, 사이버 보안위험을 실시간으로 식별 및 평가하고 그 결과를 실시간으로 자동 업데이트해서 대시보드 형태로 보여줄 수 있는 시스템을 정부기관에 구축하기로 했다.

구체적으로는 하드웨어 자산관리, 소프트웨어 자산관리, 구성관리, 취약점 관리 등 4가지 시스템을 구축함으로써 연방, 주, 지방 정부기관의 IT 취약점에 대한 모니터링 및 대응조치를 진행하고 있다. 또한, 미국 공공기관의 클라우드 서비스 보안 인증체계인 FedRAMP에서는 잠정 인증을 받은 서비스 제공업체에게 그들의 클라우드 서비스에 대한 지속적 모니터링을 지시하고 이를 평가할 계획으로 알려졌다.

효과적인 보안사고 대응과 피해의 확산과 재발 방지를 위해서는 보안사고와 관련된 정보분석과 더불어 정보공유가 병행되어야 할 것이다. 이와 관련 위협·취약점에 대한 분석 및 공유 서비스 등 Security Intelligence 서비스가 최근 주목을 받고 있다. 이와 병행해서 공격자 정보에 대한 분석 및 공유 서비스도 제공될 필요가 있다.

인간 중심의 정보보호

인간 중심의 정보보호 전략은 개인의 권한과 이와 관련된 책임을 강조하며 신뢰를 기반으로 하는 한편, 제한적이고 예방적 성격의 보안대책을 가급적 최소화하고자 하는 접근방법이다. 즉, 기존의 정보보호 방식이 기술적 대책과 보안정책을 기반으로 개인 사용자에 대한 신뢰영역을 축소시켰다면, 인간 중심의 보안전략은 자발성, 소통, 탐구 등을 통한 개인 사용자의 신뢰 영역을 가능한 한 확장하고자 하는 방식이다.

인간 중심 보안을 위한 주요 전제조건은 개인 사용자들이 기술 및 응용시스템의 사용에 관해 적절한 위험기반 의사결정을 할 수 있는 능력과 환경이 보장되어야 한다는 점이다. 따라서 이 접근방법을 구현하기 위해서는 아래와 같은 세 가지 요소를 고려해야 할 것이다.

첫째, 개인 사용자의 권한과 책임이 명확하게 정의되어야 하고 이는 인센티브와 제재조치와 연계되어야 한다. 가능하면 이러한 권한과 책임은 문서화되어야 하며 모든 구성원의 동의하에 규약 또는 협정으로 공식화되어야 한다.

둘째, 개인 사용자의 책임과 자발성을 유도할 수 있는 교육 프로그램이 필요하고 이것이 조직문화 형성까지 연결될 수 있도록 해야 한다. 사용자의 책임성에 관해 단순히 인식 수준에만 머무는 것이 아니라, 행동으로 나타나게 할 수 있도록 교육 프로그램이 설계되어야 한다. 이러한 면에서 전통적인 인식제고 및 훈련 프로그램 과는 구별된다.

셋째, 위험기반의 모니터링 대책들이 구현되어 사용자의 예외적 행동을 모니터하고 교정활동을 수행할 수 있도록 해야 한다. 따라서 보안탐지 기능(DLP, SIEM, DAM 등)을 통해 보다 투명성을 보장해야 한다. 모니터링과 이에 따른 분석(Security Intelligence) 역량은 인간중심 보안구현을 위한 기본 조건이라고 할 수 있다.

이 접근방법의 성공요인은 사용자들의 권한-책임 서약에 대한 위반사항을 다루는 방법과 속도에 있다고 할수 있다. 위반사항에 대해서는 우선적으로 즉각적인 반응과 더불어 교정활동을 위한 피드백을 제공해 주어야 한다. 만일 교정활동이 효과적이 못하다면, 위반자의 권한을 제한하는 등 추가적인 제재행위가 고려되어야 한다.

모니터링에 대한 잠재적인 부정적인 영향을 최소화시키기 위해서는 긍정적 행위를 장려하고 인정하는 추가적인 인센티브를 제공할 필요도 있다.

미래 전략과 고려사항

앞서 시간에는 기존의 전통적인 정보보호 접근방법에 대한 한계를 지적하고 새로운 패러다임과 관련 이슈를 제시한 바 있다. 기존의 알려진 침입패턴에 근거해 침입을 탐지하거나 차단하는 기술적 대책으로는 복잡하고 지능화되는 APT 공격에 대처하기에는 한계가 있다.

이러한 예방적 성격의 기술적 대책은 보안사고가 증가함에 따라 계속적으로 추가되고 있으며, 이의 구축과 운영에 따른 비용부담뿐만 아니라 업무·IT 생산성 및 유연성에도 제한을 가하고 있다.

따라서 새로운 정보보호 접근방법으로 지속적이고 광범위한 모니터링 체계 구축과 보안정보 분석과 공유에 기초한 스마트한 보안, 개인 사용자의 권한과 책임을 강조해 자발적인 노력을 유도하는 인간 중심의 보안접근 방법을 제시했다.

특히, 인간 중심의 보안접근 방법은 새로운 패러다임으로서 지속적 모니터링과 보안 정보 분석 및 공유에 기반을 두어야 하고, 긍정적 보안문화 형성을 위한 변화관리 계획 수립이 매우 중요하다고 할 수 있다.

따라서 미래 전략으로는 우선적으로 지속적이고 광범위한 모니터링 체계를 구축하고, 모니터링 결과의 분석 및 공유체계를 통해 보다 위험에 근거한 의사결정을 내릴 수 있도록 해야 할 것이다. 이후 점차적으로 조직의 보안문화의 변화를 도모하면서 인간 중심의 보안 접근방법을 실행하는 등 단계적 접근을 고려해야 할 것이다.

[글_김 정 덕 중앙대학교 정보시스템학과 교수jdkimcau@gmail.com]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>