거대한 문제 앞에 우리가 내딛을 수 있는 건 꾸준한 한 걸음뿐

사소한 정보 공유, 사소한 인식 변화, 사소한 관계로 쌓는 큰 힘

[보안뉴스 문가용] 몇 백만, 몇 천만의 고객정보가 유출됐다는 뉴스는 더 이상 새롭지도 않고 분노를 일으키지도 않는다. 이제 개개인의 정보는 공공재산이라는 말이 나돌 정도다. 이런 때에 총책임의 자리에 앉아 할 수 있는 건 작은 것들부터 개선해나가는 것이다. 위대한 행위만 문제를 해결하는 건 아니니까.

시만텍이 발표한 ‘인터넷 보안위협에 관한 보고서’에는 2013년에 일어난 데이터 유출 사고가 2012년 대비 62%나 늘어났다고 조사됐다. 거기다가 천만 명 이상의 신원 정보가 한 사건으로 유출된 대형 유출사건은 1건에서 8건으로 급격히 늘었다. 이렇게 대단위로 정보가 유출되면 해당 브랜드의 명성과 신뢰도가 빠르게 떨어지고 법적 분쟁이 발생하며 고객과의 관계가 껄끄러워진다.

만병통치약 같은 건 없어

‘데이터 유출을 명쾌하게 막을 수 있는 방법이나 프로그램은 없는가?’라고 묻는 사람이 많다. 미안하지만 세상에 그런 건 존재하지 않는다. 오늘날 기술의 발전이 서로 맞물리며 얼마나 복잡하게 가지치기를 해가고 있는지 잠깐 생각만 해봐도 한 알로 모든 걸 고쳐주는 만병통치약 같은 건 있을 수 없다는 결론을 쉽게 얻을 수 있다.

유출사건은 대부분 고도로 지능화된 해커들의 공격으로 일어나며, 이들은 데이터 센터, 메시지 게이트웨이(이메일 등), 엔드포인트(휴대 기기, 랩탑 등), 심지어 조직원 등 조직 내 보안망에서 가장 취약한 부분을 기가 막히게 파고든다. 지난 수개월 윈도우XP를 과거의 유물로 박제하고 OpenSSL에서 발견된 하트블리드에 대처하면서 기술의 발전속도와 공격 루트의 다양화는 불가분의 관계에 놓여있음을 우리는 여실히 목격했다.

이는 무슨 말인가? IT의 지평이 바뀔 때마다 정보보안의 지평 역시 날마다 새롭게 바뀐다는 것이다. 그런데 현실은 어떤가? IT 부서는 이제 모바일, 클라우드, 대용량, 사물 인터넷으로 세분화되어 가고 있는데 보안부서는 여전히 하나다. 공격방법이 하나 둘 늘어가는데도 방패의 종류와 개수는 변함이 없다는 것이다. 이제는 최고정보관리책임자 CIO(Chief Information Officer)와 최고보안책임자인 CSO(Chief Security Officer) 간의 관계도 새롭게 정립해야 한다. 새로운 기술은 새로운 위협을 동반하고, 새로운 위협은 또 새로운 기술을 낳는 순환고리가 이미 형성되었기 때문이다. 이에 대해 좀 더 구체적으로 언급하고자 한다.

“C”들만의 리그

먼저 CIO와 CSO라면 다른 ‘C’로 시작하는 사람들과도 정보 및 위협 요소에 대해 활발히 이야기를 나눌 필요가 있다. 물론 전문용어의 사용을 줄이고 평이한 단어들을 사용해서 알아듣기 쉽게 대화를 이끌어야 한다. 그러면서 이전 시스템과 현재 필요한 시스템의 차이를 설명하고 어떤 취약점을 어떤 식으로 보강해야 한다는 이해를 도울 수 있어야 한다.

CEO(최고경영자)나 CFO(최고재무책임자)와 대화를 하면 필요한 보안 리소스를 확보하는 것이 가능해진다. CMO(최고마케팅경영자)는 고객이나 거래 상대에게서 받아 저장하는 정보의 효용가치를 판단 및 규정해주고 CTO(최고기술경영자)는 보안담당자가 주의 깊게 살펴야 하는 IP를 콕 짚어줄 수 있다. 윈도우XP의 서비스 종료나 정보유출 사고를 회사 차원에서 대응하는 방안을 마련하는 것 같이 규모가 큰 문제에 있어서는 이런 최고책임자들과 꼭 의견을 나누어야 한다.

해커의 마음으로

해커는 물과 같다. 저항이 최고로 적은 경로로 유입하기 때문이다. 조직의 IT 구조를 바라볼 땐 항상 이런 해커의 물과 같은 시점으로 바라보아야 한다. 가장 중요한 정보는 어디에 저장되어 있는가? 내가 해커라면 공략해볼 만한 가장 취약한 곳은 어디인가? 어느 정도 공을 들여야 해킹을 완료할 수 있을까?

그러나 생각만으로 해커의 마음을 가질 수는 없다. 해커의 시점을 갖추려면 물론 해커의 지식을 가지고 있어야 한다. 그러나 이는 현실적이지 않거나 일부에게만 해당하는 이야기다. 해커의 전문성을 갖추기 어렵다면 ‘어떤 식으로 외부의 도움을 구할 것인지?’를 생각해보는 것이 좋다. 예를 들어, 최근 페이스북은 대중들이 이용하는 페이스북 웹페이지뿐 아니라 내부 인프라에서 취약점을 발견하는 자에게 현상금을 내렸다. 해커가 발견하기 전에 침투 가능성을 차단하고자 한 시도였다.

보안전문 업체는 위협과 공격을 감지하기 위해 24시간 불을 밝히고 있는 곳이다. 하지만 기업체의 일개 보안부서에서 이렇게 늘 깨어있기란 여건상 불가능한 경우가 많다. 이런 식으로 일반 업체 입장에서 깨어있을 수 없을 때 대신 자리를 지켜줄 수 있는 보안전문 업체와의 파트너십이 좋은 해결책이 된다. ‘전문’이라는 타이틀은 괜히 가지고 있는 게 아니다. 비전문가 100명이 100시간을 들여야 해결할 수 있는 일을 전문가 두 명이 단 두 시간 만에 끝낼 수 있다. 혼자서 모든 것을 다 해결하며 자급자족 할 수 있는 회사는 굉장히 드물다.

큰 그림 보기

자각을 하든 못하든 세상에는 우리의 일상을 가능케 해주는 보호책들이 무수히 많다. 우리는 돈을 맡길 때 은행에게 의지한다. 위험하다 싶을 땐 보안업체에 의지하고 무엇과도 바꾸기 힘들 정도로 소중한 것들은 보험으로 보호한다. 기업의 소중한 정보를 보호하려면 그에 걸맞은 일을 수행할 프로그램이 필요하다. 그 판단을 해야 할 때 발견, 예방, 응답, 조치, 복구의 다섯 가지 요소를 고려하는 편을 권한다. 아직까지 많은 업체들은 처음 두 가지인 발견과 예방에만 과도한 힘을 쏟고 있다. 사건이 터지기 전에 해결을 보는 게 좋다는 인식 때문이다.

틀린 인식은 아니다. 하지만 사이버 보안 및 범죄에 있어 가장 중요한 건 ‘만약 공격이 이루어진다면’이라는 가정이 아니라 ‘언제 공격이 이루어지나’이다. 그렇기 때문에 응답과 조치, 복구 역시 무척이나 중요한 요소임에는 변함이 없다. 데이터 손실방지 툴을 사용하는 등 회사 차원에서 대대적인 위기관리 프로그램을 도입하면 잠재위험을 더 크게 줄일 수 있다. 미리 대비하고 있으면 사건도 하나의 해프닝이 될 수 있지만 그렇지 않으면 재난이 되는 법이다.

벌써부터 전전긍긍할 필요는 없다. 한 방에 모든 걸 해결하는 방법은 없을지 몰라도 여러 차례에 걸쳐 비슷한 효과를 낼 수는 있다. 작은 것들을 충실히 하다 보면 나도 모르게 큰 문제를 해결할 수 있게 되는 게 세상 순리다. 그것을 거스르지 말자.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>