원활한 커뮤니케이션과 투명성이 보안 관리 좌우 ‘필립 헤내건’

국제개발처(USAID)의 필립 헤내건씨는 기관의 연방 정보보안 관리법(FISMA) 등급에서 높은 점수를 받았는데, 2년 전 F등급에서 A+등급으로 바뀌었다. 그만의 별도의 임무 즉, 이 정부기관의 경영진들이 보안상위험에 대한 책임을 지게하고, 그들의 결정에 근거가 될 수 있는 기준들을 마련하는 것이 좋은 점수를 받게 된 주요 요인이었다.   

매일 아침 80여 개의 나라에서 일하는 8,000여 명의 사람들은 컴퓨터에 로그인할 때 마다 보안 관련 팝업창을 자신의 모니터에서 보게 된다. 국제개발처(USAID)의 모든 직원들은 이 메시지를 읽고 이어서 나오는 퀴즈에 답해야만 그들의 응용 프로그램들을 런칭할 수 있게 된다.

이러한 보안경계 프로그램은 필립 헤내건씨가 최고 정보보안 책임자로 부임하기 바로 전날 연방 정보 보안관리법(FIS MA)의 등급에서 F를 받았던 기관을 정보보안을 생활의 일부로 만든 사례 중의 하나이다. “확실히 더 이상 나빠질 곳도 없었지요” 헤네건씨는 웃으면서 말했다. “그러나 이것은 우리에게 변화의 필요성을 쉽게 각인시켜준 것이 되었습니다.” 국제개발처는 최근 2년간 A+를 받았으며, 특히 2005년에는 만점을 획득했다.

이것은 대단한 업적이었는데, 특히 국제 개발처의 방대한 임무와 정보 인프라를 고려해보았을 때 더욱 그러하다. 이 기관은 시에라리온, 수단, 아프가니스탄, 이라크, 아이티 그리고 몽골 등의 위험하고 외딴 지역에 경제발전을 위한 지원과 인도주의적인 지원을 수행하는 기관이다.

그 결과 국제개발처는 인터넷 접속을 위해 55개의 ISP을 사용하며, 16,000개의 네트워크 장비와, 100개의 방화벽, 300개의 라우터, 그리고 다수의 이종 응용 프로그램을 관리하고 있다.

그러나 헤네건씨에게는 그만의 별도의 임무가 주어졌다. 즉 이 정부기관의 경영진들이 보안상위험에 대한 책임을 지게하고, 그들의 결정에 근거가 될 수 있는 기준들을 마련하는 것이었다.

헤네건씨가 이 조직에 들어오기 이전의 보안관리팀은 진공상태에서 일하고 있었다. 보안 관리부서는 보안유지에 대해 전적으로 책임을 지고 있었으나, 조직 내 다른 부서간의 대화가 이루어지지 못했다. 더욱이 이 동떨어진 보안팀은 기술적인 보안문제에 대해 외부의 사람들이 관여하는 것을 원치 않았다고 헤네건씨는 설명했다. 

이러한 상황들은 헤네건씨의 감독 아래 모두 변하게 되었다. 그는 이 기관의 조직적 인사일로를 해체하고, 매월 보안상의 취약점과 보안위험에 관한 레포트 카드를 최고 재무관리자(CFO), 인사관리자, 국가관리자 그리고 다른 주요 임원들에게 제공했다. “이를 통해 우리가 가진 취약성을 75%를 감소할 수 있었습니다. 이전까지 임원진들은 보안에 문제가 있었음을 전혀 알지 못했습니다.” 국제 협력처의 정보 보안 시스템부의 책임자인 조지 무어씨는 말했다.

헤네건씨는 또한 인가절차를 바꾸었다. 그가 시스템의 보안성을 높이기 위해 노력하는 동안 그는 경영진들에게 그들의 분야에 속하는 자료들에 관련하여 야기되는 위험들을 감수하거나 이를 완화시키도록 압력을 가했다. 곧, 그들은 OS와 데이터베이스 보안에 관여하기 시작했다. “그는 측정과 절차를 강조하였으며, 결과가 이를 증명하여 주었습니다.” 미연방국의 최고정보 보안 책임자인 존 스트류페르트씨는 이렇게 말했다.

그러나 이러한 것은 쉬운 일이 아니다. 헤네건씨는 먼저 정보보안 인프라를 구축하여 임원단이 이해할 수 있도록 올바른 자료를 캡쳐하여 제공해야했다. 헤네건씨와 그의 팀은 그렇기 때문에 취약성 관리 프로그램인 호스트와 네트워크 IDSes를 도입했으며, SIM을 도입하여 자료를 수집하도록 했다.

마침내, 국제개발처는 발생가능성이 희박한 위험 요소들까지 포함한 사업 위험들에 기초하여 취약성의 우선순위를 매길 수 있는 보안 위험분석 솔루션을 시행하는 첫 번째 정부 기관이 되었다.

“우리는 알려진 보안위험에 대한 관리판단을 모든 자료에 대해 할 수 있어야만 했습니다.” 국제 개발처의 정보 보증국의 디렉터인 빌 게이머씨는 말했다. “과거에는 취약성 검사를 6개월마다 시행하여, 그 결과를 그들에게 이야기하고 이러한 문제가 수정되었는지 다시 검사했습니다. 이제 이러한 검사를 2~3일에 한번씩 시행하고 있습니다.”

이러한 기관의 보안관리 능력은 2004년 12월 쓰나미가 동남아시아에 발생하여 20만 명 이상이 사망하고, 200만 명의 가까운 사람들의 집을 앗아갔던 시기에 그 빛을 발했다. 이 지역의 국제개발처의 지원이 필요한 상황이었다. 많은 지역이 황폐화되었고, 이에 따라 전통적인 방식의 네트워크 설치가 가능하지 않았기 때문에 헤네건씨의 보안팀은 시스템의 보안위험을 세심하게 모니터해야만 했었다.

“그 지역의 네트워크 시스템은 어떠한 규칙도 제대로 지켜지지 않은 체 구축되었지요. 하지만 우리가 보안위험을 모니터할 수 있는 한, 이러한 위험을 우리는 관리할 수 있었습니다. 2월에 이르러 우리는 시스템의 보안상의 위험을 적정 수준까지 낮출 수 있었습니다.” 헤네건씨는 이렇게 말했다.

“저는 우리가 항상 기준을 높여가고 있는 기분이 듭니다,”게이머 씨가 말했다. “필은 아주 단호한 사람이며, 변화를 만들어내는 애국자 같은 사람입니다.”

Etcetera

◆당신의 조언자는 누구인가? 앤티 러스니엘로이다. 그는 나의 첫번째 상관이었는데, 그는 다양하고 많은 IT 프로젝트를 성공적으로 관리하였고, 이러한 것들이 관리가 필요한 기타 프로젝트들과 다를 바가 없다는 것을 보였던 사람이다.

◆여가 시간에는 나는 스테인드 글라스을 만들며, 금속을 녹여 장신구를 만들곤 한다.

◆나의 정보보안에서의 첫 번째 새로운 시도는 그냥 사라지는 것처럼 보이는 CPU시간의 몇 초 동안 어떠한 일이 벌어지는 지를 알아내는 것이었다. 일년여 동안 이것에 더 많은 CPU 시간 초가 더해졌다.

◆당신이 한사람을 만나야 한다면... 그것은 아마 미가엘 고르바체프가 될 것이다. 그는 급진적이고 사람들이 꺼려하지만, 꼭 필요한 변화를 만들어 내는 사람이다. 그가 시도하였던 변화를 통해 성취된 것을 감안하여 볼 때, 그는 내 시대의 많은 사람들에게 큰 영향을 미친 사람임이 분명하다.

<글: 켈리 다모어(Kelley Damore)>

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>