갈수록 중요해지는 덕목, 커뮤니케이션과 큰 그림 보기

데이터 3단계 분류법 제안 : 규제, 상업, 협업

[보안뉴스 문가용] 클라우드 세계가 빠르게 움직이고 있다. 가격도 싸고 직접 PC에 설치해야 구동이 가능해지는 온프레미스(on premise) 클라우드에 비해 기능도 만만치 않은 대중 클라우드 서비스도 속속 출현하고 있다. 하지만 클라우드가 좋아지고 늘어난다고 해서 마냥 기뻐할 수만은 없다. 클라우드와 모바일 환경이 우리 생활에 깊숙이 들어오면 올수록 과거와 미래의 정보유출 사고의 영향이 더 크게 다가올 것이기 때문이다.

클라우드 서비스는 제공자나 사용자 모두 분명히 공격 대상이 될 것이다. 이는 사실에 가까운 예견이다. 이런 미래에서는 기업체가 가장 큰 손해를 얻게 될 것이 뻔하다. 우리는 이에 대해 어떻게 대처해야 할까? 클라우드, 모바일, 데이터가 키플레이어가 되는 환경에서 우리가 할 수 있는 일은 무엇일까?

커뮤니케이션 실패

늘 나오는 문제이지만 늘 별 거 아닌 걸로 치부되는 문제 중 하나가 커뮤니케이션이다. 보안 관련 부서와 다른 사업 부서와의 커뮤니케이션이 원활하게 이루어지는 경우는 아직도 보기 힘들다. 하지만 그렇게 하기만 한다면 CISO와 정보보안팀은 팀 경영 및 업무 도모에 실제적인 영향을 끼칠 수 있는 사람들과 훨씬 더 탄탄한 팀워크를 발휘할 수 있게 되며, 이는 곧 효율적인 데이터 보안으로 연결된다.

데이터라는 것이 회사의 방어벽 뒤에서 안전하게 생성되고 그곳에서만 상주하던 시절에는 인프라의 엔트포인트 및 주요 지점에서의 제어문제만 해결하면 되었다. 그리고 이런 시스템 속에서는 현대의 클라우드 홍수를 대처할 수 없는 것이 당연하다. 일단 기업이 전통적으로 가지고 있던 ‘활동 영역’의 범위가 완전히 대체되었다. 경계를 회사 방화벽 내의 공간이라는 것이 사실상 사라졌다는 뜻이다. 또한 엔드포인트의 제어라는 것 역시 그 영향력이 크게 줄어들어서 정보의 자유로운 흐름을 걷잡을 수 없게 되었다.

대중 클라우드를 적극적으로 사용하는 업체 및 조직들은 법적인 이유에서 특정 규제와 표준을 준수하는 클라우드 업체를 찾아 나서고 있고, 또 그런 업체와 제휴를 맺어야 대중의 신뢰도 살 수 있다. 하지만 이 공식이 그렇게 간단하지만은 않은 것이, 규제와 표준이라는 것이 보호라는 대의명분을 가지고는 있지만 실천하고 준수하는 것이 결코 쉽지 않기 때문이다. 잡다하다고 느껴질 만큼 세세한 준수 사항들을 하나하나 확인하다보면 ‘보안’이라는 기본 명제는 어느새 잊히고 기계적이고 ‘영혼 없는’ 체크리스트만 나열될 뿐이다. 그리고 보안에 대한 그런 마음가짐 및 태도는 오히려 더 큰 구멍을 야기한다.

또한 정보보안 담당자가 데이터를 분류하고 처리하는 기준이나 방식 또한 사업의 전체적인 방향과 무관할 수는 없다. 그렇기 때문에 사무 환경 내에서 클라우드 및 모바일 환경의 변화라는 커다란 그림을 먼저 이해하는 것이 필요하다. 원활한 커뮤니케이션이란 단지 말을 곱게 하고 기분 좋게 둘러 표현할 줄 아는 기술만을 말하는 것이 아니다. 보안의 표준 및 준수사항뿐 아니라 사업 방향이라는 큰 그림에 대한 공통의 이해와 동의가 든든히 받침 되어야만 가능하다는 것이다.

데이터 분류

정보를 규제 정보, 상업 정보, 협업 정보의 3단계로 나누자는 움직임이 산업계를 막론하고 시작되고 있다. 정보란 것을 단순히 세 개의 항목으로 분류한다는 것이 어불성설처럼 느껴지기도 하지만 대신 이렇게 간단한 분류 모델을 도입하면 일반 사용자를 대상으로 치명적인 정보가 무엇인지, 그리고 그런 정보의 교류와 거래가 어떻게 이루어지는지 교육하는 것이 굉장히 수월해질 수 있다.

물론 산업별로 혹은 직종별로 전혀 다른 분류법을 사용하고 싶을 수도 있다. 하지만 먼저 규제, 상업, 협업의 기본 3단계를 최대한 맞춰보는 것이 어떨까. 규제 정보는 개인식별정보 등 어떤 식으로든 규제가 필요한 정보를 말하고 상업 정보는 B2B 혹은 B2C 거래로 발생한 정보, 산업 데이터 및 첩보 등을 말하며 협업 정보는 문서 협업, 디봅스(DevOps), 대중이 접근 가능한 정보를 말한다. 이런 분류 규칙만 이해하면 꾸역꾸역이라도 이 세 가지 항목에 정보를 정리해 담을 수 있을 것으로 보인다.

이는 기존의 ‘기밀’과 ‘공개’의 정보 분류법과는 확연히 다르다. 위 3단계 분류법이 갖는 장점은 개인의 가치관 및 기분에 따라 ‘비밀/공개’로만 정보를 바라봤을 때 발생할 수 있는 잘못된 해석 및 파악의 확률이 크게 줄어든다는 것이며, 분류 작업 자체가 일반 사용자에게도 크게 어렵지 않다는 것이다. 그러므로 ‘정보’라는 막연한 개념이 좀 더 쉽게 다가오며, 그러므로 실수나 무개념으로 인한 보안사고 확률이 줄어든다.

정보는 식별, 분류, 디지털 태깅이 가능하다. 또한 분류에 따른 워터마킹 처리도 가능하다. 위 3단계 분류법을 사용한다면 사용자가 데이터에 이름을 붙이고, 접근하고, 인증하고, 권한을 받아 로그인 하고 모니터링하는 모든 ‘정보 제어’ 과정을 간편하게 배치할 수 있다. 이런 식으로 데이터의 종류를 분류하면 암호화의 강력함 정도 또한 상황에 맞게 결정할 수 있다. 상업 정보에는 암호화가 거의 필수사항이겠지만 협업 정보의 경우는 조금 달라야 하는 것처럼 말이다. 또한 데이터의 유통 자체를 제어해야 하는 건 규제 정보가 거의 유일할 것이다.

CISO와 클라우드 서비스 제공업체

정보 및 데이터를 간략하게나마 분류하게 되면 CISO가 클라우드 서비스 제공업체와 훨씬 수월하게 일을 할 수 있다. 즉 데이터 보안을 그저 기계적인 체크리스트에 따라 ‘준수’하는 것보다 훨씬 안정적이고 효과적으로 수행할 수 있다는 뜻이다. 그런 협조 관계 속에서 CISO와 정보보안 팀들은 디지털 워터마킹 기술, 암호화, 강력한 사용자 접근 제어, 데이터 레지던시(데이터의 물리적 위치) 제어 등을 통해 데이터, 사용자, 거래, 사업 진행 과정을 보호할 수 있게 된다.

그냥 시키는 걸 그대로 따라하는 시스템이 아니라 이런 포괄적이고 능동적인 접근이 이루어질 때 보안뿐 아니라 클라우드를 둘러 싼 고객과 회사 사이, 회사와 파트너 회사 사이의 신뢰 문제가 해결된다.

이야기를 정리해보자. 다시 처음 질문으로 되돌아가 클라우드의 홍수 속에서 데이터를 보호하고 리스크를 줄이기 위해 정보보안 담당자가 해야 할 일은 무엇인가?

1) 회사의 사업 방향 및 비전이라는 큰 틀 안에서 정보 보안의 방법을 마련한다.

2) 보안과 상관이 없는 일반 다른 부서의 사용자들과 계속해서 대화를 해서 그들의 필요가 무엇인지 파악한다.

3) 정해진 항목이 지켜졌는지 아닌지 기계적으로 확인하는 데에만 그치는 것이 아니라 데이터와 사용자 중심의 정보제어에 집중하는 방향으로 선회한다.

4) 데이터를 아주 기본적인 3단계로 분류해서 가장 중요하고 가치 높은 정보가 무엇인지 결정부터 한다.

보안은 특히 공격이 곧 최선의 방어라는 마음으로 능동적인 행동을 취할 때 더욱 잘 이룰 수 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>