보안 ‘체인’ 관점에서 봐야 ‘소잃고 외양간 고치는 일’ 없다

인터넷 민원발급기 보안사고에 대해 어느 신문에서 ‘창과 방패’를 운운하며 어쩔 수 없는 일이니 사용자가 직접 원문과 비교하는 것이 가장 안전하다는 권고한 기사를 본적이 있다. ‘공격과 방어’의 관계가 ‘창과 방패’의 관계라는 것 자체를 부인하려는 것은 아니다. 공격과 방어의 관계는 분명히 창과 방패의 관계를 가지고 있다.

전 세계의 IT 서비스 플랫폼으로 사용되고 있는 HP나 IBM 등과 같은 시스템의 운영체제(OS)도 사람이 만들다 보니 실수가 없을 수는 없다. 그러한 문제점을 찾아 취약점 코드를 만들고 문제점과 해결 프로그램(패치)이 알려짐으로 인해 끊임없이 운영체제가 개선되도록 하는 자들이 있는가 하면 이를 악용하여 공격의 도구로 사용하는 사람들이 있게 마련이다.

그러나 이렇게 발견되는 취약점들은 시스템의 운영체제와 프로그램에 대한 깊이 있는 지식을 필요로 하는 것은 당연하기 때문에 그 공격자의 수는 적을 수밖에 없다. 경우에 따라 좋은 의도로 인터넷을 이용해 배포할 때에라도 이들은 아무것도 모르는 사람이 그냥 가져다가 쓸 수 있을 정도로 잘 다듬어서 배포하지는 않는다. 때문에 이들로 인한 보안위협은 적을 수밖에 없는 것.

이런 관점에서 볼 때 인터넷 민원발급 시스템의 문제점은 간단한 문서편집기를 다룰 줄 알고 마우스만 클릭할 줄 아는 수 많은 인터넷 사용자들이면 누구나가 쉽게 공격자가 될 수 있는 어이없는 취약점이다 보니 이를 두고 창과 방패를 운운하면서 넘어가기에는 정치색이 너무 짙어 보인다.

예전의 메인프레임에서의 보안은 통제해야 할 요소들이 한곳에 집중되어 있었으나 지금의 IT서비스를 구성하는 인프라는 다양한 사용자 구성, 컨버전스와 같은 복잡한 IT기술의 접목과 더불어 서비스들간의 체인(Chain)을 구성하고 있기 때문에 보안도 체인의 관점에서 봐야 하는 것은 당연하다.

일전의 인터넷뱅킹 사고의 경우는 프로세스간의 데이터 플로우의 관점에서 보면, 보안 컴포넌트에서 생성된 임시저장 데이터의 안전성을 제대로 파악하지 않고 공인인증서를 사용하고 있다는 포인트 솔루션을 과신한 것이 큰 실수였다. 이에 비해 최근 일어난 인터넷 민원발급 보안사고의 경우는 진입점(Entry Point)과 출구점(Exit Point)을 중심으로 한 데이터 플로우에 대한 시큐리티 분석과 대책이 강구되지 않은 상태에서 보안 솔루션 하나에만 의존한 것이 가장 큰 실수라고 판단된다.

결론적으로 보안은 체인의 관점에서 보아야 하며, 이러한 시큐리티 체인(Security Chain)은 시큐리티 아키텍처의 관점에서 분석되고 그 대책이 마련되어야 한다.

지금까지 IT 서비스를 활성화 하는데 열심히 달렸다면 이제는 시큐리티 체인에 신경써야 할 시기다. 예전에 정보통신부에서 추진하려 했던 정보시스템 영향평가제와 같이 IT 서비스가 개발되는 단계에서부터 법적, 제도적 보안문제는 없는지, 아키텍처 관점에서 보안설계를 기반으로 보안 테스트를 거쳐 안전한 IT 서비스가 될 수 있도록 노력해야 할 때이다. 아직도 늦지 않았다.

이제까지 여러 차례에 걸쳐서 소 잃고 외양간 고치는 작금의 현실을 뒤돌아 보며,  그러한 사후 처리에만 급급하지 않도록 시큐리티 체인을 구현을 통해 수많은 사람들이 불편을 겪는 일은 더 이상 반복되지 않았으면 하는 바람이다.

<글: 홍진기 인포섹 컨설팅사업본부 컨설팅 2팀장>