내부 보안규정의 이해·적용 및 생활화 중요
보호해야 할 대상과 방법이 무엇인지 직시해야

[보안뉴스= 최재영 포스코ICT 보안관제운영팀 매니저] 우리는 금전적·정신적·육체적인 노력을 더해 안전한 상태를 유지하기 위해 어떤 노력을 하고 있는가? 정보보안 활동을 정말 잘하고 있다고 확신할 수 있을까. 물론 “100% 보안을 어떻게 하느냐. 그런 보안이 어디 있느냐”를 이야기 하는 것이 아니다.

▲ 보안사고에 대해 누구를 탓하기 전에 우리는 앞으로 발생할 사이버공격, 침해사고,     정보유출에 대해서 어떤 대비를 해야 하는지 분석해봐야 할 필요가 있다.

필자는 오랜 보안업무의 현장 경험에 비추어 현재 상황의 문제점이 무엇인가를 되짚어 보고자 한다. 불과 몇 년 전만 하더라도 보안사고가 발생하는 기업이나 기관이 문제가 있다고 이야기가 나오던 것이 최근에는 정책이나 프로세스(인력, 운영방식)에 문제가 있다는 식으로 보도되고 있다. 그렇다면 상위기관에서 일괄적으로 지시나 지침으로 내려주는 가이드라인에 문제가 있다는 얘기와 일맥상통한다.

특정기술을 사용하는 것을 강제화할 수도 없는 것이고, 이에 대한 면죄부를 주어서도 안 된다. 급기야는 외주업체 관리에 문제가 있다는 이야기도 나오고 있다. 그러면 IMF시절 전산인력을 대거 아웃소싱 했던 문제를 인소싱 해서 직영화하면 문제가 해결된다는 논리로 들리기도 한다.

이유야 여러 가지가 있겠지만 조금씩 문제점을 보완해볼 필요가 있다. 각 기업이나 기관에서 조직의 최적화된 보안정책이 마련되어 있지 않아서 그런 것일까? 아니면 가이드라인에 맞추려다 보니 적절한 보안규모나 예산이 없어서 그렇게 하지 못한 것일까?

전 세계 어느 국가를 막론하고 해킹이나 정보유출에 자유로울 수 없다. 실제적으로 정보유출의 많은 부분은 접속이 가능한 내부자 혹은 내부 조력자가 있는 경우 가능하다는 것이 지난 10여 년 간의 정보유출사고 관련 분석에서 이미 나왔고 해킹이라는 기술적인 침해사고의 경우 역시 목표물 공격(Targeted Attack), 흔히 말하는 APT와 같은 고도의 공격이 아닌 일반적인 사고 형태에 기인하고 있는 것이 사실이다.

고도의 해킹 공격의 경우, 그러한 사실이 드러나지 않도록 모두 증거를 인멸하는 경우가 많아 증거 확보에도 어려움이 많은 것이 사실이다. 결론적으로 얼마나 조직의 자산, 그리고 이에 대한 분류와 감시 활동을 잘 수행하고 있으며, 이러한 자산을 보호하기 위한 보호와 감시, 통제를 하고 있는지? 또 외부 공격에 대한 이해와 지속적인 공격기술의 발전을 이해하고 있는지 반문하고 싶다.

예를 들어, 전쟁에서 전쟁을 잘하는 방법, 전쟁을 치루면서 국가를 보전하는 방법, 군 통제방법, 전쟁에서 이기는 방법, 전쟁의 득실을 따지는 방법 등등. 다양한 방법론이 동원되고 있고 이 역시 방법이 정해진 절차나 기준이 있는 것은 아니기 때문이다.

보안을 하면서 실제 정보유출 사건·사고가 발생했을 때 문을 닫는 회사는 아직까지 없었고 비난을 받고 책임질 사람만 존재하고 있다. 이렇다 보니 정보유출시 사고에 대한 중요성은 매우 낮게 평가되고 있고 회사나 기관의 이름에 먹칠을 한 보안부서의 탓으로 돌리려는 전략으로 비춰지기도 한다. 누구를 탓하기 전에 우리는 앞으로 발생할 사이버공격, 침해사고, 정보유출에 대해서 어떤 대비를 해야 하는지 분석해봐야 할 필요가 있다.

첫째, 조직의 리더는 보안사고의 책임을 지기 위한 자리가 아니다. 보안사고의 책임은 조직 구성원 모두의 책임이라는 사실을 인식해야 한다. 회사나 기관이 문을 닫지 않으려면 개개인이 보안행위의 주체가 되어야 한다는 것을 인식하고 따를 수 있도록 해야 한다. 정보유출 사고가 발생되는 것은 앞서 말한 바와 같이 접속이 가능한 내부자 혹은 내부 조력자가 있을 수 있다는 가정 아래 조직구성원에 대한 효과적인 모니터링이 필요한 것이다.

또 내부 보안규정의 이해와 적용 및 생활화가 필수다. 평소 규정을 잘 지키고 체계적인 교육과 훈련이 되어 있다면 실제 보안 사건·사고에서 발생할 수 있는 위험을 최소화할 수 있다. 모든 보안업무와 보안정책에는 다른 이해관계가 존재하므로 최고 경영자와 보안조직간의 지속적인 커뮤니케이션이 이루어져야 하고 정확한 상황 판단과 대응이 필요하다.

두 번째, 외부 상황에 대해 관찰하고 내부 보안정책 변화 및 강화에 따른 대응전략 수립과 유지관리가 필요하다. 우리가 놓여있는 상황에 대한 내·외부적 원인을 분석하고 기업이나 기관이 수행하기 어려운 부분이 무엇인지 파악해야 한다. 이와 함께 우리 조직의 리더십이 수행될 수 있도록 조직내의 해당부서에 교육 및 훈련, 보안훈련 프로그램을 통해 지속적인 보안 훈련과 평가를 수행해야 한다.

또한, 잘 훈련된 외부 침투테스트팅 전문가를 양성해 훈련과 테스트 결과에 따른 대응방안을 구체적으로 수립하고 상황 발생시 혹은 상태 변화시 대응할 수 있도록 해야 한다. 그러나 이러한 접근방법을 가지고 보안활동을 이행하는 기업과 조직은 거의 없는 형편이다.

이를 위해서 기업의 보안관련 업무를 수행하는 부서가 적절하게 구성·운영되어야 하고 적절한 훈련을 통해 상황에 맞는 판단과 대응을 할 수 있는 충분한 리소스를 할당받아야 한다.

세 번째, 보안사고에 대비해 내부자산 중요도, 분포, 이동, 이용, 저장 등을 관리해야 한다. 사이버 공격이나 정보유출은 실제 전쟁과 같은 실제상황이다. 이에 내부자산(시스템, 데이터)에 대한 중요도, 분포, 이동, 이용, 저장 및 분실 상태 등을 정확이 파악하고 있어야 한다.

실제로 어느 부서의 어느 시스템이 내·외부 공격에 가장 잘 노출되어 있는지 이러한 부서와 시스템이 갖는 어떤 취약점이 있는지, 취약점 관리가 제대로 되고 있는지, 이러한 취약점에 대한 공격은 어떻게 이루어질 수 있을지에 대한 점검과 문제 해결을 위한 관리가 필요하다.

이를 위해서는 상황을 재현해서 무결성으로 복원할 것인지에 대한 고민과 실제 확인이 필요하고, 이에 대한 로드맵 작업을 수행해야 한다.

또한, 기업이나 조직에 IT자산과 데이터 자산에 대한 이해와 이용 및 접근에 대한 정책을 지속적으로 관리·운영하고 데이터의 생성, 저장, 이동, 이용, 재생산, 보관, 폐기에 이르기까지 6하 원칙에 의해 관리와 모니터링을 해야 한다.

예를 들어, 기업이나 조직의 IT기기에 대한 자산 중요도를 분석해 위험관리 기준에 따른 보안등급을 설정, 장비 접근에 대한 계정권한을 제한하고, 어디에서 감시가 이루어지고 있는지, 무엇을 감시하고 무엇이 감시대상에서 제외되고 있는지, 보안장비나 정책 등이 수행할 기술범위는 어디까지이고 잠재적 감시대상에서 놓칠 수 있는 위험 리스크는 없는지를 파악해야 한다. 그리고 실시간 혹은 비실시간으로 분석 및 확인을 위한 방법과 기술을 적용·운영해야 한다.

실제적으로 우리 조직에 어떤 문제가 존재하는지를 파악하고 외부의 위협과 내부의 공격 가능성에 대해서 공격패턴이나 위협들로부터 어떠한 노력을 수행하고 있는지를 점검해야 한다. 이와 함께 이에 대한 적절한 리소스를 할당하고 있는지, 전문적인 기술을 유지할 수 있는지, 사고 시 외부조직에 어떻게 도움을 받을 수 있는지 등, 여러가지 상황에 대비한 지침과 프로세스가 정비되어야 한다.

네 번째, 다양한 변화에 대해 각각의 상황에 맞게 적용할 수 있는 유연성을 확보해야 한다. 아무리 잘 만들어진 안전한 시스템 구조와 솔루션이 준비되어 있더라도 방어자 입장에서 수많은 공격에 대비해서 어떻게 하는 것이 방어를 잘하는 것인가를 우선순위로 고려해야 한다. 

이를 위해 가장 필요한 것은 항상 최적의 보안상태를 유지하고 실제 공격에 유효한 대응을 하고 다양한 변화에 따라 적용·검토하고 유지·관리하는 노력이 필요하다. 실제로 숙련된 공격자(해커)의 경우 눈에 띄는 행동을 하지 않기 위해 자신을 노출하지 않고 다양한 공격기술들을 최대한 이용해 내부의 보안 홀에 대해서 지속적인 공격을 진행할 것이다. 이에 대비하기 위해서는 조직의 모든 데이터와 보안상태를 정상적인 상태로 유지해야 할 책무가 있다는 것이다.

대부분 내부상태 식별을 위해 다른 사고와 연관되어 있지 않은지에 대해 다양한 기법과 기술, 방법론을 통해 정확히 이해하는 노력이 필요하다. 또 현재 이용되고 있는 공격기법에 따른 기술과 악용하는 취약점, 그리고 노출된 취약점들에 대해 지속적으로 파악해야 한다. 

끝으로, 북한의 비대칭 전력의 하나로 사이버 전력이 있다. 이들이 노리는 것은 무엇인지, 우리는 무엇을 가지고 있는지 냉정히 분석해야 한다. 결국 기업이나 조직에 이들이 노리고 있는 것은 무엇이며, 어떠한 기술과 방법을 활용해 사회적으로나 사이버상에서 이용하는 것인지를 파악해야 한다.

현재 너무나 많은 공격 기술과 방법들이 존재하지만 우리가 다양한 기업이나 조직에 이용될 수 있는 것들을 분석해 이러한 문제를 해결하기 위한 노력과 시간·비용을 적절하게 지출하고 있는지에 대한 고민이 필요하다.

즉, 우리는 이와 같은 분석결과에 따라 보안문제 해결을 위해 제대로 활용하고 있는지, 보호해야 할 대상과 방법이 무엇인지를 직시할 때 다양한 보안위협에 대비할 수 있다.

[글 _ 최재영 포스코ICT 보안관제운영팀 매니저(kthigh11@naver.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>