성과 창출의 효율 높이려면 우선순위의 올바른 정립이 먼저

[보안뉴스 문가용] 20/80의 법칙이라는 게 있다. 일명 파레토 원리. 이는 20%만의 투입으로 80%의 성과가 산출된다는 원리로, 공평한 배포란 사실 굉장히 드물게 나타나는 현상임을 지적한다. 예를 들자면 한 회사가 거두는 수익의 80%가 알고 보면 고작 20%의 고객에게서 나온다거나 하는 것이 바로 파레토 원리다. 모든 고객이 똑같은 양의 수익을 보장하지 않는다는 것. 정보보안 계통에서는 배포된 업데이트 및 패치 중 적은 일부가 정보보안 세계의 수많은 문제를 해결한다고 적용할 수 있다.

기업에서 보안을 책임지는 전문가 등 사이버 범죄의 최전선에서 싸우는 사람들이 꼭 기억해야 할 것은, 발견된 모든 위협요소 및 취약점이 똑같은 수준의 문제를 일으키지 않는다는 것이다. 어떤 건 아주 하찮은 공격으로 이어지고, 어떤 건 회사 문을 폐쇄시킬 정도로 큰 파장을 일으킨다. 즉, 정보보안 업무엔 항상 우선순위가 있다는 것이다.

이렇게 말하면 ‘아니, 세상에 우선순위 없는 게 어딨어’라며 뻔한 소리 하지 말라는 반응이 나온다. 하지만 현실은 어떨까? 아직도 대부분의 회사들이 일명 ‘만병통치 보안 솔루션’을 찾아 헤매고 있거나(즉, 다양한 사이버 위협들을 단순히 한 가지 종류의 범죄로 보거나) 리스크가 낮은 위협에 많은 돈과 인원을 배치한다(즉, 우선순위에 대한 개념이 정립되어 있지 않다). 오늘날처럼 사이버 공격이 양과 질 모든 측면에서 폭발적인 성장을 하는 때에 이는 시급히 다뤄야 할 문제다.

그러면 어떻게 해야 이 문제를 ‘시급히 다룰 수’ 있을까? 먼저는 현재 수립되어 있는 사건 대응 과정 및 방법들을 처음부터 끝까지 검토해 봐야 한다. 즉, 발견에서부터 분석, 치료 및 약화, 사건 종결까지의 모든 과정이 단계별로 어떻게 이루어지는지, 또, 얼마나 자원이 투자되는지 검토해야 한다는 것이다. 아마 엉뚱한 곳에서 생각보다 많은 돈이 새나가고 있다는 걸 발견할 수 있을 것이다. 자동화로 간편하게 처리할 수 있는 일들도 발견할 수 있을 것이다. 이렇게 문제가 정확히 무엇인지 파악을 할 수 있다면 자원을 보다 균형 있게 배치하는 게 가능해진다. 우선순위를 정한다는 건 바로 여기서부터 시작이다.

그럼 먼저 발견 단계를 살펴보자. 발견 단계란 ‘뭔가 이상해. 문제가 있어’라고 느끼는 단계다. 심각한 문제만을 말하는 게 아니다. 예를 들어 메일함에 불특정 다수를 겨냥한 피싱 메일의 제목을 보고 코웃음을 치는 것도 이 단계에 속한다고 볼 수 있다. 보통 이런 경우 대부분 회사원들은 메일 제목을 하나하나 수동으로 살펴가며 스펨메일 처리를 한다. 이런 ‘흔한’ 피싱 공격은 리스크가 굉장히 낮은 편에 속하는데 이에 대처하는 방법은 매우 비효율적인 것이다. 이는 회사가 피싱 메일을 자동으로 걸러주는 시스템을 도입해서 해결할 수 있다.

다음 단계는 분석이다. 이 역시 훌륭한 자동화 툴들을 여럿 사용하여 해결할 수 있다. 어떤 툴은 헬프 데스크 티켓을 만들고, 어떤 툴은 유입된 보안 관련 사건들을 분류한다. 또한 사건 전체를 조직화해나가는 툴도 있다. 이런 분석 단계를 강화하기 위해 기업들은 현재 다른 업체 및 조직들과의 위협 정보 공유 및 전략 공유를 위해 협력적인 관계를 맺어가기에 힘쓰고 있다. 분석 샘플이 많으면 많아질수록 정확한 결과가 나오기도 하고, 분석을 중복해서 두 번 세 번 할 필요가 없어지니 대응이 빨라지기 때문이다.

정보 공유를 촉구하는 목소리는 시장 참여자, 정책 입안자, 규제기관, 인프라 제공자들 사이에서 계속해서 있어왔다. 민간 기업들 역시 공격을 막기 위해 경쟁사와도 손을 잡는 데에 거리낌이 없었다. 이런 목소리가 모이고 모여, 현재 미국 정부는 첩보 공유에 대한 법안을 제정하는 작업 중에 있다. 이렇듯 자꾸만 공격자들의 표적이 되고 있는 기업 및 조직들이 힘을 합하면 분석이 빨라지고 또 이전보다 쉬워진다. 즉 사건이 일어나고 사후대처가 빨라지고 효과가 높아진다는 뜻이 된다. 심지어 첩보나 정보를 잘 공유만 해도 아예 공격을 원천 차단할 수도 있다.

사건을 종료시키는 것도 잘 해야 한다. 그냥 문제를 해결했다고 끝이 아니다. 공유하고 배운 것이 반드시 수반되어야 한다. 예를 들어 비행기가 추락했을 때 원인을 찾기 위한 각종 수사가 이어지는 것은 물론 이를 막기 위해 해야 할 것들에 대한 논의도 굉장히 오랜 시간 전투적으로 일어난다. 즉 사이버 공격을 미래에 어떻게 막아야 할 것인가 고민을 해가며, 가급적이면 결론도 내려가며 사건을 종료해야 한다는 것이다. 틀린 문제를 공부하라고 수험생에게 조언하는 것과 다르지 않다고? 하지만 이 역시 사람들이 머리로는 알면서 몸으로는 잘 모르는 영역이다. 심지어 대부분 회사들은 ‘공개하는 순간 회사의 명성에 금이 갈까봐’ 문을 꼭꼭 걸어잠그고 얼른 수사를 종결지어 아무 일도 안 일어난 것처럼 군다. 이는 반드시 버리고 넘어가야 할 사고방식이다. 자기가 배운 게 있으면 첩보를 공유하듯 교훈도 나눠야 하는 게 맞다. 다행히 이를 깨닫고 있는 기업들이 점점 늘고 있다.

또한 대부분의 기업들에서 기본적인 보안 수칙인 업그레이드와 시스템에 대한 투자를 소홀히 하고 있다는 것도 뼈아프다. 강력한 기능을 가진 새로운 제품만 사들인다고 보안이 잘 되는 게 아니란 걸 알면서도 더 좋은 시스템, 더 비싼 솔루션 사기에 더 많은 시간과 자금을 쏟는다. 이 역시 개선해야 할 부분이다.

사이버 범죄와의 전쟁을 쉽고 간편하게 수행하는 솔루션은 없다. 하지만 파레토 원리를 적용하는 순간 이 어려운 문제에 어떤 식으로 접근해 어떻게 풀어야 하는지 대강의 감은 잡힌다. 가장 중요한 건 최신 기술에만 매달려서는 안 된다는 것이다. 보다 전체적인 시각에서 산업과 시장, 더 나아가 국가 정세를 파악하면 정보보안 업무는 확실히 잘 풀리기 마련이다. 정보보안은 그런 큰 그림 속에서 발현되는 경우가 많아졌기 때문이다.

글 : 마크 클랜시(Mark Clancy)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>