현재 전략의 상태를 평가하기 위한 세 가지 항목 : 정책, 위험, 경쟁력
현재 전략을 수정하기 위한 세 가지 원칙 : 연계성, 레이어, 단계별

[보안뉴스 문가용] 정보는 자산이다. 사업체가 몸이라면 정보는 혈액이다. 누구나 알고 있는 사실이다. 당신과 우리뿐만 아니라 범죄자들도 말이다. 그러니 이 자산을 중심으로 지키기 위한 전략과 빼앗으려는 전략이 맞부딪히고 있으며, 이제 사이버 범죄는 ‘누가 더 뛰어난 기술을 가지고 있느냐’를 넘어 ‘누가 더 뛰어난 전략을 가지고 있느냐’로 흘러가고 있다.


그렇다면 보안 전략이란 무엇인가? 여러 정의가 가능하겠지만 어느 부분에 초점이 맞춰져 있는지, 올바른 투자가 이루어져 있는지 살펴봄으로써 평가가 가능하다. 크게 세 가지 항목으로 볼 수 있다.

1. 법, 정책, 컴플라이언스의 측면
어떤 사업에 속해 있느냐, 어떤 데이터를 다루느냐, 어떤 제품 및 서비스를 시장에 내놓느냐에 따라 반드시 지켜야할 정책, 표준, 법안 등이 있다. 이는 또한 주요 시장이 속해 있는 국가 혹은 업체가 뿌리를 내리고 있는 지역에 따라서 달라지기도 한다. 예를 들어 사업상 소비자들의 신용카드 정보를 수집해야 한다면 PCI라는 정책을 무시할 수 없다. 건강 정보를 수집한다면 HIPAA가 PCI를 대신할 수 있다. 유럽에서, 유럽인들을 대상으로 사업을 하고 있다면 유럽만의 프라이버시법에 신경을 써야 한다. 그러므로 주요한 보안 전략이란 조직의 상황에 따라 매우 특수하며, 이런 특수성이 전략에 잘 반영시키는 건 기본 중 기본이다.

2. 경영위험
정보 유출사고가 일어난다고 가정했을 때 재정적으로 얼마큼의 피해가 발생하는지, 사업 경영에 얼마나 큰 위험이 초래되는지를 살피라. 정보 유출과 관련된 통계 및 연구 결과에 의하면 한 건 당 발생하는 피해액은 50~154달러 정도라고 볼 수 있다. 이 금액은 어떤 종류의 정보를 수집하는지, 그 정보를 어떻게 처리하고 저장하는지, 어떤 시스템을 사용하는지에 따라 달라질 수 있다. 어떤 부분에서 가장 높은 ‘위험’이 예상되는지에 따라 전략을 수정할 필요가 있다.

3. 보안과 경쟁력의 상관관계
정보 보안에 대한 고객들의 기대치는 생각보다 단순하다. ‘가장 높은 수준’을 기대하기 때문이다. 그러므로 한 기업이 가진 정보 보안에 대한 능력치는 경쟁력으로 이어진다. 시장 점유율의 유의미한 숫자를 보안 전략 하나가 가늠 지을 수 있는 것이다. 다시 말해 조직의 경쟁력에 ‘보안’이 포함되어 있지 않다면, 그 조직의 보안 전략은 전면 수정이 필요할 수도 있다.

위 세 가지 항목에 비춰 보완해야 할 부분을 발견했다면 다음 세 가지 원칙에 따를 것을 권장한다.

1. 사업과의 연계성
보안의 큰 방향성과 달성 목표는 사업 전체의 그것과 맞물려야 한다. 그러려면 사업을 기획, 총괄하는 책임자, 기술 전반에 대한 관리를 하는 당사자와 반드시 만나서 이야기를 들어보아야 한다. 이들의 입에서 나오는 걱정거리가 바로 보안이 해결해야 하는 임무가 될 가능성이 높다. 그렇다고 그들이 생각하는 것들을 곧이곧대로 받아 적으라는 건 아니다. 그들이 잘 모르는 보안의 영역도 있으니 의견을 조율해 보안의 우선순위를 정하고 장기/단기 목표도 설정해야 한다.

2. 종심 방어
종심 방어라는 표현이 어렵다면 ‘멀티레이어 보안’ 혹은 ‘층층이 보안’이라는 말로 대체가 가능하다. 보안 담당자들도 한 가지 솔루션을 ‘만능’으로 치부해버리거나 몇 가지 표준 및 정책 마련으로 보안의 할 바를 다 했다고 여기는 경우가 있는데, 절대 그렇지 않다. 닭 잡으러 오는 족제비를 정말 잡고 싶다면 덫을 예상 침투 경로 여러 곳에 설치해야 한다. 보안도 마찬가지다. 해커가 하나 둘 보호막을 걷어내도 다시 한 번 침투의 수고를 더하게끔, 그래서 데이터와 자산이 안전하게 보호받을 수 있게끔 여러 겹으로 둘러쳐야 한다.

3. 단계별 접근
전략을 만들 때 처음부터 크게 접근하면 구멍이 많아진다. 작은 것부터 시작한다. 기초를 깔고 위로 하나하나 쌓아가야 한다. 어느 것이나 그렇지만 기초가 튼튼해야 확장도 안정적으로 할 수 있다. 또한 한 번에 완벽한 전략을 만들려는 생각도 금물이다. 전략이라는 건 적당한 시기에 바뀔 수 있어야 한다. 어제의 전략이 오늘 폐기물로 변하는 건 어느 전쟁사에나 있었던 일이다. 위협의 지형도가 계속해서 변한다면 전략이 고정적어서는 안 된다.

단순하게 살아야 한다는 캐치프레이즈가 심심찮게 등장하고, simple이라는 단어가 추앙받고 있다는 건 현대의 삶이 ‘복잡성’을 태생부터 갖추고 있다는 뜻으로 풀이할 수 있다. 현대의 삶은 복잡하고, 이젠 돌이킬 수 없다. 단순하게 살아야 한다는 건, 사실 그 복잡함의 요소들을 통제할 수 있어야 한다는 뜻이다. 보안 전략을 마련하는 것도 마찬가지다. 이미 현대 기업들의 네트워크 상태는 단순해질 수 없는 지경을 넘어섰다. 단순해질 수 있다면 보안이 한 결 쉽겠으나, 그런 기대는 무의미하다는 것이다. 현대 정보의 보안은 결국 복잡함을 얼마나 잘 통제하느냐의 문제라고 볼 수 있다. 그 본질을 놓치지 않아야 잦은 수정과 변경에도 중심이 굳건한 전략이 탄생할 수 있다.

글 : 프리테시 파레크(Pritesh Parekh)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>