예방도 중요하고 사후대처도 중요하고... 둘의 접합이 제일 중요
일을 키우지 않겠다는 ‘예방’과 지혜로운 응급조치 같은 ‘대응’

[보안뉴스 문가용] 우리 어머니가 자주 즐겨하시는 말이 있었다. 예방 한 움큼이 치료 한 아름보다 낫다(An ounce of prevention is worth a pound of cure)는 것이었다. 이 말을 계속 들어와서 그런지, 난 삶의 곳곳에서 이 말이 적용된다는 걸 발견할 수 있었고, 그것은 정보보안 분야도 마찬가지다.


분명히 나쁜 마음을 먹고 있는 해커들은 어떤 네트워크고 뚫어낼 수 있다. 그러니 예방은 무용지물이다, 라고 선언하는 사람들도 있다. 이것은 마치 ‘이 험한 세상, 난 반드시 큰 병에 걸리긴 할 거야’라고 말하며 그 병을 치료하는 것에만 몰두하는 것과 다르지 않다. 자신의 몸을 점검하거나 매일의 건강한 습관은 배재한 채 말이다. 개인적으로 이 시각에 크게 공감을 할 수가 없다. 복잡하고 미묘한 보안의 예방 수칙에 대해 이야기해보고자 한다. 그리고 그런 의미에서 왜 적응 보안 혹은 조정형 보안(adoptive security)이 떠오르고 있는지도 짚어보고자 한다.

차단 솔루션만 있으면 나쁜 놈들은 얼씬도 못한다?
일단 건강의 측면에서 이야기하자면 난 매일 규칙적으로 운동을 하고, 좋은 영양성분을 섭취하며 충분한 휴식을 취하는 걸 원칙으로 삼고 있다. 이는 상식과 같은 건강 유지 습관이다. 하지만 아무리 이걸 잘 지켜도 어느 순간에는 덜컥 병에 걸리고 만다. 외국에 다녀온 친구가 내 앞에서 재채기를 한다던가, 여느 때처럼 운동을 하다가 갑자기 계단을 구른다든가 하는 일은 어지간해서는 막을 수가 없다.

그래서 많은 보안 팀들이 예방과 사고방지에 힘을 쏟아봤자 소용이 없다고 생각한다. 실제로 정부의 후원을 받거나 엄청난 자금력을 바탕으로 하는 사이버 범죄자들은 기술적으로도 앞서 있는 경우가 많아 보안 팀이나 업체가 뭔가를 눈치 채는 속도를 웃도는 경우가 많다. 우리 회사만 해도 10년 전에는 겨우 25개나 될까말까한 악성 코드가 네트워크 내에서 발견되었는데, 최근엔 5십만개가 조금 안 되는 숫자가 기록된다. 5십만개를 다 예방하기란 쉽지 않은 일이다. 평소의 습관으로 건강을 유지하려는 사람에게 있어서도 ‘언젠가 불의의 사고가 닥치거나 병이 내 몸에 침투할 수 있다’는 긴장감은 항상 남아있는 법이다. 예방이 중요하다고 믿는 편이라면, 이런 긴장감은 필수다.

일단 한 번 침투되면 할 수 있는 게 없다?
해커들의 창의력이야 익히 알려진 바고, 그런 해커들을 고용하는 사이버 범죄 집단에게 있어 기업 네트워크를 뚫어내는 건 그다지 어려운 일이 아니다. 건강관리와 다시 한 번 비교해보자면, 우리는 평소 건강검진이나 정기 진찰을 통해 혹여 내 몸에 들어와 있을지도 모르는 병이 최대한 ‘작을 때’ 잡아내려고 한다. 병을 키우지 않기 위해 애쓴다는 거다.

정보보안도 이와 마찬가지다. 예방의 목적은 ‘반드시 100% 막아야 한다’가 아니라, 일을 더 키우지 않는 것이다. 이런 마음가짐 없이는 받지 않아도 되는 피해를 입기 십상이다. 차단과 방어는 이런 정기적인 점검과 일을 키우지 않겠다는 태도가 있을 때 더욱 굳건해진다. 다행히 기업들의 보안 담당자들도 이 점을 깨닫고, 이런 방향으로 흘러가고 있는 듯 하다. 그래서 ‘대응’에 관한 각종 연구와 실험이 이어지고 있다.

우리 보안 제품은 다른 제품들과 연동하지 않아도 충분하다?
기업들은 또 어떤 공격이 개발되고 벌어질까, 내가 피해자가 되지는 않을까 하며 전전긍긍한다. 그렇기 때문에 ‘일발백중’이나 ‘한 방에 모든 것이 해결되는’ 솔루션에 귀가 솔깃한다. 이성은 분명히 아니라고 할 것이다. 하지만 사람 일이란 게 어디 이성으로만 결정이 되는가. 그럼에도 다시 한 번 강조한다. 세상에 모든 것을 다 해결해주는 보안 솔루션은 없다.

보통 시장에서 말하는 만병통치 솔루션은 여러 소프트웨어를 한 세트로 묶되 각 소프트웨어들끼리 소통이 잘 되도록 꾸민 것이다. 이 점은 사실 ‘까보니 별 거 없네’라고 넘어갈 것이 아니다. 왜냐하면 지난 기고글에서도 말한 적응 보안 혹은 조정형 보안의 기본 개념이 이런 패키지화 된 통합 솔루션들과 비슷하기 때문이다. 다양한 기능이 서로 잘 연결되게끔 함으로써 의미 있는 정보를 끌어낼 수 있고, 그것이 곧 공격의 맥락이 되며, 이는 보안 전문가들에게 단기적으로나 장기적으로 유용하다. 즉, 적응 보안, 조정형 보안이라는 건 한 알의 만병통치약이 아니라 그에 준하는 약을 여러 개 처방하는 것과 같다고 볼 수 있다.

사건 대응이라는 것은 사건이 있어야만 필요케 되는, 부차적인 요소다?
다시 한 번 건강 이야기로 돌아가 보자. 교통사고나 그에 준하는 일을 겪어 큰 부상을 겪었을 때 우리는 어떻게 하는가? 응급조치를 취한다. 이런 종류의 일은 평소에 내 건강습관과는 하나도 상관이 없다. 미리 검진을 받을 수 있는 것도 아니다. 정보보안에서 사건 대응이라는 건 응급처치와 같다. 평소 네트워크의 안전한 정도와는 상관 없이 갑자기 터지는 해킹 사고에 누군가는 응급처치를 할 수 있어야 한다. 병원에 도착하기 전까지 숨을 계속해서 유지시키는 것이 임무인 것이다. 이것이 과연 부차적인 요소일까? 사무실 한쪽에 응급처치 키트나 소화기 같은 것을 구비해놓는 것은 장소에 따라 필수요소이기도 하지만, 삶의 지혜에 해당하기도 한다.

결국 적응 보안이 해답일 수밖에 없는 건
또 다시 오래된 격언을 하나 인용하자면, “마음을 바꾸면 세상이 달리 보인다.” 이는 심리학이나 상담치유에서도 통용되지만 정보보안에서도 진리다. 예방이냐 사후처리냐의 극단적인 선택이 아니라 적절한 비율로 둘을 섞어 서로를 보완하게 하는 것이 적응 보안의 핵심인데, 이는 그저 솔루션 몇 개 바꾸거나 정책 몇 줄 변경한다고 도입되는 게 아니다. 예방을 중시하는 마음으로 보안사고를 바라보는 마음가짐과, 예방을 쭉 해온 입장에서 보안사고에 대처하는 마음가짐이 대단히 중요하다. 마치 자기 건강을 돌보는 것과 같다.

예방을 하되 불의의 사고에 대처할 수 있는 능력, 불의의 사고에 대한 대처 능력을 극대화시키기 위해 평소부터 건강한 습관을 유지하는 것, 우열을 가릴 수가 없다. 상황에 따라 적응하고 스스로를 유연하게 조정할 수 있는 것이 현대 정보전 시대의 가장 기본적인 방어능력이다. 단 하나의 해결책이 없다면, 여러 답을 찾아내 부분부분 해결해나가면 된다.

글 : 브렛 케슬리(Brett Kesley)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>