가시성은 보안의 화폐... 보안 환경 바뀌어도 잃을 수 없어
분산화 되는 개발 과정과 IT 문화... 보안 자동화 도입 불가피

[보안뉴스 문가용] 최근 네트워크 전문가 및 종사자들이 대부분 그렇지만, 클라우드의 영향력에 새삼 놀랄 때가 많다. 클라우드가 바꾼 생활의 방식과 업무 환경은 생각하면 할수록 놀랍다. 동시에 클라우드 때문에 새로 생긴 네트워크 보안 문제 때문에 잠을 설치는 일도 늘어났다. 클라우드라는 낯선 환경에서 매일 발생하는 위험들과 발생할 수 있는 위험요소들을 미리 조사하고 파악하고 평가하고 그에 맞는 방어책을 적용하느라 하루가 빠듯하다. 그러나 일이 바빠서 잠을 설치는 건 아니다. 그렇게 걱정할 게 많은데 아직도 클라우드에서 무슨 일이 일어나는지 CISO로서 완전히 파악하고 있지 못하다는 자각이 나를 깨운다. 흔히들 말하는 가시성 말이다.


점점 더 많은 기업들이 데이터와 앱을 클라우드로 옮기고 있다. 그런 움직임이 있기 때문에 새로운 기술을 적용하는 것도 빨라진다. 문화가 빠르게 변한다. 그 ‘빨라짐’ 때문에 가시성에 문제가 생긴다. CISO들이 근성으로 노력하고 땀을 흘린다고 해서 따라잡을 수 있는 성격의 ‘빨라짐’이 아니다. 그래서 문제다. 정보 보안이 우리의 직무라면, 가시성과 지식은 우리의 화폐다. 어떠한 직무든 수행을 위해서는 최소한의 돈이 필요한데, 우리에겐 그것이 바로 가시성과 앎이라는 것이다. 지켜야 할 네트워크의 어떤 부분에서 해당 시간에 무슨 일이 일어나는지 다 알고 있어야 개운한데, 클라우드 때문에 그렇지 못하다.

클라우드 시대는 이미 시작되었는데, 우리는 준비를 채 못 마쳤다. 여기서 두 가지 현실적인 문제가 나타난다. 하나, 클라우드가 사용자들에게 제공하는 유연성, 속도, 확장성에 대한 비용이 발생하고 있다. 현재는 그 비용이 가시성과 지식으로 충당된다. 그것도 적잖은 비용이 나가고 있다. 보안 담당자로서 우리는 그 동안 네트워크 안에서 살고 있는 모든 데이터와, 발생하는 모든 일들을 한 눈에 보고 머리 속으로 다 그릴 수 있는 상태에서 일을 했다. 그래서 그게 편하다. 하지만 그 데이터와 사건들이 전부 공공의 클라우드로 옮겨가고 있고, 그 클라우드란 곳은 우리에게 모든 것을 보여주지 않는다. 아마존과 마이크로소프트와 구글이 데이터의 새 거처지가 되고 있다. 새집 주인들은 아직 그 데이터들의 운용 현황과 움직인 내역을 하나하나 다 보여주고 있지 못하다.

둘째, ‘나와바리’와 같았던 네트워크가 클라우드로 바뀌는 것과 동시에 ‘중앙에서 통제’하던 업무 환경이 분야별, 기능별로 독립하고 있다. 여기에 기기들의 다양한 발전도 한 몫 하고 있다. 외곽의 경계선이 흐려지고 있고, 안에 들어있는 것들은 더 노출되고 있다. 안에 있는 것들이 무엇인가? 애플리케이션들이다. 그래서 요즘 네트워크보다 애플리케이션을 통한 침투가 극성을 부리는 것이다. 그럼에도 아직 보안에 대한 투자나 연구는 네트워크에 머물러 있다. 최근 발표된 연구 결과를 보면 IT 보안 예산의 18%가 애플리케이션 보안에 할당될 뿐 38%는 기존의 네트워크 외곽 보안에 투자된다는 걸 알 수 있다. 이런 상태에서 기업들은 너도 나도 앱을 기획하고 만들고 배포하니 문제는 지금 이 순간에도 기하급수적으로 늘어나고 있다. 지켜야 할 건은 복잡해져가고 있기만 하다.

이 상황에서 우리가 할 수 있는 일은 무엇인가? 당연하지만, 어떻게 해서든 이 클라우드로의 전환기에 적응해야 한다. 네트워크를 지켰듯이 이 불분명한 환절기도 버텨내야 한다. 똑똑한 CISO들은 1) 취약점을 파악하고 2) 구멍을 알아내 3) 강력한 리스크 관리 계획을 짜고 4) 그것을 회사 전체에 효과적으로 적용한다. 이걸 지금 시대에 맞게 해야 한다. 많은 기업들이 점점 데브옵스(DevOps) 모델을 도입하고 있다. 보안 담당자 혼자서 기능별로 독립해서 진행되는 수많은 개발과정을 일일이 돌아볼 수 없다는 뜻이다. 자동화가 필요하다. 각각의 기능을 실험해보는 것에는 ‘보안’도 포함되어야 한다. 표준 보안 실험 정책을 마련해서 데브옵스의 모든 요소요소에서마다 독립적으로 진행되도록 해야 한다.

클라우드는 멈추거나 여기서 정체되지 않을 것이다. 언젠가는 완전히 클라우드가 정착할 것이고, 우리가 아는 네트워크는 기록으로만 남을 것이다. 우리는 그 발전과정을 쫓아 그때 그때마다 필요한 보안의 기능을 다 해주어야 한다. 또한 어떤 보안의 기능이 필요한지 파악해 요구할 수 있어야 한다. 모호하게 ‘잘 해보자’가 아니다. 아까 우리가 내는 비용이 무엇이라고 했는가? 가시성과 지식이다. 이걸 적게 내도록 해야 한다. 즉 클라우드의 발전 과정에 있어 우리에게 필요한 가시성을 항상 주장하고 보장받을 수 있도록 움직여야 한다는 것이다.

보안 전문가로서 가장 답답한 건 왜 우리에게 가시적인 성과가 없는지 항상 설명해야 한다는 것이다. 또한 그들에게 ‘왜 이런 행동을 하면 안 되는지’ 설명해주고 납득시켜야 한다는 것이다. 그렇다고 그들이 말을 다 듣는 것도 아니고 말이다. 보안은 항상 여기에 머물러야만 할까? 우리는 늘 보이는 성과도 없이, 다른 사람들에게는 하지 말라고 잔소리 해야 하는 사람들인 걸까? 아니다. 클라우드와 데브옵스라는 개발 분산화 문화가 확산됨에 따라 예기치 않게 보안 자동화가 대두되고, 각 요소별로 오히려 보안의 영향력이 강화될 가능성도 열렸다. ‘아니오’보다 ‘그래요’를 더 많이 할 수 있을지도 모른다. 그리고 어쩌면, 정말 어쩌면, 수면시간도 좀 늘어날 희망도 가져본다.

글 : 마이크 콘버티노(Mike Convertino)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>