완벽할 수 없고 예측할 수 없으면 책임이라도 피할 수 있어야
양심을 지키고 증거를 수집해두면 ‘할 만큼 했다’ 인정받을 수 있어

[보안뉴스 문가용] 수수께끼 하나. CISO에겐 갈망이요, 중간 관리자에겐 필수요소요, 임원진들에겐 강력한 요구사항인 것은? 책임으로부터 자유해지는 것이다. 왜 이것이 그토록 중요한가? 우리는 미래를 예측할 수도 없고, 완벽할 수도 없기 때문이다. 이 둘을 이룰 수 없기 때문에 책임이라도 회피할 수 있어야 한다. 특히나 사이버 공격이 이렇게나 빈번하게 일어나는 요즘에는 더욱 그렇다.


법적인 면을 먼저 살펴보자면 사이버 보안에 있어서 면책을 받는다는 건 관리팀 및 보안팀이 충분히 할 만큼 했다는 뜻이다. 그리고 사고가 불가항력적이었다는 뜻이기도 하다. 즉, 할 만큼 해야 사고를 막지 못했음에도 불구하고 이 계통에 계속 남아 보안전문가로서 활동할 수 있다는 거다. 하지만 많은 사람들이 사고가 일어나지 않은 것처럼 위험이 존재하지 않는 것처럼 행동하고 있다.

물론 그 ‘할 만큼 했다’라는 걸 규정하는 게 매우 힘들다. 심각한 유출사고가 일어난 후, 담당자를 용서해줄 만큼의 ‘노력’은 어느 정도일까? 오늘날처럼 위협요소가 끊임없이 변하는 분위기 속에서 신기술이나 수차례 검증된 방법이나 완벽한 기능을 갖출 수도 유지할 수도 없다. 이런 때는 사회 다른 분야로 눈길을 잠시 돌려보는 것도 도움이 된다.

일상
먼저 우리의 일상을 살펴보자. 일상 속에서 누군가 다치거나 사고가 났을 때 우리는 아무에게나 책임을 묻지 않는다. 크게 ‘틀’에서 벗어나지 않는 행동양식과 사고방식을 가진 사람이라면 책임에서 자유로울 수 있다. 그 틀에서 벗어난 행동을 했을 때 우린 ‘당신이 책임져야 해’라고 말한다. 그 틀이란 직업상 해야 할 일이나, 일반적인 도덕 규범 등을 말하며 여기서 벗어나게 하는 건 악의, 실수 등이 있다.

물론 모든 게 이런 ‘함의’나 ‘통용’에 의해서 결정되는 건 아니다. 보통은 법이 긋는 분명한 선이 있고 그 안에서 행동하는 것이 ‘합리적인 행동’이자 ‘틀 안에 머무르는 것’이 된다. 그리고 일상에서 일어날 수 있는 각종 사건사고에 대한 법적인 규범들이 이미 마련되어 있다. 물론 법이란 게 워낙 복잡해 통념적으로 생각했을 때 내릴 수 있는 판단과 법이 내리는 판단이 항상 같지는 않다. 그럼에도 법이 최우선시 된다는 사회적 합의 자체는 마련되어 있다. 이 때문에 대부분의 사건에서 책임자를 찾아내는 게 가능해진다.

표준
정책과 인증, 표준이란 개념을 살펴보도록 하자. 이미 사이버 공간에서 널리 받아들여지는 것들이 존재한다. PCI DSS, ISO 27001, HIPAA, SANS 20 등이 대표적이다. PCI DSS와 같은 표준은 ‘필수사항’에 가깝기도 하지만, 그렇지 않은 것들도 존재한다. 이런 표준들을 갖춘 회사는 일단 ‘최소한의 임무를 수행하긴 한다’는 인상을 준다. 그리고 대부분 사실이기도 하다.

그러나 이런 표준들을 지켰다고 ‘할 일을 다했다’고 인정받는 것은 아니다. 물론 법정에 섰을 때는 그럴 수 있으나 기업 이미지라는 게 법의 판단에 좌지우지 되는 것은 아니다. 사고가 일어났을 때 ‘우리 회사는 이런 저런 표준들을 도입해 잘 지키고 있었다’고 하면 아직까지는 ‘사고가 터졌을 때 책임을 피하기 위한 최소한의 조치만 취하고 있었다’로 들리는 것이 사실이다.

왜 그럴까? 널리 알려진 표준 절차 및 정책에 의한 보안강화 행위를 해킹 범죄자들도 잘 알고 있다는 것이다. 그리고 그 사실을 이미 보안전문가들은 물론 보안에 관심을 가지고 있는 일반인들도 알고 있다. 즉, 해커를 포함해 누구나 알고 있는 방어책만으로 최선의 방어를 했다고 말하는 건 어불성설이라는 것이다.

재정
다음으로는 재정 분야를 보고자 한다. 임원진들이나 관리직에 있는 사람들의 전문분야다. 특히 재정 상태를 보고한다는 건 누구한테나 중요한 일이다. 또한, 회사의 현주소를 가장 잘 표현하는 방법이기도 하며, 듣는 사람도 가장 잘 이해할 수 있는 언어다. 이 외에도 세부 분야를 파고들어 가면 각종 상황에 대해 책임자 혹은 공헌자를 제법 정확히 파악할 수도 있다.

그렇다면 가장 깔끔한 재정 보고의 모델을 위주로 ‘일상’과 ‘각종 표준’의 예를 사이버 보안이라는 분야에 적용해 ‘할 만큼 했다’는 걸 어떻게 정의해야 하는지 생각해보자. 위 세 가지 예에서 ‘책임자’를 찾는 데에 다음 세 가지 요인이 작용한다는 걸 알 수 있다.
1. 해당 분야에 대해 사람들이 잘 이해하는가? (일상 – 법에 대한 존중, 표준 – 최소한의 의무, 재정 – Yes!)
2. 통념적으로 받아들여지는 것 이상이 필요한가? (일상 – 법의 결정이 우선시 되지만 전부는 아님, 표준 – 최소한의 의무만 ‘겨우’ 했다고 받아들여짐, 재정 – 제법 효과적)
3. 대책 마련에 대한 시급성을 불러일으킬 수 있는가? (일상 – 비교적 책임자가 잘 찾아짐, 표준 – 1차 책임은 비껴갈 수 있음, 재정 – 효과적)

1. ‘할 만큼 했다’는 걸 인정받으려면 주위 사람들이 그걸 이해할 수 있어야 한다. 하지만 사이버 보안은 눈에 잘 띄는 분야가 아니다. 그렇다고 꼭 눈에 띄게 행동해야만 사람들이 인정해주는 것도 아니다. 예를 들어 각종 검사와 침투 테스트 등을 통해 누구나 볼 수 있는 보고서를 주기적으로 만들어 배포하면 보안담당자로서도 좋고, 일반 임직원들 혹은 고객들 사이에서 노력을 한다는 느낌을 줄 수 있다. 물론 지나치면 독이 된다.

2. 최소한의 조치 이상을 늘 해야 한다. 그래야 일단 볼멘소리라도 할 수 있다. 이는 일상의 사고에 비유하면 관련법을 지키는 것이고, 각종 표준을 지킨 것이기도 하다. 그러나 이는 정말 최소한의 변호를 위한 것일뿐 그 이상을 해야 한다. 적어도 면책을 위한 것이라면 더 땀을 흘릴 필요가 있다. 보안에 해가 되는 상사나 임원진과도 싸울 수 있을 정도로 말이다.

3. 사이버 보안에 있어서 사건 해결에 시간이 걸리는 가장 큰 이유가 책임자를 찾는 것이 쉽지 않아서다. 이는 분야의 특성이기도 하지만, ‘정립’을 잘 하지 않았기 때문이기도 하다. 책임자를 결정하는 기준을 마련하고 합의해야 하는데 이는 더 큰 범위의 사회적인 문제이기도 하다. 즉, 사이버 보안 담당자들은 1번과 2번에 집중해야 한다는 것이다.

결국 사이버 보안 사건의 책임자를 가려내는 데에 있어 최대한의 용서를 받으려면 평소에 회사 혹은 조직 지키기에 실제적인 노력을 기울여야 한다. 여기서 노력이란 정말 해야 될 것을 최소한으로 하는 것 이상을 말한다. 그러므로 시키지도 않은 일들을 진행해야 한다. 그렇다고 눈에 보이기 위한 일을 하라는 것은 아니다. 어차피 나라나 정부기관이 정해준 정책과 표준만 지켜서는 안전하지 않다는 거, 우리가 제일 잘 알고 있지 않은가? 그 ‘아는 대로’ 움직이는 양심이 필요하다는 것으로 귀결된다.

물론 그 시키지도 않은 다양한 행동들이 승인 단계에서 거절당할 수도 있다. 그러면 제출한 기획서라도 모아두라. 그것이 나중에 큰 도움이 될 수 있다. 책임에서 최대한 안전하려면, 1) 보안전문가로서의 양심을 지키고 2) 최대한의 문서 증거를 평소에도 수집해 두는 것이 좋다.

글 : 스캇 캔리(Scott Kannry)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>