보안 서비스 대행 업체 넘쳐나는 시장...진짜 실력자 가려내야
전통적인 보안과 최신 보안 다 할 줄 알아야...사건 후 피드백도 중요

[보안뉴스 문가용 기자] 서비스형 보안(security-as-a-service)이라는 사업 모델이 대두되고 있다. 당연한 흐름이다. 보안의 중요도는 매일 같이 높아져 가는데, 그에 맞춰 보안 팀을 꾸려서 운영할만한 여유가 되는 곳들은 많지 않기 때문이다. 예산도 예산이지만, 산업 전체적으로 인력이 부족한 상황에, 기업마다 환경이 달라 보안 강화의 ‘정답’이라는 게 존재하지 않기 때문에 갈피를 잡기가 매우 힘들다는 게 가장 큰 이유다.


불과 몇 년 만에 사이버 보안이란 게 너무 크게 바뀌었다. 감사관들은 이제 사건 대응 계획을 갖추고 있는지 조사할뿐만 아니라, 그 계획이라는 게 정말 효용성을 가지고 있는지도 파악한다. 클라우드가 대세인 요즘에는 이에 해당하는 보안 장치와 정책, 계획도 증명해야 한다. 게다가 사용자의 권리도 강해져서 자신의 정보에 대해서 꽤나 많은 것을 기업에 요구할 수 있게 되었다. 이게 다 왜냐? 공격자들이 갈수록 막강해지고 교묘해지기 때문이다.

그러니 기업 입장에서는 보안을 전문으로 하고, 또 서비스까지 제공해주는 업체들을 찾을 수밖에 없는 것이다. 그러나 각광받는 시장엔 반드시 어중이 떠중이 독수리들이 모이는 법. 내가 바로 전문가입네 하는 수많은 간판들 속에서 옥석을 가려내는 게 보안 서비스를 이용하려는 기업들의 첫 번째 관문이다. 이를 위해 다음 스무 고개를 제안한다.

1. 보안 서비스 제공업체의 사업 철학과 목표는 무엇인가?
가끔 동기나 비전, 목표와 철학에 대해 묻는 걸 금기시하거나 낯 간지러워하는 사람들이 있는데, 얼마 간 계약을 맺고 함께 지내야 할지도 모르는 사람의 생각과 사고방식에 대해 알아보는 건 당연한 일이다. 게다가 보안은 ‘평소의 태도’와 깊은 관련이 있는 분야이고, 평소의 태도란 당연히 평소의 사고방식에서 나오기 마련이다.

2. 컴플라이언스 외에 업체가 제공하는 서비스는 무엇인가?
산업 표준이나 국가 정책을 지키고 있다는 걸 자랑스럽게 내거는 업체들이 있는데, 컴플라이언스는 최소한의 보안이라는 걸 이해 못하고 있는 것으로 봐도 무방하다. 그럼에도 다른 부분에서 장점이 보인다면, 컴플라이언스 외에 해줄 수 있는 게 무엇인지 직접 물어보라.

3. 콘텐츠 개발 과정과 매일의 운영상 워크플로우를 결정짓는 요소는?
이 질문을 통해 보안 서비스 업체가 ‘우리 회사’에 적용되는 리스크와 위협을 이해하려고 하며, 여기에 맞는 보안 대책을 강구할 것인지, 아니면 그냥 교과서적인 보안 관제를 앵무새처럼 할 것인지 파악할 수 있다.

4. 경보는 어떻게 만들어지고, 적용되고, 유지되는가?
누군가 안전을 위해 우리 회사의 내부를 들여다보고 있게 될 텐데, 당연히 이 ‘누군가’가 전달하는 메시지가 어떤 특징을 가지고 있고 어떤 모양새를 취할 것인지 파악해야 한다. 이미 살인적인 업무에 시달리는 우리 회사 보안 담당자에게 false positive, 잘못된 경보를 산더미처럼 안겨주지 말자.

5. 우리 회사 네트워크는 어떤 식으로 활용할 것인가
보안 관제를 하든 올바른 경보를 발생하든 위협에 대한 방어 및 복구를 하든 어차피 다 ‘우리 회사’의 네트워크를 사용해야만 한다. 보안 업체와 파트너십을 맺을 경우, 우리 네트워크에 어떤 부하가 걸릴지 미리 파악해야 한다.

6. 우리 회사 엔드포인트는 어떻게 활용할 것인가?
여기엔 각종 모바일뿐만 아니라 데스크톱과 노트북과 같은 전통적인 엔드포인트도 포함된다. 엔드포인트 활용에 대한 답변을 살펴, 이들이 가시성을 어떻게, 얼마나 잘 확보할 수 있는지 파악할 수 있다.

7. 웹 애플리케이션과 웹 서버 모니터링도 가능한가?
공격자들은 ‘한 놈만 패지’ 않는다. 엔드포인트에 대한 걸 위 질문들을 통해 확인했다면, 다른 공격 루트인 애플리케이션과 서버에 대해서도 알아봐야 한다.

8. 우리 회사에 클라우드 가시성을 어떤 식으로 제공하려는가?
7번과 비슷한 맥락의 질문으로, 요즘 같은 때에 클라우드 보안 기능을 갖추고 있지 못하면 사실상 보안 서비스를 제공한다는 간판을 내려야 한다. 기존 네트워크와 마찬가지로 클라우드 내에서의 가시성 문제도 해결해 줄 수 있는 업체가 좋은 업체다.

9. 아웃소싱된 서비스형 소프트웨어(software as a service) 애플리케이션들의 가시성은?
위와 자매품. 이 역시 현대 업무 환경의 트렌드를 반영한 보안을 실시하고 있는지 알아볼 수 있는 질문이다.

10. 중앙 포털이 있어 우리 회사의 데이터에 간편하게 접속해서 여러 기능을 수행할 수 있는가?
이 말은 즉, ‘가끔 내가 원할 때, 아무 때나 우리 회사의 보안 상태를 한 눈에 파악할 수 있는 시스템을 갖춰 주세요!’라는 요청이나 다름없다. 그렇지만 반드시 필요한 기능이기도 하다. 안전을 남한테 100% 맡기는 건, 그 자체로 이미 100% 안전을 포기하는 거니까.

11. 위에서 말한 포털에서는 어떤 종류의 데이터를 어떤 식으로 수집, 저장, 시각화 하는가?
필요한 경우 ‘고객’인 우리 기업 입장에서도 더 깊이 관여할 수 있는 방법이 있는가? 허락해 줄 텐가? 여기엔 정답이 없는데, Yes이든 No이든, 그 이유에 대해 귀담아 들어야 한다. 정말 단단한 보안을 위해서인지, 아니면 귀찮아서인지, 아니면 지금 계약서에 서명을 하고 싶어서인지.

다음 질문부터는 추가 설명이 없어도 될 듯 하다.
12. 우리 회사가 자체적으로 수사를 하거나 사냥을 하거나 깊은 조사를 진행하고 싶을 때 당신 업체가 제공해줄 수 있는 도움과 툴은 무엇이 있는가?

13. 사건이 발생한 후 혹은 멀웨어가 침입한 후 탐지하고 빠른 복구를 할 수 있게 해주는 것도 중요하지만 사전 예방 역시 중요한 기능이다. 사전 예방이라는 측면에서 어떤 서비스를 제공하는가?

14. 우리 회사의 데이터 양과 구조가 결코 만만치 않은데, 당신 회사가 우리에게 빠르고 신속한 탐지 서비스를 제공할 수 있으리라고 어떻게 장담할 수 있는가?

15. 경보가 울렸을 때 어떻게 조사하고 분석하는가? 그 방법론과 기술에 대해서 자세히 알려달라.

16. 보안 사고의 종류가 다양한데, 이를 어떻게 분류하고 있으며, 각 항목마다 어떤 식으로 대처하는가? 이를 위한 문서화된 정책이나 규정이 있는가?

17. 침투 및 공격을 탐지했다고 치자. 그 다음엔 무엇을 할 수 있는가? 어떻게 해당 멀웨어, 시스템, 공격 표면을 격리시키고 복구시키는가? 최대한 순서대로 말해달라.

18. 보고는 어떤 식으로 이루어지는가? 공격의 심각성이나 안전한 정도 등 어떤 단위로 측정하며, 그것이 일반 상식적으로나 산업 내에서 용인되는 것인가?

19. 사건이 발생하고 모든 조치가 끝난 후, 어떤 피드백을 주는가? 우리 회사가 했던 실수와 보안 서비스 업체의 실수를 어떤 식으로 들여다보고 고칠 수 있는가?

20. 정보보안 능력 및 기술을 계속해서 발전시키기 위해 어떤 노력을 내부적으로 하는가? 정말 광고한 그대로의 서비스를 앞으로도 계속 받을 수 있는 것인가? 혹은 더 나은 서비스를 기대해도 되는가?

시장에는 현재 이미 보안을 대신 해주겠다는 서비스 업체들이 차고도 넘친다. 수요가 있으니 공급이 이처럼 듬뿍 늘어나게 된 것이다. 하지만 잉여 자원에 속지 말고, 올바른 질문을 통해 원석을 골라낼 수 있어야 한다.

글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>