올바른 예측을 위해서 필요한 것 두 가지 : 가시성과 분석력
올바른 대처를 위해서 필요한 것 : 동기부여와 교육 훈련

[보안뉴스 문가용 기자] 세상 모든 일이 다 그렇지만 정보보안의 위험성 혹은 사이버 리스크를 잘 관리한다는 것은 1) 올바른 예측을 하고 2) 올바른 대처를 한다는 것을 뜻한다. 이 뻔한 말을 하는 이유는, 이상하게 정보보안 전문가들은 둘 중 하나에만 집중하려고 하기 때문이다. 이른 바 방지냐 탐지냐, 혹은 예방이냐 대처냐의 논쟁이 바로 그것인데, 사실은 이 둘을 다 잘해야 한다는 것이다.


먼저 올바른 예측에 대해서 생각해보자. 복잡하기 짝이 없는 오늘날의 위험 요소 및 원인에 대하여 올바른 예측을 하려면 크게 두 가지가 필요하다. 바로 가시성과 분석력이다. 둘 중 하나가 아니라, 둘 다 필요하다.

가시성이 잘 확보되지 않는 이유는 주로 1) 기술의 발전, 2) 네트워크의 확장, 3) 민감한 데이터의 활용을 조직 차원에서 쫓아가지 못해서다. 반대로 말하면, 신기술들의 개발 및 발전 소식에 민감하게 귀를 기울이고, 조직 내 네트워크 상태를 잘 파악하고, 데이터의 유통을 조심스럽게 모니터링 할 때 가시성이 확보된다는 뜻이 된다. 하지만 이 세 가지에 자원을 투자하는 걸 아깝다고 생각하는 조직들이 많다.

분석 역시 아직 많은 조직들이 약점을 드러내는 분야다. 현장에서 경험한 바로, 한 기업이 겪는 리스크 문제의 90%가 위험도 분류를 제대로 하지 못해서 발생한다. 중요한 문제를 중요한 줄 모르고, 엉뚱한 문제를 해결하기 위해 애를 쓰는 모양새가 아직도 여기 저기 많다는 것이다. ‘뭣이 중헌디’를 파악하고 순서를 정하는 것이 데이터 분석의 핵심이다. 이게 잘 안 되는 몇 가지 이유는 다음과 같다.

1) 리스크가 뭔데? : 솔직히 ‘리스크’라는 말 자체가 아직 너무 모호하다. 당장 내일 우주선을 타고 지구를 탈출해야 하는데, 이 우주선을 만든 과학자마다 질량이 뭔지, 무게가 뭔지, 속력과 운동이 뭔지 다 다르게 이야기 하면 과연 내일 저 상공 밖으로 날아갈 수 있을까 하는 의문이 들지 않겠는가? 지금 정보보안 상황이 딱 이렇다. 한 기업의 리스크를 평가해서 제출하라고 10명에게 시키면 10명 다 가지각색의 답을 내놓을 것이다. 전문가들도 이러한데, 일반 기업이 무슨 수로 올바른 리스크를 순서대로 정할 수 있을까. 리스크 자체에 대한 이해 내용이 다 다르니, 대화도 안 되고 협업도 안 되고 결국 리스크 관리도 안 되는 것이다.

2) 리스크 평가 기준이 없다 : 위에서 언급한 것처럼 사이버 리스크라는 말 자체에 대해 협의된 내용이 없을 뿐 아니라 위험의 우선순위를 정하는 기준 역시 없다. 그래서 현재 기업 및 기관들은 사이버 리스크 담당자 개인의 ‘감’에 의존해 우선순위를 정하고 있다. 그러니 여기엔 선입견과 개인적인 경험, 위협 요소에 대한 주관적인 판단이 개입된다. 별 거 아닌 사안들이 부풀려지고, 진짜 중요한 일들이 묻혀버린다. 조직 전체의 눈이 멀어버리는 것과 다름없다.

보안에 있어서 늘 앞서가는 금융 산업은 이미 이런 문제를 깨닫고 리스크 분석의 기준을 평가하는 과정을 도입하고 있다. 하지만 이마저도 온전하다고 볼 수는 없다. 왜냐하면 방금 말한 것과 같은 담당자 개인의 느낌과 경험에 의존하는 분석 행태에 대해서는 평가가 들어가지 않고 있기 때문이다. 오로지 공식적인 분석 모델에 대해서만 평가가 이루어지는데, 그렇기 때문에 다음 세 가지 영역에 대해서는 별 다른 조치가 취해지고 있지 않다.

a) 리스크 전문가의 심리적 상태와 위험도 분석 결과물의 정확성
b) 조직 내에서 자체적으로 굳어진 각종 비공식 분석 기준
c) 몇몇 사이버 리스크 툴들에 구축된 리스크 분석 기준
이 세 가지는 모습을 ‘공식적으로’ 드러내고 있지는 않지만 분명히 존재하며, 상당한 영향력을 발휘하고 있다.

3) 리스크 분석의 고유한 전문성 : 보안 전문가라고는 쉽게 표현하곤 하지만, 그 안에는 다양한 기술들을 보유한 사람들이 존재한다. 보안 전문가 타이틀을 가지고 있고, 관련 자격증을 보유하고 있다고 해서 리스크를 올바로 측정하고 분석할 수 있을 것이라고 기대하는 게 현실과 맞지 않다는 뜻이다. 사이버 리스크를 이해하고 올바로 분류해 등급을 매기려면 다음과 같은 부분에서 강점을 가지고 있어야 한다.
a) 비판적인 사고력
b) 확률의 기본 개념에 대한 탄탄한 이해
c) 데이터 분석에 대한 공식 교육 경험 및 이수

하지만 현실은 조금 다르다. 이 세 가지 강점을 모두 가지고 있는 사람이 사이버 리스크를 담당하고 있는 예는 극히 드물다. 그러니 정확한 리스크 분석이 이뤄질 확률이 줄어드는 것이다.

4) 체크리스트가 사실은 눈가리개? : 좋은 보안 습관 및 상태 유지를 위해 체크리스트를 활용하는 보안 담당자 혹은 리스크 관리자들이 많다. 물론 이게 아주 나쁜 습관이라고 볼 수는 없다. 다만 이런 체크리스트들 역시 ‘주관적인 항목’들로 구성된 경우가 많고, 그렇기 때문에 거의 반드시 한쪽으로 치우치거나 잘못된 판단을 하는 데에 일조한다. 아까 말한 ‘기준이 없다’는 것과 같은 상황이 벌어지는 걸 막을 수 없다는 것이다. 그런데도 이걸 하나하나 체크해가다보면 안심이 되고 네트워크가 안전한 것 같다는 착각을 강하게 하게 된다. 그래서 더 나쁘다.

여태까지 지적된 문제들을 해결하고 올바른 예측을 할 수 있게 되었다면, 다음으로는 올바른 대처를 하는 것에 대해 고민을 해야 한다. 문제를 파악하는 것에서 그치지 않고 해결하는 것까지도 완료해야 비로소 리스크 관리를 잘 했다고 말 할 수 있다는 것이다. 대처의 측면에서 기업들이 실패하는 부분은 크게 다음 세 가지다.

1) 정책과 가이드라인이 현실과 따로 논다 : 요즘 같은 시대에 사이버 보안과 관련된 사내 지침이나 정책 한 줄 없는 곳은 매우 드물다. 문제는 이런 문건의 내용들이 너무 어렵거나 전문적이라는 뜻이다. 이 분야를 잘 아는 사람들만 이해할 법한 단어와 용어들이 난무하는데, 조직의 일반 구성원들이 이걸 어떻게 읽고 이해하겠는가? 이해하지 못한 지침들을 어떻게 실천에 옮기겠는가?

2) 종합적인 대처 능력 부족 : 세계적인 경제 위기 속에서 제일 먼저 삭감되는 건 보통 사내 직원들의 교육 및 훈련 관련 항목이다. 그런데 사이버 보안 및 사이버 리스크라는 분야는 너무나 빨리 발전하기 때문에 부지런한 교육과 훈련을 필요로 한다. 전문가들조차 ‘잠깐만 공부를 멈춰도 따라잡기 힘들다’고 할 정도. 경제 위기가 계속되고, 교육에 대한 투자가 자꾸만 후순위로 밀리면 보안은 갈수록 약해질 수밖에 없는 구조가 이미 형성되어 있다.

자매품으로는 ‘전문가 채용’ 문제가 있다. 예산을 넉넉히 사용할 수 없게 되면 인원을 삭감하고 추가 채용을 하지 않는 게 자연스러운데, 이 때문에 정보보안 인원이 부족해진다. 정해진 인원이 신기술 공부도 부지런히 해야 하고, 늘어나는 위협 요소들도 부지런히 막아야 하는데, 이게 잘 될 리가 없다.

3) 보안에 대한 동기부여가 이뤄지고 있지 않다 : 보안은 기업 및 기관들의 존재이유가 되지 않는다. 기업은 이윤을 남기는 게 가장 큰 목적이고, 기관은 자기에게 맡겨진 기능을 수행하는 게 우선이다. 자연스럽게 경영진 및 임원진들도 생산에 박차를 가하고, 이런 면에서 실적을 남기는 직원들을 대우할 수밖에 없다. 보안의 실적은 짧은 기간에 나타나지 않는다. 보안은 태생적으로 눈에 띄지 않고, 그러므로 박수를 받을만한 위치와 거리가 멀다.

여기에 더해, 위에서 말한 것처럼 리스크 관리가 제대로 되지 않으면 보안 담당자는 어느 순간부터 양치기 소년 취급을 받기 마련이다. 눈에 띄고 싶어서 안달한다는 비난에 몰릴 수도 있다. 그러므로 보안 담당자는 잘 하고자 하는 의욕을 일반 직원들과는 다른 데서 찾아야 하는데, 그게 쉽지가 않다.

핵심은, 위의 모든 내용들이 임원급에서 해결해야 할 문제라는 것이다. 보안 강화를 위해 보안 담당자 혹은 보안팀이 일반 직원들과 오롯이 이루어 가야 할 부분도 있지만, 쉬운 말로 꾸려진 보안 관련 정책이나 동기부여, 올바른 예산 투자와 전문가 고용은 경영진의 결재가 필요한 부분이다. 새해 보안 강화를 결심한 C레벨 임원들이 있으시다면, 단순히 보안 담당자들에 대한 채찍질이나 당근을 고민할 게 아니라, 이 글에 나온 내용들을 하나하나 검토해보는 게 어떠실는지.

글 : 잭 존스(Jack Jones)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>