기술과 문화의 변화, 숨 가쁘게 빠르지만 주요 공통점 존재해
IT 환경은 점점 분산화 되고, 각 유닛은 프로젝트별로 뭉쳤다 흩어져

[보안뉴스 문가용 기자] 기업들이란 생물과 같아서 태어났다가 사라지고, 그 과정에서 끊임없는 변화를 겪는다. 이러한 변화는 점진적으로 발생해 시각적으로 확연히 드러나지 않는다. 또한 각 기업들마다 다른 것처럼 보이지만, 여기에는 커다란 유행과 흐름이라는 것이 존재한다. 그렇기에 눈을 씻고 이 흐름을 찾아보는 것이 재미있기도 하고, 동시에 어렵기도 한 것이다.


최근 IT 서비스들은 다양한 사업 영역과 접목되어 고객들이나 사용자들에게 배포된다. 강력한 CIO의 통제 아래 있는 IT 전문 부서가 모든 것을 쥐고 결정하던 이전의 구조는 점점 힘을 잃어가고 있다. 무슨 말이냐면, 예전엔 IT 부서의 감독 하에서만 소프트웨어의 설치와 사용이 가능했었는데, 이제는 아무나 아무 앱을 편하게 받아 쓸 수 있다는 것이다. 예전엔 이러한 행위가 단속 대상이었지만, 지금은 그렇지 않다. 오히려 그렇게 할 수 있도록 안전한 인프라를 구축하는 게 IT 부서 혹은 보안 부서의 할 일이 되었다.

진보적인 회사는 이러한 변화를 더 빠르게 수용하지 못해서 안달이다. 이러한 기업들의 가장 큰 관심사는 외주 클라우드 서비스다. 클라우드의 편리함에 매혹된 기업은 CIO의 검토 과정을 기다리지 못하고 다 가져다 쓴다. 부회장이 그냥 자기 지갑을 열어 salesforce.com과 계약을 맺고, 인사부장이 온라인 채용 SaaS 플랫폼을 구독하기 시작한다. CIO는, 아무도 이걸 보고하지 않았으므로 까맣게 모르고 있다. CIO의 등 뒤에서 클라우드의 전환이 빠르게 일어나기 때문에 CIO는 ‘클라우드 보안’을 주제로 한 칼럼을 읽으면서도 남의 얘기만 같다.

CIO 제국주의는 이제 구시대로
중앙에서 모든 IT 영역을 통제하는 사업 모델은 빠르게 그 효용성을 잃고 있다. IT의 기능성이 사업의 여러 분야에 녹아들어가 프로젝트의 처음부터 끝까지 떠받쳐주는 역할을 하는 것으로 바뀌었다. 이러한 변화 끝에는 아마도 ‘CIO의 약화’라는 결과가 기다리고 있을 것으로 보인다. 더 이상 모든 IT 관련 결정을 담당하던 초강력 파워풀 CIO의 위치는 존재하지 않을 것으로 나는 예상하고 있다.

그렇다면 이런 변화 속에서 보안 담당자들이 해야 할 일은 무엇일까? 먼저는 1) 중앙집중화 되어 있던 IT 환경이 분산되고 있는 흐름을 잘 이해해야 하고 2) 분산되고 있는 각 IT 기능에 대한 보안 강화 방안을 고민하거나 공부해야 한다. 즉, 새로운 현실을 잘 받아들여야 한다는 것이다. 회사에서 진행하는 CAPEX 프로젝트들(미래 이윤을 위한 지출)을 유심히 지켜만 봐도 많은 힌트를 얻을 수 있을 것이다. 적어도 ‘어떤 것의 보안 강화가 먼저 필요한지’ 파악하는 게 어렵지 않을 것이다.

흔히 이런 CAPEX 프로젝트들은 CEO들의 지원이 탄탄하다. 그러므로 ‘보안’과 ‘안전’을 강화하는 게 그리 어렵지 않을 것이다. 또한 좀처럼 설득하기 힘든 CEO들 및 임원들에게 보안이 어떤 식으로 적용되는지 이해시킬 기회가 되기도 한다. 그러나 이렇게 하려면 ‘사업 자체’에 대한 이해가 있어야 한다. 무조건 ‘보안’만을 들이밀면 거부감을 느낀다.

여기에 또 다른 변화의 트렌드를 하나 더 기술하자면, 바로 분산화가 제품별, 프로젝트별로 이뤄진다는 것이다. 프로젝트에 따라 유닛들이 형성되었다가 사라지기도 하고, 팀처럼 꾸려지기도 한다. 이런 환경에서는 정적인 아이덴티티 관리 기술이 필수다. 또한 각 유닛에서 보안을 담당하는 사람들이 “누가 무엇을 하고 있으며, 무엇을 언제 필요로 하는지” 항시 파악하고 있을 것을 주문해야 한다. 간단히 말해 기업 내 여기저기서 진행되는 다양한 프로젝트들을 더 잘 이해하고, 어떤 보안 방책이 필요한지도 잘 알고 있어야 한다는 것이다. 그렇게 하려면 경영의 언어들을 보다 잘 알고 있으면 좋다.

사업의 템포, 더없이 빨라지다
기술의 변화 속도가 따라잡기 힘들 정도라는 건 누구나 아는 사실이다. 여기에 사업들 간 경쟁구도는 더욱 빡빡해지고 있다. 그 외에 국가 단위에서 진행되는 사이버전도 일을 더 복잡하게 만들고 있다. 기업들의 생존 키워드는 당연히 ‘스피드’일 수밖에 없다. 그 변화의 핵심은 1) 워터폴(waterfall) 방식에서 애자일(Agile) 방식으로의 이전과 2) 완전 자동화로 정리가 가능하다. 이 두 가지는 소프트웨어 개발 과정을 더 쥐어짜는 형태로 나타날 것이다.

이는 단지 개발자들에게만 가혹해지는 건 아니다. 보안 역시 어려운 체질개선을 단행해야 한다. 개발자들만 워터폴 방식에 익숙한 게 아니기 때문이다. 일단 지금 시점에서 보안 담당자들이 사수해야 할 건 ‘개발 초기 단계에 개입하는 것’이다. 억지로라도 머리를 들이밀고 기획 회의 때에도 자기 자리를 확보해야 한다. 그리고 어떤 보안 이슈가 발생할 수 있는지 파악해 화두를 던져야 한다. 문제들을 지적하지만 말고, 어떤 해결책을 제공할 수 있는지 알려주는 건 당연하다.

이제 보안은 최종 점검에만 겨우 스캔 기능만을 발휘하는 분야가 아니다. 이 부분에서 자연스럽게 파생되는 보안의 새로운 국면은, 수동적인 방어가 아니라 능동적인 방어다. 그래서 미리 취약한 부분과 위협요소를 찾아내는 ‘위협 사냥(threat hunting)’이 최근 떠오르는 것이다.

직원들도 변화한다
지금도 보수적인 기업들은 그렇지만, 얼마 전까지만 해도 직원들 목에 풀타임과 파트타임을 구별하여, 혹은 직급별로 다른 색을 사용하여 패찰을 차게 하는 회사가 꽤나 많았다. 기업 내 직원들의 관계와 업무가 이뤄지는 구조가 굉장히 정적이기 때문에 가능한 기업 문화 현상이었다. 기업의 영향 아래 있느냐 없느냐는 그 패찰 유무로 확실하고 명확하게 결정되었다. 마치 그 시대의 네트워크 환경이 정확히 사무 환경의 그것과 딱 맞아떨어진 것처럼 말이다.

그러나 명확하게 정의된 네트워크 환경은 더 이상 존재하지 않는다. 경계선도 없고, 풀타임이든 파트타임이든, 부장이든 대리든, 자유롭게 네트워크를 드나든다. 뿐만 아니라 파트너사 직원, 견습생 등 다양한 자격과 사유로 고용된 이들도 전부 경계가 불분명한 이 네트워크라는 곳에 나타났다 사라진다. 마치 점점 패찰 차는 기업들이 사라지는 것과 비슷하다. 제품이나 프로젝트별로 유닛이 뭉쳤다가 사라졌다 하는 애자일 특유의 팀 구성 방식 역시 패찰의 설 곳을 뺏어낸다.

이런 환경에서 보안 담당자에게는 누가 어떤 것에 접속했는지, 언제 그런 행위를 했는지를 파악하는 게 가장 큰 주안점이다. 어떤 면에서는 아이덴티티 관리와 비슷한데, 기존의 기술보다는 더 복잡하고 깐깐해져야 한다. 그리고 그것이 최종점이 아니라 보안의 시작점에 불과하다. 이것이 가능하려면 기업 내 각종 사업의 유기적인 관계들까지도 알고 있어야 한다. 그냥 알고 있어야 하는 게 아니라 깊고 자세히 이해해야 제대로 된 ‘누가 어떤 걸 왜 언제 접속했는지’ 파악하면서 보안을 ‘시작’하는 게 가능해진다. 기계적으로 이걸 통제하면 반발이 일고, 생산성에 차질을 빚기 때문에 유기적으로 조정해야 하는데, 이는 결국 ‘역할에 따른 알맞은 책임과 권한의 부여’라는 ‘코디(coordination)’ 역할로까지 이어진다. 결국 ‘하모니’의 지휘를 보안이 맡아서 해야 한다는 것이다.

우리는 보안 담당자로서 ‘안전’을 책임져야 하지만, 결국 기업의 생존과 번창에도 이바지해야 한다. 그런데 그런 기업들은 우리가 돌보려고 마음을 먹는 것보다 빠르게 변화해 이미 저만치 앞서가고 있다. 따라 잡아야 보호를 하든 말든 할 텐데, 손에 닿지를 않는다. 이런 때에는 눈 앞에 보이는 것 하나하나 해결하기보다 큰 흐름을 읽어서, 내가 속한 단체의 변화보다 한 걸음 앞에 있는 것이 중요하다. 쫓는 자에겐 거북이도 어마어마하게 빨라 보이고, 앞선 자에겐 빛 마저도 느려보이는 법이다.

글 : 존 B 딕슨(John B Dickson)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>