한 번에 건강해지거나 안전해질 수 없어... 튼튼함은 꾸준함의 산물
‘기분파’식 접근보다는 ‘노력충’식 접근이 더 적합...법과 정책도 아직 미완성

[보안뉴스 문가용 기자] 사이버 보안과 피트니스 산업에는 의외로 공통점들이 있다. 일단 두 산업을 찾는 고객들 대부분은 ‘빠른 해결책’을 원한다. 습관을 고치거나, 장기간 새로운 땀을 흘려가며 낯선 음식과 친숙해지지 않아도 되는 뭔가를 원한다는 것이다. 그래서 갑자기 생각났을 때, 혹은 마음이 움직일 때만 단 기간 열심을 내는 사람들은 큰 효과를 보지 못한다. 사이버 보안의 측면에서나 건강해지려는 사람에게나, 이런 성향의 사람들은 거의 항상 좌절과 짜증만 맛볼 뿐이다.

그럼에도 두 산업 모두 신규 유입이 끝없이 계속된다. 새로운 약속을 담은 새 제품이 매일매일 쏟아져 들어오고, 이미 있는 제품들은 기능이 강화되고 새로운 모습으로 돌아온다. 유행에 민감하게 반응하고, 유행 자체가 금방 바뀌기도 한다. 하지만 그 새로운 약속을 온전히 누리는 사람들은 그리 많지 않다. 그 결과는? 더 안 좋은 상황으로 둘 다 똑같이 흘러가고 있다. 사람들의 건강은 평균적으로 더 안 좋아지고 있고, 보안 상태 역시 마찬가지다.

총체적 접근이 필요
건강 관리에 신경 쓰는 사람들 중 각종 약 섭취에 힘쓰는 사람을 쉽게 찾을 수 있다. 물론 비타민이나 철분제 같은 거 먹는 게 전혀 나쁜 일은 아니다. 하지만 그 많은 약들을 챙겨 먹으며 ‘이게 날 건강하게 해줘’라고 쉽게 믿어버리는 건 반드시 좋다고만은 할 수 없다. 건강보조제는 몸을 건강하게 관리하는 많은 수단들 중 하나일 뿐이다. 건강하게 음식 먹는 습관, 주기적으로 운동하는 버릇 등이 동반되지 않으면 약을 먹는다고 해서 건강의 화신이 되지는 않는다.

그런데 이런 사고방식이 보안에 접목되는 것 또한 흔치 않게 볼 수 있다. 사이버 보안에서 각종 건강보조제에 해당하는 건 다양한 보안 솔루션일 것이다. 이걸 사다가 설치해놓고 우리는 ‘이제 우리는 해킹 당하지 않아’라고 결정해버린다. 그래서 실제로 보안 시장은 점점 규모가 커져가고 있다. 그렇지만 진짜 우리의 사이버 환경은 팔리는 솔루션 수만큼 안전해져 있는가? 오히려 범죄자들은 더 날뛰고 있다. 솔루션이 나쁜 게 아니라, 그게 다라고 생각하는 마음가짐 때문이다.

지름길이 없다는 걸 왜 이해하려하지 않을까. 다이어트나 건강관리나 사이버 보안이나, 다 마찬가지다. 왕도란 건 전설 속 존재일 뿐이다. 총체적인 전략과, 그걸 수행할 부지런함만이 안전과 건강함을 보장해준다. 부지런함이라고 해서 ‘의지’만을 말하는 게 아니다. 실천사항들을 쉽고 간단하게 분해하는 전략이 필요한 건 ‘의지’에 한계가 있기 때문이다.

전략적인 계획
당신이 건강을 위해 마라톤에 참가하기로 했다고 하자. 신청서까지 완료해 접수시켰다. 그러면 당장 당일에 현장에서 달리기 시작하면 끝일까? 아니다. 정말 완주하고 싶다면, 최대한 미리부터 준비운동을 시작해 달릴 수 있는 거리를 늘려가야 한다. 이는 보안도 마찬가지다. 먼저는 현재의 상태를 파악해야 하고, 그걸 바탕으로 ‘운동 계획’을 세워야 한다.

필요한 곳에 모니터링 장치를 마련하고, 네트워크를 분리하고, 암호를 다시 설정하고, 관계자들을 교육시킬 준비를 갖추어야 한다. 그리고 마지막으로는 더 강화된 상태를 유지하기 위해 계속해서 소통을 유지하고, 더 업그레이드 된 기획을 하고, 지속적으로 모니터링을 해야 한다. 처음부터 끝까지, 계획 안에 포함되는 것이 중요하다.

계획의 꽃, 실천
장기적인 건강 관리 프로그램의 핵심은 지켜내는 것이다. 그것도 규칙적으로, 같은 양만큼 말이다. 생전 처음 마라톤을 접한 사람이 풀코스를 단박에 뛰어낼 수는 없다. 대신 마라톤을 뛴다는 상상과 기대감으로 그날까지 운동을 하면서 몸을 키워낼 수는 있다. 또 마라톤을 뛰고 나서는 그러한 건상 상태가 유지되도록 애써야 한다.

사이버 보안도 마찬가지다. 현재 관련 법이나 정책들이 ‘꾸준한 보안 상태 유지’와는 거리가 먼 게 사실이다. 예를 들어 PCI 정책을 지키려면 침투 테스트나 앱섹 실험을 일 년에 두 번만 하면 된다. 그러니 보안 강화가 곧 컴플라이언스라는 개념이 잘못되었다고 여러 전문가들이 입을 모으는 것이다. 법을 지키는 건 중요하지만, 그게 전부는 아니다.

건강 관리와 마찬가지로 실제 좋은 결과를 가져다주는 건 규칙적이면서 어느 정도 ‘고생스러운’ 변화들을 지켜나갔을 때이다. 보안 전문가들이 정말로 안전한 변화를 기업 내에서 일으키려면 이런 마음을 가지고 있어야 한다. 가장 기본은 코드 보안과 정적 코드 분석이다. 소프트웨어 개발의 가장 기초 단계부터 보안 강화 프로세스를 도입시켜서 나중 단계에서도 보안 구멍 없이 흘러가도록 해야 한다.

지속적인 발전
현 상태를 파악했고, 그에 맞는 강화 대책을 마련했으며, 그걸 어느 정도 다 실천해냈다면, 더 건강해지기 위한 기초가 마련되었을 것이다. 이제는 그 기초 체력을 바탕으로 더 재미있고 좀 더 어려운 운동을 시작해볼 차례다. 한 번 건강해진 몸이나 시스템을 가지고 할 일은 방치가 아니라 더 건강해지는 것이라는 걸 잊지 말자. 물리 환경이나 사이버 환경이나 항상 변하고 있으며, 우리는 그 환경 변화에 민감하게 영향을 받는다.

게다가 요즘은 그 변화의 속도가 어마무시하게 빠르다. 사이버 보안은, 안전을 담당하는 기능을 가지고 있으므로, 그 속도에 맞춰야 한다. 보안에 관계된 모든 사람의 협력과 참여가 필요하다. 아무리 약 먹고 매일 달리기를 해도 환경이 급속히 파괴되는 공장 밀집 지대 한 가운데에서 건강할 수는 없다. 필요하다면 이사라도 가야 한다. 호스팅 업체도 바꾸고, DNS 업체도 바꾸고, 더 나은 장비나 서비스 업체도 평상시에 알아봐야 위기 상황에 대처가 가능하다.

보안, 내 건강 지키는 것과 똑같이 하면 된다. 진심을 담아서.

글 : 마이크 카일(Mike Kail)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>