데이터 보호 위해 돈 잘 쓰려면 먼저 해야할 일 있어
18조원이라는 시장 규모, 신뢰 없으면 한 번에 사라질 수도

[보안뉴스 문가용 기자] 2016년 사이버 보안 산업에 투입된 비용은 18조원이 넘는다고 한다. 당분간 이 금액은 올라가면 올라갔지, 줄어들 일은 없다는 게 일반적인 견해다. 그런데 문제는 더 커지기만 하니, 이 돈들은 다 어디로 가는 걸까? 데이터 유출 사고는 끊임없이 발생하고 공격자들은 매일처럼 새로운 것들을 들고 나오며, 우리는 속수무책으로 당하는데, 왜 그런 걸까?

문제는 공격자들이 더 영리하거나 똑똑해서가 아니다. 그들이 기울어진 운동장의 위쪽에 있기 때문만도 아니다. 우리의 방어 체계는 ‘각자’, ‘독립적으로’ 이뤄져 있기 때문에, ‘흩어져서’ ‘제각각’ ‘나름의’ 방법만 고민할 수밖에 없기 때문이다. 그들이 방어자들보다 더 똑똑해 보이는 건 딱 하나, 뭉쳐있기 때문이다.

데이터를 보호한다는 건 늘 어려운 일이었다. 이 어려움에는 여러 가지가 있는데 그 중에서 최고는 데이터 보호의 어려움이 전혀 개선되지 않고 있다는 것이다. 여기에는 몇 가지 이유가 있다.

정보의 디지털화 : 인류 역사상 이렇게까지 데이터가 많이 생성되고 보존되는 때는 없었다. 현재 인터넷에 있는 모든 정보를 CD로 굽고, 그 CD를 일렬로 높이 쌓는다면 달을 지나친다고 한다. 더 경악스러운 건 이 CD의 거대한 기둥이 3년에 한번 꼴로 두 개씩 생긴다는 것이다.

안전보다는 편리가 우선 : 인간의 본성은 쉽고 편한 걸 좋아한다는 것이다. 그래서 우리는 비밀번호를 쉽게 공유하고, 별 고민 않고 링크를 클릭하며, 소셜 미디어에게 자발적으로 정보를 제공한다. 같은 비밀번호를 매번, 매 사이트에서 사용하는 것도 ‘편해서’이고, 이는 해커들도 마찬가지로 편하게 만들어주는 요인이다.

해킹 행위의 익명성 보장 : 해킹 행위를 한 사람이 신변을 숨기는 건 쉬운 일이다. 기술력이 대단할 필요도 없다. 정체가 드러난 사이버 공격 행위자들이 이상할 정도다. 해커 하나 체포하려고 경찰들이 얼마나 오랜 기간 수사를 진행하는지, 게다가 전 지구적인 공조를 필요로 한다는 것이 이 사실을 드러낸다.

성숙한 규정들이 존재하지 않는다 : 보안 규정에 대해 다들 빡빡하다고 생각하고 있는 것 같지만, 의외로 실제 기업들의 활동을 ‘찍어 누르는’ 규정은 매우 적다. 정확히 말하면 규정의 실효성이 부족하다는 것인데, 특히 데이터를 보호한다는 면에서는 더욱 그렇다. 예를 들어 건강의료 분야의 경우 의료정보보호법(Health Insurance Portability and Accountability Act)이 있지만 실상은 모호하고 구멍투성이다. 심지어 뜨거운 이슈인 GDPR도 벌써 애매하고 모호한 부분들이 드러나고 있다. 보안의 규정을 수립하는 건 대단히 어려운 일이기 때문이다.

그렇다면 명확한 규정이 등장하고, 해커가 익명성을 보장받을 수 없는 시대가 오기 전까지 우리는 어떻게 살아남아야 할까?

어떤 데이터를 가지고 있는지 이해해야 한다. 값어치가 있는 데이터나 민감한 데이터만을 말하는 게 아니다. 모든 데이터가 여기에 포함된다. 그리고 ‘이해한다’는 건 항목화해서 나눈다는 것까지도 포함한 개념이다. 가지고 있는 모든 데이터의 정리와 분류, 이것은 한 번에 끝나는 게 아니다. 데이터가 갈수록 증가할 것이 당연하니 체계적인 데이터 관리를 습관화해두는 게 좋다.

데이터의 위치를 파악하라. 데이터라는 게 물체도 아니고 한 곳에서만 서식하는 특성을 가지고 있는 것도 아니다. 예를 들어 웹 페이지를 방문하면, 그 순간 그 웹 페이지의 데이터는 당신의 웹 브라우저 상에서 복제되어 나타나는 것처럼 말이다. 그러니 저장되어 있는 데이터는 무엇이고 돌아다니고 있는 데이터가 무엇인지 구분하고, 저장소와 돌아다니는 곳을 잘 파악해두어야 한다.

데이터 접근자를 알아두어야 한다. 즉 이론상 데이터에 접근 가능한 모든 경우의 수를 파악하라는 것이다. 사실상 접근이 불가능한 것들이라도 이론상 가능하다면 여기에 해당된다. 해커들이 점점 이론상으로만 가능했던 공격들을 성공시키고 있다는 걸 잊지 말라. 또한 조직 내 어떤 사람이 얼마큼의 권한을 가지고 있는지 알아두는 것도 반드시 해야 하는 작업이다.

접근 가능한 자들이 할 수 있는 일들도 파악하라. 데이터에 대한 접근권이 있다고 해서 뭐든지 다 할 수 있는 건 아니다. 하지만 사실상 접근 권한과 함께 거의 모든 권한이 주어지는 게 현실이긴 하다. 그러니 접근권이 높은 사람들이 어떤 파일을 공유하거나 외부로 유출시킬 수 있는지를 검토하고, 이런 행위들을 어떻게 막을지 전략을 세워야 한다.

현 상황에서의 데이터 보호 장치들을 파악하라. 이 단계를 제대로 수행하려면 위에서 언급한 모든 것들이 되어 있어야 한다. 데이터가 유형별로 어디에 저장되고 어떤 자들에게 접근을 허락하며 또 어떤 방식과 규칙 아래 공유되거나 사용되는지 알아야 적당한 보호 방법을 파악할 수 있다. 보호 방법이란 암호화, 물리 보안 장치, 접근 권한 관리, 아이덴티티 관리 등 다양하다. 이런 보호 장치들이 적당한지, 제대로 작동 중인 건지 판단을 할 수 있어야 한다.

안타까운 건 대부분 기업들이 ‘보안을 강화한다’고 한다면 맨 마지막 단계인 ‘현재 보안 장치 파악’부터 시작한다는 것이다. 그게 무엇이든 보안 솔루션이나 장치가 있기만 하면 안심할 준비를 하고서 보안 강화 프로젝트를 시작하기 때문이다. 이 때문에 쓸데없이 비싼 보안 장비 사느라 돈이 낭비되고, 그렇기에 18조원이라는 어마어마한 액수의 돈에는 허수가 많다.

돈을 얼마나 쓰는가가 중요한 게 아니다. 어디에 어떻게 사용하는가가 중요하다. 18조원이라는 숫자 앞에 보안 시장의 앞날이 밝다고 희망만 해서는 안 된다. 돈을 퍼붓고 퍼붓고 퍼붓다가 아무런 효과가 없다고 생각되면 그 돈은 사이버 보험이나 기타 다른 분야로 갈 것이다. 보안을 모르는 사람들이 예산을 규모있게 사용하도록 돕는 것 또한 보안 전문가들의 할 일이다.

글 : 그랜트 엘리엇(Grant Elliot)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>