• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

생산성이냐 보안이냐 고민 말고 시스템 회복력부터 갖춰야 2017.07.27

보안 전문가 64%, “생산성 유지하라는 지시 있으면 보안 빗장 내릴 것”
보안 희생하면 큰 위험 닥칠 수 있어... BFT 등으로 시스템 회복력 갖춰야

[보안뉴스 오다인 기자] IT 보안 부서와 가능한 한 생산성을 유지하려는 타 부서 사이에는 언제나 긴장이 흐른다. 보안 업체 브로미엄(Bromium)이 24일 발표한 보고서에 따르면 이런 긴장은 계속해서 커지고 있다.

[이미지=iclickart]


175명의 보안 전문가를 설문조사한 결과, 응답자의 64%가 최고 경영자가 생산성을 유지하라고 지시하면 보안 빗장을 내릴 것이라고 말했다.

브로미엄 보고서는 고객 정보나 네트워크, IP를 보호하는 일의 최종 결정권자가 반드시 IT 보안 부서인 것은 아니라는 사실이 이번 결과로 드러났다고 설명했다. 기업의 리더십이 때로 보안 전문가들의 판단을 제압하거나 능가한다고 보고서는 지적했다.

브로미엄의 공동 설립자이자 CTO인 사이먼 크로스비(Simon Crosby)는 “기업이 보안 정책을 도입할 때마다 얼마나 많은 사람들이 이를 어기는지 보고 놀란다”고 말한다.

보안 빗장을 낮추려는 생각은 위험을 평가할 때의 자연스런 인간 본능을 반영한다고 크로스비는 설명했다. 크로스비는 우유 한 팩을 사러 근처 가게로 운전해가면서 안전벨트를 착용할지 말지 고민하는 것과 비슷하다고 말한다. 이때 운전자는 설사 교통사고가 난다 하더라도 작은 사고에 불과할 것이라고 합리화하기 마련이라고 크로스비는 지적했다.

“보안 직원들은 최고 경영자가 생산성을 위해 보안을 좀 풀라고 얘기하면 그 보안 위험이 상대적으로 작을 것이라고 생각하는 경향이 있습니다. 하지만 위험을 감수하는 일이 반복되면 아주 작은 구멍도 점점 커지고, 나중에는 구멍이 숭숭 뚫린 보안 상황에 직면하게 됩니다.” 크로스비는 보안 위험을 과소평가하는 상황이 반복되면 큰 위기를 맞을 수 있다고 경고했다.

크로스비는 보안 전문가들이 보안 정책에 있어서 하나의 예외를 허락하기 시작하면, 보안을 느슨하게 만들어야만 했던 그 일시적인 상태가 끝난 이후에도 원래의 안전한 상태로 돌아가는 것을 잊어버리는 경우가 발생할지도 모른다고 덧붙였다.

보안 해제 버튼을 누르는 것
이 설문조사는 IT 정보보안 전문가의 40%가 기업 내 타 부서에 의해 요청받을 시 보안 장치를 꺼둘 수도 있다고 응답했다고 밝혔다.

크로스비는 “생산적일 필요가 있기 때문에 40%라는 숫자는 놀랍지 않다”며 “그러나 보안을 희생시키지 않고 생산성을 유지해야 할 필요도 있다”고 말했다. “사람들은 기업을 안전하게 보호하고 있다고 스스로에게 거짓말을 하면서 행복해합니다. 직원들이 보안 정책들을 위반하리라는 사실을 아주 잘 알면서도 말입니다.”

다른 부서의 요청이 있을 때 보안 장치를 꺼두겠다는 생각에 더해, 이 설문조사는 응답자의 55%가 특정한 보안 기능들을 없앤 뒤에도 사용자가 초래할 위협으로부터 기업의 안전을 유지할 수 있다고 믿는 것으로 나타났다고 밝혔다.

가장 없애고 싶어 하는 보안 기능으로는 32%의 정보보안 전문가가 웹 프록시 서비스와 제품을 가리켰다. 사용자의 접근 속도를 늦추거나 제한하기 때문이다.

“일반적으로 사람들은 웹 프록시가 사용자 생산성에 영향을 미치거나 신경을 거슬리게 하면 꺼버립니다.” 크로스비는 “보안 부서는 심층적인 방어에 의존한다”며 “엔드포인트에 안티 바이러스를 비롯한 다른 모든 것들이 갖춰져 있기 때문에 웹 프록시가 없어도 충분히 보호되고 있다고 스스로에게 말한다”고 지적했다. “그래서 그냥 이런 것들은 꺼버려도 괜찮다고 생각하고 심지어는 그렇게 해야만 한다고 믿는 것이죠.”

보안 해제 버튼을 누르는 것보다 나은 대안들
크로스비에 따르면, 시스템 내에 회복력을 구축하는 것이 기업의 보안을 지키는 하나의 방법이 될 수 있다.

“애플리케이션과 운영체제 사이, 그리고 애플리케이션들 사이를 정교하게 분리해놓을 필요가 있습니다.” 크로스비는 설명한다. “관리 시스템은 언젠가는 망가지기 마련인데, 만약 그런 상황에서도 전체 시스템이 계속 작동해주길 바란다면 시스템 내에 회복력을 구축해놓아야만 합니다.”

크로스비는 이런 접근법을 넷플릭스(Netflix)가 BFT(Byzantine Fault Tolerance) 시스템을 사용하는 것과 비교했다. 망가질지도 모르는 하나의 거대한 메인 프레임상에서 운영하는 것 대신에 BFT는 수많은 마이크로 서버에 아키텍처를 분산해서 운영한다. 결과적으로, 기업 운영의 일부분이 망가지더라도 계속 운영하는 데는 문제가 없는 것이다.

크로스비는 “클라우드나 엔드포인트에서도 이 같은 방법을 적용하는 것이 가능하다”고 짚었다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>