현재 대부분 정부 기관들은 민관 기업들의 보안 문화 그대로 따라가
정부에게 있어 보안 사업은 국가 사업의 일부가 되어야

[보안뉴스 문가용 기자] 전 세계적으로 사회 기반 시설과 공공 부문은 사이버 공격자들에게 탐스러운 표적이다. 공격 방법도 다양하고 위험의 종류도 여러 가지다. 그런데 이런 부분을 책임지고 관리해야 할 정부는 제대로 대처를 하지 못하고 있는 게 대부분이다. 지금 현재 정부 기관들은 어느 정도로 현대화된 위협에 대처할 수 있는 걸까?


일단 군 기관이나 국가 정보 기관들은 사이버 공격에 대한 준비도가 높은 편이다. 하지만 그 외 정부 기관들은 인원 부족, 예산 부족, 지식 부족의 삼박자를 고루 갖추고 있다. 중앙 정부 기관도 이러니 지방 자치 단체들의 사정은 더욱 열악하다. 대부분 오래된 지식과 솔루션을 갖춘 상태로 심각한 공격이 일어나지 않기를 희망하는 데에 그치고 있다.

보안 업체 시스코가 발표한 시스코 2017 보안 능력 벤치마크 연구 보고서(Cisco 2017 Security Capabilities Benchmark Study)에 의하면 공공 부문의 보안 전문가들 중 “침투 테스트와 엔드포인트/네트워크 포렌식 툴을 가지고 있다”고 답한 이들은 30%에 불과했다. 또한 하루에 수천 개의 경보가 울리지만 들여다볼 수 있는 건 65%에 불과하다고 답한 이가 40%였다. 들여다본 경보들 중 진짜 위협으로 판명난 것은 32%, 이 중 조치가 가능했던 건 47%였던 것으로 나타났다. 아무리 잘게 쪼개서 들어가도 반 이상 제대로 되는 게 없다.

그래서 세계 여러 곳의 정부 기관들은 그나마 갖추고 있는 자원을 효율적으로 사용하기 위해 사이버 보안 전담 기관을 설립해 민간 보안 기업들의 활동을 모니터링하거나 돕고, 협력하는 방안을 채택하고 있다. 미국에서는 DHS, US-CERT, NCCIC가 이러한 기능을 담당하고 있다. 그 외 많은 CERT들이 각 나라와 지역에서 활동하고 있는 중이기도 하다. 이러한 방법론의 핵심은 ‘중앙화’이다. 그렇기에 각 단체와 기관이 ‘자율적인 운영’, 즉 탈중앙화된 환경에서 각자의 역할을 하는 현대의 사정과는 궁합이 썩 좋지만은 않다. 특히 가시성과 협력면에서 이러한 접근법의 한계가 드러난다.

1) 가시성 : 각 기관들의 인터넷 접근점들을 파악하고 통제하는 것은 이론적으로 완벽한 가시성을 제공할 수 있어야 하지만 현실 속에서는 항상 비인가 혹은 비공식적인 접근점들이 존재하기 마련이다.
2) 업무 협조 : 정부 기관들의 ‘중앙화된’ 사이버 보안 노력은 사실 이미 존재하고 있는 보안 프로그램과 개념의 재탕일 뿐이다. 그냥 정부 기관에서 진행한다는 것만 다를뿐, 민간 기업들에서는 이미 다 실시하고 있는 것이라는 뜻이다. 그러니 같은 곳에서 구멍과 한계가 드러난다.

즉 정부나 공공 부문이라는 특성에 어울리는 보안 강화의 방향이 아직도 고안되지 않았다는 게 문제의 본질이라고 필자는 보는데, 이게 가장 결정적으로 작용하는 건 ‘성과’라는 측면에서다. 정부 기관들에서 보안이 강화되면, 담당자들은 ‘성과지표’의 성적이 우수해지고 끝이다. 하지만 민간 부문에서는 가시적으로 비용 절감이나 수익 증대가 이뤄진다. 뭐가 더 중요한 가치를 가지고 있는지는 둘째 치고 체감되는 ‘보람’의 수준이 다르다. 가뜩이나 조심스럽게 움직여야 하는 정부 기관들인데, 보안 향상이 잘 이뤄지지 않게 느껴지는 건 이런 점도 분명히 작용한다고 본다.

정부의 보안 정책은 민간의 그것과는 ‘스케일’부터 달라야 한다. 다만 지리학적인 측면에서의 광범위함을 말하는 게 아니라 시간적인 면도 말하는 것이다. 여느 국가 산업이 먼 미래를 내다보고 진행되듯, 보안도 그래야 한다는 것이다. 그렇게 하기 위해선 가시적인 성과 지표를 내걸고 담당자들의 보람 문제도 해결해줘야 한다. 민간과 꼭 달라져야 할 필요는 없지만, 국가 사업다워야 할 때는 국가 사업다운 차별성을 가지고 있어야 한다.

하지만 가장 근본적인 문제는 역시 ‘보안 인력이 부족하다는 것’이다. 민간 부문도 그렇고, 공공 부문도 마찬가지다. 이게 한두 해만에 해결되는 게 아니기 때문에 더 큰 문제인데, 자동화 기술의 발전이나 아웃소싱으로 현재는 해결해가고 있는 사정이다. 자동 업데이트 옵션 활성화라든가 자동 패치만 정책적으로 도입해도 보안 수준은 높아지고 보안 담당자의 업무량은 줄어든다.

위에서 언급한 시스코 보고서에서 ‘인력 및 업체를 아웃소싱한다’는 응답자가 40%에 달했는데, 이 또한 현재로서는 나쁘지 않은 해결책이다. 응답자들 대부분 아웃소싱의 이점으로 ‘가격 효율’, ‘높은 전문성’, ‘빠른 대응’을 꼽았다.

정부 기관이 기억해야 할 것은 하나다. 정부 기관에 다가오는 위협은 민간 부문이 겪는 것과 같다는 것이다. 그러므로 민간 부문의 전문성을 빌려오거나 활용하는 것이 중요하다. 하지만 그렇다고 민간 부문의 모든 것을 다 따라갈 필요는 없다. 보안은 하나의 국가 사업이 되어야 하고, 결국 국가 사업을 주도하는 건 정부 기관이어야 한다. 더 광범위한 지역과 후대들까지도 아우를 수 있는 사업이 정부 주도 하에 제대로 흘러가야 다가오는 사이버전 시대를 맞이할 수 있을 것이다.

글 : 조나단 카우치(Jonathan Couch), ThreatQuotient
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>