영속농업의 개념으로부터 배우는 보안 관리 노하우

[보안뉴스 문가용 기자] 빌 몰리슨(Bill Mollison)과 데이비드 홈그렌(David Homegren)의 저서인 퍼머컬쳐원(Permaculture One)이 출간된 지 40년 가까운 세월이 흘렀다. 아는 사람만 아는 이 책은 숨어있는 명저로, 사회 시스템과 농업의 관계를 비교 분석하며 명쾌하게 짚어내고 있다. 많은 사람들이 이 책 때문에 인생이 바뀌었다고 말할 정도다.


퍼머컬쳐는 ‘영속농업’으로 번역된다. 자연친화적인 방법으로 지속가능한 작물 농업을 도시에서 실행하는 걸 말한다. 이들은 밭 한쪽에 지렁이를 모으고, 벌통을 설치하며, ‘아쿠아포닉’을 위한 작은 연못도 마련한다. 닭장도 한쪽 구석에 있어 신선한 달걀을 얻고, 화장실에서 용변 본 것들을 모아 밭에 뿌리고, 빗물을 모아 식물의 목을 축인다.

자, 그러면 이런 실생활 농업 활동과 정보보안은 무슨 상관일까? 먼저 정보보안 담당자로서 기업을 보호하는 일에 대해 생각해보자. 현대 기업의 환경에서 보안 담당자가 겪는 어려움은 자원 부족(여기서 자원이라 함은 사람, 기술, 예산 등이다), ‘아무도 인정하지 않는 우선순위’, 컴플라이언스와 비즈니스의 균형 잡기, 의식 제고 훈련 부속, 표준과 정책의 집행 등이다.

여기에 ‘영속농업’의 원리를 대입시켜보자. 영속농업은 위에서 말했듯 ‘농업의 다양한 요소들’을 조화롭게 통합하는 것을 말한다. 그러면서 자연의 순리를 지켜가는 것을 중요하게 여긴다. 경쟁보다는 협력의 원리를 우위에 두고, 자연과 사람을 보호하며 잉여 자원을 재투자한다. 또한 관리자는 사용하는 빈도수에 따라 자신의 농장 영역을 0~5까지로 나눠 관리한다. 0은 가장 활용도가 높은 곳이고 5는 가장 낮은 곳이다.

그리고 보안 담당자인 당신은 지금 다음과 같은 상황에 처해있다.
1) 침입 탐지 시스템으로부터 하루 25~50건의 경보를 받는다.
2) 멀웨어 시스템을 업데이트하거나 경보에 대응한다. 대응 빈도수는 약 1주일에 10차례 꼴이다.
3) 하루에 한 번 VPN 로그를 검토한다.
4) 통합 정적 코드 분석을 한 후 하루에 한 번 코드를 배치한다.
어떤 식으로 이 상황을 ‘영속농업’해야 할까?

먼저 영속농업자들처럼 보유하고 있는 툴들을 구분한다. 경보가 자주 울리는 침입 탐지 시스템은 1번 영역이다. 1번 영역에서는 침해지표로 보이는 것들이 가장 많이 나온다. 그러나 관리자가 직접 개입해야할 부분은 적다. 멀웨어 탐지 시스템도 비슷하다. 하지만 경보만큼 자주 울리지는 않으니 2번 영역에 배치한다. VPN 로그 분석과 정적 코드 분석은 3번 영역에 할당한다. 대신 VPN 로그 분석 및 정적 코드 분석 모두 사람의 적극적인 개입을 필요로 한다.

예시를 들어야 하니 간단하게 적긴 했지만, 실제 현장에서 영역을 구분한다는 건 쉽지 않을 것이다. 또한 회사마다, 담당자마다 더 많은 자원을 투자해야 하는 곳이 다르니, 자신이 하고 있는 일을 명확히 이해하고 있어야만 이 구분이 가능하다. 하지만 결국엔 ‘담당자로서 내가 얼마나 직접 개입해야 하는가?’에 따라 – 마치 영속농업에서처럼 – 구분하는 게 기본 원칙이다. 이는 업무의 효율성을 높일 수 있고, 따라서 보안 업무가 ‘지속가능하도록’ 돕는다.

그 외에도 영속농업을 보안에 적용할 수 있는 사례는 더 있다.

1) 문제가 해결책이다. 예를 들어 정원을 가꿀 때 민달팽이들은 골칫거리다. 그런데 이 정원에 오리를 풀어놓으면, 민달팽이의 번식을 막을 수 있다. 오리가 민달팽이를 먹기 때문이다. 그리고 오리를 기르기 시작하면 알까지 주기적으로 얻을 수 있다. 이를 IT 환경에 대입해보자.

IT의 여러 요소들 중 큰 문제가 되고 있는 건 취약점들이 가득한 코드다. 마치 민달팽이처럼 이 취약점들은 코드를 망쳐놓는다. 하지만 어떤 개발자(혹은 개발팀)가 주로 어떤 취약점을 잘 생성하는지 기록해둘 수 있다면, 해당 개발자 및 개발팀에게 이 취약점 가득한 코드를 ‘교재’로 활용할 수 있다. 팀 단위보다는 개인 단위로 실시하는 게 보다 효율적인데, 그 이유는 한 사람의 실수로 모두가 강제로 교육을 받아야 하는 건 팀의 사기와 능률을 떨어트리기 때문이다.

2) 가장 작은 변화로 가장 큰 결과를 창출한다. 보통 댐 건설을 위해 자리를 잡을 때 건설자들이 눈여겨보는 건 딱 두 가지다. 퍼내야 하는 흙의 양에 비해 얻어낼 수 있는 물의 양이 얼마나 되는가, 가 바로 그것이다. 이는 국가적 차원의 공사를 할 때도 그렇지만, 정원에 물을 대기 위해 자그마한 댐을 만들어야 할 때도 마찬가지다.

IT 보안의 세계에서 이는 워크스테이션에서 불필요한 관리자 권한을 제거하는 것과 같다. 불필요하게 높은 권한을 제거함으로써, 멀웨어 감염률을 최소화시키는 것이다. 관리자 권한을 정말로 필요한 사람에게만 주고 나머지는 전부 제거한다는 건 실제로 그리 어렵지 않은 작업이다. 약간의 불편함이 뒤따를 수 있으나, 이 권한을 정리함으로써 얻을 수 있는 효과가 훨씬 크다.

3) 정리하면 에너지가 절약된다. 정원을 정돈하지 않으면 쓸데없는 곳에 에너지가 낭비된다. 간단하게는 사람과 동물(기르고 있다면)의 동선부터가 꼬인다. 이는 IT 개발 환경과 관련이 있다. 예를 들어 사업 운영 팀이나 마케팅 팀을 개발 과정 중에 투입시키면 앱을 완성시키고 나서 후속 조치를 또 따로 취해야 하는 불필요한 일이 없어진다. 이런 식의 시도는 ‘데브옵스’라는 이름으로 현재 활발히 이뤄지고 있다.

4) 자연스러운 순환에 몸을 맡긴다. 농사를 짓는다는 건, 혹은 정원을 가꾼다는 건 자연과 가까이 호흡하는 일이다. 제철에 나는 과일에 만족할 수 있고, 날이 따듯해질 때까지 기다릴 수 있어야 한다. 소프트웨어 개발 주기도 마찬가지다. 그 어떤 개발 방법론을 적용해도 기본 골자인 ‘기획 -> 구축 -> 실행’은 유지되어야 한다. 이 기본 순서가 어긋나기 시작할 때 취약점들이 태어나기 시작한다.

5) 자연적인 방법으로 해결한다. 살충제를 쓰면 해충들이 빨리 죽는다. 그 해 농사는 풍요로울 수 있다. 하지만 생태계 구조 상 그 해 죽인 벌레들 때문에, 다른 해충들이 다음 해에 기승을 부릴 가능성이 높아진다. 천적관계를 활용한 자연친화적인 해결방식을 영속농업에서는 추구한다.

이는 일반 직원들이 말하는 보안의 ‘불편함’에 비할 수 있다. 이는 ‘권위’나 ‘엄벌’로 극복이 가능하다. 그러나 근본적인 불편함이 바뀌지 않으면, 직원들은 어떻게 해서든 우회하는 법을 찾아내기 마련이다. 그걸 또 권위와 엄벌로 억눌러도 마찬가지. 그래서 IT 보안 정책이나 여러 제어 장치들은 기업의 ‘생산 활동’이나 ‘워크플로우’와 자연스럽게 합치되어야 한다. 기업의 영리 활동과 자연스럽게 맞춰진 보안은, 안전이라는 열매를 산출한다.

인간의 갖은 만행에도 불구하고 자연은 본디의 모습을 비교적 잘 지켜왔다. ‘자연스럽다’는 말이 갖는 힘은, 우리가 수만 년 동안 세대를 바꿔가며 목격해온 ‘경험’에서 비롯된다. 대자연의 순리를 IT 보안에 적용해보는 걸 고려해야 할 때다.

글 : 크리스 넬슨(Chris Nelson), Distil Networks
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>