통합보안과 정보보호 서비스 그리고 ERM

 

정보와 지식을 기반으로 안전이라는 가치를 비즈니스가 존속하는 한 계속 제공해야 하는 진행형의 이야기인 보안은 IT 거버넌스와 더불어 비즈니스 위험에 대응하는 정보보호 거버넌스 관점에서의 지속적인 혁신과 리더십을 요청받고 있다. 또한, 넓고 크게 보는 시각을 요구받는 통합보안의 파고를 어떻게 헤쳐갈 것인가가 보안업계와 조직이 맞이한 큰 흐름이라 할 수 있다. 

이번 호에서는 차세대 전략인 통합보안과 보안 서비스에 대한 현재의 논의에 더불어 제공자와 고객의 공통분모인 전사적 비즈니스 위험관리 ERM(Enterprise Risk Management)에 대해 개략적으로 살펴보고자 한다.

        

 

통합보안과 이를 바라보는 보안업계의 시각

통합보안의 개념은 산업보안적 요인과 정보보안적 요인, 그리고 인식과 감사영역을 포함한 관리적 측면에 더불어 비즈니스 보안영역까지를 포괄한다. 

여기서 말하는 산업보안적 요인은 총무나 관리부서에 의해 운영되는 출입통제 및 신원확인 등의 물리적 요인에 기초한 보안영역을 의미한다. 지금 강조되는 기술적 보안보다 훨씬 더 오랜 역사를 가진 물리적 보안은 오늘날 CCTV, 스마트카드, 출입통제를 비롯해 시설물에 대한 감시에서 조기경보, 그리고 그에 대한 감사까지를 포함하고 있다.

대표적인 것이 지능형 CCTV 등을 활용한 능동적인 대응이 있다. 과거의 시스템이 단순 동선감시와 더불어 모니터링 요원에 의한 대응 단계에 그쳤다면 현재는 한층 더 나아가 유실물의 확인과 대응, 긴급 상황에 대한 능동적인 조치를 위한 판단, 그리고 프라이버시를 고려한 감시체계 등으로 진화해가고 있다.

또한, 오늘날의 정보보안 영역은 점차 비즈니스 영속성을 확보하기 위해 사업에 밀접히 연관되어 가고 있다. 대표적인 것이 정보보호라는 용어와 함께 비즈니스 위험관리라는 표현이 점차 많이 회자되고 있다는 점이다. 

엔드포인트, 시스템, 네트워크, 애플리케이션과 이들의 보안적인 영역을 관리하는 ESM, 관제 등은 가장 기본적인 인프라로 간주되고 있고, 글로벌 컴플라이언스 준수를 위한 체계가 필요함을 인식하고 있으며, 거기에 더불어 개인정보보호나 프라이버시 등을 고려하면서 비즈니스 영속성을 유지하기 위한 전사적 위험관리를 고민하고 있는 것이다.

그리고 정보보호의 기본주제인 기밀정보 보호를 위해서 가지고 있는 자산의 확인과 평가, 이동경로의 추적, 유출시 보호 등을 위한 암호화와 DRM 등의 채택뿐만 아니라 확인되지 않거나 인증 없는 단말기의 근원적인 격리를 위한 NAC 솔루션과 더불어 웹 방화벽과 IPS를 통한 대응방식이 시도되고 있다.

이렇게 많은 영역과 이 기종, 유무선의 다양한 환경과 커뮤니케이션 도구의 확대로 인해 관리의 한계를 체험한 조직에서는 이를 보다 단순화한 형태로 보안에 적용하기도 한다.

이에 따라 과거 CIO(Chief Information Officer) 체제하의 조직이 CRO(Chief Risk Officer), CISO(Chief Information Security Officer), CPO(Chief Privacy Officer), CCO(Chief Compliance Officer) 등으로 분산되어 진화하고 있으며, 전체적으로 비즈니스 리스크를 함께 고민하는 양상으로 나아가고 있다. 여기서 주목할 것이 IT 영역 이외에 전통적인 물리적 보안영역과 감사영역, 그리고 이러한 것을 직접 관리하거나 아웃소싱 할 경우에 대한 관리 등이 비즈니스 관점에서 통합됨으로 인해 바야흐로 통합보안이 대세로 굳어지고 있는 것이다.

초기 정보보호에 있어 컨설팅이라는 보안의 틀을 만들어 주는 사업이 10년이 지나면서 이제 능동적으로 변신하고 있다. 고객은 더 이상 수동적으로 컨설턴트에게만 의존하지 않고 능동적으로 그들과의 대화를 요구한다. 종합컨설팅 이후 정보보호관리체계를 가동 중인 조직과 연관된 각종 보안 서비스를 경험한 조직은 더욱 세분화한 요구사항을 제시한다.

예를 들어 개발 단계에서 폐기까지의 모든 취약성 제거를 위한 총체적인 관리체계와 도구, 수없이 많은 시스템에서 나오는 로그를 종합하여 취약성을 판단·확인하고 대응할 수 있는 관제체계, 비즈니스 전 영역에 걸쳐 이용되는 개인정보의 생성과 유통 및 관리에 관한 통합적인 시스템 등 그 요구와 범위는 점차 비즈니스 영속성의 보호라는 측면에서 고도화되고 있다. 그 가운데 가장 첨예한 부분인 내부자의 정보유출 징후와 가능성을 사전에 파악할 수 있는 영역에까지 이르고 있는 것은 과거와 달리 고객 스스로가 현명해지고 있다는 것을 의미한다. 

더불어 고객은 단순 컨설팅과 마스터플랜에 그치지 않고 구현을 위한 세부적인 ISP와 함께 정보보호 영역에 있어서 수년간의 유지보수까지를 요청한다. 유지보수라는 방식을 택함으로써 세부적인 사항이 일정해지지 않고, 그때그때 다르게 요구할 수 있는데, 이는 전문가를 가까이 두고 활용하는 서비스 즉, 보안 파트너로서의 역할을 요청하고 있다는 것이다.

이렇게 현명해진 고객을 상대해야 하는 보안업계는 어쩔 수 없이 단순한 분야별 엔드포인트 솔루션이 아니라 전체영역에 걸친 종합보안업체로의 변신을 가속화할 수밖에 없다. 더 이상 제품중립적인 컨설턴트로서가 아니라 분야별 전문가를 확보한 상태에서 그때그때 달라지는 고객의 보안 요구사항에 대해 능동적이며, 총체적으로 대응해야 하는 상황이 도래한 것이다.

이렇듯 현명한 고객의 요구에 대응하기 위해서는 규모뿐만 아니라 매번 다른 요구사항에 대응해야 하는 보다 넓고 깊은 시각이 없이는 보안사업을 영위하기 힘든 상태이다. 이제는 넓고 크게 보는 시각과 더불어 특정주제에 심도 있는 전문성을 요구 받는 통합보안의 파고를 스스로 능동적으로 준비하는 통합보안기업과 그렇지 않은 기업으로 구분되고 있다.

보안 서비스의 어제와 오늘, 그리고 내일

인터넷이 처음 연결되었을 때의 보안은 지금처럼 별도의 영역으로 구분해서 보는 것이 아니라 함께 생각하는 가장 기본적인 요소였다. 이미 메인 프레임 구조 하에서 진행되어온 이 개념은 초기 과학원 해킹사건 등이 발생하면서, 그리고 미국과 유럽의 CERT 등의 개념이 도입되면서, 국내의 경우 기업차원의 기술보안을 위한 엔드포인트 솔루션 즉 F/W, IDS, VPN, WFW 등이 논의되면서 점차 영역의 분리와 역할이 나뉘고 글로벌 업체에 맞서기 위해 고도화되어 왔다.

개략적으로 보면 정보 시스템의 보호에서 정보보호관리체계를 경험했고, 이제는 이들이 임직원 인식제고까지 고민하는 통합보안으로 발전하고 있는 것이다. 더불어 관련법과 제도가 보강되고 사업영역이 구분됐으며, 하나의 산업으로 인정받게 되면서 오늘날 하드웨어, 소프트웨어를 포함한 시스템 및 네트워크 보안제품과 서비스와 같은 형태로 분화되었다.

여기서 주목할 것이 바로 이른바 관제 서비스라는 MSS(Managed Security Service)이다. 보안 이슈의 대부분을 특정 서비스 제공자에게 맡겨 그들로부터 서비스를 받는 구조인 관제 서비스는 소·중규모의 조직에는 유용하다고 할 수 있다. 관제대상과 서비스 영역도 시스템과 네트워크 보안장비에서 웹 애플리케이션과 데이터베이스 보안뿐만 아니라 전문인력 지원과 취약점 진단 업무 등을 수행하면서 지속적으로 진화하고 있다.

그러나 현재의 보안관제 서비스는 중소기업과 내용을 완전히 이해하는 대기업에겐 유용할 수 있으나 고도의 보안을 추구하는 조직에 있어서는 아직도 부족한 것이 많이 남아있다. 그것은 고객의 수준을 뛰어넘는 서비스를 제공하기엔 아직 역량이 부족한 것이 사실이기 때문이다.

고객 입장에서 상황을 파악하고 능동적인 대응을 해야 마땅하나 고객의 비즈니스를 피상적으로 이해하는 인력파견 관제형태로 대응하기는 어려운 것이 현실이다. 더불어 그 수준마저도 단순 모니터링과 간단한 취약점 점검 수준의 한계를 못 벗어난 지금의 파견관제 서비스는 고객들로 하여금 보안이슈 대응에 있어 오히려 혼돈을 불러일으킬 수도 있다. 제한된 업무영역, 고도로 숙련되지 않은 대응이 그것이다. IT 거버넌스와 더불어 비즈니스 리스크를 고민하는 고객으로 하여금 어느 범위까지를 전사적 위험관리 영역으로 볼 것인가하는 점에서 판단의 오류를 일으킬 수 있기 때문이다.

고객의 서비스 영역이 단순한 경우를 제외하고, 전술한 내부자의 보안위협에 대응하는 수준이나 IT 거버넌스와 함께 통합의 트렌드까지 만족시키는 서비스는 아직까지 나타나고 있지 않다. 물론 비싼 대가를 치루면 가능은 하겠지만 이를 제공하는 업체나 이를 채택할 고객 스스로가 아직 그 수준에 대해서, 그리고 변화환경에 대해서 신중히 고민하지 않은 현실적 여건을 감안하면 어쩌면 당연한 것이 현실이다.

·고객의 요구수준이 침입과 공격에 대해 단순히 방어하지 않고, 자위적 차원의 역공격을 원한다고 했을 때 대응할 서비스가 있을까?

·왜 한때 보안을 아웃소싱을 하던 조직에서 다시 인소싱으로 가져갈까?

·인가된 내부자의 침해예상 행위를 사전에 파악해낼 방법론을 제시하고, 구체적 대응체계를 구축할 수 있는 업체는 있을까 ?

보안산업과 관련 서비스의 내일은 어제의 단순한 산업분류에 있지 않고, 오늘날 이러한 질문에 답을 할 준비가 된 조직에게 있지 않을까 생각해 본다.

 

ERM에 필요한 시각

전사적 위험관리는 기본적으로 비즈니스 리스크 기반으로 해석해야 한다. 기술적 보안영역이 아니라 관리와 물리적 영역까지를 포괄하여 비즈니스 영속성을 저해하는 제반요소들을 모두 포함해야 한다는 것이다. UC와 같이 통합에 의한 단순한 커뮤니케이션처럼 전사적 위험요인을 수치로 확인하고 이들을 단순화시켜 비즈니스 리스크를 산출해 가능한 수준에서 대응하는 관리체계를 수립해야 한다는 것이다.

따라서 통합보안은 리스크, 위험이라는 다소 애매한 가능성의 개념을 적절히 해석할 필요가 있다. 여기서 ‘애매한’이라는 표현을 하는 것은 바람직한 결과를 기대하는 기회라는 개념과는 달리 바람직하지 않은 결과로서의 위험이 시간, 인간, 공간 등의 상황적 변수를 더욱 많이 안고 있기 때문이다.

널리 알려진 바와 같이 아직 공개되지 않은 취약성, 외부보다는 내부자에 의한 위협, 단순한 유출보다는 기밀유출과 같이 더욱 중요하고, 인가자라는 지금은 보이지 않는 적과의 싸움에서 이기기 위한 고도화된 접근만이 비즈니스 영속성에 대해 의미를 부여할 수 있기 때문이다.

여기에 더불어 정보 시스템에 대한 위험관리는 취약성, 가능성, 중요도와 영향 등의 요인을 고려하는 것은 비교적 쉽지만, 물리적인 부문과 인적 요인까지 고려한 비즈니스 리스크를 산정하는 것은 상당히 어려운 작업이다. 먼저 인식해야 개선책을 찾을 수 있는 것인데 인식단계에서부터 벽에 막히는 것이 현실이다. 따라서 대상을 다계층으로 구분하고 보안대응을 각 계층에 단계별로 적용하여 다단계/다계층적인 모델을 적용하면서도, 사건이 발생하면 그제야 별도로 보았던 물리적 영역, 인식 영역 등을 보완하는 접근이 이루어지고 있다.

조직 내의 각 영역들이 전사적 보안 목표에 따라 일치단결하여 각각의 역할을 하고 있는 경우가 얼마나 될까? 이론은 충분히 나와 있고 사례는 있지만, 아직도 부서간의 이견, 일원화되지 않은 지휘체계, 그리고 무엇보다 중요한 인식의 부분이 합의하지 못함으로 인해 대기업은 물론 고도 보안을 요구하는 조직에서도 사고는 끊임없이 발생하고 있는 것이 현실이다.

전사적 비즈니스 통합보안인 ERM을 확보하는 것은 공유·개방·참여의 이른바 2.0 현상에 대한 충분한 고려와 함께 조직이라는 영역에서 기본인 상호의존적인 신뢰, 그리고 공동목표를 달성하기 위한 열린 만남, 그리고 지속적으로 관련지식을 나눔으로 인해 형성되는 신뢰를 전제로 하지 않으면 원활하게 수행되기 어렵다.

이는 특정 부문과 영역에 의해 선도되는 것이 아니다. 위험이라는 애매함을 무시해서는 안 되고, 구체적인 목표가 없이도 안 된다. 가족과 조직은 다르기에 그에 따른 신뢰수준에 대해서는 명확한 가이드라인이 필요하다. IT 거버넌스에 기초한 비즈니스 리스크 기준은 필요하다. 그렇게 하려면 최우선되어야 하는 것은 핵심정보에서 일상의 단순영역까지에 대한 현황부터 파악해야 한다는 등의 상식적인 기준은 필요에 따라 얼마든지 수정되어야 할 것이다.

우리나라 정보보호전문 업체는 조직의 정보 시스템의 위험을 산출하는데 있어 고도의 전문성을 이미 충분히 확보하고 있다. 오너십을 가진 조직이 선정한 핵심자산의 탈취가능성에 의해 도래할 위험뿐만 아니라 그 가능성까지를 다양한 시나리오에 맞게 알아보는 것은 불과 몇 분에서 며칠을 넘어가지 않는다.

문제는 비즈니스 위험은 정보 시스템의 위험과는 분명 다른 것이고, 100% 정보 시스템에 의존하는 비즈니스는 없기에 대부분의 조직에서는 핵심기밀과 서비스를 제공하는 주요 핵심자산의 확인된 영역별 위험에 대해 책임자가 객관적인 평가를 내리고 그에 따라 대응을 해나가야 한다.

대응은 앞서 서술한 다양한 영역별, 수준별, 상황별, 비용별, 그리고 우선순위별로 얼마든지 대응방안을 만들 수 있다. 경영자는 관리를 하면 되는 것이고, 최고보안책임자는 리스크를 산정하면 되는 것이다. 비즈니스는 이미 여러 임직원에 의해 잘 수행되고 있기 때문이다.

너무 복잡하기에 이와 관련해 1가지 원칙만 있으면 된다. 위험에 노출될 것인가? 위험을 관리해 비즈니스 영속성을 가질 것인가 하는 점이다.

그러한 선언 이후, 관련조직을 정비하고, 체계적인 기준에 따라 지속적으로 임직원의 인식을 제고시키면 된다. 고도화된 정보 시스템, 세부 요구사항을 만족시키는 물리적 영역을 포함한 산업보안, 입사부터 퇴사까지 행해지는 임직원의 윤리와 보안마인드 제고 등을 원칙에 따라, 그리고 책정된 비용에 따라 진행하면 된다.

복잡하기 때문에 단순한 접근이 필요하다. 만약 충분히 관리되고 있다면 현재 체제를 지속하는 것으로 족하다. 다분히 마케팅적인 요인이 있는 ‘전사적 비즈니스 리스크 매니지먼트’라는 단어에 현혹될 이유는 어디에도 없다. 이것이 전사적 위험관리를 바라보는 첫 번째 시각이 되는 것이다.

그럼에도 불구하고 안심이 안 된다면 앞으로 일어날 아래의 3가지 시나리오를 참고하면 된다.

첫 번째는 지속적인 인수합병으로 거대화되어 가는 글로벌 대형 SI에게 맡겨 그들의 방법론과 시스템에 의해 구현하는 것, 두 번째는 IT 거버넌스를 주도하는 경영진에 의해 CRO가 임명되고 관련조직을 정비하며, 국내 정보보호컨설팅전문 업체와 협의해 가면서 점진적으로 개선하는 것, 그리고 마지막 세 번째는 전사적 관련조직과 조직구성원의 인식제고 후, 각 조직과 영역에서 필요한 부분의 개선을 통한 지속적인 혁신이 바로 그것이다. 단, 첫 번째는 쉬우나 많은 비용을 수반하고 위험성도 높다. 두 번째는 보통이나 갈등이 예상되고 중간 정도의 위험도를 가진다. 세 번째는 어려우나 적정한 비용으로 낮은 위험성을 가진다.

전사적 위험관리는 아직도 개념적인 요소가 많다. 정보 시스템의 위험만으로 비즈니스 위험을 확인할 수 있는 조직은 그리 많지 않다. 따라서 제각기 나누어 수행해온 일들을 통합해 논의를 시작하기엔 너무도 좋은 시기라고 생각한다.

영역과 분야별로 나누어 수행해온 보안을 비즈니스 위험관리로 규정하고, 지속적인 커뮤니케이션을 통해 자기혁신과 함께 미래지향적인 전사적 위험관리에 대한 공감대를 형성한 조직에서는 변화에 능동적으로 대응할 수 있는 준비가 갖춰진 것이다.

보안에 관한 기존의 기득권을 버리고 정보보호 거버넌스를 바탕으로 안전을 바라보는 커뮤니케이션을 시작하자. 바로 지금 있는 곳에서 말이다.

주체와 객체, 그리고 신뢰

보안을 근원적으로 설명하면 바로 주체의 객체 접근에 대한 보증이다. 주체를 확인하고 객체에의 접근을 보장하는 것이다. 오늘날의 정보보호(Protect)는 IT 거버넌스와 궤를 함께하며, 사업보장(Insure)으로 진화하고 있다. 여기서 복잡한 환경을 통찰하는 방법의 하나로 아시아적 직관의 가치를 생각해보자.

직관에 있어 가장 중요한 것은 핵심이다. 이제까지 너무 IT에 집중된 주제인 정보보호를 다루었기에 정보보호에 대한 수없이 많은 시행착오와 더불어 한편에서는 다양한 기술적 발전도 있었다.

그러나 비즈니스 리스크가 최우선되어야 한다는 것은 과거에서 현재까지 그렇고, 향후에도 그럴 것이다. 정보 시스템에 대한 보호만을 강조하고 주장할수록 폐쇄성과 더불어 위험에 노출될 여지가 많아진다. 비즈니스 위험으로 시각을 넓히고, 이를 객관적인 지수로 표현하며 점차 사업보장이라고 이야기해야 한다. 그래야 보장을 위한 핵심이고 힘인 경영층의 관심과 지원을 유도할 수 있다.

정보기술의 의존도는 더욱 높아지겠지만 이와 함게 인간적·시간적·공간적 애매함까지 고려해야 하는 전사적 비즈니스 리스크 또한 머지않아 보장의 수준을 요구하게 될 것이다. 조직 내외에 산재한 위험을 바라보는 각기 다른 조직과 인력이 비즈니스 리스크라는 한 방향으로 시선을 돌릴 때, 그리고 협업하여 신뢰를 쌓아갈 때 조직은 단순 정보보호를 넘어 보장에 한발 더 다가갈 것이다.

RISK! 위험은 기회와 위기를 같이 가지고 있다는 애매함의 화두로 네 번째 이야기를 접는다. 다음 호에서는 마지막 순서로 만남, 나눔, 신뢰, 공존을 화두로 한 보안의 시각을 최종 정리해본다.  

<글: 김양욱 STG시큐리티 사업총괄이사>

김 양 욱 이사는

1989년부터 한국과학기술원에서 국내최초의 인터넷 전용회선 구축운영.

1994년 이후 삼성물산 국제경영연구소 인터넷 인프라 구축 이후, 삼성경제연구소 인력개발원 기획개발/컨설팅팀 소속으로 삼성그룹 교육정보 DB 기획/구축/운영 총괄.

2000년부터 해커스랩 교육사업본부장과 시큐리티맵의 기획이사를 거쳐  

2003년부터 STG시큐리티에서 컨설팅사업본부장을 거쳐 현재 사업총괄이사 재직 중.

 

[월간 시큐리티월드 통권 제131호(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>