포춘 500대 기업들, 최첨단 보안 솔루션 갖추고 있지만 활용도는 높지 않아
운전면허도 없이 페라리 사는 것과 같은 투자 많이 보여...설치 후 활용 고려해야

[보안뉴스 문가용 기자] 필자는 ‘포춘 500대 기업’에 선정된 많은 회사들에서 사이버 보안 사건들을 조사해왔다. 세계에서 손꼽히는 조직들인지라 최고급 사이버 보안 기술과 도구들이 잔뜩 있는 경우가 많은데, 거의 대부분 기능의 일부만 겨우 활용하는 수준이었다. 대단히 좋은 장비 혹은 솔루션들이지만, 구매자들이 이것들의 참 기능을 구매 전이나 후에도 이해하지 못하고 있다는 것이다. 마치 운전면허도 없는 사람들이 페라리를 사는 것과 비슷하다.


최고급이면서 최고가인 사이버 보안 솔루션들, 특히 하드웨어까지 같이 달린 것들을 사려면 반드시 기억해야 할 것이 하나 있다. 제대로, 올바르게 활용하려면 1) 환경에 딱 맞는 조정과 2) 해당 장비 및 솔루션을 다루는 담당자의 고급 기술이 반드시 전제되어야 한다는 것이다. 고급 보안 솔루션을 조직 내에 장착시킨다는 건 단 며칠 안에 다 해낼 수 없는 것이다. 일반적이지 않은, ‘고급’ 유스케이스(use case)를 구축해야 하며, 이미 구축된 온갖 IT 인프라와 환경의 가장 밑바닥에 구성되도록 해야 한다. 조직이 경험할 수 없는 위험들을 분석하고, 그것에 맞게 환경설정도 잊지 말아야 한다. 짧아야 수주 혹은 수개월 걸리는 작업일 수밖에 없다. 그러니 가격표에 붙어 있는 숫자만 볼 것이 아니라, 구매 후 벌어지는 일들에 대해서도 감안해야 한다. 자동차를 사면서 유지비를 알아보는 것처럼 말이다.

당연하지만 회사 조직 내 구성원들의 기술력과 전문성도 객관적으로 평가해야 한다. 비싸게 사온 솔루션을 제대로 사용할 만한 능력이 되는지를 알아내야 한다는 것이다. 그저 설치해서 돌아가게 하는 것만으로는 불충분하다. 제값을 아낌없이 발휘하도록 최대한의 성능을 뽑아낼 수 있어야 한다. 과거 근무지나 경력의 햇수만으로 평가해서는 안 된다. 최소한, 구매하려는 것과 비슷한 솔루션을 사용해본 적이 있는 사람이 있어야 한다. 거기에다가 현 조직의 크기와 비슷한 규모의 프로젝트를 감당해본 경험도 필수적이다.

엔드포인트 탐지 및 대응(EDR) 솔루션을 구매할 때 많은 조직들이 실수를 저지르는 편이다. 포춘지에 오르내릴 정도의 대기업들이라면 거의 전부 EDR 솔루션을 보유하고 있다. 하지만 거의 설치하는 것에서 연구와 활용을 마친다. EDR로 이벤트를 수집하기만 한다는 것이다. 이를 가지고 더 깊이 분석하고, 그에 따라 더 빠른 대응을 위한 채비를 갖추지는 않는다. 행동 분석, 디셉션, 인공지능과 같은 기술도 마찬가지다. 구매 후 설치, 설치 후 실행, 실행되는 것 확인 후 망각. 거의 대부분 이 수순을 밟고 있다.

솔루션들은 날마다 새롭게 태어나, 나름의 탐지, 격리, 제거의 기능을 자랑한다. 보안 전문가들로서는 감동을 받을 수밖에 없는 내용들이다. 그래서 구매를 결정한다. 그 솔루션들이 가진 기능들만 있다면 조직을 안전하게 지킬 수 있기 때문이다. 하지만 그 솔루션을 개발한 곳에서 잘 설명해주지 않는 것이 있다면, 단순 설치와 실행만으로 보안이 전부 해결되는 건 아니라는 것이다. 솔루션을 유지, 보수, 활용할 자원이나 능력이 없다면 솔루션 구매는 버린 투자나 다름이 없다.

현장에서 나는 이런 함정에 빠진 기업들을 무수하게 봐왔다. 그런 기업들의 특징은, 보안이 중요하다는 걸 깨달은 직후나 가까운 회사나 조직에서 사고를 겪은 다음 ‘앗, 뜨거!’하며 급히 구매를 결정한다는 것이다. 사업적 투자로서 신중하게 접근하지 않는다. 조직이 겪을 수 있는 사고와 위험을 고려하고, 그에 맞는 기능을 찾는 것까지는 좋은데, 그 솔루션이 지금 구성되어 있는 환경과 인력들 손에서 실제 어떤 역할을 할지 고려하는 곳은 많지 않다.

그렇다면 사이버 보안 투자의 가치를 극대화시키려면 어떻게 해야 할까? 먼저 조직들은 보안 성숙도 프레임워크라는 걸 만들어야 한다. 즉, 현재 조직 전체의 보안 성적표를 만들라는 것이다. 각 구성원의 인식 수준, 실제 데이터 운영 현황, 시스템 내 존재하는 취약점, 보안의 강점 등을 빠짐없이 파악하고 평가한 후 그에 맞는 보안 프로그램을 짜야 한다. 그럴 때 가장 알맞은 솔루션을 고를 수 있게 된다. 먼저는 조직이 갖춘 투자 위험 감수도부터 평가하는 게 알맞다. 그래야 어느 정도로 보안을 강화시켜야 하는지 큰 그림을 그릴 수 있게 된다.

다음으로는 구성원, 프로세스, 기술을 평가해야 한다. 위에서 만든 보안 프로그램과, 산업에서 제시되고 있는 표준을 기준으로 평가를 실시하는 게 중요하다. 그렇지 않으면 지나치게 이상적이고, 그러므로 실제적이지 않은 평가가 이뤄진다. 이상적이고 비현실적인 평가 결과로는 아무 것도 바꿀 수가 없다.

여기까지 진행했다면 앞으로 이뤄내야 할 목표와 현재 상황 사이의 간극이 드러날 것이다. 그 간극을 메우는 여러 방법 또한 수면 위로 떠올랐을 것이다. 그렇다면 우선순위를 정해야 한다. 위에서 만든 보안 성숙도 프레임워크를 기준으로 우선순위를 정한 후 급한 기술부터 하나하나 투자해가는 것이 좋다. 이렇게 했을 때 현란한 기술 설명과 가격표만 가지고 구매를 결정하는 실수를 저지르지 않을 수 있다.

그러면서 구매 후의 일도 미리 준비해야 한다. 이는 구매될 솔루션이나 장비의 꾸준한 관리와 활용을 의미한다. 그런 일을 위해서 갖춰야 할 기술과 능력에는 어떤 것이 있는지 파악하고, 필요하다면 미리 담당자를 정해 교육을 시키는 것이 좋다. 또한 담당자 혼자 모든 짐을 지게 하는 게 아니라, 조직 차원에서 새로운 솔루션 활용에 대한 계획을 같이 만들어야 한다. 담당자에게 어느 정도의 권한을 줄 것인지, 그 권한에 어울리는 자원을 어떻게 제공할 것인지 등도 구체적으로 계획하는 것이 좋다.

사이버 보안 솔루션의 구매는, 그게 어떤 것이든 결국 그것을 활용할 사람의 기술력과 업무 프로세스의 근간을 검토한 후에 이뤄져야 한다. 예외란 없다. 그래야 그 솔루션이나 장비가 기존의 시스템을 최대한 방해하지 않으면서 본연의 기능을 마음껏 발휘할 수 있게 된다. 보호 장치가 최대한의 성능을 발휘할 때 투자의 효율도 올라가고 조직도 안전해진다.

글 : 크리스 슐러(Chris Scheler), Trustwave
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>