• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

규정 준수가 보안의 핵심이던 시대는 지났다 2020.12.10

일반화 된 내용과 선언을 담고 있는 규정들만으로는 진정한 안전 꾀하기 힘들어
공격도 많고 취약점도 많은 금융 산업, 스스로 규정의 틀을 넘어 보안의 혁신 일으켜

[보안뉴스 문가용 기자] 금융 서비스는 전통적으로 강력한 규제 하에 운영되던 산업이다. 은행이나 투자 자문단이나 할 것 없이 임의로 뭔가를 하지는 않는다. 이 산업에 종사하는 모든 사람들의 행동은 반드시 어떤 규정에 근거를 두고 있다. 그리고 이 규정들은 주로 소비자들의 보호를 위해 만들어졌고, 그렇기 때문에 사이버 보안에 관한 내용도 잔뜩 포함되어 있다.

[이미지 = utoimage]


하지만 안타깝게도 보안 규정 작업을 직접 해야 하는 담당자들은 예나 지금이나 사이버 보안 절차에 대해 구체적으로 알고 있지 않다. 즉, 금융 산업 현장에서 위험 요소를 실질적으로 줄이는 것이 무엇인지 정확히 파악하지 못한 상태에서 규정들을 만들었다는 것이다. 규정을 만드는 사람들을 만족시키기 위한 ‘체크리스트 점검’ 및 ‘박스 체킹’식 컴플라이언스 절차가 도입된 이유다. 그래서 ‘지킬 건 다 지켰는데도 보안은 엉망’인 사태가 벌어진다.

예를 들어 취약점 패치의 경우, 금융 산업 내에서 통용되는 규정들은 ‘취약한 보안 구멍들을 빠르게 막음으로써 위험을 줄인다’는 것에 치중되어 있다. 언뜻 맞는 방향으로 보이지만 너무나 당연한 문제를 잊고 있다. 지구상에 있는 그 어떤 조직이라도 모든 취약점을 다 막을 수 없다는 것을 말이다. 현실성이 전혀 없는 것을 규정으로 내세우니, 누가 이걸 제대로 준수할 수 있을까.

다행히 금융 산업은 ‘위기 관리’라는 측면에서는 역사와 전통을 자랑한다. 그렇기 때문에 각 조직과 기업들은 규정이 정해주는 ‘실천 사항’이 아니라 객관적인 데이터를 바탕으로 한 위험 기반 취약점 관리 방법을 도입하기 시작했다. 그렇다면 ‘실제 보안’이 향상이 되었을까?

최근 필자의 회사 켄나 시큐리티(Kenna Security)는 이런 질문에 답을 내기 위해 몇 가지 조사를 시작했다. 그런데 깊이 연구할 것도 없이 처음부터 ‘금융 서비스 산업이 큰 어려움을 겪고 있다’는 것이 드러났다. 일단 금융 조직들에서 발견된 보안 취약점은 다른 산업 내 조직들의 그것보다 평균 네 배 많았다. 그도 그럴 것이 금융 조직의 디지털 자산들은 대부분 규모가 클 뿐만 아니라 다목적으로 만들어질 때가 많기 때문이다.

그렇다고 해서 금융 업계가 다른 산업에 비해 4배 더 위험한 것은 아니다. 모든 취약점이 전부 보안 위험으로 이어지는 건 아니기 때문이다. 실제로 이 많은 취약점들 중 해커들의 진짜 공격에 활용되는 것은 5%에 불과하다. 즉 일반 기업들로서는 10개 취약점 중 하나만 제대로 패치해도 안전하다는 뜻이 된다.

금융 서비스 업계는 취약점 패치를 비교적 잘한다고 볼 수 있다. 발견된 취약점의 85% 가까이를 놓치지 않고 패치한다. 이게 평균치니까 조직에 따라 85%를 상회하는 수준으로 패치 관리를 하는 경우도 있다는 뜻이다. 대단한 수치다. 일반 조직들에 비해 4배나 많은 수를 이렇게까지 높은 비율로 처리한다는 건 분명 칭찬할 만한 일이다. 그렇기 때문에 금융 업계는 들어오는 공격 시도에 비해 사고로부터 무사한 편이다. 한 건 한 건의 충격이 커서 강렬하게 기억에 남긴 하지만 말이다.

금융 서비스를 내세우는 단체들 대부분은 ‘위험 관리’라는 개념을 DNA에서부터 탑재하고 있다. 그러니 취약점(취약점은 곧 위험) 관리가 잘 되는 것이다. 대부분의 사이버 공격자들은 자신들 사이에서 잘 알려진 공격 경로와 공격 도구를 즐겨 사용한다. 그래야 투자의 리스크를 줄일 수 있기 때문이다. 제로데이니 새로운 해킹 기법이 화제가 되지만, 사실 현장에서는 같은 공격과 같은 취약점에 당하고 또 당하는 모양새가 몇 년이고 반복되고 있다. 그렇기 더더욱 ‘모든 취약점을 다 막는 건’ 비현실적이기도 하고 비효율적이기도 한 것이다.

현대화 된 도구와 데이터 과학 기술을 활용하면 어느 기업들이든 패치했을 때 효과가 높은 취약점들을 골라낼 수 있다. 그리고 이 ‘도구’와 ‘데이터 과학’ 활용이라는 것은 전통적 개념의 위험 관리와 크게 다르지 않다. 그리고 그걸 잘 해냈을 때의 결과를 우리는 현재 금융 산업을 통해 보고 있다. 완벽하진 않지만, 평균을 훨씬 웃도는 공격을, 평균에 훨씬 못 미치는 사고만으로 막아내고 있는 게 현재의 금융 산업이다.

강조하지만 지금 금융권의 보안 실태가 완벽하기 때문에 누구나 본받아야 한다는 말이 아니다. 다만 흐름이 ‘보안 = 규정 준수’였던 때에서 벗어나 ‘보안 = 위험 관리’로 가고 있다는 것을 짚고 싶었다. 금융권이 그 삼엄한 규정들 속에서 스스로 이런 흐름을 적용하고 주도하고 있다는 것도 칭찬하고 싶다. 이렇게, 언뜻 보면 보수적일 것만 같은 보안이지만, 그 안에서는 지속적인 혁명이 필요하다는 걸 모든 기업들이 알아주었으면 좋겠다.

글 : 에드 벨리스(Ed Bellis), Kenna Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>