아무리 정리정돈을 잘 하는 사람이라도 이사를 해 보면 알게 된다. 필요 없는 짐을 꽤나 많이 쌓아두고 살아오고 있었다는 걸. 조직의 보안 담당자는 늘 이삿짐을 꾸리는 것처럼 조직을 정비할 필요가 있다. 경보와 규정, 정책과 프로세스 등의 항목으로 나눠 고민해볼 것을 조슈아 골드팝이 정리했다.

[보안뉴스 문가용 기자] 아내와 난 최근 ‘집 주인’이 되었다. 입주를 하기 전 우리 둘은 짐을 꾸리는 데 많은 시간을 할애했다. 어떤 걸 버릴지, 어떤 걸 새로운 집으로 가져갈지 결정하는 게 쉽지만은 않았기 때문이다.


필자는 스스로가 대단히 정돈된 사람인 줄 알았다. 물건 쌓아두는 것도 싫어하고, 아무데나 널브러진 걸 도무지 보지 못하는 성격이었기 때문이다. 하지만 물건을 하나하나 정돈하다 보니 적어도 50~75%는 필요 없거나 있는 줄도 몰랐던 것들이었음을 알게 되었다. 퍼센티지는 조금 달라도 누구나 이사를 할 때면 같은 난관에 봉착할 것이라고 생각한다.

결국에는 버리게 될 쓸데없는 짐들을 쌓아놓고 살았다는 사실 앞에, 인생에서 정말 소중한 것이 무엇인지 생각하게 되었다. 가족, 건강, 친구... 그러다가 직업병처럼 보안으로 생각이 연결됐다. 보안에서 정말 필요한 건 무엇일까? 이렇게 이사를 하고 가진 것들을 정리했을 때에야 모습을 드러내는 그 ‘본질’은 무엇이며, 우리는 그것들을 잘 지키고 있는가, 고민해보지 않을 수가 없었다.

경보
‘너무 보안 경보가 많이 울린다’는 건 거의 모든 조직에서 문제가 되고 있다. 온 조직이 발칵 뒤집힐 정도의 문제는 아니지만, 이것이 ‘피로도’처럼 서서히 누적돼 나중에는 큰 사고로 이어진다. 왜 경보가 피곤하게 느껴지는 상황이 되는 걸까? 어쩌다 그 늪과 같은 곳으로 들어가게 됐을까?

모든 조직마다 똑같은 답이 있는 건 아니겠지만 대부분의 경우 ‘정말 울려야 할 경보는 무엇인가?’에 대해 고민을 하지 않아서 이런 상황이 발생한다. 보안 전문 업체 혹은 경보 솔루션 업체가 설정해준 것 그대로 설치하고 유지한다. 즉 제3자가 제안한 것들이 쌓이고 쌓여 경보가 되는 경우가 많다는 것이다. 그러니 피곤할 수밖에.

이런 식으로 경보 시스템이 유지될 경우, 결국 네트워크는 노이즈로 가득 차게 된다. 오탐이 다수 섞여 든다. 진짜 최악이 뭔지 아는가? 경보가 울린다고 해서 위험이 실제로 완화되거나 해결되는 게 아니라는 것이다. 울린 경보에 대하여 분석가들(보통 몸값이 비싼 편이다)의 소중한 시간과 자원이 투자되어야만 한다. 이 때 사실은 이 분석가들이 더 집중해야 할 가치 높은 문제들이 버려지기도 한다.

그렇다면 정말 필요한 경우에만 효율적으로 경보가 울리게 하기 위해서는 조직 차원에서 어떤 일들이 이뤄져야 하는가? 먼저는 ‘우리 조직’에 있어 가장 위험한 요소가 무엇인지 순서대로 정립하는 것부터 해야 한다.

무슨 일이 있어도 지켜야 하는 인프라, 자산, 데이터가 무엇인지, 이런 것들이 침해될 경우 사업적으로 어떤 손상이 발생하는지를 평가하라. 인프라, 자산, 데이터별로 위험과 위협에 대한 매트릭스를 만들고 정말 필요한 상황에서 경보가 울리도록 해야 한다. 경보의 내용 역시 간략하고 정확하게 만들어, 실제 상황 대처 및 행동으로 이어질 수 있도록 하는 것이 중요하다.

컴플라이언스
규제에 대한 수많은 조직들의 ‘공포감’을 필자는 아직도 잘 이해하지 못하고 있다. 물론 규제를 지키는 건 중요한 일이고, 필자도 이를 가볍게 생각하지 않는다. 하지만 ‘안 지키면 벌 받는다’는 차원에서 표면적인 내용을 겨우겨우 지켜내는 것보다 중요한 건, 규제가 어떤 의도에서, 왜 수립되었는지 이해하고, 어디서부터 어디까지를 범위로 지정하고 있는지를 확실하게 파악하는 것이다.

이러한 과정 없이 규제를 글자 그대로만 받아들인다면 놓치는 부분이 생기거나 지나치게 감사 등과 같은 규제 준수 노력을 진행하게 된다. 불필요한 비용이 들어가게 되고, 생산에 차질이 빚어지며, 따라서 사업성이 저해된다. 이런 것이 쌓이고 쌓이면 회사의 명성에도 손상이 가고, 직원들의 피로도와 회의감도 높아진다. 규정이야 말로 핵심과 본질을 철저히 이해해야 하는 부분이다. 외부 법률 전문가의 해석과 조언을 상세히 들어보는 것도 좋은 방법이다.

정책
지금쯤이면 누구나 한 번쯤 ‘복잡한 비밀번호 생성 규칙’ 때문에 짜증이 나 본 적이 있을 것이다. 이는 ‘문제의 본질을 이해하지 못한 상태에서 나온 정책’의 폐해를 드러내는 사례다. 비밀번호를 강력히 해야 한다는 표면의 내용만을 가지고 사용자들에게 모든 부담을 전가하는 게 바로 이 ‘과도하게 복잡한 비밀번호 생성 규칙’이고, 사실 보안에 유의미한 도움이 되는 것도 아니다.

그렇다면 조직은 어떻게 정책을 세워야 하는가? 위의 ‘컴플라이언스’와 비슷하게 접근해야 한다. 조직이 내부적으로 내 건 정책들을 하나하나 뜯어보면서 ‘이것이 실제 현장에서 위험 요소들을 줄이는 데 어떠한 도움이 되는가’를 분석해야 한다. 업계 내 파다한 보편 타당한 격언들을 있는 그대로 가져다 쓰면 아무런 도움이 되지 않는다. 내용의 본질을 이해하고, 기업의 고유한 상황에 적용할 수 있어야 한다.

프로세스
필자는 고객과 관련된 관리 및 운영 업무를 수년 간 맡아서 보호해 왔는데, 그 기간 동안 정말 많은 프로세스가 불필요하거나 비효율적으로 진행됨을 목격해 왔다. 그래서 늘 묻곤 했다. “이런 업무 프로세스가 필요한 이유는 무엇인가요?” 돌아오는 대답은 거의 비슷했다. “잘 모르겠어요. 그냥 늘 그래왔어요.” “윗선에서 그래야 한다고 해서요.”

말할 필요도 없지만 정말 ‘좋지 않은’ 이유다. 대부분의 조직에서 누군가는 업무를 수행함에 있어 그 절차를 맹목적으로 따르는 중이다. 비합리적이라는 걸 알지만, 윗선에서 프로세스 변경에 대해 안심하지 못해 유지하는 경우도 빈번하다.

사이버 공격자들은 업무 프로세스를 파고든다. 프로세스를 줄이면 줄일수록 공격자가 파고들 틈이 줄어든다는 소리가 된다. 한 발 뒤에서 제3자의 눈으로 지금의 업무 프로세스를 검토해 정말 필요한 것이 무엇인지, 쳐낼 수 있는 것은 무엇인지 가려내는 게 중요하다. 정말 필요한 것들만 추리자.

이해 관계자들
위에 기술한 것들을 해내려면 관계자들의 지지와 협조가 필요하다. 어느 담당자 하나, 임원 한둘이 온전히 해낼 수 있는 일이 아니다. ‘팀워크’가 필요하다는 것이다. 아마 이 점은 어느 조직이나 잘 알고 있을 것이다. 문제는 이 ‘팀워크’가 너무나 강조된 나머지 지나치게 많은 사람들이 이 과정에 개입하게 된다는 것이다.

팀워크가 잘 형성되려면, 꼭 필요한 사람들로만 팀을 구성하는 것이 중요하다. 너무 많은 사람들을 참여시키면 배가 산으로 간다. 브레인이 많이 모인다고 무조건 좋은 건 아니다. 의외로 사람이란 존재는 서로와 서로를 이해하는 데 많은 시간이 걸린다. 소통은 늘 어려운 숙제이며, 반대되는 의견을 수렴하고 절충안을 내는 건 항상 머리 아픈 일이다. 이런 점을 감안하고 정말 필요한 사람들만으로 팀을 구성해 프로세스나 정책, 컴플라이언스와 경보 문제를 해결하는 게 좋다.

정말 필요한 것들만으로 새로이 짐을 꾸린다는 게 말처럼 쉬운 게 아니라는 걸 알고 있다. 눈에 보이는 이삿짐만도 제대로 싸는 데 수주가 걸렸는데 디지털 자산이 가득한 기업 환경이야 말로 해 무엇하랴. 하지만 군더더기를 빼냈을 때 조직은 윤활유를 새로 뿌린 것처럼 부드럽게 돌아가기 시작하고, 곧 운동력이 넘치게 될 것이다. 그런 조직이 더 건강하고 안전해질 것 또한 분명하다.

글 : 조슈아 골드팝(Joshua Goldfarb), Product Manager, F5
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>