[이동일 이뮤니티 지사장] 2년쯤 전이었던 것으로 기억하고 있습니다. 필자의 블로그에 “How do you ensure that you are secure”(blog.naver.com/jaisonyi/40134821757)라는 글을 올린 적이 있었고, 몇몇 분들이 그 글을 읽었던 것으로, 물론 블로깅 보다 교육이나 트레이드 쇼에서 더 많이 이야기 할 수 있는 기회가 있어서 블로그에 올렸던 글과 유사한 이야기를 했었습니다.
 
“다들 금전적, 정신적, 육체적 노력을 더해서 안전한 상태를 유지하시기 위해서 노력하고 계시지만 정말 확신하시냐고”, 대부분 어떻게 100% 확인하느냐, 그런 보안이 어디있느냐 이야기를 하셨습니다. 필자도 이 자리에서 100% 확실한 보안을 이야기 하고자 하는 것이 아닙니다. 필자는 오늘 이 자리를 빌어서 저의 지난 15년간의 보안 필드 경험에 비추어 현재 상황의 문제가 무엇인지를 이야기 하고자 함입니다.
 
불과 몇 년 전까지만 하더라도, 보안 사고가 나는 기업에 문제가 있다라고 이야기가 나오던 것들이, 최근에는 정책에 문제가 있다, 상위 기관에서의 일괄적으로 지시하는 가이드라인에 문제가 있다, 특정 기술을 사용하는 것이 강제화 될 수 있다는 게 문제다, 면죄부를 주는것 아니냐 등 다양한 이야기가 있어 왔습니다. 이제는 외주업체 관리가 문제다라는 이야기도 나오고 있습니다.
 
다 맞는 이야기이고 다 조금씩 보완이 필요한 이야기입니다. 보안 업계에 있는 분들은 카드사 보안팀이, 금융사 보안팀이 얼마나 많은 일들을 하여야 하는지 알고 계실 것입니다. 그 누구 한명도 보안인으로서 부끄럽지 않게 최선의 노력을 다 하고 있다는 것을 잘 알고 있습니다. 그러면 이러한 이야기들에 대해서 보안팀이 할 수 있는 일은 무엇이었을까요? 기업이나 조직에 최적화된 보안 정책을 세우지 못한 것일까요? 아니면 가이드라인에 맞추려다가 적절한 보안 규모나 지출을 필요한 곳에 하지 못한 것일까요?
 
전세계 어떤 국가나 기업들도 해킹에 자유로울 수 없으며 정보 유출에 자유로울 수 없습니다. 이유는 실제 정보유출의 많은 부분은 실제 정보에 접속이 가능한 내부자 혹은 내부 조력자가 있는 경우에 가능했다는 것이 지난 10여년 간의 정보 유출사고 관련 분석에서 이미 나와 있으며, 실제 해킹이라고 하는 기술적인 침해사고로 인한 경우는 Targeted Attack, 흔히 말하는 APT와 같은 고도의 공격이 이용된 사례는 실제 비교를 했을 때 비율적으로 높지 않다라는 것입니다. 이는 물론 Targeted attack이 대부분은 공격 사실이 외부에 드러나지 않거나, 현재 진행형인 경우에 더욱 그렇지요. 마지막에는 그러한 사실이 드러나지 않도록 모두 증거를 인멸하는 경우가 많기 때문입니다.
 
다시 처음의 화두로 돌아가도록 하겠습니다. “How do you ensure that you are secure”라는 제목의 글, 그리고 질문은 다시 말하면 얼마나 자신을 알고 있느냐와 동등한 의미의 질문으로 던진 말이었고, 이러한 질문을 통해서 얼마나 조직의 자산과 이에 대한 분류와 감시를 수행하고 있으며, 이러한 자산을 보호하기 위한 보호와 감시 및 관리를 수행하고 있는지를 알고 있는가를 질문하며, 외부의 공격에 대한 이해와 지속적인 공격기술의 발전을 이해하고 있는지를 묻고 있습니다.
 
손자의 손자병법(the art of war) 내용은 전반적으로는 “전쟁은 국민의 생사와 국가 존망이 달려있는 국가대사이니 그 이익과 손해를 철저히 따져서 하라”는 것을 기본으로 하고 있으며, 총 13편으로 구성된 병법서입니다. 해당 13계는 시계(始計), 작전(作戰), 모공(謨攻), 군형(軍形), 병세(兵勢), 허실(虛實), 군쟁(軍爭), 구변(九變), 행군(行軍), 지형(地形), 구지(九地), 화공(火攻), 용간(用間)으로 구성되어 있습니다.
 
이는 전쟁을 잘하는 방법, 전쟁을 하면서 국가를 보전하는 방법, 전쟁을 하면서 군을 통솔하는 방법, 전쟁을 이기는 방법, 전쟁의 이득을 따지는 방법 그리고 정보를 취득하는 방법과 왜라는 것을 설명한 것이며, 이를 통해 거듭 이야기를 하는 것은 전쟁을 하게 된다면 이겨야 한다 하지만 그 이기는 방법이 정해진 것이 아니다라는 것을 강조하고 있습니다.
 
그러면 왜 보안을 확신하느냐는 이야기에 손자병법의 이야기를 하는 걸까요? 필자는 다음과 같이 중요한 부분을 발췌해서 이야기를 더하고자 합니다. 이는 현재 21세기의 우리는 늘 전장에 나와 있거나 전쟁에 노출되어져 있기 때문입니다.
 
손자병법의 시계에서는 다음과 같이 말하고 있습니다.
<孫子曰 : 兵者, 國之大事. 死生之地, 存亡之道, 不可不察也.
손자가 말하기를 전쟁은 국가의 큰 일이다. 생사가 달려있으며 존망이 달려있어 세심히 관찰해야 한다.>
 
우리나라에서는 정보유출 사건이 발생했을 때(전쟁에 패했을 때) 문을 닫는 회사는 아직까지 없었습니다. 비난 당하는 사람과 입막음을 위해 책임질 사람만 존재하지요. 그러다 보니 정보유출 사고에 대한 중요성이 매우 낮게 평가 되고 있다는 것이고, 그러다 보니 회사의 이름에 먹칠을 한 보안팀의 탓이다라고 이야기를 하는 것입니다. 이런 누구의 탓을 하기 전에 손자의 다음이야기에 귀를 기울여야 할 것입니다. 식자들은 앞으로 나오는 손자의 전쟁을 이렇게 이해하도록 하시죠. 사이버공격, 침해사고, 정보 유출 등으로…
 
<故經之以五事, 校之以七計, 而索其情. 一曰道, 二曰天, 三曰地, 四曰將, 五曰法.
고로, 다섯 가지 원칙과 일곱 가지 계산으로 비교하여 피아의 상황을 정확하게 탐색해야 한다. 첫 번째는 지도자의 능력, 둘째 하늘의 상태, 셋째는 지형조건, 넷째는 장군의 능력 다섯 번째는 법제도이다.>
 
지도자의 능력에 대해서 손자는 다음과 같이 이야기를 합니다.
<道者, 令民與上同意也, 故可與之死, 可與之生, 而不畏危也.
지도자는, 국민의 동의를 이끌어 내는 것이며, 생사를 같이한다는 일체감을 갖게 하여 어떤 위험도 두려워하지 않도록 하는 것이다.>

이는 조직의 리더가 보안사고의 책임을 지기 위한 자리에 있는 게 아니라, 조직의 동의를 이끌어 내어 보안 사고의 책임은 결국 우리 모두의 책임이 된다. 회사가 문을 닫지 않으려면 개개인이 보안행위의 주체가 되어야 한다라는 사실을 이해할 수 있게 하고 따를 수 있도록 해야 한다는 것입니다. 기업에 정보유출 사고가 발생한다는 것은 앞에서 이야기 한 것처럼, 내부자 혹은 내부 동조자가 있을 수 있다는 것이고, 물론 Targeted attack은 이 경우 약간 다른 이야기가 됩니다만 이에 대한 것은 뒤에서 덧붙이도록 하겠습니다. 조직원의 보안에 대한 이해가 부분적으로 낮다고 한다면 결과적으로 정보 유출 사고로 발전할 수 있다는 것입니다.
 
그리고 하늘의 상태에 대해서는 이렇게 이야기 합니다.
<天者, 陰陽. 寒暑, 時制也.>
하늘의 상태란, 어둠과 밝음, 추위와 더위, 계절의 변화에 따른 제어 능력이라고 이야기하며,
이는 우리가 놓여있는 외부 상황에 대한 것을 관찰하고 이해고 그에 따른 내부 보안 정책에 대한 변화 및 강화와 시의 적절한 보안 대응 전략 및 전술을 따르는 것입니다. 많은 문제 가운데 이 부분은 대부분의 기업이 수행하기 어려운 부분이 있습니다. 이는 앞서서 이야기 한 것처럼 조직의 리더십이 이를 수행할 수 있도록 조직내의 해당 부서에 교육 및 훈련과 보안 훈련 프로그램을 통한 지속적인 보안 테스팅과 평가를 수행할 수 있도록 잘 훈련된 외부 침투테스팅 전문가 집단을 활용할 수 있는 지원이 있어야 하며, 이러한 훈련과 테스팅의 결과에 따른 대응 방안을 구체적으로 수립하고 상황 발생시 혹은 상태 변화시 대응할 수 있도록 해야 하는 것인데, 실제 이러한 접근법을 가지고 대응하는 기업 및 조직은 거의 없는 것이 형편입니다.
 
<地者, 遠近. 險易, 廣狹, 死生也.>
지형조건은 멈과 가까움, 험한 지형과 평지, 넓은 곳과 협소한 곳, 죽는 곳과 사는 곳을 이야기 합니다.
 
이는 일반적으로 정보유출이라고 하는 전쟁 혹은 사이버 공격이라고 하는 전쟁의 터가 다름 아닌 조직의 perimeter 안쪽이라는 사실을 이해하고 내부 자산(시스템, 데이터)에 대한 중요도, 분포, 이동, 이용, 저장 및 잊혀진 상태를 확인하고 이해하는 것이 중요하다는 것입니다. 도대체 어느 부서 어떤 시스템이 내외부 공격에 가장 잘 노출되어 있을까, 이러한 부서와 시스템이 어떤 취약점을 가지고 있고, 관리되고 있을까…
 
이러한 취약점과 취약점에 대한 공격이 어떻게 이루어질까, 그럼 그런 것을 시험해 볼 수 있을까? 이러한 고민들이 실제 확인이 될 필요가 있고, 확인이 되고서야 지형조건에 대한 부분을 이야기할 수 있을 것입니다.
 
이미 다른 국가들에서는 Cyber Test Range에 대한 논의를 마치고 다양한 리서치를 수행하고 있거나 완료한 뒤 이에 대한 로드맵에 따른 작업을 수행하고 있습니다. 이를 통해서 사이버 운영에 대한 이해, CTR에 대한 현재 상태 확인, CTR 업무 수행 기능에 대한 정의, CTR 업무 수행 기능을 지원하기 위해 필요한 요구사항 확인, CTR 개발에 대한 로드맵 완성을 세부화하여 따르고 있습니다.
 
<將者, 智.信.仁.勇.嚴也. 法者, 曲制 官道 主用也.
장군의 능력은 지혜, 신뢰감, 인간애, 용기, 엄격함이고, 법제란 조직 체계이며, 곡제는 의사소통을 위한 신호체계이며, 관은 관리자이며, 도는 병참 보급로, 주용은 주력부대 운용에 필요한 제반 비용을 말한다.>

어떠한 군대도 공격전략과 방어전략을 가지고 있습니다. 물론 방어군과 공격군을 따로 두지는 않지만 병과에 따라서 주력적으로 해야 할 분야가 방어나 공격으로 분류될 수 있습니다. 다양한 병과간의 의사소통이 잘 이루어 져야만 우리 포병이 선발 부대나 방어 부대를 포격하는 상황이 발생하지 않을 것입니다. 보안도 마찬가지 입니다. 다양한 도메인을 가지고 있는 보안에서 각각의 다양한 업무 수행을 한 두 사람이 한다면 업무에 대한 빠른 처리가 가능할지 몰라도 더 깊은 이해와 적절한 대응이 부족할 수 있습니다. 방화벽으로 모든 포트와 서비스를 막아놓고 취약점 진단을 하거나 익스플로잇을 수행한다고 하면 아무것도 이루어지지 않을 것입니다.
 
그럼 우리가 안전하다고 할 수 있을까요? 보안 정책문제로 이러한 테스팅을 수행할 수 없고 패치 업데이트 서버가 외부에 있어서 연결할 수 없다고 한다면 이게 적절한 방법일까요? 정책을 적용하고 수행하고 이를 통한 안정성을 확인하기 위한 방안은 어떻게 만들어 낼 수 있는 것일까요?
 
손자병법의 모든 이야기를 필자가 이 자리를 빌어서 할 수도 있겠지만, 그것보다는 더 많은 시간을 들여서 식자들께서 직접 확인하는 것이 더 좋을 것으로 생각합니다. 글을 마치기 전에 중요하다고 생각되는 몇 가지만을 더 이야기 했으면 합니다.
 
<主孰有道 將孰有能 天地孰得 法令孰行 兵衆孰强 士卒孰鍊 賞罰孰明 吾以此知勝負矣.
지도자는 민심을 잘 이해하는가, 장군은 능력이 더 뛰어난가, 천지에서 얻는 이득은 무엇인가, 법령이 철저한가, 전력은 강대한가, 병사는 잘 훈련되었는가, 상법은 올바르게 실행되는가를 잘 비교하여 검토하면 승패가 눈에 보인다.>

실제 손자병법은 정보보안의 세계에서는 공격하는 자를 더 잘 이해할 수 있도록 합니다. 이는 일반적으로 전쟁의 터가 기업이나 조직이고, 공격하는 입장을 취하는 것은 언제나 공격자이며, 조직은 방어를 잘 해야 하는 입장에 놓여 있기 때문입니다. 이는 마치 오래 전 공성공방전과 같은 입장과 같다고 볼 수 있으며, 이 경우를 비교해 볼 때, 아무리 잘 만들어진 요새라 하더라도 작은 구멍, 내부자의 몰이해와 법령을 지키지 않음으로 인해 언제든지 무너질 수 있다는 사실을 알 수 있습니다.
 
하지만 그러한 고찰은 지금 필요하지 않습니다. 지금 필요한 것은 가지고 있는 보안 상태를 유지하고 관리하며, 실제 공격에 유효하게 하기 위한 다양한 변화를 상황에 맞도록 적용할 수 있는 유연성을 지속적으로 확보하고 이를 검토하여 적용하는 것입니다.
 
손자는 다음과 같이 이야기합니다.
<兵者, 詭道也. 故能而示之不能, 用而示之不用, 近而視之遠, 遠而示之近.
전쟁이란 속이는 것이다, 할 수 있는 능력이 있는 것도 아닌 것처럼 보이게 하고, 이용할 수 있는 것도 아닌 것 처럼 보이게 하고, 가까운 곳을 보려면 먼 곳을 보는 것 처럼 하고, 먼 곳을 보려면 가까운 곳을 보는 것 처럼 속여야 한다.>

<佚而勞之, 親而離之. 攻其無備, 出其不意, 此兵家之勝, 不可先傳也.
상대가 쉬려고 하면 일하게 하고, 친한 이와는 이간을 시키고, 준비가 없는 곳을 공격하고, 불시에 출격하라. 이것이 전쟁에서 승리하는 것이니 상대에게 선전해서는 안된다.>

또 모공편에서는 손자는 다음과 같은 이야기를 합니다.
<孫子曰 : 凡用兵之法, 全國爲上, 破國次之, 全軍爲上, 破軍次之
무릇 전쟁을 하는 방법은 적국을 보전한 채로 이기는 것이 최선책이지, 격파하고 이기는 것은 차선책인 것이다. 적의 여단을 보전한 채로 이기는 것이 최선책이지 격파하고 이기는 것은 차선책인 것이다.>
 
어디서 많은 본 것 같지 않으신가요? 요즘 이루어지는 Targeted Attack입니다. 모든 것을 그대로 두고 잠적해서 기업의 모든 정보를 확인하고 보전한 뒤 자신의 흔적만을 지우고 나오는 것입니다. 결국 정말 숙련된 공격자는 눈에 띄는 행동을 하지 않기 위해 은닉된 기술을 최대한 이용하려고 할 것이며, 지속적으로 이을 통해 악용하려 할 것이며, 이를 위한 다양한 홀을 내부에 만들게 될 것입니다. 그러므로서 조직의 모든 데이터와 보안 상태를 정상인 상태로 유지하게 할 것이며, 이로서 원하는 행위를 이룰어 전쟁에서 승리하고자 할 것입니다.
 
<故曰 : 知彼知己, 百戰不殆, 不知彼而知己, 一勝一負, 不知彼不知己, 每戰必殆.
고로, 적을 알고 나를 알면 백번 싸워도 위태롭지 않다. 적의 상황을 모르고 나의 상황만 알고 있다면 한번은 승리하고 한번은 패하며 적의 상황을 모르고 나의 상황도 모르면 매번 전쟁을 할 때마다 필히 위태로워진다.>
 
정보보호의 상태를 확인하고 이해하고 강화하기 위한 활동을 하는 것은 방화벽을 놓고, 데이터베이스를 암호화하고 계정을 관리하고 하는 활동에서 끝나지 않습니다. 그리고 그러한 활동을 주로 이끌어 가는 부서가 보안팀임에는 확실합니다. 하지만 전쟁은 전 국가적인 중대사라고 손자는 말하고 있습니다. 기업입장에서는 전 기업적인 중대사가 될 터이고, 기관의 입장에서는 전 기관적인 중대사라 할 수 있을 것입니다.
 
기업에서의 군주는 기업 대표를 포함한 최고 관리자들이 될 터이고, 장군은 정보운영팀과 보안팀 및 정보 감사팀과 그 수행원들이 될 것입니다. 병사는 누구일까요. 모든 조직원들이 될 것입니다. 그들이 국민이자 병사이자 데이터 자료를 만들고 저장하고 이용하고 관리하고 복사하고 재생산하는 활동을 하는 주체인 것입니다.<2편에서 계속>
 
[글. 이동일 이뮤니티(www.immunityinc.com) 아태지역 지사장 / jason@sales.immunityinc.com]