[이동일 이뮤니티 지사장] 기업은 다음과 같은 질문을 스스로에게 던져야 할 것이며, 이에 대한 책임감 있는 답을 실제적으로 해야 할 것입니다. 기업의 보안과 관련된 업무를 수행하는 관련 부서가 적절하게 편성되고 구성되어 관리 운영되고 지속적으로 훈련하고 있으며, 상황에 맞는 판단과 대응을 수행하기 위한 충분한 리소스를 할당받고 이용되고 있는가? 그리고 기업에 IT 자산과 데이터 자산에 대한 이해와 이용 및 접근에 대한 정책을 지속적으로 관리 운용하고 있는가? 생산되어는 데이터를 생성, 저장, 이동, 이용, 재생산, 보관, 폐기에 이르기 까지 언제 어디서 누가 무엇을 어떻게 왜 했는지 가시성을 가지고 있는가? 중요 데이터에 대한 접근과 이용 및 이동이 적합한 사람에게서 이루어지는지 알고 있는가?
 
그리고 중요 데이터의 이동에 따라서 기업 IT 기기에 대한 자산 중요도가 증가하고 위험관리 기준에 따라서 보안 등급이 올라가며, 이에 대한 장비 접근에 대한 계정 권한을 제한하도록 하고 있는가? 어디에서 감시가 이루어지고 있고, 무엇을 감시하며 무엇이 감시의 대상에서 제외되는가? 보안 장비가 정책이 분석 기술이 수행하는 기술의 범위는 어디까지이며 어떤 것들을 잠재적으로 감시 대상에서 놓칠 수 있는가 그렇다면 이러한 놓친 부분을 이후에라도 확인하기 위한 실시간, 근실시간 혹은 비실시간 적인 분석 및 확인을 위한 방법과 기술을 적용하고 있는가, 이러한 보안 기술들과 관리기법들을 통해서 탐지, 차단 관리하는 보안 침해 기술은 어떤 것들이며, 실제 불가능한 것들이 존재하는가? 외부의 위협과 내부의 공격 서페이스를 확인하고 공격 벡터를 관리하기 위한 노력을 수행하고 있는가 이를 위해 얼마나 많은 리소스를 할당하고 있고, 전문적인 기술을 유지할 수 있도록 하고 있으며, 적절함 범위에 대한 수행을 위한 외부 조직에 도움을 얻을 수 있는가?
 
이러한 다양한 질문들, 물론 이외에도 많은 질의가 지속적으로 만들어져가고 이에 대한 답을 할 수 있어야만 하며, 부족한 부분들에 대한 이해를 기업, 조직, 국가에서 지원받아야만 합니다.
 
내부의 상태를 정확히 알면 적어도 一勝一負는 할 수 있을 것입니다. 하지만 기업이나 조직에 있어서 한번 이기고 진다는 이야기는 결국 커다란 사고와 연관되어 있으므로 여기서 멈추어서는 충분하지 않을 것입니다. 결국 적을 알아야 하는데, 이는 적이 누구이고 어디에 있느냐 아는 것을 포함해서 적이 이용하는 기법과 기술과 방법론을 정확히 이해해야 하는 것이며, 이전에 있었고 현재 이용되고 있는 공격기법이나, 기술, 그리고 악용하는 취약점과 노출되어진 것들을 계속적으로 파악해야 하는 것입니다.
 
손자는 구변편에서 여러 가지 변화에 대한 대처 방법을 논하고, 변화에 응하여 대처하는 전법이 승리로 가는 길이라고 이야기하고 있습니다.
 
<故用兵之法, 無恃其不來, 恃吾有以待也 無恃其不攻, 恃吾有所不可攻也.
고로 전쟁의 원칙으로서는 적군이 오지 않기를 기대하지 말고, 군이 완비하고 기다리고 있어야 하며, 공격하지 못하리라 기대하지 말고, 아군의 태세가 갖추어져 있어 공격해오지 못함을 믿어야 한다.>

결국 내부적으로 훈련과 방비를 통해서 어떠한 변화와 공격에도 능동적으로 감시, 검출, 분석, 방어 대응할 수 있는 체계를 갖추어야 한다는 것입니다.
 
또한 손자는 행군편에서 다음과 같은 이야기를 합니다.
<夫惟無慮而易敵者, 必擒於人.
아무런 깊고 멀리 생각하지 않고 적을 가볍게 보는자는 반드시 적에게 사로 잡힌다.>

이는 역시 외부 공격에 대한 이해와 무엇을 목적으로 하는지에 대한 판단을 수행할 수 있는 능력을 조직이 가지고 있어야 한다는 것이며, 이러한 능력은 사고 발생시 필요하겠지만, 사고 이전에 외부의 위협과 공격의 변화와 대상의 변화에 따라서 지속적으로 분석이 되고 추적이 이루어져 판단이 되어야 하는 것입니다.
 
<令素行以敎其民, 則民服, 令不素行以敎其民, 則民不服. 令素行者, 與衆相得也.
명령이 평소에 잘 교육되어 민들이 잘 지키면 민들이 복종할 것이고, 명령이 평소에 잘 교육되지 않아 민들이 지키지 않으면 민들이 불복종할 것이며, 명령이 평서에 잘 지켜지면 서로 이득을 얻을 것이다.>

이는 내부의 보안 규정과 이해와 적용 및 생활화에 대한 것입니다. 모든 업무와 보안 정책에는 trade-off가 있을 수 있습니다. 전술에 절대적인 것이 없듯, 보안 규정과 정책에도 절대적인 것은 없습니다. 사업과 이를 보호하기 위한 보안 사이에는 늘 trade-0ff가 있을 수밖에 없으며, 적절한 trade-off를 위해서라도 최고 경영자 조직과 보안조직에는 지속적인 커뮤니케이션이 있어야 하며, 정확한 상태 판단과 대응을 위한 변화를 이용해야 하는 것입니다. 물론 이를 위해서 적절한 규정과 이를 보완하기 위한 하부 규정들이 존재해야 할 것입니다.

또 지형편에서는 다음과 같이 말합니다.
<故知兵者, 動而不迷, 擧而不窮. 故曰, 知己知彼, 勝乃不殆. 知地知天 勝乃可全.
고로 전쟁의 실태를 아는 자는, 움직이되 갈팡질팡 하지않고, 거사를 하되 어려운 입장에 서지 않는다. 고로 적을 알고 나를 알면 승리는 위태롭지 않고, 천시와 지리까지 알면 승리는 완전하다.>

다시 손자는 이야기 합니다. 정확한 상황을 확인하고, 분석하고 파악하면 적절한 대응을 그때 그때 할 수 있으며, 앞에서 이야기한 것처럼, 어떠한 상황에 서든지 기업 및 조직의 정보를 보호하고 피해를 최소화할 수 있다는 것입니다.
 
구지편에서 손자는 전장의 상황을 분류하고 그에 따른 전술을 논하였으며, 상황에 따라서 적합한 전술로 승리를 이끌어 내는 지휘관이야 말로 훌륭한 지휘관이라고 이야기를 하고 있습니다.
 
<故善用兵者, 譬如率然, 率然者, 常山之蛇也. 擊其首則尾至, 擊其尾則首至, 擊其中則首尾俱至.
고로 싸움에 능한 자는 비유컨대 솔연과 같고, 솔연이란 상산의 뱀을 말하는데, 머리를 때리면 꼬리가 덤비고, 꼬리를 치면 머리로 덤빈다, 허리를 때리면 머리와 꼬리로 덤빈다.>
 
<敢問, 兵可使如率然乎? 曰, 可, 夫吳人與越人相惡也, 當其同舟而濟, 而遇風, 其相救也, 如左右手.
감히 반문하건대, 군사를 솔연처럼 움직일 수 있는가, 물론 할 수 있다. 오나라와 월나라는 서로 원수사이지만 마침 두 나라 사람이 같은 배를 탔다가 폭풍우를 만났다면 좌우의 손처럼 일치 단결하여 서로를 도울 것이다.>

이게 가능하려면 어떻게 해야 할까요? 보안팀만 훈련이 되어있어서 가능한 것일까요? 시스템 네트워크 운영 부서, 서비스 운영 및 관리 부서와 각 조직의 부서원들이 특정 상황에 맞는 보안 프로그램을 이수하고 훈련을 통해서 상황을 인지할 수 있다면, 지금 당장 사고 대응을 위해 업무 수행을 못해서 발생하는 사업적인 손해보다 더 큰 사고로 인한 피해와 손해를 덜어낼 수 있게 될 것입니다.
 
<故爲兵之事, 在於順祥敵之意, 幷敵一向, 千里殺將, 是謂巧能成事者也.
고로 전쟁이란, 적이 의도하는 바를 속속들이 장학하는데 있고, 적을 한 방향으로 유인하여 치고, 천리밖에 있는 적장을 죽이는 것이며, 이를 교묘히 설사하는 일이라 한다.>

손자는 다시 이야기를 합니다. 적이 의도하는 바를 속속들이 알아야 한다는 것입니다. 이는 적을 알고 나를 알 때 가능한 것입니다. 우리의 위협 요소가 무엇이고, 공격서페이스가 어디이며, 어떤 영향을 줄 수 있는가 이에 대한 감시와 방어 방법 혹은 정책적인 대응 요소는 무엇인가를 계속적으로 파악하고 이해할 수 있어야 하는데, 이는 외부에서 이용되는 공격기술과 방법을 이해하고 있어야 합니다. 또한 우리에게 있어서 중요한 자산은 무엇이며, 어디에 어떻게 존재하는가를 알고 이에 대한 접근, 이용에 대한 부분을 관리할 수 있어야 합니다.
 
마지막으로 용간편에서는 정보 조작작전에 대한 부분을 이야기 하며, 정확한 적의 정보를 얻는 것이 승리의 길이며, 정보 활동은 극히 중요하므로 비용을 절대로 아껴서는 안 된다는 것을 강조합니다. 그러면 왜, 손자는 이러한 부분을 강조할까요? 그때 상황에 따르면 다음과 같이 이야기 합니다.
 
<孫子曰 : 凡興師十萬, 出征千里, 百姓之費, 公家之奉, 日費千金.
內外騷動, 怠於道路, 不得操事者, 七十萬家,
相守數年, 以爭一日之勝, 而愛爵祿百金, 不知敵之情者, 不仁之至也.
손자가 말하기를, 군사 10만을 동원하여 천리의 원정을 가게 되면, 백성이 부담하는 비용과 국세가 하루에 천금이 소비되고, 나라의 안팎에 소동이 나며, 백성들은 전쟁 물자 수송에 피로하고, 생업을 종사하지 못함이 70만호나 되지만, 적군을 상대하여 서로 지키기를 몇 해씩 해도 승패는 하루아침에 판가름이 나게 되어, 작위 봉록 세금들을 아까워하여 적의 정보를 수집하는데 소홀히 하게 되면, 이는 지극히 어질지 못한 짓이다.>

앞서 손자는 전쟁은 국가의 존망이 달렸고 사람의 생사가 달렸다고 이야기를 했습니다. 그러한 일에 엄청난 자원을 동원하게 되는데, 정보보호도 마찬가지 입니다. 많은 비용과 인원을 동원해야만 가능한 일이며, 이를 위한 교육과 훈련이 지속적으로 이루어져야 하고 정보수집과 이에 대비하기 위한 프로그램의 수행을 통한 대응숙지와 같은 일들을 계속적으로 수행함에도 불구하고 침해사고가 발생하여 오랜 시간 동안 대응 방법을 찾지 못하고 갈팡질팡한다면 큰 문제가 되게 될 것이며, 비용을 절감하기 위해 적절한 사람을 투입하거나 전문성을 유지할 수 있도록 지원하지 않아 이러한 활동을 수행하지 못한다면 이 역시 큰 문제가 된다는 것입니다. 결국 기업의 최고 경영자 집단과 보안조직은 현재의 상황을 명확히 이해하고 적절한 투자와 이에 대한 활용을 통한 보안성향상 및 확인이 지속적으로 이루어질 수 있는 노력을 하지 않으면 안된다는 것입니다.
 
<非人之將也, 非主之佐也, 非勝之主也, 故明君賢將, 所以動而勝人, 成功出於衆者, 先知也.
先知者, 不可取於鬼神, 不可象於事, 不可驗於度, 必取於人, 知敵之情者也.
이런 자는 장군의 자질이 모자라고, 군주를 보좌하기에 충분하지도 않고, 승리의 주도자가 될 수 도 없다. 자고로 명석한 군주와 현명한 장군이 움직여 적에게서 승리를 만들어 내고 남보다 출중한 성공을 이루는 이유는, 적의 정보를 먼저 알기 때문이다.
적의 실정을 아는 방법은 귀신에 의하여 얻는 것도 아니고, 옛 사례를 알아내는 것도 아니며, 법칙에서 경험할 수 있는 것도 아니며, 반드시 사람에게서 적의 정보를 아는 것이다.>

이어서 손자는 5가지 간첩을 이용하는 방법을 이야기하고 있습니다. 요는 정보를 아는 것이 중요하고, 실제적인 정보여야 하며, 현재 이용되는 정보여야 한다는 것입니다. 그리고 이를 분석하고 진위를 따져서 이용해야 하는데, 이를 위한 정보 수집을 다양하게 수행해야 한다는 것입니다. 우리 식자들은 어떨까요? 조직의 전담인력이 정보 수집, 분석 업무를 수행하고 있는지요? 적절한 정보에 대한 분석 결과에 따라서 보안 전략 및 대응 전략을 세우고 평가하는 방법을 만들고 있는지요? 어떤 정보를 어디서 어떻게 수집하는지요? 중요 정보보호 관련 정보나 공격기술과 기법에 대한 정보를 전문 기관 및 기업으로부터 제공받고 있는지요? 국내외 보안 컨퍼런스, 보안 테스팅 컨퍼런스, 해킹 컨퍼런스에 참가하고 교육을 받고 이를 전달하고 있는지요? 어떤 활동이 기업의 외부 공격에 대한 대응을 위해 필요한지 알고 수행하고 있는지요? 자문자답할 일이라고 할 수 있습니다.
 
필자는 감히 이렇게 이야기할 수 있습니다. 21세기 우리는 현재 눈에 보이지 않는 전장에서 서 있습니다. 우리 회사가, 우리 집이, 나의 PC가 스마트 폰이, 공격의 대상이며 전쟁터입니다. 하지만 그렇게 생각하는 사람은 거의 없을 것입니다. 하지만 명실상부하게 제3차 세계대전이 전세계적으로 서로 아군과 적군을 두지 않은 채 이루어지고 있습니다. 이전 시대의 대전과는 다르며 넷을 통해 이루어지는 전세계적인 분쟁입니다.
 
아무도 죽지 않는 것처럼 보이지만 많은 사람들이 피해를 받고 있고 결과적으로 죽게 될 것이며, 얼마 뒤에는 실제로 인명이 좌우되는 사태가 지속적으로 발생하게 될 것입니다. 기업에게 있어서는 기업의 지적자산, 고객의 개인정보, 중요 트랜잭션 정보 등 다양한 정보가 공격자의 타깃이 될 수 있습니다.
 
하지만 더 나아가게 되면, 테러리스트나 공작원들에 의한 중요 인사 및 그 가족에 대한 추적 및 직접적인 납치와 협박이 이루어지게 될 것입니다. 영화가 아니고 현실입니다. 국가가 국가를 위협하고, 기업이 기업을 위협하고, 범죄조직이 기업이나 국가를 위협하고 있으며, 개인은 당연히 그 사이에 끼여서 위협을 받고 있습니다.
 
지금까지 밝혀진 대규모 APT의 주요 공격자는 국가나 범죄 집단입니다. 심지어 마이크로소프트는 특정 국가를 APT로 정의하고 있습니다. 이러한 시대에 우리가 해야 할 일은 무엇일까요? 신뢰하지 않는 것, 문을 걸어 잠그고 숨고 은폐하는 것일까요? 손자병법을 다시 한번 읽어보시기 바랍니다. 그리고 숙고하기실 바랍니다.
 
갑자기 영화 007이야기를 하고자 합니다. 영화의 후반부를 보시면 MI-6의 수장인 M이 청문회에 불려가게 되고, 여기서 다음과 같은 이야기를 하게 됩니다.
 
<“Chairman, ministers, I've repeatedly heard how irrelevant my department has become. Why do we need agents, the 00 section? Isn't it all rather quaint? Well, I suppose I see a different world than you do, and the truth is that what I see frightens me. I'm frightened because our enemies are no longer known to us. They do not exist on a map, they aren't nations. They are individuals. And look around you - who do you fear? Can you see a face, a uniform, a flag? No, our world is not more transparent now, it's more opaque! The shadows - that's where we must do battle. So before you declare us irrelevant, ask yourselves - how safe do you feel?
Just one more thing to say. My late husband was a great lover of poetry, and um - I suppose some of it sunk in, despite my best intentions. And here today, I remember this, I believe, from Tennyson: We are not now that strength, which in old days moved earth and heaven, that which we are, we are. One equal temper of heroic hearts, made weak by time and fate, but strong in will. To strive, to seek, to find, and not to yield”>
 
그리고 나서 이전 MI-6의 에이전트였던 사내가 경찰복을 입고 들어와서 총을 쏘게 됩니다. 그리고 총격전이 이어집니다.
 
007에서는 물리력과 사이버정보 수집력을 앞세워 총을 쏘고 사람을 감금합니다. 하지만 현재 우리의 현실에서는 아직까지는 그러한 물리력에 의한 직접적이고 물리적인 피해는 없습니다. 하지만 더 당황스러운 것은 M의 말처럼 눈에 보이지 않는 다는 것입니다. 우리가 아는 존재들이 아닙니다. 아니, 우리는 안다고 믿고 싶어합니다. 혹은 북한이다 중국이다라고 이야기하고 어쩔 수 없다라고 안위하기도 합니다.
 
지도에 있는 듯 하지만 지도에 점찍어 나타낼 수도 없습니다. 계속 이동하고 변형하고 있습니다. 어떨 때는 범죄 신디케이트였다가 어떤 때는 완벽한 개인이 되기도 하고, anonymous 가 되기도 합니다. 이전에는 명확해 보이던 것들이 더 이상은 이전과 같지 않으며 불투명해지고 있습니다.
 
우리가 안전하다고 믿는다면 그 역시 웃기는 일이며, 우리가 두려워하는 것이 있다고 하더라도 대부분 무엇인지 알 수 조차 없습니다. 기업과 조직은 도대체 무엇으로부터 우리의 무엇을 어떻게 지키고자 하는 것일까요?
 
북한의 비대칭 전력가운데 사이버전력이 있습니다. 이들이 노리는 것은 무엇일까요? 우리는 무엇을 가지고 있는 것일까요? 범죄 신디케이트가 있습니다. 기업에 이들이 노리는 것은 무엇일까요? 다른 국가가 있습니다. 다른 알 수 없는 개인이 있습니다. 악의적인 리서칭을 하는 조직이 있습니다. 이들이 노리는 것은 누구이며, 무엇이며 왜 일까요? 어떤 방법을 기술을 기법을 사회적으로, 넷에서 이용하는 것일까요? 너무나 많은 기술과 방법들이 존재하지만 우리 기업에 조직에 이용될 수 있는 것들은 무엇일까요? 우리는 이러한 문제를 알기 위해서 확인하기 위해서 노력하고 있는가요? 그러한 노력을 시간을 비용을 지출하고 있나요? 누군가가 그러한 업무를 수행하고 있나요? 그리고 얻어진 결과를 분석하고 이용하고 있나요? 여기에 대한 답은 스스로 가지고 있습니다.
 
기원전 6세기 인물인 손자는 21세기의 우리에게 손자병법(the art of war)을 통해 이렇게 이야기하고 있습니다. 싸움에 나서기 앞서 적을 알고 나를 알면 어떠한 싸움에서든지 위태로움에 빠지지 않는다라고. 우리는 우리 자신을 정확히 알고 있는지, 우리는 위협하는 공격자들의 기술을 알고 있는지.
 
그러면 우리의 보안 정책과 기술과 기법과 방법론으로 공격자들의 어떠한 것을 식별하고 방어할 수 있는지 확인할 필요가 있습니다. 손자가 말합니다. “너 자신과 적을 알라.” 아폴로의 신전에는 “너 자신을 알라(γν?θι σεαυτ?ν)”라고 사람들에게 말하고 있습니다. 우리는 우리자신이 무엇을 알고 있는지 알아야 합니다. 아는 것이 없다면 보호할 것도, 보호할 방법도, 보호할 대상도 위협도 알 수가 없을 것입니다.
 
공격하는 자가 100% 활용하고 있는 손자병법의 기술들, 우리가 정확히 이해하고 적용한다면, 공격자의 관점에서 문제를 접근하고 확인하고 이용할 수 있다면 보다 압도적인 공성공방을 펼칠 수 있고, 패하는 싸움이 아닌 이기는 싸움을 할 수 있을 것으로 필자는 판단합니다.
 
[글. 이동일 이뮤니티(Immunity) 아태지역 지사장 / jason@sales.immunityinc.com]