2020-07-13 00:40 (월)
[김휘영 대표] 정보 중심의 정보보호 관리체계의 필요성①
상태바
[김휘영 대표] 정보 중심의 정보보호 관리체계의 필요성①
  • 길민권
  • 승인 2014.07.05 12:43
이 기사를 공유합니다

환경 변화에 따른 정보보호 관리체계의 변화
기존 정보보호 관리체계에서 필요한 보안점은 무엇일까. 씨드젠 김휘영 대표는 “정보보호 관리체계의 중심은 ‘정보’여야 하는데 우리가 분석하고 있는 자산이나 취약점은 웹서버, 네트워크 장비 등 유형자산 위주로 제한되어 있어, 정보의 탈취를 목적으로 하고 있는 최신의 정보보안 위협으로부터 자산을 보호하기에 한계가 있어 보인다”며 “이에 기존의 정보보호 관리체계에 보완이 필요한 것으로 보이는 정보 중심적인 정보보호관리체계에 대한 의견을 내고자 한다”고 밝혔다. 총 4회에 걸쳐 “정보 중심의 정보보호 관리체계의 필요성”을 주제로 연재를 시작한다. [편집자 주]
 
<연재 순서>
제1화 환경변화에 따른 정보보호 관리체계의 변화
제2화 조직 내에서의 정보이용의 변화
제3화 정보유출의 원인
제4화 정보 중심적 정보보호 관리체계를 만든다는 것
 
정보보호 관리체계라는 단어는 정보보호를 업으로 하는 사람들은 모르는 사람이 없을 정도로 오랜 기간, 많은 사람들의 입에 오르내렸다. 하지만 최근에는 정보보호 관리체계의 무용론이 대두될 정도의 불안한 위치에 놓여있다. 조직의 관점에서 정보보호관리체계는 필요한 과정이지만 결과로서 실효성과 의미를 부여하기 어려운 것이 현실이다.
 
물론 그 이유가 정보보호관리체계의 관리과정이나 통제항목이 현실적인 보안 이슈를 뒤따르지 못하기 때문은 결코 아니다. 오히려 정보보호 관리체계를 하나의 1회성 이벤트나 연례행사 수준의 곤욕으로 받아드리거나 외부 전문업체에게 위탁하여 인증산출물을 양산하고 있기 때문일지도 모른다.
 
그리고 그 안에 숨겨진 또 다른 중요한 이유가 있다면 20년이나 더 지난 오래된 방식의 위험분석 방법론으로 인해 현재의 공격 유형과 정보보호 패러다임을 반영하지 못하기 때문이기도 할 것이다.
유형자산 위주의 자산식별 및 평가, 선제적 대응보다는 사후 분석 위주의 위험분석, 어디까지 누구에게 전달되는지 모르는 회사의 정보들. 정보는 공유되지만 특정 부문만 인증범위로 제한적으로 심사하는 인증범위. 이러한 문제점들이 정보보호 관리체계를 수박 겉핥기 식의 문서양산 프로젝트로 만들고 있는 것인지도 모른다.
 
이 문제를 해결하기 위한 가장 중요한 열쇠는 정보 흐름으로의 확장이다. 정보보호 관리체계의 중심은 ‘정보’여야 하는데 우리가 분석하고 있는 자산이나 취약점은 웹서버, 네트워크 장비 등 유형자산 위주로 제한되어 있어, 정보의 탈취를 목적으로 하고 있는 최신의 정보보안 위협으로부터 자산을 보호하기에 한계가 있어 보인다. 이에 기존의 정보보호 관리체계에 보완이 필요한 것으로 보이는 정보 중심적인 정보보호관리체계에 대한 의견을 내고자 한다.
오늘은 그 첫번째로 조직을 둘러싼 환경변화를 살펴보도록 해보자.
 
정보보호의 환경변화는 정보기술(Information Technology)의 변화에 따른 것이고 정보기술의 변화는 비즈니스 환경변화에 반응한다. 결국 정보보호의 환경변화는 IT 관련 비즈니스가 어떻게 변화하고 있는 가에 따라 달라진다. 먼저 전통적인 비즈니스 환경변화와 비즈니스 환경변화를 살펴보자.
 
1. 비즈니스 환경변화
1990년대 말부터 시작된 .COM열풍은 전세계적으로 많은 변화를 가져 왔다.
IT 경제 발전에 따른 인터넷 경제가 급성장하고, 세계화에 따른 국가간, 기업간 거래나 정보공유가 늘어났다. 이러한 인터넷의 중심인 네트워킹은 서비스업은 물론 제조업에도 영향을 미치게 되는데, 그로 인한 것이 디지털 컨버전스이다. 여기서 언급하는 디지털 컨버전스는 두 개 이상의 기능이 결합하여 새로운 기능과 서비스를 창출하는 것을 의미한다. 또한 기술발전에 따른 양방향 커뮤니케이션이 가능해짐에 따라 사용자가 참여하는 문화가 발달하게 된다.
 
이러한 변화로 인해 정보기술은 다양한 분야 침투되어 이용되어 왔는데 이를 악용하는 사례들도 나타나게 된다. 정보가 무형의 데이터로 저장?관리됨에 따라 내부 회계시스템의 부정을 손쉽게 일으킬 수 있는 계기가 마련된 것이 대표적이다. 북미의 ‘E社’ 사건을 계기로 내부회계관리제도 등의 국가가 정책적으로 데이터의 무결성을 보증하려는 노력도 만들어지게 된다.
 
2. 정보기술 환경변화
비즈니스의 환경변화는 정보기술의 변화를 이끌어 왔다.
정보보안과 관련해서는 세가지 측면에서 볼 수 있는데, 그 첫번째는 사용자 측면이다.
사용자가 사용하는 디바이스, 즉 PC나 스마트폰 등은 예전에는 상상할 수 없을 정도로 제한적이었다. 메인프레임이나 대형 서버들로만 정보를 처리할 수 있었던 20~30년 전에는 접속 가능한 더미(Dummy) 단말기 하나만으로 업무를 처리할 수 있었는데, 실제로 업무처리는 메인프레임이나 대형 서버에서 정보처리가 이루어졌기 때문에, 이때에는 물리적인 보안이 실질적인 정보보안이었다.

정보가 유출되더라도 실제로 그 정보를 처리할 시스템을 보유하고 있지 않아 정보유출 자체가 무의미한 상황이었다. 현재에는 PC, 노트북, PDA, MP3, 스마트폰, 스마트패드 등 기술의 발전과 하드웨어 가격하락을 통해 정보처리가 가능한 디바이스가 증가했으며, 소형화에 따른 이동성이 증가했다. 스마트 워크나 재택근무, 모바일 캠퍼스와 같은 서비스 역시 이동성이 증가한 강력한 성능의 하드웨어로 인해 가능해 진 것이다.
 
디바이스를 사람에게 배정하는 행태도 180도 뒤바뀌었다. 예전에는 같은 팀 내에 하나의 PC를 다수의 사용자가 공유하고 이용하게 하는 행태에서 지금은 단일 사용자에게 PC와 노트북, 스마트 패드, 스마트폰 등 다수의 정보처리가 가능한 디바이스를 배정하는 즉, 한 사람의 사용자가 다수의 디바이스를 관리하는 형태로 변화되었다. 이러한 변화는 동일한 정보가 다양한 디바이스에 담기게 되어 정보유출의 창구가 늘어나는 이유를 만들 뿐 아니라, 이를 관리하는 사용자가 정보보안의 전문가가 아닌 일반사용자, 임직원이 되므로 이들의 낮은 보안인식을 공격하는 사회공학적 공격이 보다 쉬운 정보유출을 만드는 상황이 되었다.

 
두번째로 자원 측면이다.
정보기술은 탄생초기에 업무를 지원하는 형태로 나타났으나 지금은 정보기술의 도움없이 업무를 볼 수 없다는 것은 상상하기 조차 힘들다. 이것은 단순한 PC의 존재가 아니라 네트워킹이 가능한 디바이스를 의미하는 것으로 업무자체가 수많은 커뮤니케이션으로 이루어지고 있기 때문에 정보기술 자원의 중요성이 더욱 부각되었다.
 
세번째로 네트워크 측면이다.
사용자의 정보처리가 가능한 디바이스의 이동성 증가와 업무처리 효율성을 위한 정보기술 인프라 이용은 네트워크의 부하와 의존성을 증가시켰다.
 
3. 정보보호 환경변화
비즈니스와 정보기술의 환경변화는 정보보호의 변화를 이끌어 오게 되는데 그 변화에는 몇가지 특징이 있다.
 
첫번째, 기업이나 기관에서 운용하는 플랫폼이 월드와이드웹(WWW)으로 통합되었다.
1990년 대 말부터 일어난 .COM 열풍붐으로 인해 너도 나도 홈페이지를 만들고, 홈페이지가 없는 회사는 이상한 회사라는 오해를 받을 정도로 월드와이드웹이 각광받고 있다. 결국 기업이나 기관이 제공하는 사용자 대상의 서비스는 월드와이드웹을 제외하고는 찾아보기 힘들어졌다.

공격자들이 공격할 대상이 웹 이외에 찾기 어려워졌다는 점에서 웹을 대상으로 한 공격이 증가하고 있다는 이야기는 틀린 말이다.. 오히려 인터넷에서 제공되고 있는 대다수의 서비스가 웹을 기반으로 구동되고 있는 상황에서 공격자들이 웹 이외에는 공격할 대상이 없어졌다는 것이 보다 정확한 표현이다.
 
두번째는 개인사용자 입장에서는 기술의 발전으로 컴퓨팅 파워가 증가되어 서버중심의 정보처리가 PC, 노트북 등으로 옮겨갔다. 심지어 간단한 문서작업이나 편집은 스마트폰, 스마트패드에서 가능하다. 컴퓨팅 파워의 증가는 정보가 저장?관리되는 공간이 더 이상 서버가 아닌 사용자가 보유하고 이용하는 클라이언트 단말기에 존재한다는 것을 의미한다. 기술발전으로 인해 하드웨어 가격이 낮아지면서 정보처리의 주체가 변경되기도 했지만 외부저장매체의 사용으로 인한 정보유출 수단이 다양화되는 결과를 초래했다.

 
마지막으로 공격자는 실력을 과시하던 상황에서 정보의 가치가 올라감에 따라 금전적 이득 취하는 것으로 바뀌게 되었고, 서버를 대상으로 하던 공격이 서비스를 거부하도록 만들거나 정보를 탈취하는 공격의 형태로 바뀌게 되었다.
 
비즈니스와 정보기술의 변화, 그에 따른 정보보호의 이슈는 지속적으로 변화하고 있다. 이러한 변화에 대응하기 위해서는 기존 방식의 정보보호로는 조직의 보안수준을 만족시킬 수 없다. 특히 유형의 자산이 아닌 정보자체가 가치를 지니며, 조직 내?외부에 공유를 하면서 비즈니스를 창출하는 현재의 상황으로서는 정보자체의 흐름을 파악하지 않고서는 적절한 수준의 보안성을 유지할 수 없다. 우리가 보호해야 할 자산이 서버나 네트워크 장비 등의 하드웨어가 아니고 그 안에 저장되어 있는 정보들이라면 정보가 어디에서 생성되어서 어떻게, 어디로 전달되고 관리, 파기 되는지를 알아야 보호할 수 있다.
 
다음 편에는 조직 내에서의 정보이용의 변화에 대해 알아보도록 하자.
 
[글. 정보보안 전문기업 씨드젠 김휘영 대표이사]
 
#위 글은 기고자의 글을 편집하지 않고 원문 그대로 게재했음을 알립니다.
 
<★정보보안 대표 미디어 데일리시큐!★>