보안솔루션 도입과 보안관제, 컨설팅서비스를 받고 있으면서도 기업들은 여전히 정보유출에 대한 근심을 떨쳐버릴 수가 없다. 이유는 무엇일까. 씨드젠 김휘영 대표의 정보 중심의 정보보호 관리체계의 필요성 세번째. 정보유출 원인에 대해 알아보자. [편집자 주]
 
<연재 순서>
제1화 환경변화에 따른 정보보호 관리체계의 변화
제2화 조직 내에서의 정보이용의 변화
제3화 정보유출의 원인
제4화 프로세스 중심적 정보보호 관리체계를 만든다는 것
 
30년 넘도록 백신소프트웨어를 이용해 왔고 20년 가까이 컨설팅과 관제 서비스를 이용하고 있는 조직 입장에서는 왜 아직도 정보유출을 고민하고 있는 것일까? 특정 기술이나 서비스만으로는 더 이상 정보유출을 막기 어렵기 때문이 아닐까?
한번 살펴보자. 오랜 기간 줄다리기하고 있는 정보유출의 원인을.
 
◇잠재위험의 증가
정보유출의 원인은 먼저 잠재적인 위험의 증가를 꼽을 수 있다.
보안 컨설턴트들은 지겹도록 들었고, 무용론이 제기될 정도로 많은 사람들이 쉽게 생각하고 있는 위험분석의 공식을 살펴보자. 전세계적으로 200여 개의 보안 위험분석 방법론이 존재하지만, 국내나 해외나 교과서적인 기본공식은 자산, 취약성, 위협의 일련의 연산을 거쳐서 위험을 판단한다. 통상적으로 자산가치와 취약 정도, 위협 정도를 곱하여 위험의 정량적인 값을 산정하는 방식이다. 다시 말하면 위협과 취약성 값이 고정되어도 자산의 가치가 증가하면 위험의 정도는 커지게 된다.

 
공공기관도 마찬가지지만 특히 민간기업은 자산의 가치를 극대화하는 것이 지상과제이다. 매출과 영업이익률은 늘리고 비용은 줄어야 한다. 이 과정에서 위험은 점차 증가하게 된다. 앞서 말했던 위협과 취약성이 증가하는 현재 상황에서는 위험은 커지고 있으며 빈도 또한 빈번해지고 있다. 정보보안과 관련된 잠재적인 위험은 비즈니스 가치에 비례해서 올라가는 것이다. 기업이나 기관은 인정해야 한다. 우리가 아무것도 하지 않아도 세상에 잘 알려져 유명해질수록 정보보안 위험의 크기와 빈도도 함께 증가한다는 것을.
 
이러한 사실에 깔려 있는 조직 C-Level(CXO)의 인식수준은 정보보안과 관련된 지출을 투자가 아닌 비용으로 바라보기 때문에 자산가치가 증가하여도 위험을 줄이려는 노력이 일정수준 이상 증가하지 않는 것이다. 그래서 침해사고가 발생한 뒤에야 정보보안과 관련된 지출을 늘리는 조직이 많은 것이고, 정보보안 활동을 하는 것보다 과태료나 과징금, 벌금 등을 내는 것이 비용-효과적이라고 판단하는 것이다.
 
◇보안관리의 수행
정보유출의 두번째 원인은 지속적이지 않은 보안관리이다.
일반적으로 정보보안의 활동은, 정보기술의 일부로 이벤트적 성격으로 바라보는 경향이 많다. 보안 제품을 도입하거나, 보안 컨설팅을 수행하여도 보안 감사만 잘 받고 그때만 면피하게 되면 괜찮은 것이라는 생각들이 지배적이다.
 
전년도에 있었던 위험분석이나 모니터링, 보안 감사가 일회성이 아닌 연속성을 갖고 진행되어야 한다. 작년에 나왔던 보안감사의 지적 사항은 올해도 당연히 검토해야 하며, 정황적인 내용뿐만 아니라 왜 그렇게 되었는지 그 안에 숨겨진 내용을 살펴보아야 한다. 예를 들면 통제구역의 출입문이 계속 열린 상태로 있다면 문을 닫지 않은 사람을 벌하기 보다는 왜 문이 자주 열려있는지에 대한 고민이 필요하다. 통제구역 내부가 답답하고, 환기가 어렵다면 그러한 교정통제들은 제대로 준수되기 어렵다. 악의적인 공격자들은 이러한 부분을 소소한 기회를 틈타서 노리기 때문이다.

 
사실, 정보보안은 정보기술이 많이 관여하긴 하지만 비즈니스에 종속적인 부분이 많다. 비즈니스의 가용성과 기밀성, 무결성을 깨뜨리는 작업을 하는 것이 공격자들의 성향이고, 이를 지키고자 하는 것이 정보보안의 지상과제이기 때문이다.
그래서 정보보안은 기술로 시작하지만 비즈니스로 끝나야 하는 것이 맞다.
 
◇식별되지 않는 정보자산
세 번째는 우리의 정보자산이 어디까지 나가있는지 모른 다는 것이다.
이것은 하드웨어나 소프트웨어가 아니라 정보자산, 즉 데이터에 대한 이야기이다. 우리의 정보가 어디 있느냐? 이 대답을 해줄 보안담당자는 많다. 하지만 어디까지가 우리 정보냐? 이 질문에 명확히 대답을 해줄 보안 담당자는 드물다. 예전과 달리 정보가 대형시스템에 집적되어 있지 않고 소형인 이동 가능한 디바이스에 복제되어 있으므로 이 정보들까지 관리해야만 한다. 하지만 쉽지 않은 일이다. 임직원이 보유한 다양한 디바이스의 정보를 모두 관리한다는 것이 쉽지 않은 뿐만 아니라, 프라이버시 침해에도 영향을 미친다.
 
◇파악되지 않는 프로세스
정보자산이 식별되지 않는 것과 연계선상에 있는 것이 프로세스이다. 정보는 공유를 원칙으로 생성되는 것이기 때문에 본인의 생각을 타인에게 동일하게 전달하기 위해서 정보는 이동하게 된다.
업무 프로세스는 곧 정보의 흐름이 된다는 의미이다. 내부자에 의한 보안위협이 90%를 상회하는 최근 상황에서는 비인가자의 외부로부터 공격보다 인가된 내부자의 악의적인 공격이 많은 것이므로 이것을 명확히 판단하려면 내부 프로세스를 인지하고 있어야 하는데 이러한 부분이 아직 부족하다.
 
◇구성원의 보안인식
마지막으로 가장 문제가 있다고 생각되는 것이 구성원들의 보안의식이다.
보안 의식 수준이 그 조직의 정보보안 수준을 결정한다고 해도 과언이 아니다. 얼마 전 돌잔치 문자메시지 같은 스미싱이 조직 구성원에게 들어왔다고 가정해보자. 보안 담당자가 그것을 막을 수 있는가? 전체 조직 구성원의 50%가 보안담당자라고 해보자. 아니면 현재 국내에 나와있는 모든 보안솔루션을 도입하여 적용하였다고 해보자. 과연 그러한 새로운 위협을 막을 수 있는가?

 
이상한 문자나, 사회공학적인 이메일, 또는 상급자를 사칭한 전화, 이 모든 것을 막아줄 보안 솔루션은 없다. 막는다고 해도 이미 지나버린 시그니처(signature)에 대한 것이다. 어디 전쟁이 동일한 방식으로 일어난 적이 있는가?
 
또한 최근 공격자의 경향은 양극화 현상을 보인다. 점점 더 고도화 되는 공격기술인 것이냐, 아니면 정교한 사회공학적 공격인 것이냐? 이다. 고도화되는 공격기술은 보안전문가와 솔루션이 막아주겠지만, 점차 증가하는 임직원을 대상으로 한 사회공학적 공격에 대한 방어는 그 누구도 대신해 줄 수 없다.
 
정보보안은 더 이상 전문가들만 해야 할 일은 아니다. 내부 임직원들이 함께 움직여야 조직의 보안성이 높아질 수 있다.
 
제1화에서는 정보보호 관리체계를 둘러싼 외부적인 환경변화를, 제 2화에서는 내부적인 정보 이용행태를, 본 회에서는 정보유출의 원인에 대해 살펴보았다. 마지막 제4화에서는 프로세스 중심적 관리체계의 수립 방법에 대해 살펴보자.
 
[글. 정보보안 전문기업 씨드젠 김휘영 대표이사]
 
<★정보보안 대표 미디어 데일리시큐!★>