2024-03-30 00:00 (토)
정보보호 컨설팅 효과는 인프라보안 개선부터 이루어져야…
상태바
정보보호 컨설팅 효과는 인프라보안 개선부터 이루어져야…
  • 길민권
  • 승인 2014.09.01 18:23
이 기사를 공유합니다

가장 쉽고, 현실적으로 구현이 가능한 영역은 인프라 보안!
[에스에스알 황용온 상무. 사진] ◇컨설턴트는 ‘문서’로 말한다. 정보보안의 관리활동은 크게 ‘사전 예방’과 ‘사후 대응’으로 나눌 수 있다. 조직의 지속 가능한 비즈니스를 위해 우선적으로 집중해야 하는 부분이 ‘사전 예방’이라 할 수 있고, 이런 보안관리 활동으로 외부 전문가의 서비스를 받는 정보보호 컨설팅 프로젝트가 각 기관별로 계획에 맞춰 수행되고 있다. 컨설팅의 수행 과제에 따라, 다양한 방법론과 진단 등 수행되는 내용은 달라질 수 있겠으나, 일반적으로 고객사에 컨설팅의 내용 및 결과를 보고하고 향후 수행해야 하는 지침이나 가이드 등은 문서로 남게 되는 부분은 공통적이다.
 
이러한 업무 프로세스 혹은 관행이라고 볼 수 있을지 모르겠지만, 정해진 시간 내에 많은 과제와 미션을 수행해야 하는 컨설턴트의 입장에서는 이런 일례화된 수행절차가 당연한 듯 받아들여지고 있는 것은 아닌가 생각해 본다.
 
필자는 모의해킹을 시작으로 기술 컨설팅을 다년간 수행해왔고, 큰 조직의 보안 부서에서 담당자의 역할도 경험해 보았다. 컨설팅을 수행하는 입장에서 보안팀 담당자로 컨설팅을 받는 위치의 소회(所懷)는 많은 차이가 있었음을 회상하게 되는데, 가장 특징적인 부분은 ‘문서가 실제 조직에 구현이 될 수 있는가?’의 메시지로 기억한다.
 
프로젝트를 수행하면서, 개정한 정책 및 지침이 과연 우리 조직에서 잘 이행이 될 수 있는 것인지. 다시 말해, 충분한 고민과 현황 분석 후에 나온 결과인지. 아니면 그럴싸한 정책 및 지침을 참조한 것 인지. 결과로 제출한 산출물인 문서의 양은 상당하다. 이렇게 많은 문서가 얼만큼 살아있고, 효과를 발휘할 수 있는 문서인지는 의구심이 끊이지 않았다. 물론, 현실적인 여러 어려움이 있다는 것은 알고 있고, 한계점도 있다는 것은 공감할 수 있으나, 석연치 않았음은 부인하기 어렵다.
 
‘컨설턴트는 문서로 말한다.’는 말이 있다. 짧은 프로젝트 기간을 상주하면서 수행한 내용들이 컨설턴트가 떠난 후 실제 조직에 적용되는 과정에 그 빛을 발하는 것을 표현하는 의미라 생각한다. 문서의 퀄리티를 높이는 것에 집중하는 것은 당연할 수 있겠으나, 그 부분이 주 목적이 되어서는 안될 것으로, 컨설턴트의 노력이 실제 조직의 보안수준을 향상시키고, 구현이 되는 수단으로 활용이 될 때 진정 문서화(Documentation)의 목적을 달성할 수 있다고 하겠다.
 
◇P.D.C.A. 는 실제로 구현되는가?
정보보호관리체계를 비롯한 아키텍처를 논하는 경우, 꼭 참조되는 내용으로 흔히 언급하는 P(Plan), D(Do), C(Check), A(Act)가 있다. 이는 정보보호의 관리가 선순환(善循環)이 될 수 있도록 지향하는 프로세스로, 컨설팅 역시 같은 방향을 바라보며 프로젝트를 수행하고 있을 것이다.
 
앞서 언급한 문서화의 부분을 P(Plan)의 영역이라 할 수 있을 것인데, 산출물이 진정 P.D.C.A.를 잘 수행할 수 있도록 정리하였는가? 개인적인 경험 상 그렇게 만족스러웠던 기억이 많지 않은 것으로 봐서 쉬운 부분은 아닐 것이다. 하지만, 컨설팅의 완성도를 고려한다면 이러한 부분에 깊은 고민과 개선이 필요할 것으로 생각한다. 실제로 이행에 어려움은 없는지? 이행이 되지 않을 경우 고객사의 인사/처벌 규정에만 의존하는 것인지? 이러한 부분은 고객사의 담당자 및 보안부서의 몫으로 남겨두고 마무리 하는 것이 옳은 것인지.. 는 컨설턴트 혹은 컨설팅 업계가 계속해서 풀어야 할 숙제가 아닌가 생각한다.
 
물론, 고객사 입장에서도 컨설팅 결과를 바로 적용하지 못하는 부분의 한계도 분명 있을 것이다. 한계에는 여러 이유가 있겠으나, 중요한 것은 이유에 상관없이 조직의 보안 수준은 지속적으로 향상해야 할 것이고, 끊임없는 위험에 대응해야 함은 보안부서의 숙명이자 존재의 이유임은 분명하다. 이상과 현실 사이에서 가장 적절한 타협점과 해결방안을 찾는 몫 또한 정보보호 업계에 녹(祿)을 먹는 우리들의 몫일 것이다.
 
◇가장 쉽고, 현실적으로 구현이 가능한 영역은 인프라 보안!
보안관리 부분에 있어, 가장 중요요소 및 난공불락(難攻不落)의 요지(要地)는 무엇일까? 흔히들 보안에서 가장 취약한 부분은 사람이라 하고 있다. 필자도 잘 알고 있고, 공감한다. 보안은 불편하고, 어렵고, 규제성이 강한 분야이다. 인간이 동물과 가장 큰 차이점은 ‘자유의지’를 가지고 있다고 한다.
 
이런 인간의 특성 상 보안을 친숙하고 따뜻하게 바라보는 그런 이상적인 날은 많은 노력을 해야 앞당길 수 있지 않을까? 이 부분은 다양한 계층의 전문가들이 지속적으로 연구하고, 적용하며 풀어야 할 숙제라 생각한다. 하지만, 인프라의 경우는 다를 수 있다. 필자는 지난 10여 년 간 기술보안의 커리어로 성장하였고 지금도 기술적인 보안 영역에 대한 연구를 계속 하고 있는 바, 현 위치에서 바라보는 소회(所懷)를 지금부터 풀어볼까 한다.
 
정보보호 컨설팅, 그 중 기술적 컨설팅이라 할 수 있는 부분은 아마 취약점 진단, 모의해킹이 주를 이루고 있고, 소스 진단, 웹 관련에 특화 진단 등이 요구에 따라 다양하게 수행되고 있을 것이다.
 
이 중 인프라 보안에 대한 기술적 보안관리는 상당히 심플하다고 할 수 있다. 이유는 다음과 같다. ‘기계는 거짓말을 하지 않는다.’는 말이 있다. 이는 일단 인간과 달리 ‘자유의지’가 없고, 한번 설정하면 스스로 바뀌지 않는다. 따라서, 초기에 한번 잘 세팅하면 상대적으로 관리가 수월하다는 이점이 있다. 이러한 절차는 P.D.C.A. 중 D(Do)의 영역이 될 것이고, 설계된 조직의 정책, 지침 및 가이드에 따라 인프라에 세팅을 완료한 후, 주기적인 검토를 하는 부분은 C(Check)가 될 것이다. 사실상 컨설팅의 진단영역은 이 부분을 다루는 것이고, 여기서 발견한 개선사항은 정책 및 지침, 가이드의 수정으로 이어지는 것이 정설이겠다. 이러한 개선 작업이 마지막 과정인 A(Act)임은 말하지 않아도 알 수 있을 것이다.
 
하지만 여기서 현실적인 문제에 봉착(逢着)하게 된다. 고객사에 투입되어 프로젝트를 수행함에 있어, 우선 현실적으로 가장 큰 어려움이 바로 수행해야 할 목표 대비 인프라의 수량이 아닐까 생각한다. 넉넉하지 않은 프로젝트 기간과 인력임에도 불구하고 해결할 과제는 매우 다양하다. 결국 합의점을 본 부분이 표본-추출 방식, 즉 샘플링 진단이 나오게 되었다. 다수의 인프라 중 자산의 중요도 혹은 서비스의 중요도를 따져 우선순위에 있는 자산에 대해 선별하여 진단을 수행하고, 모의해킹을 시작한다. 샘플링 진단을 통해 나온 결과는 전체에 비례하여 적용하는 것으로 결론을 짓게 되는 것.. 나름, 현실적인 부분을 고려한 적절한 방법일 수 있다고 생각한다.
 
하지만, 여기에는 큰 맹점이 있다는 것을 간과해서는 안될 것이다. 컴플라이언스에 따라 매년 수행이 된다고 가정할 경우, 표본-추출의 기준은 무엇인가? 앞에서 언급한 바, 중요도에 영향을 받게 되는데 우려할 사안은 해가 바뀐다 해서 이러한 중요도가 변경될 가능성이 매우 미미하다는 점이다. 이에 매년 진단을 수행할 시 특정 자산에 반복적으로 이행되게 되고, 누락된 자산은 점검을 할 기회조차 가지기 어렵게 된다.
 
여기서 공격자의 관점에서 현실을 바라보도록 하자. 흔히 공격자는 취약점을 악용해 침투를 진행한다는 기본 개념은 모두 알고 있을 것이다. 여기서 취약점은 보안관리 상의 헛점으로 야기되는 이러한 관행이 될 수 있을 것이고, 최근 APT 공격이라 하는 지능형 지속 위협공격 같은 고도화 공격에서 더욱 주목할 만한 구멍(Holes)로 쓰여질 가능성은 매우 높을 것이다.
 
공격자는 잘 관리되고 있는 자산을 통해서는 절대 공격을 시도하지 않는다는 점을 끊임없이 상기하여 보안관리에 임해야 하는 점을 누누이 강조하고 싶다. ‘보안은 사슬과 같아서 가장 약한 연결고리 만큼의 강도를 지닌다.’는 말이 있듯, 보안에 있어 홀(Holes)의 존재가 바로 그 조직의 보안 수준이라 볼 수 있을 것이다. 따라서 필자의 개인적 의견은 현실적으로 시급히 개선이 가능한 인프라 보안만큼은 ‘All or Nothing’이라 강조하고 싶다.
 
이러한 배경을 고려하여 정보보호 컨설팅의 향후 나아가야 할 방향은 다음과 같이 정리할까 한다. 여러가지 현실의 어려움을 무시하거나 외면하려는 것이 아니라, 인정할 것은 인정하되 현재 가능한 부분부터 개선하여 컨설팅의 수준을 높이는 제안이 되겠다. 먼저, 자동화할 수 있는 부분은 최대한 전환하여 효율을 높여야 할 것이다. 기존의 기술진단 중 상대적으로 단순하면서 반복적으로 행해지는 부분인 인프라 취약점 진단 영역은 최대한 도구(솔루션이 될 수 도 있겠다)를 사용하여 투입 M/M를 줄이고, 고도화된 기술 진단에 집중하여 다가오는 지능형 위협에 대응하자. 이는 SSR이 지향하는 방법으로, 현재 자사의 컨설팅의 경우 인프라 취약점 진단은 자동화 방식으로 고객사의 모든 인프라를 수량에 관계없이 전수진단하고 있으며, 상대적으로 모의해킹과 같은 고도화 진단에 역량을 집중하고 있다.
 
지난 7월에 열렸던 ‘2014 주요정보통신기반보호 워크숍’에서 정부기관에서 발표한 ‘정보통신기반보호 정책’에서도 취약점 분석/평가가 보안관리의 핵심이라 강조하였고, 더 이상 기존의 컴플라이언스와 같이 년 1~2회 진단으로는 부족하다는 내용을 발표하였다. 또한, 향후 상시 취약점진단으로 발전할 것이며, 곧 테스트베드를 구축하여 시행할 것이라는 안내를 포함했다.
 
이것은 무엇을 의미하는가? 관련 법령의 요구조건 및 컴플라이언스의 이행사항은 사실 최소한의 기준에 불과하다. 현업의 여러가지 애로사항 및 특수한 환경을 고려함에도 불구하고, 최소한 이만큼은 해야 한다고 법으로 강조하는 부분인데, 실제 위험은 기존의 컴플라이언스, 즉 최소한의 기준으로 더 이상 대응하기 어렵다는 것을 반증(反證)할 수 있을 것이다.
 
지금 2014년 하반기를 향해 가는 이 시점에서 보안사고는 더 이상 개인 및 부서의 책임이 될 수 없는 상황으로 커가고 있다. 조직의 존폐를 좌우하고, 범 국가적인 사고로 대두되는 만큼 기존의 방식대로 최소한의 조치만으로는 지속 가능한 비즈니스를 영위하는 것이 매우 어렵지 않겠나 하는 조심스러운 사견으로 본 칼럼을 마치고자 한다.
 
[글. ㈜에스에스알 기술연구소장(CTO) 황용온 상무]
 
<★정보보안 대표 미디어 데일리시큐!★>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★