[김홍선의 보안이야기]위협, 포트폴리오 관리 필요하다


정보보안의 범위(Scope) I : 통합적 위협 관리 (UTM)

위협이 조직적이고 목적이 뚜렷한 형태로 전개됨에 따라 위협 스펙트럼이 다양해졌음은 3회에 걸쳐서 설명한 바 있다(그림). 이러한 위협의 변화에 맞추기 위해서는 우리가 다루어야 할 정보 보안의 범위도 새로 설정되어야 한다.

무엇보다도 전방위적으로 전개되는 위협에 대응하기 위해 제품 관점이 아닌 위협 관점으로 우리의 시각을 바꾸어야 한다. 지금까지 많은 정보 보안 제품에 대해서, 그 제품의 기본 개념이라는 테두리 안에서 어떻게 선택해서 운용할까에 초점을 맞추어 왔다. 이를테면, 백신을 통해 PC가 바이러스에 감염되는 것을 방지하고, 네트워크 방화벽을 통해 외부에서 내부로 접근하는 행위를 통제하고, PKI로 사용자가 웹 사이트와 통신하는 구간에서 인증과 신뢰성을 보장하는 형태다.

벤더(Vendor)가 이끌어가던 IT 산업

10여 년 전부터 얼마 전까지 벤더(vendor)들은 제품을 만들어내는 것은 물론 신기술의 개념과 고객이 얻을 수 있는 혜택(benefit)을 전파하는 역할까지 담당해왔다. IT 분야에서는 새로운 패러다임의 기술이 계속 나오기 때문에 이는 매우 당연한 일이었다. IT 산업계의 리더들의 목소리에 귀를 기울이는 이유는 신기술의 적용을 통해 자신의 업무 환경의 혁신, 즉 생산성의 향상과 비용 절감의 효과를 얻기 위함이다.

IT 관련 컨퍼런스에 가면 유명 벤더 CEO들의 기조연설에 수많은 인파로 꽉 차는 광경을 목격할 수 있다. 이런 자리에서 벤더는 이슈를 선점하는 마케팅 효과와 더불어 시장을 지배하는 리더십을 얻을 수 있다. 새벽부터 모여드는 청중들은 새로운 소식을 접해서 자신들의 문제를 해결할 지혜를 구할 수 있다. 혹은 시대적 추세에 뒤쳐지는 게 아닌가 하는 두려움에서도 어쩔 수 없이 끌려온다.

기술의 급격한 발전과 치열한 경쟁의 결과 소멸되는 기술도 많이 발생하게 되었다. 혹은 다른 제품과 기술에 흡수되는 M&A도 수시로 진행된다. 어쨌든 IT 리더는 산업과 역사를 이끈다는 자부심에 사기충천해 있었다. 자신들의 기술로 주도권을 잡기 위해 기능과 성능의 경쟁은 격렬했다.

정보 보안도 예외는 아니었다. 1995년 전후로 태동된 정보 보안 산업은 새천년인 2000년을 전후해서 새로운 기술과 제품이 봇물처럼 쏟아져 나왔다. 특히 메인프레임과 같은 구형 컴퓨터의 문제로 불거진 Y2K 문제가 별탈 없이 마무리되면서 인터넷을 기반으로 한 E-비즈니스, EC(전자상거래)는 시대적 화두로 떠올랐다. 클릭(Click)과 굴뚝 산업으로 상징되는 신흥 IT 산업과 전통 산업을 비교하는 책들도 베스트셀러가 되었다. IT에 대한 고조된 관심은 정보 보안 산업에도 큰 영향을 주었다.

인터넷과 태생을 같이 하는 정보 보안

정보 보안은 인터넷 기술과 태생적 맥을 같이 하기 때문에, 모든 형태의 E-비즈니스와 전자상거래, IT 정책에 있어서 핵심이었다. 모든 주제 발표에서 정보 보안은 약방의 감초처럼 빠지지 않는 주제였다. 수많은 정보 보안 벤처 기업이 탄생했고, 많은 IT 인력들이 정보 보안으로 뛰어들었다.

각 시장의 리더가 아직 결정되지 않은 상태에서는 경쟁, 특히 마케팅 측면의 주도권을 잡기 위한 싸움은 치열할 수밖에 없다. 새로운 기능의 구현, 성능의 향상, 그리고 새로운 사업 모델로 불이 붙었다. 창투사(Venture Capital)의 투자도 연이었고 전시회와 세미나는 벤더 간의 각축장이었다. 심지어는 IT 버블 덕택에 다른 아이디어로 투자를 받은 기업들도, 수익 모델을 찾다가 정보 보안으로 사업을 전환한 기업도 있다. 티핑포인트(TippingPoint) 같은 회사가 이런 변신으로 성공한 사례다.

그러나 그로부터 10년이 가까이 흘러온 현 시점에서도 벤더의 역할이 그러할까? 국내에서 전시회를 주관하는 기관에서 아직도 옛 시절을 생각하면서 보안 전시회를 기획하고 찾아온다. 물론 정보 보안은 10년이 넘도록 관심을 가지는 주제다. 아마 10-20년 후에도 정보 보안에 대한 연구와 세미나는 그치지 않을 것이다. 그러나, 청중들의 관심사는 과거와 현재가 판이하게 다르다.

일단 정보 보안의 주요 개념들은 이미 시장에서 성숙했다. 정보 보안의 대표적인 일상제품(commodity)인 바이러스 백신(AV, Anti-Virus)과 방화벽(Firewall)은 일반인들도 거의 다 안다. 영화에서도 용어가 심심찮게 등장한다.

여기에 포함된 보안 기술들이 제품의 형태로 형성된 것이 90년대 중반 무렵이다. 일반인의 인식이 아직 부족했던 90년대 후반에는 이 제품의 정의가 무엇인지, 왜 사용해야 하는지 설명하고 다녀야 했다. 그러나, 지금 개인이나 기업을 막론하고 이 제품을 반드시 설치해야 하는지를 묻는 사람은 거의 없다.

일상제품(Commodity)이 되면 주요 시장 리더들도 결정이 된다. 어느 회사 하면 어떤 제품이 떠오르는 브랜드 인지도도 사람들의 머리 속에 강하게 인식된다. 이런 상황에서 자신의 회사와 제품의 기능을 알리기 위한 전시회는 큰 의미가 없다.

그럼에도 보안에 대한 관심은 줄어들지 않는다. 주요 초점은 내가 보유하고 있는, 혹은 구할 수 있는 제품들로 입체적인 위협에 대응할 수 있느냐 하는 거다. 위협은 급증했고, 조직적인 해커의 공격 규모가 커졌다. 한편 IT가 업무에 더욱 깊숙하게 자리잡으면서, 사람들의 실수나 부주의로 인한 정보 유출과 같은 새로운 형태의 위협도 무시할 수 없을 정도로 많이 발생한다. 따라서, 이런 고의적(intentional)이거나 부주의(inadvertent)에 의한 위협을 종합적으로 바라보는 시각이 필요하다.

제품 아닌 위협의 관점에서 보안을 바라보아야

그런 점에서 이제는 제품 관점이 아닌 위협의 관점에서 자신의 IT 환경을 바라볼 필요가 있다. 한 마디로 초점을 바꾸어야 한다. 나의 PC에 설치된 백신 제품이 PC로 들어오는 악성코드를 차단한다는 단편적 사고에서 벗어나야 한다. 내가 IT를 사용하면서 거쳐야 하는 과정에서 위협이 되는 전반적 요소를 조명해야 한다.

업무적으로는 내가 외부와 커뮤니케이션하는 상황, 출장 시에 노트북으로 무선랜에 접속하는 장면, 외부 메일에 대한 주의 등이 떠오른다. IT 관리자는 네트워크, 웹, PC, 메일, USB 매체, 오프라인 접촉 등 전반적인 위협 포트폴리오를 구성해야 한다. 단순히 어떤 보안 제품을 선택하는 게 보안 관리자의 임무가 아니다.

개인적으로는 심한 이슈가 더 많다. 예전처럼 웹 사이트를 검색하고, 인터넷 뱅킹을 하고, 때로는 온라인 게임을 하는 과정에서 나도 모르게 악성코드, 피싱, 해킹을 당하게 된다. 내 손이 가는 모든 IT 자원은 위협의 대상으로 인식해야 한다. 우리가 위협을 종합적으로 보는 시각을 가져야 하는 이유가 여기에 있다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스