카드사 고객정보 유출 사건으로 우리 사회가 떠들썩하다. 아마 각 회사의 보안책임자(CISO)들이나 개인정보보호 책임자(CPO)들은 최고경영자(CEO)에게 이 사건의 개요와 원인, 대책을 포함한 보고서를 썼을 것이다
외주개발을 포함하여 외주 관리를 담당하는 현업을 통해 보안 현황과 문제점을 파악하면서 우리 회사의 외주관리도 보안상 취약한 부분이 있었다는 것도 알게 되고, 실제로 이걸 보안 관점에서 잘 관리하려면 현업의 관행이 바뀌고 예산이 투자되어야 하기 때문에 쉽지 않겠다는 생각 역시 많이들 했을 것 같다. 뿐만 아니라 외주 관리 이외에 더 시급하게 투자해야 할 보안 문제도 많은데, 하는 마음 한 곳의 찜찜함 역시 가지게 되시지 않았을까 싶다. 느낌 아니까.
보통 보안 컨설팅을 받으면 두꺼운 컨설팅 결과물 가운데 회사의 보안 지수가 있는 장표를 받는다. 거기에는 우리 회사의 보안 수준이 몇 점이고, 각 영역별로는 몇 점이라는 게 나온다. (대개 영역별 보안 지수의 평균이 회사 전체의 보안 지수가 된다) 또한 이 지수가 매년 얼마씩 올라가는 게 바람직하다는 설명도 듣는다.
보안 수준에 관한 정량적 지표가 필요한 CISO들에게 이 숫자는 반갑기는 하나 이걸 어떤 의미로 받아들여야 할지 고민이 된다. 여기 나온 각 영역이 실제 회사의 보안과는 어떻게 연결되는 건지, 보안 지수를 높이면 실제 보안 수준이 올라가는 건지 확신이 서지 않는다. 컨설팅업체가 바뀌면서 영역이나 지표가 바뀌고 보안 지수가 변경되면 난감해진다.
한 조직의 보안 수준은 보안의 가장 약한 고리에 의해 결정된다는 것이 보안의 평범한 진리다. 아무리 많은 영역의 보안수준이 높더라도 한 영역의 보안수준이 떨어진다면 그것을 통해 보안사고가 발생하기 때문이다. 튼튼한 성문과 강력한 군사력의 저항에도 불구하고 쪽문이 열리면서 성이 함락되는 삼국지의 이야기와 같은 이치다.
얼마 전 보안 강화를 위해 PC 지원 부서의 계약직 인력을 모두 정직원으로 바꿨다는 말씀을 한 CISO(겸 CPO)에게서 들었다. PC 지원 인력이 일반 직원들의 PC뿐 아니라 보안팀, 심지어 임원과 CEO의 PC까지 다 관리하는데, 막강한 권한을 가진 인력이 계약직이라는 것이 보안에 큰 구멍이라는 생각을 하게 되었다는 것이다. 그 말에 공감했다. 나도 그런 적이 있다.
보안업체에서 보안대응센터장으로 일하면서 보니 24시간 3교대로 근무하며 글로벌 악성코드 모니터링, 악성코드 신고 접수 및 초기 대응 등 중요한 역할을 하는 보안대응 인력이 계약직으로 운영되고 있었다. 특히 야간에는 이 인력들이 실질적인 보안책임자인데 말이다. 쉽지는 않았지만 결국 보안대응 T/O를 모두 정규직으로 만들어 기존 인력을 포함해 그 조직을 다시 구성했다. 당시 회사 규모가 크지는 않았지만 보안이 중요했기 때문에 경영진에서도 이를 수용했던 것 같다.
사실 금융산업은 그 어느 산업보다 보안에 투자를 많이 한다. 그런데도 이번 사고가 터진 것은 보안 장비와 인력 등 고객정보 보호에 많은 투자를 함으로써 전반적으로 높은 보안 수준을 확보했음에도 불구하고 외주개발 관리라는 약한 고리가 있었기 때문이다.
마찬가지로 CEO가 자신의 이메일을 비서에게 관리하도록 한다면 전사적으로 철통 같이 지키고 있는 회사 핵심 기밀의 보안 수준은 비서의 보안 수준이 되고, 수천 대의 서버와 네트워크가 24시간 돌아가고 수천 만 고객의 개인정보가 저장되어 있는 IDC의 보안 수준은 야간에 일하는 시스템 관리 외주인력의 보안 수준이 된다. 이와 같이 겉에 잘 드러나지는 않지만 보안 수준이 크게 낮은 영역을 찾아 내 보완하는 것이 보안을 실질적으로 강화하는 좋은 방법이다.
몇 가지 예를 들어 보면 다음과 같다.
(1) 무엇보다도 먼저 우리 회사에서 꼭 지켜야 할 중요 자산이 뭔지 정의한다. 이건 사업부서나 개발부서의 장, 또는 CEO에게 확인 받는 게 좋다. 그래야 현업에서 보안에 대해 좀더 고민하게 된다.
(2) 회사에서 그 중요 자산에 대해 권한이 가장 많은 인물 5명을 찾아 본다. 예를 들어 DB관리자나 서버 관리자, 개인정보 DB에 접근할 수 있는 개발자 등이 될 수 있을 것이다.
(3) 보안팀 인력들에게 우리 회사에서 가장 큰 보안 취약점 3개를 써 보라고 한다. 이건 현업이 잘 알 수도 있으니 개발, 운영, 인사, 기획, 재무 등 현업 담당자들에게 물어봐도 좋겠다. 보안팀 내에서 브레인스토밍을 하는 것도 한 방법이다.
(4) 자신이 내부 정보 유출을 한다면 어떻게 할 건지 써 보도록 한다. 도입한 보안솔루션의 보안 정책 허점을 찾아 내는 데 도움이 된다.
(5) 최근 다른 회사에서 발생한 심각한 사고 사례를 분석하여 우리 회사는 근본적인 대책이 서 있는지 점검한다.
(6) 모바일, APT, 클라우드 등 주요 트렌드에 대한 회사의 보안체계를 살펴 본다.
이 외에도 그 동안 보안책임자들이 보안 현장에서 해 오셨던 다양한 노하우를 공유할 수 있다면 각 기업의 보안 수준, 나아가 우리 사회의 보안 수준을 높이는 데 도움이 될 것 같다. 한 가지 덧붙이자면 어떤 중요한 보안사고가 터지면 순수하게 CISO나 CPO 관점에서 논의하여 실질적인 대책을 도출하는 소규모 자리가 많이 생기면 좋겠다. 그렇게 한 가지씩이라도 해결해 나가야 보안투자를 많이 하고도 사고가 터지는 악순환을 조금씩 줄여 나갈 수 있지 않을까 싶다.
--comment--
첫 번째 댓글을 작성해 보세요.