정보 보안은 개인의 일상적인 생활과 기업에서의 업무에 직접 활용되는 실질적인 요소로 현재 우리 삶속에 광범위하게 적용되고 있다. 그러나, 정보 보안이 이렇게 일상적인 문제로 부각되기 전, ‘보안’이라는 개념은 보통 무겁고 일부 특정 조직에 한정되는 분야로 간주되었다.
흔히 보안하면 떠오르는 이미지가 있다. 국가 안보와 관련된 첩보 업무나 군 기밀을 취급하는 국방 기관이다. 기업 내에서는 인사나 재무, 최고 경영층의 고급 정보를 취급하는 비서실 같은 곳이 이에 해당한다. 이들의 공통점은 기밀에 해당하는 문서나 정보를 취급한다는 점이고, 이런 곳에서 정보 보안은 ‘철저함’ 그 자체다. 0.1%의 실수나 오차도 치명적인 문제를 불러일으킨다.
그러나, 오늘날 사회적인 문제로 부각된 정보 보안은 이런 특정 업무라기 보다 더 일반성을 띠고 있다. 누구나가 사용하는 인터넷에서의 보안 이슈이기 때문이다.
보안에 대한 관점 (1) : 100% 완벽한 보안이 가능한가?
정보 보안이 산업으로 형성되던 1990년 대 중반, 보안과 관련된 업계나 학계, 관계 기관이 모였던 적이 있다. 그런데, 서로가 바라 보는 시각이 너무나도 달라서 대화 시작부터 난항을 겪었던 것으로 기억한다. 특수 기관과 사업을 하는 방산업체들은 정보 공유나 협의 자체에 대해 경계심을 늦추지 않았다. 워낙 기밀성이 높은 프로젝트에 익숙해 있기 때문이다. 반면, 인터넷 상에서 전자상거래 보안이나 일반 PC 사용자의 문제를 해결해 주는 바이러스 백신 업체는 일반 사용자를 상대로 하다 보니 오픈성을 띨 수 밖에 없다.
미국에서도 초기에 워싱턴DC 근처에서 국가 기밀에 관련된 업무를 하던 기업들이 보안 분야에서 앞서 나갔다. 그러나, 그런 기업들이 민간 분야로 확대하려는 시도는 별로 성공한 예가 없다. 그만큼 특수 기관에서 바라보는 보안은 한정적인 의미가 강했기 때문이다. 그래서, 보통 정보보안 산업은 공공기관 (Public Sector)와 민수산업 (Enterprise or Private Sector)를 구분해서 전개 되었다.
이러한 차이가 있다 보니 보안의 목표에 대해서도 격차가 있었다. 폐쇄적 조직에서 기밀정보를 처리하는 데 있어서 완벽하지 않은 것은 용인되기 어려웠다. 그러나, 인터넷과 PC를 사용하는 일반 개인과 기업은 근본적으로 '통제되지 않는' 성격을 띨 수 밖에 없다. 검증되지 않은 PC, 시스템이 혼재되어 있었고, 교육받지 않은 교육자가 태반이었다. 이런 상황에서 100% 완벽한 보안은 불가능한 것이다.
이와 같이 서로 다른 인식을 가지고 있다 보니 보안 수준에 대한 공감대가 이루어지기 어려웠다. 1990년 중반에 “100% 완벽한 보안이 어렵다”고 하면 전문가 취급을 받지 못했다. 최고 관리층부터 ‘보안은 100% 완벽한 것’이라는 인식이 확고하게 자리잡고 있었기 때문이다. 실무자들은 100% 완벽한 보안이 어렵다는 점을 알고 있었지만, 차마 공개적으로 얘기하기는 어려웠던 현실이었다.
그 후 10년이 지난 지금에 이르러서는 절대 보안이 불가능하다는 인식이 보편화되었다. 통제되지 않는 요소가 워낙 많은 환경에 처해 있기 때문이다. 단정적으로 말하면 100% 완벽한 보안은 불가능하다. 어떻게 오전 9시의 보안과 10시의 보안이 같을 수가 있는가? 설사 9시 출근 시간에 맞추어 어떤 기업의 완벽한 보안 대책이 적용되었다고 하자. 9시에서 10시 사이에는 엄청나게 많은 일이 일어날 수 있다. 아니, 일분 일초의 상황이 달라지는 것이 보안 환경이다.
네트워크 장비의 설정이 바뀔 수도 있고, 출장에서 막 돌아온 사원이 외부에서 감염된 노트북 컴퓨터를 사내 네트워크에 연결할 수도 있다. 어떤 직원이 무심코 메일을 처리하다가 악성코드가 네트워크로 잠입할 수도 있다. 기밀 내용이 담긴 문서가 인가되지 않은 직원에게 일부 알려질 수도 있다. 외부에서 스파이웨어가 들어오는데 보안 장비가 인지하지 못할 수도 있다. 이 외에도 의도적이든 그렇지 않든 간에 보안에는 수많은 경우의 수가 존재한다. 그나마 위에 열거한 변수들도 9시의 보안 설정이 완벽하다는 가정 하에서 나온 것이다.
“100% 완벽한 보안은 불가능하다.” 여기에 대한 정확한 인식을 가지고 대처해야 효과적인 대책이 나온다.바이러스가 발견되었다고 해서 보안 담당자에게 시말서를 쓰게 하는 상사는 이 개념을 모르고 있기 때문이다. 문제는 완벽에 가깝도록 정책을 만들고 그에 맞는 보안의 실행(practice)을 구축해야 한다. 또한 사고가 발생하더라도 조치를 통해 피해를 극소화하는 것이 합리적인 대책이다.
이러한 노력 자체가 정보 보안을 하는 이유다. 이런 노력의 과정을 설명하는 것이 다음 관점이다.
보안에 대한 관점 (2) : 보안은 최종 목표가 아니라 여정이다
"인생은 최종 목표가 아니라 여정이다 (Life is a journey, not a destination)" 라는 어구가 있다. 여기에서 인생(life)을 보안(security)로 바꿀 경우, 즉 '보안은 최종 목표가 아니라 여정이다' 라는 표현은 보안의 특성을 가장 적절히 드러낸다. 초창기부터 정보 보안 전문가들이 즐겨 사용했던 메시지다.
100% 보안이 불가능한 이유는 계속해서 취약점이 발견되고, 환경이 바뀌기 때문이다. 따라서, 끊임없이 보안을 갖추기 위해 노력하는 과정이 중요하다. 백신을 설치하더라도 업데이트를 하지 않으면 무용지물이다. IPS(Intrusion Prevention System)도 시그너처를 업데이트하지 않으면 종이 호랑에 지나지 않는다. DDoS 공격, 온라인 게임 해킹, 웹 공격. 끊임없는 유지보수와 업데이트가 필수가 생명과 같은 요소다. 조직이 바뀌어 업무 환경이 바뀌면 그에 맞추어 보안 정책을 새로 설정하고 그에 맞게 실행 대책이 수립되어야 한다. 끊임없는 유지 보수와 관리 과정이 소위 ‘여정(journey)’이라는 단어가 적절한 표현이 아닐까?
정보 보안을 생명주기(life cycle)를 통해 보다 자세히 알아보자.
첫째 단계가 취약점을 발견해서 정책을 수립하는 것이고, 다음 단계는 위협을 방지하기 위한 적절한 솔루션을 구축하는 것이다. 솔루션이 있다 하더라도 사용자가 적절한 규칙에 따르지 않으면 효과가 적다. 기업 내의 IT 관련자는 물론 일반 IT 사용자에 이르기까지 정책에 대한 교육과 실행 방침을 설명해야 하며, 마지막으로 구축된 정책과 실행은 지속적으로 업데이트되고 유지 보수 되어야 한다.
문제는 환경에 변화가 생기거나, 새로운 취약점과 위협이 발생한다는 점이다. 따라서, 정기적으로 혹은 필요할 경우 이 생명주기에 따라 지속적으로 점검과 대책이 반복되어야 한다. 이는 정보 보안을 100%에 가깝도록 유지하기 위한 노력의 과정이다. 그렇기에 정보 보안은 일시적인 패러다임이 아닌 영원한 숙제라고 할 수 있다. 그런 점에서 '여정(journey)'이라는 표현은 너무나도 적절하지 아니한가?
/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기