처음 자가용을 살 때 돈이 많이 들어가기도 하고, 차에 대한 설렘도 있어서 고민을 많이 하게 된다. 시내에서 주로 타는지, 장거리 운전을 많이 하는지, 가족과 함께 놀러 갈 때 많이 타는지, 초기 비용은 어느 정도로 잡을지, 유지비는 얼마나 들어가는지 꼼꼼하게 따진다. 시간을 내서 자동차 매장을 몇 군데 들러 내가 염두에 두지 않은 다른 차들도 구경한다.
멋진 스포츠카가 있으면 운전석에 앉아 보기도 한다. 경험자의 추천도 받고, 소개 받은 영업맨을 불러서 (사실 살 수 있는 예산 범위는 빤하지만) 소형차부터 대형차까지 두루 얘기도 듣는다. 그렇더라도 내가 처음에 잡은 ‘요건’을 벗어나지 않으려고 노력한다.
다소 길게 소개한 자동차 구매할 때의 고민과 절차는 보안시스템을 구축할 때도 참고가 될 만하다. 보안시스템 구축시 가장 중요하고 먼저 해야 할 일은 우리의 요구사항을 ‘요구명세서’로 정리하는 것이다. 왜 시스템을 구축하려고 하는지(구축의 배경, 취지, 목적), 어떤 기능을 필요로 하는지, 그리고 운영환경이나 주요 고려사항을 적는다.
보통 보안시스템 구축의 목적은 ▲법적 규제 준수 ▲주요 보안취약점의 보완 ▲회사나 그룹의 정책 준수 등이 될 수 있다. 이것을 잘 정리해 놓으면 경영진에게 보고할 때나 다른 부서와 소통할 때 쓸모 있을 뿐 아니라, 향후 시스템을 구축하고 유지, 관리할 때에도 핵심 기준이 된다.
기능은 많이 쓰면 좋지만, 자동차만큼 보안시스템을 잘 알지 못한다면 회사 관점에서 필요한 기능을 10개~20개 정도 적는다. 그걸 갖고 내부에서 토론하다 보면 처음보다 훨씬 더 좋은 ‘기능명세서’가 된다. 시스템 구축의 취지나 목적은 명확한데 기능을 잘 모르겠으면, 보안업체에 기본적인 설명을 해 달라고 요청한다. 업체들은 사전 영업단계로서 기꺼이 지원한다. 발표와 질의, 응답을 통해 정보를 얻은 뒤 다시 기능명세서를 보완한다. 기능명세서에 특정 업체의 용어나 특수한 기능이 그대로 들어가지 않도록 조심한다.
‘기능명세서’에 ▲네트워크에서의 위치 ▲연동할 시스템 ▲사용자와 관리자의 접근경로 등 시스템 운영환경, 그리고 ▲성능과 안정성 ▲확장성 ▲보안성 등 비기능 요구사항을 추가한다. 예를 들어 24시간 365일 계속 작동 여부나 최대 대역폭, 응답속도와 같은 사항이다. 구체적인 문구를 쓰기 힘든 부분은 빈 칸으로 놓고 나중에 채워도 좋다. 거기에 우리가 꼭 고려해야 할 계약조건이나 유지보수 관련 사항을 추가하면 훌륭한 ‘요구명세서’가 된다.
요구명세서가 없는 상태에서 보안업체의 설명에만 의존하면 도입 목적을 달성하기 힘들다. (보안업체도 고객사가 뭘 원하는지 알지 못하니 괴롭다.) 계정관리시스템과 같이 공용계정 폐지, 개인계정 사용과 같은 계정관리정책을 수요자가 제대로 세우지 못하면 아예 무용지물인 시스템도 있다. 요구명세서가 있으면 한 보안제품이 우리 핵심 요구사항을 만족하지 못할 경우 어렵지 않게 다른 제품으로 바꿀 수 있다. 여러 제품 분류에서 우리가 원하는 제품을 찾아 볼 수 있고, 뛰어난 보안업체나 제품을 찾았을 경우 검증하기도 쉽다. 이번에 충족하지 못한 일부 기능은 다른 해결책을 모색할 수도 있다.
2단계에서는 이러한 ‘요구 명세서’에 적합한 보안시스템의 구축 방안을 수립한다. 크게 보면 상용제품의 도입을 통한 구축과 개발에 의한 구축이 있고, 개발에는 자체 개발, 외주 개발, 공개소스 활용 방법 등이 있다. 각 방안의 장단점이 있고, 각 회사의 역량과 환경, 구축하려는 보안시스템의 규모와 복잡성에 따라 다르므로 어떤 방안을 선택할지, 또는 몇 개 방안을 혼용할지 검토한다.
도입방식을 선택한 경우 3단계는 특정업체의 보안시스템을 도입하여 구축하는 단계다. 제안요청서를 보내기 전에 우리가 만든 요구명세서에 적합한 보안제품 분류를 찾아 보는 게 먼저다. 예를 들어 내부정보 유출방지를 위한 시스템을 보면, 개인정보보호(개인정보 검색 및 암호화), 문서보안(DRM, 사전에 정한 종류의 문서 암호화), 내부정보유출방지(DLP, 정해진 패턴의 문서 컨텐츠 모니터링 & 로깅) 시스템은 서로 다른 목적을 가진 시스템이지만, 기능상 겹치는 부분이 있다. PC보안 제품 역시 PC매체제어, 패치관리시스템(PMS), AD(Active Directory), 네트워크접근제어(NAC), IP 스캐너 등의 제품에 유사기능이 있다. PC에 에이전트가 많이 설치되면 PC 성능저하에 대한 구성원 불만이 크기 때문에 목적에 딱 맞는 제품 분류와 제품을 선정해야 한다.
우리의 모든 요구를 충족하는 보안제품은 찾기 어렵다. 충족하지 않는 부분은 정책의 조정, 기존 솔루션을 통한 보완, 담당자의 수동 관리, 임직원의 참여 등의 방법으로 대응해 나가야 한다. 그래도 보완할 수 없는 취약점이 남아 있다면 그것이 있다는 것을 알고 모니터링 하면서 추후 해결방안을 찾을 때까지 감수하는 수밖에 없다.
“이제 보안문제는 해결되는 거예요?”
보안시스템 예산을 승인 받을 때 정보보호최고책임자(CISO)가 많이 받는 질문이다. 보안시스템을 구축한 만큼만이라도 보안사고가 터지지 않는다면 얼마나 좋겠는가! 하지만 현실은 그렇지 않다는 점을 경영진에게 솔직히 답하도록 하자. 보안시스템 도입의 목표는 사고 가능성을 최소화 하고, 사고 났을 때 법적 책임을 덜며, 긴급한 대응을 통해 위기관리를 하는 것이다. 조선 숙종 때 나온 순오지(旬五志)에 "十人守之 不得察一賊"(십인수지 불득찰일적)이라는 구절이 있다고 한다. “열 사람이 지켜도 한 도둑을 살피지 못한다”는 뜻이다. IT범죄에도 동일하게 적용되는 말이다.
--comment--
첫 번째 댓글을 작성해 보세요.