2015.02.09

강은성의 Security Architect | 보안관제 100% 활용하기(2)

강은성 | CIO KR
보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다.

그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다.

우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다.

또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것도 검토해 볼 만하다.

정보보호시스템이 보안위협을 막는 데 적절하게 활용되고 있는지 의문이라는 점에 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO), 정보보안업체 임원들 할 것 없이 많은 분들이 공감한다. 많은 회사에서 보안관제 업체와 협의하여 정보보호시스템을 설치, 운영하는데, 정보보호시스템을 어디에 어떤 기능이 작동하도록 설치하고, 세부 규칙(Rule)을 어떻게 설정하느냐에 따라 보안공격에 제대로 대응할 수 있는지 여부가 결정된다. 이에 대한 업체의 역량과 역할을 점검해 볼 필요가 있다.

악성코드 대응에 관해서도 강조하고 싶다. 10년 전만 해도 안티바이러스 업체는 정보보호업체로 간주하지 않았을 정도로 악성코드가 단순하기도 했고, 악성코드를 활용하지 않는 다양한 보안공격 방법이 있었다. 하지만 이제는 악성코드를 사용하지 않는 보안공격은 거의 없다. 그만큼 보안관제에서도 악성코드 대응이 중요한 과제다. 보안관제 업체를 선택할 때 반드시 악성코드 대응 역량을 살펴봐야 한다.

보안관제를 운영하면서 짚어야 할 중요 사항 중의 하나는 발주회사와 보안관제 업체 사이의 협업 프로세스이다. 보안공격에 대응할 때 보안관제 업체는 자기 완결적인 조직이 아니다. 사전에 충분히 협의해 놓지 않은 중요한 의사 결정은 어차피 발주회사에서 내릴 수밖에 없다. 중요 자산에 대한 최종 책임이나 보안사고로 인한 법적 책임 역시 발주사에 있기 때문이다.

예를 들어 디도스(DDoS) 공격이 있을 경우 대응이 늦어지는 원인을 살펴 보면 디도스 공격인지 여부를 판단하는 데 시간이 걸려서인 경우가 종종 있다. 디도스 공격을 인지할 수 있는 지점으로는 회선제공업체(ISP)의 네트워크 장비, 데이터센터(IDC) 네트워크 장비, 그리고 발주회사의 네트워크 정비, 서버, 응용 프로그램이나 웹 서비스, 디도스 대응장비 등이 있는데, 이 중 디도스 대응장비만 운영하는 보안관제 업체 담당자가 디도스 공격의 징후를 인지한 후 그것이 디도스 공격이라고 판단하여 대응하는 데에는 시간이 걸릴 수밖에 없다. 디도스 대응을 하다가 잘못하면 웹 서비스가 영향을 받을 수 있다는 점도 관제업체로서는 부담이다. 디도스 공격 징후의 인지부터 대응에 이르는 시간을 많이 줄이려면 세부적인 프로세스 분석과 보안관제 업체와 발주사 사이의 긴밀한 협업이 있어야 한다.

보안관제를 운영할 때 월간 리뷰 시간을 갖는다. 매일 보내오던 리포트를 단순히 모아 놓은 두껍고 의미 없는 보고서를 보는 일을 두세 달 해 보면 그것이 시간과 종이의 낭비라는 걸 알게 된다. 우리 회사가 어떤 위험에 처해 있는지, 공격 트렌드 중 어떤 공격에 대비해서 어떤 일을 해야 할지 점검하는 시간이 되도록 운영하는 것이 바람직하다. IT 인프라의 보안취약점을 점검하는 시간이 되어도 좋다. 의례적인 시간이 되지 않도록 만들 필요가 있다.

그룹사의 경우 ‘자체 관제’도 한번쯤 검토해 볼 만하다. 몇 년 전까지 ‘외주 관제’를 썼다가 그룹 내 IT서비스업체에 보안관제 조직을 만들어 자체 관제를 하는 CISO 이야기를 들은 적이 있다. 무엇보다도 모니터링 인력의 이직이 줄어들어 안정적인 관제가 가능했고, 내부 정보 유출과 같은 분야에 대해서도 보안관제를 할 수 있어서 만족스럽다고 했다. 자체 정규 인력보다는 비용도 적게 든다. 다만 해당 관계사는 ‘잘 하는’ 보안관제 업체가 갖고 있는 역량을 확보해야 한다. 규모의 경제가 되는 그룹에서는 고려해 볼 만한 선택지다.

끝으로 보안관제 업체에 바라는 점이 있다. 무엇보다도 보안관제 모니터링 요원의 안정적 근무와 실력 향상에 관심을 기울여 주면 좋겠다. 실력 있는 분석 인력도 확보해 주기 바란다. 모니터링 요원과 분석 인력의 실력이 발주회사 보안에 미치는 영향은 지대하다. 이것이 약하면 보안관제 무용론까지 나온다. 몇 년 전부터 보안관제 업체 사이에 서로 경쟁하면서 각 업체마다 새로운 서비스를 개발하려고 노력하는 모습은 관제업체나 발주회사 관점에서 바람직한 일이다. 다만 대형 보안사고는 기본기 부족에서 터진다는 점도 간과하지 말았으면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr



2015.02.09

강은성의 Security Architect | 보안관제 100% 활용하기(2)

강은성 | CIO KR
보안관제 업체를 선정할 때 브랜드가 좀 있는 회사는 비싸고, 가격이 너무 싼 회사의 관제 품질은 미덥지 못한 것이 다수 발주회사의 고민일 것이다. 지난 칼럼에서 보안관제를 활용할 때 기업의 정보보호 대책이나 전략의 일부로서 위치시키고 자체 요구사항을 명확히 하는 것이 중요하다고 했는데, 업체 선정에도 그대로 적용된다. 정보보호시스템 운영과 보안 위험의 예방, 보안 사건ㆍ사고의 징후 모니터링, 발생 시 긴급대응 방안, 필요로 하는 정보 제공 등에서 발주사가 중요하게 생각하는 부분을 정리한다. 그것이 제안요청서(RFP)와 업체 선정 기준의 근간이 되고, 이후 서비스수준협약(SLA), 월간 리뷰, 운영 개선의 주요 기준이 된다.

그 밖에도 업체 선정 시 검토할 만한 사항을 몇 가지 적어 보면 다음과 같다.

우선 보안관제 업체 기술력의 핵심은 분석 역량이므로 가능하면 제안 발표 때 담당 분석(CERT) 인력을 참석하게 하여 질의ㆍ응답을 해 본다. 분석 역량 못지 않게 중요한 것은 모니터링 요원의 역량과 프로세스이다. 집중력이 떨어지고 주위에 도와 줄 사람도 거의 없는 새벽 2, 3시에 한두 명의 모니터링 요원의 판단에 대형 보안사고의 예방 여부가 걸려 있을 수도 있으니 말이다. 하지만 일반적으로 모니터링 요원의 역량은 충분하지 못한 게 시장과 업계의 현실이다.

또한 보안관제 업체의 공통적인 고민이기도 모니터링 요원의 잦은 이직(교체)은 담당자 업무 미숙으로 사고 가능성을 높일 수 있기 때문에 발주사 입장에서 보면 상당한 위험 요인이다. 관제 요원의 안정적 근무를 확보하는 일, 모니터링 요원의 교체와 역량의 문제를 프로세스와 솔루션으로 보완하는 일 또한 보안관제 회사의 실력이기도 하다. 따라서 징후를 발견했을 때부터 긴급 조치를 취하기까지의 업무 및 협업 프로세스를 몇 가지 보안 공격을 가정하여 질의ㆍ응답을 하면 업체를 판단하는 데 도움이 된다. 관제업무의 기본이 되는 일이다. 원격관제의 경우 보안관제 업체의 보안운영센터를 방문하여 질의ㆍ응답을 하는 것도 검토해 볼 만하다.

정보보호시스템이 보안위협을 막는 데 적절하게 활용되고 있는지 의문이라는 점에 정보보호최고책임자(CISO)나 개인정보보호책임자(CPO), 정보보안업체 임원들 할 것 없이 많은 분들이 공감한다. 많은 회사에서 보안관제 업체와 협의하여 정보보호시스템을 설치, 운영하는데, 정보보호시스템을 어디에 어떤 기능이 작동하도록 설치하고, 세부 규칙(Rule)을 어떻게 설정하느냐에 따라 보안공격에 제대로 대응할 수 있는지 여부가 결정된다. 이에 대한 업체의 역량과 역할을 점검해 볼 필요가 있다.

악성코드 대응에 관해서도 강조하고 싶다. 10년 전만 해도 안티바이러스 업체는 정보보호업체로 간주하지 않았을 정도로 악성코드가 단순하기도 했고, 악성코드를 활용하지 않는 다양한 보안공격 방법이 있었다. 하지만 이제는 악성코드를 사용하지 않는 보안공격은 거의 없다. 그만큼 보안관제에서도 악성코드 대응이 중요한 과제다. 보안관제 업체를 선택할 때 반드시 악성코드 대응 역량을 살펴봐야 한다.

보안관제를 운영하면서 짚어야 할 중요 사항 중의 하나는 발주회사와 보안관제 업체 사이의 협업 프로세스이다. 보안공격에 대응할 때 보안관제 업체는 자기 완결적인 조직이 아니다. 사전에 충분히 협의해 놓지 않은 중요한 의사 결정은 어차피 발주회사에서 내릴 수밖에 없다. 중요 자산에 대한 최종 책임이나 보안사고로 인한 법적 책임 역시 발주사에 있기 때문이다.

예를 들어 디도스(DDoS) 공격이 있을 경우 대응이 늦어지는 원인을 살펴 보면 디도스 공격인지 여부를 판단하는 데 시간이 걸려서인 경우가 종종 있다. 디도스 공격을 인지할 수 있는 지점으로는 회선제공업체(ISP)의 네트워크 장비, 데이터센터(IDC) 네트워크 장비, 그리고 발주회사의 네트워크 정비, 서버, 응용 프로그램이나 웹 서비스, 디도스 대응장비 등이 있는데, 이 중 디도스 대응장비만 운영하는 보안관제 업체 담당자가 디도스 공격의 징후를 인지한 후 그것이 디도스 공격이라고 판단하여 대응하는 데에는 시간이 걸릴 수밖에 없다. 디도스 대응을 하다가 잘못하면 웹 서비스가 영향을 받을 수 있다는 점도 관제업체로서는 부담이다. 디도스 공격 징후의 인지부터 대응에 이르는 시간을 많이 줄이려면 세부적인 프로세스 분석과 보안관제 업체와 발주사 사이의 긴밀한 협업이 있어야 한다.

보안관제를 운영할 때 월간 리뷰 시간을 갖는다. 매일 보내오던 리포트를 단순히 모아 놓은 두껍고 의미 없는 보고서를 보는 일을 두세 달 해 보면 그것이 시간과 종이의 낭비라는 걸 알게 된다. 우리 회사가 어떤 위험에 처해 있는지, 공격 트렌드 중 어떤 공격에 대비해서 어떤 일을 해야 할지 점검하는 시간이 되도록 운영하는 것이 바람직하다. IT 인프라의 보안취약점을 점검하는 시간이 되어도 좋다. 의례적인 시간이 되지 않도록 만들 필요가 있다.

그룹사의 경우 ‘자체 관제’도 한번쯤 검토해 볼 만하다. 몇 년 전까지 ‘외주 관제’를 썼다가 그룹 내 IT서비스업체에 보안관제 조직을 만들어 자체 관제를 하는 CISO 이야기를 들은 적이 있다. 무엇보다도 모니터링 인력의 이직이 줄어들어 안정적인 관제가 가능했고, 내부 정보 유출과 같은 분야에 대해서도 보안관제를 할 수 있어서 만족스럽다고 했다. 자체 정규 인력보다는 비용도 적게 든다. 다만 해당 관계사는 ‘잘 하는’ 보안관제 업체가 갖고 있는 역량을 확보해야 한다. 규모의 경제가 되는 그룹에서는 고려해 볼 만한 선택지다.

끝으로 보안관제 업체에 바라는 점이 있다. 무엇보다도 보안관제 모니터링 요원의 안정적 근무와 실력 향상에 관심을 기울여 주면 좋겠다. 실력 있는 분석 인력도 확보해 주기 바란다. 모니터링 요원과 분석 인력의 실력이 발주회사 보안에 미치는 영향은 지대하다. 이것이 약하면 보안관제 무용론까지 나온다. 몇 년 전부터 보안관제 업체 사이에 서로 경쟁하면서 각 업체마다 새로운 서비스를 개발하려고 노력하는 모습은 관제업체나 발주회사 관점에서 바람직한 일이다. 다만 대형 보안사고는 기본기 부족에서 터진다는 점도 간과하지 말았으면 좋겠다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

X