2011.10.10

칼럼 | 물 샐 틈 없는 보안은 가능한가?

정철환 | CIO KR
아내를 살해했다는 누명을 쓴 앤디 듀프레인은 20년 가까운 수감생활 끝에 자기 감방벽에 구멍을 뚫고 탈옥에 성공한다. 감방 벽에 구멍을 뚫는 작업에는 오랜 시간이 소요되었을 것이지만 조금씩 흙을 밖으로 가져와 버리고 구멍은 커다란 포스터로 가려놓아 발각되지 않고 탈옥에 성공한 것이다. 영화 '쇼생크 탈출'의 한 장면이다. 주인공이 수감되었던 교도소는 흉악범을 수용하는 최고 경비 수준의 교도소이며 간수들도 냉혹하기만 했다. 하지만 주인공은 교도소장과 간수의 신임을 얻었고 결국 탈옥에 성공한다.

보안의 핵심 요소로 꼽히는 세가지가 있다. 탐지(detect), 지연(delay), 대응(response)이다. 이 세가지 중 한가지라도 제 역할을 하지 못하면 보안은 제 기능을 할 수 없다. 영화에서 주인공이 탈옥에 성공한 것은 탐지에 실패했기 때문이다. 제아무리 막강 보안시스템이라고 해도 충분한 시간이 주어진다면 뚫을 수 있기 때문이다.

반면 금은방에 도둑이 침입하여 경보가 울리고 경비업체가 출동했으나 이미 도둑은 달아난 뒤라면 지연 또는 대응이 실패한 것이라 할 수 있다. 정보시스템의 보안도 위 세가지 조건에서 벗어나지 않는다.

외부에서 불법적인 침입 시도가 있을 경우 이를 탐지할 수 있어야 하고 또한 쉽게 침입하지 못하도록 다양한 보안 체계를 구성하고 있어야 한다. 그리고 침입 시도에 대해 즉각적으로 대응하는 체계를 갖추어야 한다. 요즘은 보안 솔루션 측면에서 외부로부터의 보안은 상당한 수준에 이르렀으며 기업들도 요구되는 수준의 시스템을 대부분 갖추고 있다.

하지만 최근 금융권의 보안 사고 사례와 대형 포털의 정보유출 사례 등으로 보안의 중요성이 크게 부각되고 있다. 더구나 9월 30일부로 발효된 개인정보보호법으로 정보 보안에 대한 의무사항 적용대상이 크게 확대되었다. 이런 상황을 언론 등을 통해 접한 기업의 경영진이 보안에 대한 관심이 증대되는 것은 당연할 것이다. 그리고 기업의 정보시스템을 담당하고 있는 정보시스템 관리담당자들은 어느 때보다 정보 보안에 대한 염려가 높아지고 있다. 그렇다면 과연 물 샐 틈 없는 보안은 가능할까? 그리고 물 샐 틈 없는 보안을 추구하여야만 하는 것일까?

필자가 속해 있는 기업은 제조업이다. 따라서 정보 보안에 대한 관점이 금융권이나 인터넷 기업과는 다르다는 것을 인정한다. 기업이 속해 있는 산업 분야에 따라 다루고 있는 정보의 내용과 가치가 많은 차이가 있기 때문이다. 여기서 가치라고 하는 것은 외부에 유출됐을 때의 가치를 의미한다. 그렇기 때문에 기업의 보안시스템은 기업의 정보가치에 따라 그 수준이 결정되어야 한다. 보안 시스템 구성을 위한 직접적인 비용은 물론 업무 생산성 저하에 따른 간접적인 비용까지 고려하면 많은 비용이 소요되기 때문이다.

그러나 최근 일련의 보안사고는 외부 침입으로 인한 사고보다는 내부관련자의 정보유출 사고의 비중이 증가하는 추세다. 지금까지의 보안체계는 외부로부터의 침입을 막는 것에 중점을 두고 있다. 그리고 그런 측면에서 보안 시스템은 상당부분 성과를 거두었다. 그에 비해 내부 정보 유출에는 아직까지 큰 진전을 보고 있지 못하다. 가장 큰 이유는 앞서 이야기한 보안 체계의 3대 요소 중 탐지 측면에서 매우 어렵기 때문이다.

우리나라 옛 속담 중에 '믿는 도끼에 발등 찍힌다' 라는 말이 있다. 바로 믿기 때문에 탐지가 어려운 것이다. 영화 쇼생크 탈출의 주인공도 간수와 교도소장의 믿음으로 인해 자신의 탈주를 쉽게 숨길 수 있었다.

이런 상황이다 보니 자꾸 내부 정보보안에 대한 투자가 늘어난다. 필자가 근무하는 회사에서도 내부 정보보호를 위해 문서암호화(DRM) 시스템을 몇 년 전에 도입했다. 권한이 없는 경우 또는 정상적으로 인증을 받지 못한 경우에는 사내 문서가 열리지 않게 정책을 정했으며 암호 문서를 해제하는 권한은 팀장 및 일부 인원에게 제한적으로 허용하였다. 그러다 보니 현업 실무자는 업무에 불편을 겪는다.

경영진의 보안에 대한 의지가 확고할 경우에는 문제가 되지 않으나 이런 저런 이유로 의지가 약해지면 업무상의 비효율이 더 중요한 이슈가 된다. 그리고 암호화 해제 권한을 가진 사람이 점점 증가하게 되는 것이다. 물론 필자는 DRM의 중요한 효용가치는 내부자의 정보 유출 방지 측면보다는 노트북이나 USB메모리 분실 사고 시의 우발적인 정보 유출 방지에 더 큰 의미를 두고 있기 때문에 DRM의 도입을 적극적으로 찬성하는 입장이나 경영진이 애초에 내부정보 유출 방지를 위해 도입한 의미는 많이 퇴색하게 되는 것이다.

요즘은 DRM이외에 출력통제, 화면캡처 통제 등 기능이 점점 더 고도화 되어가고 있고 스마트폰을 통한 정보 유출까지도 통제하는 시스템이 등장하고 있다. 믿는 도끼에 발등이 찍히고 싶지 않다는 의미일 것이다.

하지만 보안은 취약고리(weakest link) 이론의 적용을 받는다. 즉, 다른 모든 측면이 문제가 없더라도 가장 취약한 부분이 뚫리면 전체가 무너지는 것이다. 그리고 그 취약고리는 바로 사람이다. IT시스템을 담당하는 입장에서 보안사고가 나면 CEO에게 무참히 깨질 수 밖에 없는데 현실은 IT로 어쩔 수 없는 대상인 사람이라는 점이 딜레마가 된다.

필자는 ‘완벽한 보안 시스템은 불가능하다’라고 생각한다. 오늘 회사에서 있었던 경영회의의 결과가 바로 다음날 경쟁사에 알려지는 것은 경쟁사가 도청을 하거나 시스템을 해킹하여 회의자료를 가져간 때문이 아니고 인간관계를 통해 저녁때 술 한잔 하면서 정보를 흘려 들었을 가능성이 휠씬 더 높다. 그런데 경영진은 IT부서에게 시스템 정보 보안이 허술하다며 대책을 수립하라고 지시하는 것이다.

오늘날 기업 정보의 대부분은 PC를 비롯한 정보시스템에 저장되고 네트워크를 통해 교류된다. 그러나 자동차 사고는 자동차가 일으키는 것이 아니라 운전자가 내는 것처럼 정보시스템에서 정보가 유출된다고 정보시스템 만을 탓할 수는 없는 노릇이다.

그래서 정보 보안이 어렵다. 특히 IT시스템을 담당하고 있는 입장에서는 더욱 더 어렵다. 아마도 물샐 틈 없는 보안체계의 구현이라는 것은 해결할 수 없는 딜레마를 고민하고 있는 것인지도 모른다.

어쩌면 완벽한 보안이란 정보를 빼내는데 필요한 노력 또는 부담하여야 할 위험성의 대가가 빼낸 정보의 가치보다 더 크게 느껴지도록 만드는 것이 아닐까? 오늘도 기업의 정보 유출을 막기 위한 IT부서의 고민은 계속된다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. ciokr@idg.co.kr
2011.10.10

칼럼 | 물 샐 틈 없는 보안은 가능한가?

정철환 | CIO KR
아내를 살해했다는 누명을 쓴 앤디 듀프레인은 20년 가까운 수감생활 끝에 자기 감방벽에 구멍을 뚫고 탈옥에 성공한다. 감방 벽에 구멍을 뚫는 작업에는 오랜 시간이 소요되었을 것이지만 조금씩 흙을 밖으로 가져와 버리고 구멍은 커다란 포스터로 가려놓아 발각되지 않고 탈옥에 성공한 것이다. 영화 '쇼생크 탈출'의 한 장면이다. 주인공이 수감되었던 교도소는 흉악범을 수용하는 최고 경비 수준의 교도소이며 간수들도 냉혹하기만 했다. 하지만 주인공은 교도소장과 간수의 신임을 얻었고 결국 탈옥에 성공한다.

보안의 핵심 요소로 꼽히는 세가지가 있다. 탐지(detect), 지연(delay), 대응(response)이다. 이 세가지 중 한가지라도 제 역할을 하지 못하면 보안은 제 기능을 할 수 없다. 영화에서 주인공이 탈옥에 성공한 것은 탐지에 실패했기 때문이다. 제아무리 막강 보안시스템이라고 해도 충분한 시간이 주어진다면 뚫을 수 있기 때문이다.

반면 금은방에 도둑이 침입하여 경보가 울리고 경비업체가 출동했으나 이미 도둑은 달아난 뒤라면 지연 또는 대응이 실패한 것이라 할 수 있다. 정보시스템의 보안도 위 세가지 조건에서 벗어나지 않는다.

외부에서 불법적인 침입 시도가 있을 경우 이를 탐지할 수 있어야 하고 또한 쉽게 침입하지 못하도록 다양한 보안 체계를 구성하고 있어야 한다. 그리고 침입 시도에 대해 즉각적으로 대응하는 체계를 갖추어야 한다. 요즘은 보안 솔루션 측면에서 외부로부터의 보안은 상당한 수준에 이르렀으며 기업들도 요구되는 수준의 시스템을 대부분 갖추고 있다.

하지만 최근 금융권의 보안 사고 사례와 대형 포털의 정보유출 사례 등으로 보안의 중요성이 크게 부각되고 있다. 더구나 9월 30일부로 발효된 개인정보보호법으로 정보 보안에 대한 의무사항 적용대상이 크게 확대되었다. 이런 상황을 언론 등을 통해 접한 기업의 경영진이 보안에 대한 관심이 증대되는 것은 당연할 것이다. 그리고 기업의 정보시스템을 담당하고 있는 정보시스템 관리담당자들은 어느 때보다 정보 보안에 대한 염려가 높아지고 있다. 그렇다면 과연 물 샐 틈 없는 보안은 가능할까? 그리고 물 샐 틈 없는 보안을 추구하여야만 하는 것일까?

필자가 속해 있는 기업은 제조업이다. 따라서 정보 보안에 대한 관점이 금융권이나 인터넷 기업과는 다르다는 것을 인정한다. 기업이 속해 있는 산업 분야에 따라 다루고 있는 정보의 내용과 가치가 많은 차이가 있기 때문이다. 여기서 가치라고 하는 것은 외부에 유출됐을 때의 가치를 의미한다. 그렇기 때문에 기업의 보안시스템은 기업의 정보가치에 따라 그 수준이 결정되어야 한다. 보안 시스템 구성을 위한 직접적인 비용은 물론 업무 생산성 저하에 따른 간접적인 비용까지 고려하면 많은 비용이 소요되기 때문이다.

그러나 최근 일련의 보안사고는 외부 침입으로 인한 사고보다는 내부관련자의 정보유출 사고의 비중이 증가하는 추세다. 지금까지의 보안체계는 외부로부터의 침입을 막는 것에 중점을 두고 있다. 그리고 그런 측면에서 보안 시스템은 상당부분 성과를 거두었다. 그에 비해 내부 정보 유출에는 아직까지 큰 진전을 보고 있지 못하다. 가장 큰 이유는 앞서 이야기한 보안 체계의 3대 요소 중 탐지 측면에서 매우 어렵기 때문이다.

우리나라 옛 속담 중에 '믿는 도끼에 발등 찍힌다' 라는 말이 있다. 바로 믿기 때문에 탐지가 어려운 것이다. 영화 쇼생크 탈출의 주인공도 간수와 교도소장의 믿음으로 인해 자신의 탈주를 쉽게 숨길 수 있었다.

이런 상황이다 보니 자꾸 내부 정보보안에 대한 투자가 늘어난다. 필자가 근무하는 회사에서도 내부 정보보호를 위해 문서암호화(DRM) 시스템을 몇 년 전에 도입했다. 권한이 없는 경우 또는 정상적으로 인증을 받지 못한 경우에는 사내 문서가 열리지 않게 정책을 정했으며 암호 문서를 해제하는 권한은 팀장 및 일부 인원에게 제한적으로 허용하였다. 그러다 보니 현업 실무자는 업무에 불편을 겪는다.

경영진의 보안에 대한 의지가 확고할 경우에는 문제가 되지 않으나 이런 저런 이유로 의지가 약해지면 업무상의 비효율이 더 중요한 이슈가 된다. 그리고 암호화 해제 권한을 가진 사람이 점점 증가하게 되는 것이다. 물론 필자는 DRM의 중요한 효용가치는 내부자의 정보 유출 방지 측면보다는 노트북이나 USB메모리 분실 사고 시의 우발적인 정보 유출 방지에 더 큰 의미를 두고 있기 때문에 DRM의 도입을 적극적으로 찬성하는 입장이나 경영진이 애초에 내부정보 유출 방지를 위해 도입한 의미는 많이 퇴색하게 되는 것이다.

요즘은 DRM이외에 출력통제, 화면캡처 통제 등 기능이 점점 더 고도화 되어가고 있고 스마트폰을 통한 정보 유출까지도 통제하는 시스템이 등장하고 있다. 믿는 도끼에 발등이 찍히고 싶지 않다는 의미일 것이다.

하지만 보안은 취약고리(weakest link) 이론의 적용을 받는다. 즉, 다른 모든 측면이 문제가 없더라도 가장 취약한 부분이 뚫리면 전체가 무너지는 것이다. 그리고 그 취약고리는 바로 사람이다. IT시스템을 담당하는 입장에서 보안사고가 나면 CEO에게 무참히 깨질 수 밖에 없는데 현실은 IT로 어쩔 수 없는 대상인 사람이라는 점이 딜레마가 된다.

필자는 ‘완벽한 보안 시스템은 불가능하다’라고 생각한다. 오늘 회사에서 있었던 경영회의의 결과가 바로 다음날 경쟁사에 알려지는 것은 경쟁사가 도청을 하거나 시스템을 해킹하여 회의자료를 가져간 때문이 아니고 인간관계를 통해 저녁때 술 한잔 하면서 정보를 흘려 들었을 가능성이 휠씬 더 높다. 그런데 경영진은 IT부서에게 시스템 정보 보안이 허술하다며 대책을 수립하라고 지시하는 것이다.

오늘날 기업 정보의 대부분은 PC를 비롯한 정보시스템에 저장되고 네트워크를 통해 교류된다. 그러나 자동차 사고는 자동차가 일으키는 것이 아니라 운전자가 내는 것처럼 정보시스템에서 정보가 유출된다고 정보시스템 만을 탓할 수는 없는 노릇이다.

그래서 정보 보안이 어렵다. 특히 IT시스템을 담당하고 있는 입장에서는 더욱 더 어렵다. 아마도 물샐 틈 없는 보안체계의 구현이라는 것은 해결할 수 없는 딜레마를 고민하고 있는 것인지도 모른다.

어쩌면 완벽한 보안이란 정보를 빼내는데 필요한 노력 또는 부담하여야 할 위험성의 대가가 빼낸 정보의 가치보다 더 크게 느껴지도록 만드는 것이 아닐까? 오늘도 기업의 정보 유출을 막기 위한 IT부서의 고민은 계속된다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. ciokr@idg.co.kr
X