2018.06.07

강은성의 보안 아키텍트 | 가용성 보호는 정보보안 업무인가?

강은성 | CIO KR
전통적으로 정보보안의 목표는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보호하는 것으로 정의해 왔다. 거의 흔들림 없이 믿어온 원칙이라고 할 수 있다. 기밀성은 권한 있는 자만이 데이터를 열람할 수 있도록 하는 것이고, 무결성은 권한 있는 자만이 데이터를 변경할 수 있도록 하는 것이며, 가용성은 권한 있는 자가 서비스를 사용하고자 할 때 언제든지 사용할 수 있도록 하는 것이다. 최고정보보호책임자(CISO)를 비롯한 정보보안 조직의 기술적 보안업무 역시 이를 바탕으로 설명할 수 있다.

하지만 요즘 보안 현업에서는 가용성에 관련해 여러 의견이 나오고 있다. 가용성의 범위가 워낙 넓어서 보안 영역에서 포괄하기가 어렵기 때문이다. 이미 확고하게 성립된 이론(理論)에 굳이 이론(異論)을 달려고 하는 이유다.



우선 가용성을 침해하는 원인은 매우 다양하다. 디도스(DDoS) 공격으로 인터넷 쇼핑몰이나 사회관계망 서비스가 중단되는 것이 보안 영역에서 말하는 가용성 침해의 대표적인 보기인데, 실제로 가용성은 다른 요인에 의해서도 침해되는 경우가 많다. 예를 들어 네트워크 장비나 서버에 장애가 있거나 접속자가 너무 많아서 서비스 제공이 중단될 수 있다. 서비스 프로그램의 오류로 인해 서비스가 중단되기도 한다. 드물지만 IDC의 전원공급 장애나 화재로 인해 발생하는 경우도 있고, 정기 점검이나 대규모 서비스 업그레이드를 위해 의도적으로 서비스를 중단하는 경우도 있다. 가용성 침해 원인에는 보안 영역에 포함되지 않는 부분이 있다는 점을 알 수 있다.

둘째, 가용성 보호 대책 관점에서 살펴보면, 보통 디도스 공격을 차단하기 위해서는 디도스 대응 솔루션을 도입하거나 사이버 대피소와 같은 디도스 대응서비스를 이용한다. 공격 트래픽을 차단하고 정상 트래픽을 통과시킴으로써 가용성을 보호하는 전통적인 보안대책이다. 보안공격 이외의 요인으로 발생하는 가용성 침해는 다른 대책이 필요하다. 예를 들면, 네트워크 장비의 이중화, 충분한 서버 수량 확보, 정기 점검 및 모니터링, 프로그램 품질 향상, IDC 이중화, CDN(Contents Delivery Network)이나 클라우드의 사용 등이 있다. 사실 디도스 공격 같은 보안공격도 클라우드 사용과 같이 가용성을 크게 늘리는 ‘비보안적’ 방식으로 대응할 수 있다. 실제로 가용성과 IT연속성 관리는 ITSM(IT Service Management)의 주요 주제이기도 하다.

인터넷, 모바일, 사물인터넷 등 환경의 변화, 서비스와 사용자의 변화에 따라 정보보안의 영역 역시 바뀌거나 넓어질 수 있다. 정보보호 관리체계(ISMS)에 정보보안과 일견 관련이 없어 보이는 물리적 보안이나 IT재해복구 대책이 포함된 것은 정보자산을 보호하기 위해 보안의 영역을 확장한 것으로 볼 수 있다.

정보자산의 가용성을 보호하기 위해서 물리 보안과 (IT)재해복구 대책이 필요하다는 점에 전적으로 동의하면서도 그 업무의 최종 책임(Accountability)을 CISO에게 맡기기 위해서는 그에 걸맞은 조직과 인력, 권한을 부여해야 한다는 점을 강조하고 싶다. CISO가 물리보안 조직이나 IT운영 조직을 지휘•통제할 수 있어야 가능한 일이기 때문이다. 물리보안 조직은 그렇다 하더라도 IT운영조직에 이르러서는 쓴웃음을 짓는 독자들이 있을 것 같다. 최소한 해당 업무에 관한 협업이 원활하게 되거나 해당 업무를 관리•감독할 수 있는 강력한 권한이 있어야 가능한 일이다. 이 또한 쉽지 않은 게 현실이다.


CISO의 업무를 늘리고 그에 따라 조직과 권한을 확보하는 것이 좋은 회사도 있을 것이다. 필자 역시 그러한 방식이 나쁘다고 생각하지 않는다. 하지만 가용성의 원인과 대책 중 상당 부분이 전통적인 보안영역이 아니고 현실적으로 CISO 조직의 권한과 업무 밖에 있다는 사실을 분명하게 인식할 때 그에 대한 대안도 나온다는 점은 아무리 강조해도 결코 지나치지 않다. 규제나 인증 역시 이러한 현실적 인식을 바탕으로 진행되면 좋겠다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

2018.06.07

강은성의 보안 아키텍트 | 가용성 보호는 정보보안 업무인가?

강은성 | CIO KR
전통적으로 정보보안의 목표는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 보호하는 것으로 정의해 왔다. 거의 흔들림 없이 믿어온 원칙이라고 할 수 있다. 기밀성은 권한 있는 자만이 데이터를 열람할 수 있도록 하는 것이고, 무결성은 권한 있는 자만이 데이터를 변경할 수 있도록 하는 것이며, 가용성은 권한 있는 자가 서비스를 사용하고자 할 때 언제든지 사용할 수 있도록 하는 것이다. 최고정보보호책임자(CISO)를 비롯한 정보보안 조직의 기술적 보안업무 역시 이를 바탕으로 설명할 수 있다.

하지만 요즘 보안 현업에서는 가용성에 관련해 여러 의견이 나오고 있다. 가용성의 범위가 워낙 넓어서 보안 영역에서 포괄하기가 어렵기 때문이다. 이미 확고하게 성립된 이론(理論)에 굳이 이론(異論)을 달려고 하는 이유다.



우선 가용성을 침해하는 원인은 매우 다양하다. 디도스(DDoS) 공격으로 인터넷 쇼핑몰이나 사회관계망 서비스가 중단되는 것이 보안 영역에서 말하는 가용성 침해의 대표적인 보기인데, 실제로 가용성은 다른 요인에 의해서도 침해되는 경우가 많다. 예를 들어 네트워크 장비나 서버에 장애가 있거나 접속자가 너무 많아서 서비스 제공이 중단될 수 있다. 서비스 프로그램의 오류로 인해 서비스가 중단되기도 한다. 드물지만 IDC의 전원공급 장애나 화재로 인해 발생하는 경우도 있고, 정기 점검이나 대규모 서비스 업그레이드를 위해 의도적으로 서비스를 중단하는 경우도 있다. 가용성 침해 원인에는 보안 영역에 포함되지 않는 부분이 있다는 점을 알 수 있다.

둘째, 가용성 보호 대책 관점에서 살펴보면, 보통 디도스 공격을 차단하기 위해서는 디도스 대응 솔루션을 도입하거나 사이버 대피소와 같은 디도스 대응서비스를 이용한다. 공격 트래픽을 차단하고 정상 트래픽을 통과시킴으로써 가용성을 보호하는 전통적인 보안대책이다. 보안공격 이외의 요인으로 발생하는 가용성 침해는 다른 대책이 필요하다. 예를 들면, 네트워크 장비의 이중화, 충분한 서버 수량 확보, 정기 점검 및 모니터링, 프로그램 품질 향상, IDC 이중화, CDN(Contents Delivery Network)이나 클라우드의 사용 등이 있다. 사실 디도스 공격 같은 보안공격도 클라우드 사용과 같이 가용성을 크게 늘리는 ‘비보안적’ 방식으로 대응할 수 있다. 실제로 가용성과 IT연속성 관리는 ITSM(IT Service Management)의 주요 주제이기도 하다.

인터넷, 모바일, 사물인터넷 등 환경의 변화, 서비스와 사용자의 변화에 따라 정보보안의 영역 역시 바뀌거나 넓어질 수 있다. 정보보호 관리체계(ISMS)에 정보보안과 일견 관련이 없어 보이는 물리적 보안이나 IT재해복구 대책이 포함된 것은 정보자산을 보호하기 위해 보안의 영역을 확장한 것으로 볼 수 있다.

정보자산의 가용성을 보호하기 위해서 물리 보안과 (IT)재해복구 대책이 필요하다는 점에 전적으로 동의하면서도 그 업무의 최종 책임(Accountability)을 CISO에게 맡기기 위해서는 그에 걸맞은 조직과 인력, 권한을 부여해야 한다는 점을 강조하고 싶다. CISO가 물리보안 조직이나 IT운영 조직을 지휘•통제할 수 있어야 가능한 일이기 때문이다. 물리보안 조직은 그렇다 하더라도 IT운영조직에 이르러서는 쓴웃음을 짓는 독자들이 있을 것 같다. 최소한 해당 업무에 관한 협업이 원활하게 되거나 해당 업무를 관리•감독할 수 있는 강력한 권한이 있어야 가능한 일이다. 이 또한 쉽지 않은 게 현실이다.


CISO의 업무를 늘리고 그에 따라 조직과 권한을 확보하는 것이 좋은 회사도 있을 것이다. 필자 역시 그러한 방식이 나쁘다고 생각하지 않는다. 하지만 가용성의 원인과 대책 중 상당 부분이 전통적인 보안영역이 아니고 현실적으로 CISO 조직의 권한과 업무 밖에 있다는 사실을 분명하게 인식할 때 그에 대한 대안도 나온다는 점은 아무리 강조해도 결코 지나치지 않다. 규제나 인증 역시 이러한 현실적 인식을 바탕으로 진행되면 좋겠다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X