2010.12.09

보안 전문가들이 실패하는 이유 (그리고 대책)

Dan Lohrmann | CSO

‘실패는 성공의 열쇠’라는 말쯤은 누구나 들어보았을 것이다. 하지만 보안 전문가라는 사람들은 실패로부터 무엇을 배우는 걸까?

계정 도용과 온라인 위험이 계속 증가하는 이 시대에 보안 분야는 과연 어려움에 적절히 대처해나가고 있는 것일까? 과거의 실수를 되풀이하고 있는 것은 아닐까? 보안 기술이 향상되는 것에 맞춰 범죄자들도 더욱 진화된 툴을 사용하고 있다. 그렇다면 보안 전문가 역시 진화하고 있는 걸까?

사람들은 으레 직원 교육과 기술 보안 자격증을 늘려야 한다고 말들을 한다. 그런가 하면 급여를 올려주거나, 범죄자들에 대한 이해를 높이거나, 임원 리더십 교육을 늘리거나, 최고위 경영자의 영입이 필요하다고 말하기도 한다. 이런 게 도움은 되겠지만 이를 모두 갖추고도 실패하는 보안 담당자가 여전히 있으니 이건 어찌된 일일까?

필자는 세계 여기 저기를 돌아다니면서 보안 전문가의 실수를 유발하는 몇 가지 공통적인 함정을 파악했다. 보안 성과를 극대화하는데 효과가 있는 것은 무엇이고 그렇지 않은 것은 무엇일까? 필자는 이 글에서 보안 전문가가 참고할만한 7가지 문제와 해답을 제시한다.

문제 1: 보안 전문가들이란 매사에 부정적이다
보안 전문가들은 어딘지 겉도는 사람이라는 인상을 받기가 십상이다. 이런 생각은 보안 컨설턴트의 신뢰성에 위협이 된다. 문제를 가져오자는 건가, 아니면 해법을 제시하자는 것인가? 당신에 대한 기업의 인상이 부정적이지는 않은가?

클라우드 컴퓨팅을 예로 들어보자. 기술 분야는 클라우드의 도입을 서두르고 있다. 그런데 새로운 클라우드 아키텍처의 변화적 측면과 ROI에 대한 긍정적 기사들이 수 없이 쏟아져 나오고 있는 이 때 보안 분야는 클라우드가 안 되는 이유만을 떠들어대느라 바쁘다.

해답 1: 촉진제 역할을 하라. 어떻게 하면 좋으냐고? 고객에게 ‘아니오’라는 말부터 하지 말라. 확실한 해법을 제시하라. 금지하는 이가 아닌, 구현하는 이가 되라. 프로젝트를 정시에, 예산에 맞춰, 적정 보안 수준으로 납품하는 것을 어떻게 보장할지 이야기하라. 기업이 자신의 해법을 가치 있게 생각하는지, 아니면 장애물로 보고 있는지 자문하라.

필자가 2004년 미시간 주 CISO로 있을 때 ‘무선 통신은 불가’라는 입장이었다. NSA를 비롯한 여러 기관에 있는 전문가들의 말을 인용하며 무선 네트워크는 보안이 전혀 불가능하다고 말했다.

그런데 당시 필자의 상사로서 지금은 캘리포니아 CIO로 있는 테리 타카이가 필자의 보안에 대한 생각에 의구심을 던지면서 몇몇 회사의 사례에 따라 무선 보안을 전개하도록 했다.

테리가 해주었던 조언은 필자의 보안에 대한 접근방식을 다시 생각해보는 계기가 됐다. 시간이 흐르면서 필자는 신기술을 촉진하는 사람(enabler)으로 알려지게 됐고 미시간주는 우리가 만든 무선 보안 네트워크로 상도 받았다.

문제 2: 한가지 해법만을 제시하는 보안 전문가
보안 전문가가 2번째로 흔히 저지르는 실수는 사이버 보안에 대해 천편일률적인 접근방식을 취한다는 점이다. 사물을 흑백논리, 가령 암호화되어 있거나 암호화되어 있지 않은, 이런 식으로만 본다.

기업 아키텍처 팀이 정말 괜찮은 설계를 제안하고 이에 프로그래머, 네트워크 담당자 등 모든 사람이 의견을 같이하는데 보안전문가만 나섰다 하면 아키텍처를 송두리째 바꿔놓는다는 인식이 일반적이다.

방화벽, 구역, 제한사항, 신규 블랙 박스 같은 것을 추가하려 한다. 이렇게 되면 비용이 증가하여 프로젝트가 진척될 수 없기 마련이다. 보안 담당자 생각에는 이러한 해법을 내놓는 게 긍정적일지 모르지만 다른 사람들 눈에는 장애물로 보일 뿐이다.

해답 2: ‘1안, 2안, 3안’을 각각 제시한다. 최소한 3가지의 대안을 제시하려고 노력하라. 가트너, 포레스터, 기술 전문 잡지에서, 그리고 다른 회사에 다니는 지인에게서 다른 해법들을 찾아보라. 유관 협회, 과거 직장 동료, 외부 전문가에게 문의하면 다채로운 해법을 도출하는데 도움이 될 것이다. 기업이 각 선택안에 따른 위험을 이해하도록 도와주고, 그들이 최종 선택을 하도록 하라.

유의할 점: 비용이 가장 적게 드는 해법을 고르는 사람들을 조심해야 한다. 효과적이지 않거나 감당할 수 없는 대안은 아예 추천하지 말아야 한다. 분위기가 완전히 저비용으로 기울었다면 저비용의 해법을 전개한다는데 동의하기 전에 이에 따른 위험에 관해 분명히 한다.




2010.12.09

보안 전문가들이 실패하는 이유 (그리고 대책)

Dan Lohrmann | CSO

‘실패는 성공의 열쇠’라는 말쯤은 누구나 들어보았을 것이다. 하지만 보안 전문가라는 사람들은 실패로부터 무엇을 배우는 걸까?

계정 도용과 온라인 위험이 계속 증가하는 이 시대에 보안 분야는 과연 어려움에 적절히 대처해나가고 있는 것일까? 과거의 실수를 되풀이하고 있는 것은 아닐까? 보안 기술이 향상되는 것에 맞춰 범죄자들도 더욱 진화된 툴을 사용하고 있다. 그렇다면 보안 전문가 역시 진화하고 있는 걸까?

사람들은 으레 직원 교육과 기술 보안 자격증을 늘려야 한다고 말들을 한다. 그런가 하면 급여를 올려주거나, 범죄자들에 대한 이해를 높이거나, 임원 리더십 교육을 늘리거나, 최고위 경영자의 영입이 필요하다고 말하기도 한다. 이런 게 도움은 되겠지만 이를 모두 갖추고도 실패하는 보안 담당자가 여전히 있으니 이건 어찌된 일일까?

필자는 세계 여기 저기를 돌아다니면서 보안 전문가의 실수를 유발하는 몇 가지 공통적인 함정을 파악했다. 보안 성과를 극대화하는데 효과가 있는 것은 무엇이고 그렇지 않은 것은 무엇일까? 필자는 이 글에서 보안 전문가가 참고할만한 7가지 문제와 해답을 제시한다.

문제 1: 보안 전문가들이란 매사에 부정적이다
보안 전문가들은 어딘지 겉도는 사람이라는 인상을 받기가 십상이다. 이런 생각은 보안 컨설턴트의 신뢰성에 위협이 된다. 문제를 가져오자는 건가, 아니면 해법을 제시하자는 것인가? 당신에 대한 기업의 인상이 부정적이지는 않은가?

클라우드 컴퓨팅을 예로 들어보자. 기술 분야는 클라우드의 도입을 서두르고 있다. 그런데 새로운 클라우드 아키텍처의 변화적 측면과 ROI에 대한 긍정적 기사들이 수 없이 쏟아져 나오고 있는 이 때 보안 분야는 클라우드가 안 되는 이유만을 떠들어대느라 바쁘다.

해답 1: 촉진제 역할을 하라. 어떻게 하면 좋으냐고? 고객에게 ‘아니오’라는 말부터 하지 말라. 확실한 해법을 제시하라. 금지하는 이가 아닌, 구현하는 이가 되라. 프로젝트를 정시에, 예산에 맞춰, 적정 보안 수준으로 납품하는 것을 어떻게 보장할지 이야기하라. 기업이 자신의 해법을 가치 있게 생각하는지, 아니면 장애물로 보고 있는지 자문하라.

필자가 2004년 미시간 주 CISO로 있을 때 ‘무선 통신은 불가’라는 입장이었다. NSA를 비롯한 여러 기관에 있는 전문가들의 말을 인용하며 무선 네트워크는 보안이 전혀 불가능하다고 말했다.

그런데 당시 필자의 상사로서 지금은 캘리포니아 CIO로 있는 테리 타카이가 필자의 보안에 대한 생각에 의구심을 던지면서 몇몇 회사의 사례에 따라 무선 보안을 전개하도록 했다.

테리가 해주었던 조언은 필자의 보안에 대한 접근방식을 다시 생각해보는 계기가 됐다. 시간이 흐르면서 필자는 신기술을 촉진하는 사람(enabler)으로 알려지게 됐고 미시간주는 우리가 만든 무선 보안 네트워크로 상도 받았다.

문제 2: 한가지 해법만을 제시하는 보안 전문가
보안 전문가가 2번째로 흔히 저지르는 실수는 사이버 보안에 대해 천편일률적인 접근방식을 취한다는 점이다. 사물을 흑백논리, 가령 암호화되어 있거나 암호화되어 있지 않은, 이런 식으로만 본다.

기업 아키텍처 팀이 정말 괜찮은 설계를 제안하고 이에 프로그래머, 네트워크 담당자 등 모든 사람이 의견을 같이하는데 보안전문가만 나섰다 하면 아키텍처를 송두리째 바꿔놓는다는 인식이 일반적이다.

방화벽, 구역, 제한사항, 신규 블랙 박스 같은 것을 추가하려 한다. 이렇게 되면 비용이 증가하여 프로젝트가 진척될 수 없기 마련이다. 보안 담당자 생각에는 이러한 해법을 내놓는 게 긍정적일지 모르지만 다른 사람들 눈에는 장애물로 보일 뿐이다.

해답 2: ‘1안, 2안, 3안’을 각각 제시한다. 최소한 3가지의 대안을 제시하려고 노력하라. 가트너, 포레스터, 기술 전문 잡지에서, 그리고 다른 회사에 다니는 지인에게서 다른 해법들을 찾아보라. 유관 협회, 과거 직장 동료, 외부 전문가에게 문의하면 다채로운 해법을 도출하는데 도움이 될 것이다. 기업이 각 선택안에 따른 위험을 이해하도록 도와주고, 그들이 최종 선택을 하도록 하라.

유의할 점: 비용이 가장 적게 드는 해법을 고르는 사람들을 조심해야 한다. 효과적이지 않거나 감당할 수 없는 대안은 아예 추천하지 말아야 한다. 분위기가 완전히 저비용으로 기울었다면 저비용의 해법을 전개한다는데 동의하기 전에 이에 따른 위험에 관해 분명히 한다.


X