CSO들이 말하는 진짜 보안 고민들

CSO
올 해 초, 와이즈게이트(Wisegate) 소속 CSO 및 CISO들이 모인 비즈니스 소셜 네트워킹 그룹의 웨비나가 개최됐다. 이 웨비나에서는 주로 ‘향후 주목해야 할 IT 보안 위협’에 대해 논의됐다. ‘과장 혹은 현실'이라는 부제가 붙은 이 웨비나에서는 보안, 클라우드 컴퓨팅, BYOD/BYOx, 보안 인식, 카운터 어택 해커(counter-attacking hacker) 등의 주제도 다뤄졌다.

그리고 얼마 전 와이즈게이트는 다음의 질문들을 통해 회원 CISO 및 CSO들에게 최근 주목을 끌고 있는 보안 동향들에 관한 그들의 견해와 전망을 물었다. 여기 와이즈게이트가 수집한 의견들을 소개하겠다.

Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013년의 주요 IT 보안 위협들 가운데, 8월 현 시점에서 가장 현실화된 이슈, 또는 고민은 무엇인까?

앨버타 주 정부 CISO 팀 맥크레이트 : 많은 기업들에서 클라우드 컴퓨팅과 관련한 문제들이 현실화되고 있다. 클라우드 컴퓨팅은 세미나에서 우리가 논의한 다른 주제들을 실제적인 문제로 만드는 역할을 했다. 클라우드 컴퓨팅이 담보하는 경제적 가치, 혹은 그것이 현업 임원진에게 제시하는 정보의 규모가 기저의 주된 원인일 것이다. 또한 IT업계 ‘빅 플레이어'들의 클라우드 전략 확충 경향도 주목할 필요가 있다. 클라우드 오퍼링을 공개하거나 관련 계획을 발표하는 주요 업체들이 속속 나오고 있다. 이러한 경향은 현업 팀들에겐 일면 부담으로 다가오기도 할 것이다. 관련 활동의 타당성을 입증할 가치 제안이 요구되기 때문이다.

브라운 대학 CSO 데이빗 셰리: 사실 개인적으론 ‘가장 과장된' 보안 위협이라고 부르는 것들이 모두 어느 정도 타당하다고 보는 입장이지만, 그 가운데서도 특히 클라우드 컴퓨팅과 관련된 보안 및 프라이버시 문제는 더 현실적인 고민들이라고 생각한다. 클릭수 동의를 통한 통제권 상실, 부적절한 공유 결정으로 인한 중요 데이터 노출, 미들웨어 혹은 앱 동의를 통한 통제 허용, 그리고 고아 계정(orphaned accounts) 및 데이터까지, 클라우드는 많은 부분에서 지속적으로 당신의 주의를 요할 것이다. 정책이나 계약, 인식, 대안 등 기본적으로 툴킷의 일부로 확보하는 것만으론 충분치 않다. 클라우드 기술의 진화와 채택으로 집중과 지속적인 평가가 요구될 것이기 때문이다.

롱 텀 헬스케어 파트너스(Long Term Healthcare Partners) 등 여러 선진 기업에서 CISO를 역임한 캔디 알렉산더 : 클라우드 컴퓨팅과 관련해 우리가 주목해야 할 핵심은 ‘진짜' 통제권을 보유한 집단, 다시 말해 서비스 공급자의 보안 수준과 리스크 경감 프로세스 및 역량을 확인하는 것이다. 확인 이후에는 계약 과정에서 서비스 수준 협약(SLA)과 업무 기술서(Statements of Work)를 포함시키는 노력도 중요하다. 누군가는 내가 너무 간략히 설명하고 있다고 생각할지도 모르겠지만, 어쨌건 핵심은 이 두 단계다.

보안 인식으로 주제를 옮겨보자면, 이는 컴퓨터가 탄생한 이래로 지속적으로 고민했던 문제라고 말하고 싶다. 이는 우리가 매 순간 신경써야 하는(그리고 해결해야 하는) 불변의 문제라 할 수 있다.

---------------------------------------------------------------
CSO/CISO 인기 기사
->CISO가 알아야 할 4가지 기술들
-> 성공하는 CISO의 3가지 공통점
->'보안 임원의 역할, 급격히 변화 중" IBM
-> 기고 | CSO의 8가지 고민, 그리고 해답
-> 기고 | 첨단 CSO의 조건 '비즈니스와 커뮤니케이션'
---------------------------------------------------------------
 

카운터 어택 해커들의 경우에는 좀 까다로운 문제다. 윤리적, 법적, 기술적 측면을 모두 고려해 볼 때, 개인적으론 대부분의 기관들에겐 이것이 어찌할 수 없는 문제라 생각된다. 한 번 솔직해져 보자. 그들은 다수고, 우리는 그들과 비교하면 절대적으로 소수다. 게다가 그들의 지식, 기술, 자원 공유 체계는 그 어떤 테크니컬 그룹보다 뛰어나다. 그들에겐 기술적, 지리적, 문화적 장벽 그 어느 것도 존재하지 않는다. 이것이 내가 여러 동료들을 남겨둔 채 이 문제에서 손을 뗀 이유다.


내가 좀 더 논의하고 싶은 주제는 BYOD/BYOx 트렌드다. 좀더 구체적으로 말하자면, BYOD/BYOx가 야기하는 환경 복잡성 증대의 문제다. 핵심은 데이터 접근 및 활용 과정이 의도한 방식대로 적절히 이뤄지도록 하기 위해 환경을 구성하는 모든 조각들을 어떻게 확인하고 관리할 지를 이해하는 것이다.

BYOD/BYOx에 있어선 하드웨어, 애플리케이션의 표준을 정립하는 것이 불가능하다. 이로 인해 환경 관리 및 통제, 보호 과정은 상당한 복잡성을 띠게 된다. 모바일 환경의 소개로 개별 모바일 사용자들은 이제 어떤 앱을 이용하고 어떻게 데이터를 이용할지 등의 여부를 스스로 통제할 수 있게 됐다. 난 사용자들이 제대로 된 지식 없이 IT나 보안 사업부의 통제를 우회해 로그 애플리케이션(rogue application)을 구동하는 모습을 종종 목격해 왔다. 기업 환경에서는 내부에서 어떤 것들이 어디에서, 어떻게 이용되고 있는지의 정보를 일정 수준 이상 확보하는 역량이 필요하다. 하지만 많은 기업들이 그저 모바일 기기 관리(MDM) 시스템만 도입하면 모든 문제가 해결된다 믿곤 한다. 절대 틀린 말이다. 모바일 환경의 변수는 너무나도 다양해서 지속적인 모니터링과 리스크 감시 노력 없이는 절대 통제할 수 없다.

Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013 년의 주요 IT 보안 위협들 가운데, IT 보안에 가장 영향력이 적은 이슈는 무엇인가?

맥크레이트 : 2013년도만큼 빠르게 BYOx가 구체화 되는 것을 본 적이 없다. 아마도 계획보다는 그 뒤에 있는 실행의 문제가 아닐까 한다. 엄밀히 말해, 보안 책임자와 관련된 몇몇 주요 이슈들(데이터 분리, 암호화, 네트워크 분할 등)을 해결할 수는 있지만 여전히 적절한 정책의 부재나 개인 기기 현장 지원 문제, 비용이나 배상과 관련된 의문점 들이 여전히 장애물로 남아 있다고 본다.

셰리 : 개인적인 의견이지만 카운터 어택은 과장된 측면이 있는 것 같다. 뿐만 아니라 이는 CISO의 과제로 보기에도 한계가 있는 것이 사실이다. 카운터 어택에 대한 대응 노력이 CISO의 역할에 어떤 가치를 제공해줄 만한 결과물로 이어졌다는 성공 스토리를 들은 적도 없다. 내가 보기에 카운터 어택 문제와 관련해서는 싸움에 뛰어들기보단 공격을 확인하고 저지할 테크놀로지와 시스템, 그리고 인력을 확보하는 것이 보다 좋은 방법이라 생각된다.

알렉산더 : 웨비나에서 이야기한 것들 중 가장 ‘과장된’ 위협은 보안 인식이라고 생각한다. 20년 전과 크게 달라진 것이 없다. 그나마 달라진 점이라면 우리는 아직도 훌륭한 보안 인식 프로그램을 어떻게 분명하게 전달할 지 모르고 있으며 부족한 프로그램들의 경우 어떻게 하면 사람들에게 자신의 행동을 인지하게 하고, 특정 행동을 통해 어떤 위협을 초래할 수 있으며, 또 그런 일이 ‘자신에게도 일어날 수 있음’을 인지하게 만드는 것이다.

이는 방법론이 우세하면서 보안업체가 제품을 추진해 나가는 한 예라고 생각한다. 결국 사람들의 컴퓨팅 습관을 바꾸는 것(아주 어려운 일이다)이 문제고, 앞으로도 쭉 그럴 것이다.

CISO들이 곤란해 하는 문제들 중 웨비나에서 논의하지 않은 문제는 어떤 것이 있는가?

맥크레이트 :
그런 걱정거리는 언제나 끊이지 않는다. 현재는 APT 조사로 이어질 수 있는 환경에 접근하려는 악성 소프트웨어의 출현이 그렇다. 데이터 유출과 데이터 보호 계획을 재평가하는 중이다. 최근 한 미디어에서 이런 재평가가 기업에게 악영향을 미칠 수 있다고 보도한 까닭에 여러 IT 보안 전문가들은 아직도 이런 문제를 생각하지 않을 수 없다.

셰리 : 법적, 제도적 규제 문제가 CISO의 역할에 영향을 미칠 것은 분명하다. 하지만 이 분야에서 내가 목격한 과장에는 나름의 타당성이 있다. 앞으로는 규제 데이터센터나 파일 스토리지 시스템을 만들게 될 것이라는 생각도 든다. FISMA, HIPAA 등등이 내세운 요구 사항을 만족 시킬 수 있을테니 말이다. CISO가 기업을 위해 가치를 창출할 수 있는 분야다.

알렉산더 : 나를 포함한 CISO들이 생각하는 가장 곤란한 문제는 지극히 기술적인 문제, 위협 요소를 어떻게 하면 비즈니스 리스크로 연결시켜 설명할 수 있을까 하는 것이다. 말로 하면 쉽지만 쉬운게 아니다. 간단한 예시만 들어 보자. IT 부서 직원에게 외부로 가는 포트를 모니터링 하고 막아서 봇이나 악성 애플리케이션으로부터 환경을 보호해야 한다고 말할 경우, 그 직원은 이를 이해할 것이다. 하지만 같은 말을 IT 지식이 없는 사람들이 이해할 수 있도록 비즈니스 용어로 바꿔 설명하는 건 쉽지 않다. 게다가 그것이 실제로 비즈니스와 관계 있음을 증명하는 건 더 힘들다. CISO는 기술적 리스크를 비즈니스 리스크로 옮기기 전 비즈니스의 목표, 동기, 그리고 프로세스를 이해하고 규정이나 컴플라이언스 요구에 쉽게 응하지 않아야 한다.

그밖에 다른 하고 싶은 말이 있다면?

맥크레이트 :
난 아직도 보안 인식에 주안점을 두고 있다. 직원들에게 의미 있으면서도 시기 적절한 보안 위협 정보를 제공하고 공격으로부터 스스로를 보호할 수 있는 방법에 대해 교육해야 한다고 본다. 사용자 교육이 크게 효과가 없거나, 전혀 엉뚱한 행동을 초래한다고 생각하는 사람들도 있다. 우리가 사용자를 교육하던 방식을 되돌아보고 우리가 그 동안 사용해 온 프로그램은 어떤 것이었나 돌아볼 필요가 있다. 우리가 기대한 만큼 참여율이 나오지 않는다면, 그 이유는 뭘까? 너무 지루하거나, 기술적인 내용 위주라 그런 것일까? 어떻게 하면 메시지를 제대로 전달하고, 관계자들에게 우리 생각을 알릴 수 있을까? 내 생각에 CISO들은 지금 하고 있는 일을 되돌아 보고 어디로 갈 지 생각해 봐야 한다.

또 기업을 기다리고 있는 리스크를 계속해서 주시하고 관련 정보를 기업 경영진에게 맡겨 의사 결정에 반영할 수 있도록 한다. 점점 더 많은 단체들에서 어떻게 정보 보안을 ‘하는’지에 주목하고 있으며, 기업 리스크 관리 원칙 역시 정보 보안의 새로운 접근법의 일부임을 깨닫고 있다. 프로젝트에 단순히 “노" 라고 외치는 관행을 벗어나 프로젝트 팀의 일원이 되가는 이 변화의 과정이, 나는 아주 반갑다.

알렉산더 : “유행은 돌고 돈다"는 말과 함께, 과거로부터 배우고 새로운 유행을 이끌어 나가야 한다는 말을 하고 싶다.

80년대로 눈을 돌려보자. 이 시기 우리는 로컬 컴퓨팅 파워의 시대를 끝내고 모들 데이터를 데이터센터로 옮겼다. 데이터센터에서는 접근 제어, 백업, 복구 등의 방법론으로 데이터에 대한 통제가 이뤄졌다. 시간이 지나 데이터는 데이터센터 밖으로 나와 PC를 보유한 사용자들에게 맡겨졌다. 그리고 이제, 우리는 다시 로컬 기기의 데이터를 클라우드 컴퓨팅이라는 중앙 환경으로 결집 시키는 시점에 서 있다.

오늘날의 시장 방향에 대한 내 생각은 이렇다. 또 다른 테크놀로지적 변화가 막 일어나려 하고 있다. 모바일 환경은 존속 될 것이다. 컴퓨팅 기기는 점점 더 작아지고 점점 더 모바일화 될 것이다. 카드 덱 정도 크기에 100 달러의 가격표를 단 ‘데스크톱' 컴퓨터도 개발될 것이다. 작아진 크기와 저렴해진 가격의 기기들에서 정보나 데이터는 더욱 위험한 위치에 놓이게 될 것이다. 정보와 데이터 활용과 처리가 어느 곳에서나 더욱 활발히 이뤄질 것이기 때문이다. 여기에서 이야기하는 데이터란, 사회 보장 번호, 신용 카드 번호, 의료 보험 정보 등 모두가 노리는 데이터를 의미한다.

즉 데이터 보호 방법을 모색하는 노력이 필요한 시기인 것이다. 퍼블릭, 프라이빗, 하이브리드 등 다양한 방식으로 클라우드 컴퓨팅은 우리의 삶 속에 가까이 다가오고 있다. 이 중앙의 공간만큼 데이터의 저장과 보호 사이의 균형을 잡을 수 있는 공간은 없을 것이다. ciokr@idg.co.kr