강은성의 보안 아키텍트ㅣ정보보안 사고 대응과 정보보안 위기 대응

가트너가 ‘적응형 보안 아키텍처’(Adaptive Security Architecture)를 처음 발표한 것은 2015년 10월의 일이다. 가트너는 ‘2016년 10대 전략 기술 트렌드’에서 ‘새로운 IT 현실’ 꼭지에 4개 아키텍처의 하나로 이것을 포함시켰고, 2017년에는 각 조직에 ‘적응형 보안 아키텍처’를 구축할 것을 제안하기도 하였다.
 

사실 보안 동네에 웬만큼 계신 분에게 이런 종류의 그림은 별로 낯설지 않다. 보안 동네에서는 많이 사용하는 ‘예방 →탐지→대응’의 보안 프로세스에서 ‘예방’ 앞에 ‘예측’을 더 붙였기 때문이다. ‘예측’ 또한 크게 위협 및 공격의 예상(분석)과 위험 평가로 이뤄져 있다. 위협 분석과 위험 평가는 정보보안 위험 관리에 관한 국제 표준인 ISO/IEC 27005나 각종 위험 평가 방법론에서 공통적으로 규정한 프로세스다. 가트너가 이것을 굳이 ‘보안 아키텍처’라고 불러서 그렇지, ‘보안 프로세스’, ‘보안 라이프사이클’, ‘보안 프레임워크’라고 이름을 붙여도 어색하지 않다.

연말 연시에 쏟아지는 보안 위협 전망이나 보안 트렌드 전망이 ‘예측’에 포함된다. 이것으로 구체적인 위협 분석과 위험 평가를 하기는 어렵다 하더라도 대체적인 흐름을 알고, 각 조직의 사업 및 기술적 환경과 내부적인 보안 현실을 살펴보면 ‘가성비’ 좋게 얻을 것들이 있을 것 같아 국내에서 발표한 몇 가지 ‘전망’을 소개한다.

• 과학기술정보통신부, “2023년 사이버 보안 위협 분석 및 2024년 전망”, 2023.12.17.
• SK쉴더스, “EQST Annual Report - 2024 보안 위협 전망 보고서”(PDF), 2023.12.5.
• 안랩, “2024년 5대 사이버 보안위협 전망”, 2023.12.28.
• 이글루코퍼레이션, “2024년 사이버 보안 위협 및 기술 전망”, 2023.12.12
• 이스트시큐리티, “2024년 보안 위협 전망 및 2023년 주요 보안 이슈 회고”, 2024.1.4.

지난해 말 필자가 수년 동안 해 온 ‘개인정보(정보보안) 위기 대응’ 관련 교육자료를 갱신하기 위해 자료를 찾다가 이 오래된 그림을 보안 사고와 보안 위기 대응 관점에서 다시 보게 됐다. 이 아키텍처에서 예방과 대응은 직접 관계가 없어 보이지만, 보안 사고와 보안 위기 관점에서 본다면 그렇지 않다. 즉, ‘지속적인 모니터링’을 통해 보안 위협을 ‘탐지’하여, 신속하고 정확하게 ‘대응’하면, 보안 사고가 보안 위기로 확대되는 것을 막을 수 있다. 실제로 ‘가지 많은 나무에 바람 잘 날 없는’ 기업에서 보안 사고를 예방하는 노력도 필요하지만, 자주 발생하는 ‘자잘한’ 보안 사고를 우선순위를 정해 신속·정확하게 대응하는 것이 보안 위기를 ‘예방’할 수 있는 중요한 방법이다.

예를 들어, 이메일 피싱 공격을 통해 대형 정보 유출 사고가 발생하곤 하는데, 피싱 이메일을 조기에 발견하여 신속·정확하게 대응할 수 있으면, 피싱 이메일 자체를 막지는 못한다 하더라도 내부망으로 침투한 공격을 탐지, 차단함으로써 대형 보안사고를 예방할 수 있다. 관련 솔루션도 필요하지만, 대응할 수 있는 인력과 프로세스를 준비하고, 훈련하는 것이 무엇보다 중요하다. 사고가 발생하여 우왕좌왕하다가 사고를 키운 사례는 어렵지 않게 찾을 수 있다. 반대로 조기에 발견한 사고를 신속·정확하게 대응함으로써 보안 위기로 번지는 것을 막은 사례 역시 적지 않다.

일반적으로 위기 관리는 예방→대비→대응→복구의 4단계로 이뤄진다(재난 및 안전관리 기본법 제1조(목적)).
 

그림 2는 필자가 수년 동안 해 온 위기 관리 교육에서 ‘개인정보(정보보안) 위기 관리’ 단계를 요약한 그림이다. 가트너의 ‘적응형 보안 아키텍처’를 위기 관리 관점에서 읽으면, 위기예방 단계의 활동으로 볼 수 있다. 즉, 정보보안 사고를 조기에 ‘탐지’하여 신속·정확하게 ‘대응’하면 위기를 ‘예방’할 수 있다.

가끔 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업에서 개인정보 유출 사고가 발생하면 인증을 허술하게 부여한 게 아니냐는 비판이 제기되기도 한다. 하지만 ISMS-P 인증에는 보호대책 요구사항 중 ‘사고 예방 및 대응’ 분야가 있다. 침해사고나 개인정보 유출 사고를 예방하고, 발생하면 신속하고 효과적으로 대응하는 데 필요한 요구사항이다. ISMS-P와 비슷한 국제 표준 ISO/IEC 27001(정보보안 경영시스템)에도 ‘정보보안 사고 관리’에 관한 통제가 있다. 정보보안 사고가 발생하지 않으면 좋겠지만, 발생할 때 잘 대응할 수 있는 체계를 갖추고 있는지 검증한다. 정보보안 사고가 발생하지 않는 것을 보증하는 보안 인증은 없다.

그래서 위기 대응 관점에서 사고 대응을 할 필요가 있다. 즉, 전사의 관련 조직과 인력, 프로세스를 포함하여 전사적 정보보안 위기관리 체계를 갖추고, 그것을 정보보안 사고에 대응할 수 있는 ‘일상적 위기 관리 체계’를 구성하여 일상적으로 발생하는 정보보안 사고에 적용하는 것이다. 그렇게 함으로써 정보보안팀만으로는 대응하기 어려운 ‘자잘한’ 정보보안 사고도 조기에 발견하여 신속하게 처리함으로써 그것이 정보보안 위기까지 확대되는 것을 차단할 수 있다.

‘호미로 막을 일을 가래로 막는다’라는 우리 속담이 있다. 위기 대응 관점에서 사고 대응을 하면 위기를 막을 수 있다. ‘가래로 막을 일을 호미로 막을’ 수 있다. 새해 시작에 준비해 볼 일이다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다.
ciokr@idg.co.kr