강은성의 Security Architect | 보안관제 100% 활용하기(1)

정말 다사다난했던 2014년이 지나고 새로운 한 해가 시작되었다. 정보보호 업무를 하는 분들이 업무의 보람과 함께 스스로 성장했다고 느끼는 한 해가 되기를 바란다.

이 맘 때쯤이면 보안관제 업체를 새로 선정한 회사에서는 새로 관제 체계를 구축하기 위해 동분서주할 것이다. 국내에 보안관제 업체가 많지 않고 관제 업무가 대동소이할 것 같지만 실제로 부딪혀 보면 할 일이 많다.

어떤 회사의 경영진은 보안관제를 하면 보안이 다 될 줄로 생각하기도 한다. 비용도 꽤 들고 이름 있는 정보보호전문업체에서 보안관제를 하고 있으니 그렇게 생각할 수도 있겠다. 하지만 대규모 개인정보 도난사고가 터진 회사들 역시 보안관제 서비스를 받고 있었던 점을 보면 보안관제로 모든 보안위험을 예방할 수 없다는 점은 분명해 보인다. 정반대로 보안관제 무용론도 있다. 어차피 사고가 터지는데 보안관제를 받는 것은 소용이 없다는 것이다. 실제 보안관제의 효과는 이 양 극단 사이의 어디쯤엔가 있을 것이다.

보안관제의 출발은 회사가 보안관제의 목표와 범위를 명확히 하는 것에서부터 시작하게 된다. 우리 회사가 맞닥뜨린 보안위험과 위험 요인(보안위협과 보안취약점)을 분석하고, 그에 대한 정보보호대책을 수립할 때 그 대책 중 하나가 보안관제이기 때문이다. 당연히 보안관제에서 포괄하지 못하는 위험 요인이 있다. 따라서 회사의 정보보호 대책 또는 정보보호 전략의 일부로서 보안관제를 위치시키고 다른 정보보호 대책과 긴밀하게 연관시켜 회사 전체의 보안위험을 방어하는 것이 중요하다. 보안관제 업체는 전문성을 갖고 비용 효율적인 방식으로 그 역할을 수행하는 것이다.

보안관제 업체를 통해 얻을 수 있는 정보보호 효과는 크게 4가지 영역으로 나눌 수 있다.

첫째, 예방 영역이다. 네트워크 방화벽, 웹 방화벽, DB접근제어 등 정보보호시스템의 세부 규칙(Rule)을 통해 보안위협을 사전에 차단하거나 보안취약점 진단을 통해 문제를 사전에 발견하여 제거함으로써 보안위험을 예방하는 업무이다. 예방 영역에서는 정보보호시스템의 통제 대상 설정, 적절한 접근통제 세부규칙의 수립과 유지, 예외에 관한 강력한 관리가 이뤄져야 한다. 많은 회사에서 보안관제 업체에 세부 규칙의 조작(Operation)은 맡기지만 규칙의 결정이나 프로세스를 맡기지는 않으면서도 정보보호시스템 운영을 맡겼다고 생각해서 그런지 정보보호시스템의 세부 규칙 전반을 점검하는 경우가 별로 없다. 결국 발주기업의 실력이 보안관제의 예방 수준을 좌우하게 된다.

둘째, 탐지와 대응 영역이다. 모니터링과 Alert를 통해 사건의 발생을 알아내고 그에 관해 적절한 긴급 대응을 하는 일이다. 통합보안관리시스템(ESM)이나 보안정보 및 이벤트관리시스템(SIEM), 빅데이터 기반의 로그분석시스템, 침입탐지시스템, 디도스 공격 탐지 및 대응시스템뿐 아니라 이상거래 탐지, 역 접속 탐지, 악성 의심 프로그램 탐지, 내부정보 유출 탐지 등 다양한 탐지시스템을 통해 보안공격을 탐지하여 대응한다. 탐지를 못하는 것도 문제지만 보안공격을 탐지했을 때 그에 대해 적절한 대응을 신속하게 하는 것 역시 중요하다. 전문 인력과 프로세스가 갖춰줘야 가능하다. 2013년 미국 타깃(Target)의 대규모 금융정보 도난사건은 정보보호시스템에서 탐지한 보안공격을 보안운영센터에서 대응하지 못함으로써 발생하였다.

<그림 1> 보안관제의 기대효과

셋째, 보안 분석 영역이다. 보안관제 업체마다 CERT팀 같은 보안 분석 조직이 있다. 모니터링 파트에서 탐지하여 넘긴 보안공격을 분석하는 조직이다. 공격 탐지 시 정의된 프로세스대로 긴급 대응하는 일은 모니터링 요원이 할 수 있지만 판단이 필요한 일은 깊이 있는 분석이 필요하다. 보안관제 업체의 기술 실력은 이 조직에서 판가름 난다고 해도 과언이 아니다. 모니터링은 담당 인력이 비싸지 않기 때문에 교대 근무를 통해 24시간 활동이 가능하지만 분석 인력은 그러기가 쉽지 않다. 24시간을 돌린다 해도 야간 근무 때에는 정상 근무 때보다 한 사람이 훨씬 더 많은 고객사를 담당하게 된다. 분석 인력의 전문성이 더욱 중요해진다. 내가 정보보호책임자(CISO)로 일하면서 보안관제 업체를 선정할 때 핵심적으로 고려했던 기준 중의 하나다.

넷째, 간과하기 쉬운 것이 정보제공 영역이다. 보통 정보제공이라고 하면 지루하게 계속 보내 주는 보안 관련 뉴스를 생각하여 가볍게 생각할 수 있는데, 언론에 외부 사고 소식이 났을 때 재빨리 정보를 수집하여 회사 차원의 대응에 필요한 분석을 제공하거나 회사에서 발생하는 자잘한 보안사건을 정확하고 심도 있게 분석하는 것은 발주기업 정보보호 조직이 갖추기 어려운 역량이다. 보안업체들이 발표하는 보안공격 동향과 수시로 탐지되는 보안 공격에서 우리 회사에 의미 있는 것들을 선정하여 사전에 대비할 수 있도록 정보를 제공해 주거나 발주기업과 협업하는 프로세스를 점검하여 개선 의견을 준다면 더욱 좋을 것이다.

보안관제를 통해 보안위험을 최소화하는 것은 보안관제업체의 역량이 중요하기도 하지만 그에 못지 않게 발주기업의 역량 또한 영향이 크다. 발주기업이 자신의 요구사항을 명확히 하고 요구하면 전혀 실력이 안 되는 업체가 아니라면 거기에 맞추기 때문이다. 다만 온갖 ‘잡일’들을 요청하고 이러한 일도 요청하면 결과가 좋기 어렵다. 최소한 월간 리뷰를 할 때 나오는 두꺼운 관제 보고서는 줄여 나가면서 고급 분석 정보를 요청해야 한다. 발주기업과 관제업체의 실력 둘 다 좋아야 가능한 일이다.

발주기업 쪽에서는 업체를 선정하는 과정이나 선정한 뒤에 보안관제의 금액은 고정해 놓은 상태에서 요구사항을 늘리곤 한다. 비용을 지불했으니 더 요구하고 싶은 게 인지상정이고, 계약 때 미처 생각하지 못한 일이 있기도 하다. 하지만 양을 늘리면 질이 떨어질 수 있다는 평범한 진리는 음식점에만 적용되는 게 아니라는 점 역시 인식할 필요가 있다. 사람이 하는 서비스는 지불한 비용을 크게 초과해서 받기 어렵다는 게 만고불변의 진리가 아닐까 싶다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr