'업계에서 들을 수 없는' 계층별 보안의 어두운 면

단일 계층의 방어로는 더 이상 공격자를 막아내기에 역부족인 상황에서 계층별 보안이 현재 기업을 위한 최선의 방법으로 간주되고 있다. 그러나 이런 계층별 보안이 때로는 의도하지 않은 결과를 유발하고, 심할 경우 오히려 보안 수준을 떨어뜨리기도 한다.

복잡성(Complexity)
시스코 보안 비즈니스 그룹 수석 엔지니어인 제이슨 블베닉은 무려 80여 가지의 보안 기술을 계층별로 적용한 기업도 있다고 말했다.

블베닉은 "무조건적으로 동종 최상의 기술로 계층별 보안과 심층 방어를 추구하면서 보안 기술이 난립하고 있다"면서, "기술이 상호 충돌하면서 운영 비용이 상승하는 사례가 많다"고 지적했다.

사이버 보안 인텔리전스 업체인 노즈 코퍼레이션(Norse Corp.)의 최고 보안 전략가이자 SVP 필드 엔지니어인 브라이언 콘토스는 "계층별 보안은 보안 담당자 사이에서 수십 년 동안 논의된 체계"라며, "이론적으로는 완벽하지만 잘못 실행할 경우 보안의 가장 큰 적, 복잡성으로 이어진다"고 말했다.

전체적인 계획을 염두에 두지 않으면 개별 제품에 지나치게 많은 비용을 투자하고 상호 중복되는 시스템을 구입하거나 계층 사이에 보호되지 않는 공백을 유발할 수 있다.

미국 샌프란시스코에 소재한 클라우드패시지(CloudPassage) 공동 창업자이자 CEO 카슨 스위트는 "보안 조직이 '지금 당장의 큰 위협'을 해결하는 기술을 무턱대고 선택하는 경우를 아주 흔히 볼 수 있다"며, "특히 포인트 솔루션 벤더들이 최신 FUD(Fear, Uncertainty, Doubt)에 대해 보안 구매자들의 불안을 부추기는 상황에서는 장기적인 관점을 유지하는 것이 매우 중요하다"고 말했다.

시스코의 블베닉은 "또한 너무 많은 보안 기술을 구매하게 되면 관리되지 않거나 부실하게 관리되는 시스템이 나올 수 있다"고 지적했다.

블베닉은 기업들이 시스템 구현이나 지속적인 관리에 대한 예산 또는 직원 배치 없이 단순히 규정을 준수하기 위해, 보안 간극을 메우기 위해, 또는 구색을 맞추기 위해 기술을 구매하고는 곧 그 기술에 대해 잊는다"고 말했다.

이는 비용 낭비일 뿐만 아니라 회사 보안에도 부정적인 영향을 미친다.

블베닉은 "어떤 위험을 봉쇄했다고 생각하지만 그 이후 견고한 유지가 지속적으로 이뤄지지 않으므로 사각 지대가 발생할 가능성이 열리게 된다"고 말했다.

미국 시카고 기반의 보안 업체 프레시언트 솔루션스(Prescient Solutions) CIO 제리 어바인은 잘 관리되는 계층이라 해도 조직 내에서 문제를 일으킬 수 있다고 지적했다.

각 보안 시스템에는 저마다 다른 전문 지식이 필요하며 조직이 클수록 사용되는 시스템의 수도 많아지고 충돌의 가능성도 함께 높아진다. 특히 아웃소싱 업체, 클라우드 벤더 또는 기타 서비스 공급업체 등 여러 회사가 시스템을 관리하는 경우 이런 문제는 더욱 두드러진다.

각 보안팀은 그 팀이 직면한 보안 임무에 집중하게 되고 이로 인해 다른 그룹 또는 기업전체적인 운영과 충돌을 일으킬 수 있다.

어바인은 "물리적 보안을 담당하는 그룹이 애플리케이션과 시스템을 조작할 수 있는 지점에 대한 접근 제어를 강화하면 이로 인해 시스템 장애 또는 심각한 성능 문제가 발생할 수 있다. 또한 조직 내의 여러 개별 그룹이 이 애플리케이션을 담당할 경우 이들 그룹은 연결성을 보장하기 위해 낮은 레벨에서 접근 경로를 여는 경우가 많고 이는 시스템 환경의 전체적인 취약성을 높이는 결과를 초래한다"고 말했다.

워싱턴 DC에 소재한 다이코틱 소프트웨어(Thycotic Software Ltd.)의 보안 담당 이사인 네이던 웬즐러는 "사실 보안 계층이 많을수록 비즈니스 운영과 간섭을 일으킬 가능성도 높아진다"고 말했다.

또한 보안 제품을 구성해서 배치했다고 끝나는 것이 아니라 그 후에도 지속적인 튜닝과 패치 등 유지보수가 필요하다. 웬즐러는 "최초 구성과 그 이후의 변경이 비즈니스 프로세스와 다른 보안 시스템에 어떤 영향을 미치는지 관리자가 파악해야 한다"고 말했다.

그러나 대부분의 조직은 전문 지식과 시간의 부족으로 이런 절차를 생략한다.

웬즐러는 "올바르게 구현하고 관리를 지속할 시간이 부족하다. 이것이 문제가 된다"고 말했다.

사용자의 거부
클리블랜드의 보안 컨설팅업체 시큐어스테이트(SecureState LLC)의 선임 보안 분석가 레아 네운도르프는 "지나치게 제약이 많은 보안 계층은 운영 팀뿐만 아니라 개별 사용자의 저항도 유발할 수 있다"고 말했다.

예를 들어 기업이 계층별 방어 전략에 따라 각 시스템마다 다른 인증 정보를 사용하기로 결정한다. 네운도르프는 "사용자들은 이런 정책에 반해 모든 시스템에 대해 동일한 인증 정보를 사용하게 된다"고 말했다.

그러나 기업에서는 최소한 내부 시스템에 접근하기 위한 인증 정보와 이메일 접속을 위한 인증 정보 정도는 차이를 두는 것이 바람직하다.

자신의 이메일 주소를 내부 시스템 계정 이름으로 사용하고 이메일 계정과 내부 시스템 계정의 비밀번호를 동일하게 사용하는 직원은 심각한 보안 문제를 유발한다. 외부자라도 직원들의 이메일 주소를 찾기는 정말 쉽기 때문이다.

네운도르프는 시스템마다 다른 사용자 이름과 비밀번호 형식을 요구하는 방법을 제안하며 "이런 정책을 시행하는 이유를 직원들이 납득하도록 해야한다"고 말했다.

또한 네운도르프는 특정 계층 내의 모든 시스템에 접근 권한을 부여하는 인증 정보의 위험성을 경고하며 "모든 관리자가 전체 권한을 가질 필요는 없다"고 말했다.

통합(Integration)
새로운 보안 계층에는 통합이라는 과제가 따라온다. 이에 한 제품이 다른 제품의 기능을 방해하거나 보안 정책의 충돌을 일으킬 수 있다.

보안업체 하이트러스트(HyTrust Inc.) 부사장 프레드 코스트는 "제품 간 상호 작용이 운영 측면에서 영향을 미치는 경우가 있다"며, "CSO는 다양한 공격 및 부하 조건에서 계층별 보안을 테스트하고 검증해야 한다. 영리한 공격자는 이런 방법을 사용해 계층별 보안의 효과를 떨어뜨릴 수 있다"고 말했다.

다양한 벤더에게서 각각 동종 최고의 보안 시스템을 구입하는 경향은 커뮤니케이션 문제를 유발하기도 한다. 이 경우 보안 분석가는 회사의 보안 상태를 한눈에 파악하지 못하고 여러 시스템을 다루는 방법을 익혀야만 한다.

보안 벤더 스렛트랙 시큐리티(ThreatTrack Security)의 최고 제품 책임자인 어스만 초드리는 "계층별 보안이 주는 이점에 비해 필요한 투자가 지나치게 커질 수 있다"고 지적했다.

특히 초드리는 "공통적인 데이터 분류 체계가 없는 여러 시스템을 다루면서 사후에 데이터를 상호 연계할 방법을 모색하는 기업은 보안 공백에 직면할 수 있다"고 말했다. 긍정 오류(false positives)과 부정 오류(false negatives) 즉, 오탐을 처리하는 데 필요한 시간도 늘어난다.

초드리는 "이런 계층별 보안의 과제가 사이버 위협 탐지 및 완화 측면에서 큰 문제이며 최근 발생하는 많은 침해 사건의 근본적 원인"이라면서, "공격자들은 이런 문제를 잘 안식하고 보안 솔루션의 공백을 악용하는 경우가 많다"고 경고했다. editor@itworld.co.kr