▲ 이보성 미라지웍스 PI팀 상무

[컴퓨터월드] 2014년 새해 첫 달부터 큼직한 보안 사고가 터졌다. 신용카드회사가 보유한 고객정보를 외부 개발 용역 직원이 USB에 담아 유출시킨 사태가 발생한 것이다. 비록 외부 공격을 받아 뚫린 것이 아닌 내부자 소행으로 인한 것이었지만, 해당 사고가 사회에 미치는 파장은 컸다.

무려 1억 건이 넘는 고객정보가 유출됐다. 유출된 정보들의 항목도 고객 성명과 주민번호, 휴대전화번호 등 개인 인적사항에서부터 결제계좌정보, 카드번호, 신용등급 등 금융정보에 이르기까지 너무나 상세했다. 이로 인해 고객정보가 유출된 카드사 대표들이 대국민사과를 하고, 임원진들이 일제히 사퇴하는 등 이전에는 볼 수 없었던 풍경들이 연출되기도 했다.

한 번 보안 사고가 터지면 그와 관련된 솔루션을 가진 보안 업체들에게 호재로 작용하기도 한다. 해당 사고가 재발하는 것을 방지하기 위한 솔루션 도입이 의무화되거나 권장되는 추세가 되기 때문이다. 실제로 지난 2009년 발생했던 7·7 디도스(DDoS) 공격 이후에는 디도스 방어 장비가 많은 인기를 끌었으며, 지난해 많은 파장을 일으켰던 3.20 전산대란 이후에는 지능형 지속 위협(Advanced Persistent Threat, APT)을 대비하기 위한 솔루션이 큰 주목을 받았었다. 그렇기에 이번 보안 사고 이후 내부정보 유출방지 솔루션이나 DB접근제어와 같은 솔루션이 주목받을 것이라는 예상도 충분히 해볼 수 있는 상황이다.

그러나 보안 사고가 발생했다고 해서 무조건 보안 솔루션부터 도입하는 것은 잘못됐다는 목소리를 내는 사람이 있다. 바로 이보성 미라지웍스 상무다. 이 상무는 “보안 솔루션을 도입하기에 앞서 현업 사용자들의 의견을 들어보라”는 의견을 펼치며 솔루션부터 도입하고 보자는 식의 보안 정책에 대해 우려를 표명한다. 이 상무를 만나 보안 정책을 위해 필요한 것은 무엇인지, 또 왜 그래야 하는지에 대해 들어본다. 

항공우주공학박사, 보안을 논하다

“저는 보안 전문가가 아니기 때문에 보안과 관련된 인터뷰에 적합하지 않을 지도 모릅니다. 또 보안 쪽은 워낙 전문가가 많기 때문에 제가 이렇게 말씀을 드리는 것이 맞는 지도 잘 모르겠습니다.”

많은 사람들이 자신의 직종과 무관한 곳에서 일한다고는 하지만, 이보성 미라지웍스 상무는 그 어느 사람들보다도 이력이 특이하다. 항공우주공학박사 출신으로 슈퍼컴퓨팅과 관련된 일을 하다가 SI 기업에서 컨설팅도 수행했다. 그리고 현재 소속은 보안 업체다. 어떻게 보면 그 어느 하나도 연관성이 없어 보이는 흐름이다. 본격적인 인터뷰에 앞서 이 상무는 “제가 말씀드리는 부분은 사용자 입장에서 보는 보안입니다”라며 운을 뗐다.

“지난 2000년대 중반, 저는 모 중공업 회사가 시행하는 프로젝트에 컨설턴트로서 참여했습니다. 그 중공업 회사는 조선 협력업체와 일을 하면서 보유하고 있던 설계도면 유출을 방지하기 위한 프로젝트를 진행했습니다. 처음 해당 일에 대해 잘 몰랐던 나머지, 모든 설계도면에 대해 보안 정책을 적용하며 설계도면이 유출되지 않게끔 하려고 노력했습니다. 그러나 저는 이내 그것이 잘못된 것임을 깨달았습니다. 실제로 꼭 지켜야 하는 것은 핵심 기술을 담은 설계도면들입니다. 그에 비해 어떤 설계도면들은 이미 어느 정도 업계에서 공유되고 있는 것이기 때문에 굳이 보안 정책을 적용하지 않아도 됩니다. 이것을 몰랐던 채 모든 설계도면에 대해 보안정책을 수립한 결과 실제 설계도면을 가지고 업무를 보는 사람들에게 불편함을 끼쳤던 기억이 납니다.”

이 상무는 해당 프로젝트를 그만 두면서, 당시 새롭게 등장하고 있던 가상화 기술을 접하게 됐다. 그리고 비록 업무를 수행하지 않게 됐지만 가상화 기술을 도입함으로써 설계도면 유출을 방지할 수 있을 것이라고 여겼다. 이후 가상화와 클라우드 기술을 이용한 보안솔루션에 대해 관심을 가지게 됐고, 그 결과 해당 솔루션을 보유한 보안 업체 미라지웍스에 합류하게 된 것이다.

보안 정책 적용, 사용자 의견 반영 필요해

대부분 기업들은 보안 정책을 수립할 때 일부 경영진과 보안 담당자들이 모든 것을 결정하는 경우가 많다. 일단 보안 필요성을 위해서 도입을 해야 하다 보니 일괄적으로 정책을 적용하게 되고, 그 결과 굳이 보안 정책이 필요 없는 사용자들도 영향을 받음으로써 업무 효율성이 저하되는 것이다.

“실제로 보안 정책을 적용했을 경우 사용자들이 일하기 어려울 정도로 힘든 솔루션들이 존재합니다. 이는 어쩔 수 없는 것입니다. 보안은 효율성보다 안전성을 중시하기 때문입니다. 업무상 불편이 생기다보면 사용자들은 자신들에게 적용된 보안 정책을 풀어줄 것을 보안 담당자에게 요구하게 됩니다. 만약 보안 정책이 풀리지 않을 경우 사용자들은 경영진에게 업무 효율성이나 성과가 떨어진다고 보고하게 됩니다. 이렇게 되면 비록 경영진의 승인 하에 보안 정책이 적용됐다고 해도, 업무 효율성이나 성과를 더 중시하는 경영진의 입장 상 보안 정책을 풀어줄 수밖에 없습니다.”

그렇기 때문에 이 상무는 ‘설계도면 유출방지’ 프로젝트를 교훈삼아 보안 정책을 수립할 때 실제 현장에서 업무를 보는 사용자들의 의견이 반영돼야 한다고 말한다. 만약 많은 비용을 들여 도입한 보안 솔루션과 정책이 이런 이유로 인해 폐기되거나 무용지물이 된다면 그만큼 기업 입장에선 손해일 수밖에 없다.

“앞선 사례를 방지하기 위해서라도 사용자들의 의견이 프로젝트 때부터 반영되어야 하는 것입니다. 그러나 실제는 어떻습니까? 보안 프로젝트를 진행할 때 현업에서 일하는 사용자들의 의견을 반영하는 경우가 거의 없습니다. 그나마 하는 것도 보안 정책을 적용한 이후 써보니 어떠하다 정도의 피드백을 받는 경우입니다. 그러다보니 실제 현업 상황과 맞지 않는 보안 정책이 적용되는 경우도 있습니다. 보안 담당자 입장에서는 중요하다고 생각하는 것이 현업에서는 다른 방식으로도 처리가 가능한 것들도 있습니다. 이런 것들이 파악되지 않은 채 진행되는 보안 프로젝트가 성공할 수는 없는 것입니다.”

보안 정책, 프로세스를 따져라

시간이 갈수록 해킹을 비롯한 보안 위협들이 점점 강력해지고 있지만, 그에 못지않게 보안 솔루션과 기술 수준들 또한 높아지고 있다. 백신 프로그램들은 하루가 멀다 하고 DB를 업데이트하고 있으며, 매체 제어 기술이나 각종 보안 정책들도 발전하고 있다.

그러나 이런 발전에도 불구하고 보안 사고가 빈번한 이유는 무엇일까? 줄곧 사용자 입장에서 보안을 바라봐왔던 이 상무라면 이에 대한 해답도 새로운 시각으로 고민했을 것이라는 기대감이 들었다.

“아마도 가장 큰 문제점은 보안을 통합 아키텍처 관점에서 바라보지 않고, 특정 솔루션을 도입하는 것 위주로만 생각했기 때문이라고 봅니다. 망분리를 예로 들어보겠습니다. 망을 분리한다는 것은 내부를 외부로부터 분리하여 외부 침입을 막겠다는 것입니다. 그러면 망분리를 했을 경우 과연 안전하냐? 꼭 그렇지만은 않습니다. 이번 카드사 고객정보 유출 사건만 봐도 고객정보는 외부 침입으로 인해 유출된 것이 아닌 내부 용역 직원이 유출시켰습니다. 망분리를 함으로써 외부 침입에 대비를 했으면, 내부망에 대한 보안도 같이 고민을 해야 합니다. 쉽게 말해서 어떤 보안 솔루션을 도입했기 때문에 안전하다는 생각을 갖는 것이 아니라 취약한 곳이 어디인지 지속적으로 고민하면서 그 부분을 강화하기 위한 노력을 기울여야 할 필요가 있다는 것입니다.”

또한 이 상무는 보안 솔루션을 도입하는데 있어서도 프로세스를 따져야 한다고 말한다. 한 번에 모든 것을 다 하려 하기 보다는 단계별로 진행해야 한다는 것.

“보안에 대해 잘 모르는 경영진은 특정 보안 솔루션을 도입하면 다 방어할 수 있는 것으로 생각하는 경우가 종종 있습니다. 그렇다고 해서 해당 보안 솔루션을 빨리 도입하는 것도 아닙니다. 검토하는데 시간도 많이 들어갑니다. 이는 결코 바람직한 것이 아닙니다. 글로벌 기업들이나 규모가 큰 대기업 같은 경우는 조금 다릅니다. 어떤 보안 솔루션을 도입해도 100% 다 막을 수 있다고 보지 않습니다. 그렇다면 왜 도입하느냐? 보안 솔루션을 도입하지 않으면 0% 이지만, 보안 솔루션을 도입했을 경우 30% 정도는 보안 수준이 올라가기 때문입니다. 보안에서 중요한 것은 프로세스에 따라 우려되는 것부터 먼저 대비를 하는 것입니다. 가상 시나리오를 작성하여 해킹에 대한 대비뿐만 아니라 물리적인 보안까지 결합한다면 더 높은 보안 수준을 달성할 수 있을 것입니다.”

더 나은 보안 위해 사례 공유 필요

이 상무는 보안 사고가 발생했을 때 보안 담당자들이 해당 사실을 감추려 하는 것에 대해서도 다른 견해를 보였다. 오히려 보안 사고 사례들을 수집하고 정보를 공유하면서 그와 같은 보안 사고들을 막을 수 있는 방안이 업계 차원에서 논의가 되었으면 좋겠다는 것이 이 상무의 생각이다.

“보안 사고가 발생하면 보안 담당자들은 해당 사실을 감추려 하는 경향이 있습니다. 보안은 다른 부분들에 비해 민감하기 때문에 그럴 수 있다고 봅니다. 그러나 개인적으로는 가급적 보안 사고 사례들을 모아서 유형을 DB화 시키는 것이 좋다고 생각합니다. 정보를 공유함으로써 업계가 공동으로 대응 방안을 마련하고, 실제 보안을 담당하고 있는 사람들이 우려하는 점들을 모으고 한다면 더 나은 보안 대책들이 수립될 수 있을 것입니다.”

또한 이 상무는 보안 사고 사례 이외에도 실제 활용되고 있는 우수한 보안 정책 사례(Best Practice) 등을 공유하여 표준적인 매뉴얼을 만드는 것도 권장했다.

“어떤 게임 회사가 있습니다. 그 게임 회사는 보안 담당자보다 운영 담당자가 보안 정책 설정을 더 잘 하고 있습니다. 실제로 외부 인터넷망과 개발망, 금융망, 관리자용 서버 등을 모두 다 분리해놓은 것입니다. 그러면서 일정 부분은 가상화를 통해 망을 합쳐서 관리하기도 합니다. 이런 사례는 정말 잘하고 있는 우수 사례입니다. 비록 게임 회사 사례지만 보안에 있어서 기본적인 유형은 같기 때문에 업종이 다른 곳에서라도 언제든 통용될 수 있습니다.”

인터뷰가 끝나갈 즈음, 이 상무는 “보안은 3분만 버티면 되는 자물쇠와 같다”고 말했다. 도둑이 열 수 없는 자물쇠는 없지만, 하나의 자물쇠에 3분 이상을 허비하지 않기 때문이라는 것이다. 도둑이 정말 털어야겠다고 마음먹은 곳이 아니라면 3분 동안 하나의 자물쇠를 따는 대신, 조금 더 허술한 곳을 노리는 것이 시간으로 보나 드는 수고로 보나 더 낫다는 판단을 한다는 것이다. 이 상무는 자물쇠가 언젠간 열리게 되듯이 100% 완벽한 보안은 없기 때문에 최대한 허술한 곳을 보완하고 공격자가 쉽게 들어올 수 없도록 전체적인 수준을 올리는 것이 중요하다고 거듭 강조했다.

“많은 이들이 보안을 고민할 때 비용에 대해서도 고민하지만, 사용자 편의성에 대해서도 꼭 고민을 해야 합니다. 그러기 위해서는 사용자가 직접 보안 프로젝트에 참여해야 합니다.”