보안은 그 자체로 하나의 전문 분야이긴 하지만, 모든 사람의 인식과 생활 습관까지도 침범해야 합니다. 그러려면 전면에 나서거나 존재감이 강력해서는 안 됩니다. 침습적이지 않아야 무리없이 스며들 수 있기 때문입니다.
10년 전만 해도 CIO들에게 있어 사이버 보안이란 중요도에 있어 순위가 꽤나 밀리는 것이었습니다. 오늘 날? 사정이 크게 달라졌습니다. 이제 보안은 CIO들을 항상 궁금하고, 심지어 안절부절하게 만드는 것입니다.
왜? 간단히 말해 세상 모든 것이 ‘디지털’로 전환되었기 때문입니다. 기존에 있던 것들이 디지털로 변하면서 할 수 없었던 것들이 이뤄지고, 할 수 있던 것들의 효율성과 속도가 높아졌지만, 위협들도 증가했습니다. 예를 들어 OT와 IT가 융합하면서 공장과 발전소와 같은 시설들을 관리하고 운영하는 게 훨씬 편리해졌습니다. 하지만 전에 없던 ‘해킹 공격’이라는 위협에 시달리게 되었습니다. OT와 IT의 융합 이전에는 여러 공장을 멀리서, 한꺼번에 공격하는 게 무척이나 어려운 일이었는데, 이제는 그렇지 않습니다.
[이미지 = freepik]
CIO들이 보안에 큰 관심이 없었던 때 기업들은 이른 바 ‘외곽 경계식 보안’에 집중했었습니다. 네트워크의 가장 바깥 쪽을 주시하면서 수상한 것이 침투하는지 안 하는지 지켜보고 처리하는 식이었습니다. 지금은 점점 더 많은 조직들이 ‘경계선 없는 보안’으로 옮겨가고 있습니다. 그도 그럴 것이 팬데믹 때문에 임직원들이 집으로 흩어지면서 ‘네트워크의 외곽 경계’라는 개념이 더 이상 유효하지 않게 되었습니다. 외곽 경계선만 쳐다보다가는 놓치는 것이 더 많아지게 됩니다.
그렇다는 건 보호의 영역이 명확하게 정의되지 않는다는 뜻이 됩니다. 직원들은 언제 어디에서나 일정하지 않은 형태로 회사 네트워크에 접속해 일을 하며, 심지어 회사 장비나 애플리케이션이 아닌, 다른 것들을 사용하기도 합니다. 기업 입장에서는 그러한 작업 방식을 지원해줘야 생산성이 올라가기 때문에 막기 힘듭니다. 대신 이런 환경에서 일어날 수 있는 모든 시나리오를 상정해 보호할 수 있어야 합니다. 편리함과 안전함, 그 어느 것 하나 놓칠 수 없게 된 것입니다.
그러므로 ‘두 마리 토끼를 모두 잡는다’는 것이 지금 모든 CIO와 CISO들의 지상과제라고 할 수 있습니다. 보안 기능이 전체를 아우르고, 모든 세부 요소에까지 영향을 미치도록 하되 ‘금지’와 ‘제한’과 같은 접근법만을 고집해서는 안 됩니다. 무슨 말이냐면, 보안이 보이지 않는 곳에서 강력한 기능을 발휘해야 한다는 것입니다. 이 ‘보이지 않는 강력함’을 어떻게 구현할 수 있을까? 보안 인식, 설계, 기술, 프로세스 자동화가 필요합니다.
보안 인식과 설계
‘보이지 않지만 강력한 보안’을 도입하고자 한다면 제일 먼저 보안 인식을 강화해야 합니다. 이제 ‘보안 중요한 거 다 알지’만으로는 충분하지 않은 시대입니다. 보안 정책만으로도 충분하지 않다. 보안 제어 장치들만으로도 충분하지 않습니다.
게다가 이런 것들은 전면에 배치돼 눈에 띌 수밖에 없는 것들입니다. 눈에 띄지 않으려면 일반적인 업무 프로세스나 로그인 아키텍처에 이미 녹아들어가 있어야 합니다. 설계에서부터, 그리고 업무를 평소처럼 진행하는 데에 있어 보안의 요소들이 기능을 발휘해야 한다는 것입니다. 보안에 대해서 한 번쯤 들어본 것을 넘어 보안을 바탕에 깔아두고 자기 일을 할 수 있는 사람들이 이런 시스템의 효과를 극대화 합니다.
장기적인 관점에서 보다 분업화 되어 있고 복구력이 높은 환경을 설계하여 구축하는 것도 중요한 일입니다. 표현이 좀 모호하긴 한데, 제로트러스트나 마이크로세그멘테이션과 같은 보안 전략을 도입하는 것을 말합니다. 이 부분에 있어서 전문가가 있어야 하는데, 요즘 인재 구하는 게 워낙 어렵기 때문에 외부 파트너라도 만들어 두는 것이 좋습니다.
[이미지 = freepik]
기술과 자동화
사람들에 대한 교육, 인재 찾기, 환경 설계는 좀 더 ‘큰 그림’의 차원에서 이뤄지는 것들입니다. 우리는 작은 것들도 놓칠 수 없습니다. 지금 당장 우리가 연결되어 있는 네트워크 환경은 위협과 경보가 바다처럼 쌓인 곳입니다. 장기적인 계획을 이뤄가는 것도 좋지만, 매일처럼 끝도 없이 쌓이는 이 위협과 경보도 해결해야 합니다. 이를 할 수 있게 하는 것이 기술과 자동화입니다. 더구나 네트워크의 경계선이 사라진 지금 상황에서 위협과 경보, 그 외에 모니터링 해야 할 것들은 기하급수적으로 늘어났으니 이제 기술과 자동화는 필수라고 말해도 무방합니다.
인공지능과 같은 기술을 도입해 경보를 확인하고 거르는 건 조만간 모든 조직들 내에서 이뤄져야 할 일이 될 것으로 예상됩니다. 보안 인력을 아무리 늘린다 해도, 점검하고 고치고 모니터링해야 할 것의 양이 수동 작업으로는 감당할 수 없는 시점에 이르렀기 때문입니다. 능동적으로 취약한 부분을 찾아내고, 비정상적인 행동을 파악하고, 가시성을 높이고, 시간 낭비를 줄여 심층 분석과 통찰 발견에 집중할 수 있으려면 인공지능, 자동화, 오케스트레이션과 같은 기술이 조합되어야 합니다.
즉각적인 대응
보안 사건이 발생할 경우, 최대한 빠르게 대응하는 것도 중요합니다. 그러려면 올바른 결정을 실시간에 가깝게 내릴 수 있어야 합니다. 여기에도 IT 기술이 중요한 역할을 할 수 있지만, 아직까지 ‘빠른 대응’을 가능하게 하는 가장 효과적인 방법은 ‘시나리오 마련’과 ‘그에 따른 훈련’입니다. ‘해커라면 우리 회사를 이렇게, 이런 목적을 가지고 공격할 것’이라는 예상 시나리오가 있는 것과 없는 것은 하늘과 땅만큼 차이가 큽니다. 운동 선수나 프로 게이머들이 놀라운 반사신경을 보여줄 수 있는 건, 재능 때문이기도 하지만 ‘미리 다음 상황을 예상하기 때문’이기도 합니다.
미리 예상된 일이 일어나고, 심지어 그 예상 시나리오에 따라 움직이는 법을 훈련까지 했을 때 사람들은 보다 침착하고 차분하게 움직일 수 있고, 그럼으로써 상황이 악화될(지연될) 가능성을 낮출 수 있습니다. 그리고 이런 시나리오 마련과 훈련 속에서 보안은 자연스럽게 조직원들 안으로 내재되고, 그러므로 보이지 않는 곳에서 힘을 발휘할 수 있게 됩니다.
보안을 보이지 않게 만든다는 건, 보안을 소홀히 한다거나 예산을 줄인다거나 하는 뜻이 아닙니다. 오히려 더 편만하게 퍼트려 모든 영역을 보안 안에 두겠다는 말입니다. 비슷한 표현으로는 보안의 문화화나 보안 위생과 같은 것들이 있습니다. 보안이 전면에 드러나 개발과 운영을 가로막았던 때가 있었고, 아직도 그 잔존들이 있지만, 지금은 숨어드는 보안의 시대로 가는 때입니다.
출처 : 글 : 수디르 레디(Sudhir Reddy), VP, Capgemini, 보안뉴스정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단