수년전에는 보안 예산이 늘 후순위로 밀려났던 시절도 있었지만, 지금은 다양하고 빈번한 대규모 DDoS 공격이나 해킹사건을 통해 사회적 이슈로 부각되면서 보안 관련 예산은 우선순위로 승인을 받아 투자를 할 수 있게 됐다. 보안인력 확충과 위상 역시 높아지고 있다.
경영자들은 우선순위에 따른 투자와 준비를 해온 만큼 내부 보안은 자신이 있다고 생각하고 있다. 우리만큼은 아무 문제가 없다고 믿고 있는 것이다. 반면 보안 담당자들은 예산을 받아 도입, 구축은 했는데 공격다운 공격이 없어서 검증할 기회가 없었던 것이 한편으로는 불안하기도 하다.
“사고 없었다고 무관심하면 큰 코 다친다”
몇 번의 DDoS 공격이나 해킹이 있었고, 제대로 방어를 하고 윗분들에게 칭찬도 받고 구축에 문제점이 없다는 검증을 받았으면 좋았으련만 아무 일이 없었다는 게 보안 위협에 대한 대책을 완벽하게 준비해서 일까, 아니면 잠재돼 있는 것일까 무척 궁금해진다. 사고를 한번이라도 경험한 곳은 두 가지 부류일 텐데 첫째는 무엇이 문제였는지 파악하고 조치를 취한 곳이고, 둘째는 무엇이 문제였는지 조차 파악하지 못하고 넘어간 곳이다.
어찌됐든 아마도 이 두 부류 모두 어떤 형태의 보안 관련 장비들을 갖추고 있었을 것이다. 첫 번째 경우는 사후약방문이라도 보안을 강화할 수 있어 다행이지만 두 번째 경우는 다시금 깊은 고민에 빠져야 할 것 같다. 문제가 있었거나 없었거나 예산을 확보해 투자를 안 하자니 불안하고 하자니 어떻게 할지 고민스럽기 때문이다.
그래도 이맘때면 보안에 대한 관심을 지속적으로 높이기 위해 보안 기업들은 저마다 보안 위협과 이슈를 발표하고, 예상되는 새로운 위협들을 분석해 내놓고 있다. 그나마 보안의 트렌드를 이해하고 고민을 해결하는데 도움이 될 수 있어 다행이다. 어떤 곳에 투자를 해야 할지, 예측되는 보안 위협과 이슈는 무엇인지 다양한 루트를 통해 정보를 파악하고 준비를 할 수밖에 없다. 사고가 없었다고 무관심하다가 한번 터지면 대형사고로 이어질 수 있기 때문이다.
“보안 장비 유기적 연동·상호 보완 작용 살펴야”
많은 발표들 중에서 보안 위협의 고도화 및 대규모화를 필두로 APT 공격과 악성코드 관련 이슈가 예상되는 위협들로 가장 많이 오르내리고 있다. 이런 것들을 해결하기 위해 그동안 도입됐던 방화벽, IPS, 그리고 각종 서버 보안, 정보유출 방지, 접근제어, DB 보안, 네트워크 보안, 웹 보안, APT 보안 등등 많은 종류의 보안 장비들이 유기적으로 잘 연동되며 상호 보완 작용을 하고 있는지 확인해 볼 필요가 있다.
트래픽 흐름을 손금 보듯이 알고 있다면 새로운 형태의 보안 위협을 예방하는데도 많은 도움이 될 것이다. 이런 자문은 해보는 것은 어떨까?
Q: 조직의 보안 상태를 정확히 파악하고, 이를 통해 경영진을 설득하고 문제 발생 시 해법을 알고 있으며, 이해시킬 수 있는 방법을 알고 있는가?
Q: 네트워크, 서버 등 내부 자원이 공격당하면, 이를 알아차리고 적절한 대응을 할 수 있는 보안제품이 준비돼 있는가 아니면 알아차리지도 못하고 있는 것은 아닌지 모의훈련 등을 통해 확인은 해보았는가?
Q: 과도하게 편향된 보안 솔루션만 구축하고 있는 것은 아닌가?
Q: 보안 솔루션들이 유사시 제대로 동작을 할 것인지 딱 설정된 만큼만 기능이 구현되고 사용돼 문제를 해결하지 못하는 것은 아닌가?
Q: 보안 하드웨어/소프트웨어, 통합에 많은 투자를 단행했지만 여전히 불안하고 공격당하면 문제가 발생할 것 같은 생각이 들고, 이를 해결하기 위한 방법은 무엇인가?
Q: 해킹 당한 것 같은데, 실제로 어떤 일이 일어났는지 파악하고 분석할 수 있는 충분한 데이터와 분석 툴을 가지고 있는가?
현재 구축돼 있는 보안 솔루션의 효율적인 운영을 통해 효과를 극대화하는 방안을 마련하는 것이 시급하다. 대부분 보유한 보안 솔루션들은 개별적인 특정 위협을 처리하는 데 중점을 두고 있다. 이런 보안 솔루션들은 보안 상황을 총체적으로 인식하지 못하며, 위협에 대한 컨텍스트 정보를 충분히 제공하지 못한다. 보안 솔루션이 제공하는 로그는 벤더가 의도하는 방향으로 왜곡되고, 설정오류를 야기할 수 있어 결과적으로 잘못된 대응 방안임에도 불구하고 만족하고 있을 수도 있다.
“보는 것이 믿는 것이다”
요즈음 대부분의 차량에는 블랙박스가 설치돼 사고 당시의 정신없는 급박한 상황에서도 원인과 잘잘못을 정확히 파악할 수 있다. 이처럼 우리가 눈으로 직접 본다는 것은 분석이 가능하고, 분석이 가능하면 대응과 예방도 가능할 수 있다.
새해에는 다양한 기기들이 다양한 형태로 인터넷을 항해할 것이다. 대부분의 스마트 기기들이 새로운 공격 형태의 진원지가 될 수 있다는 예측도 가능하다. 이러한 변화를 총체적으로 점검하고 운영하는 효율적인 방법이 무엇인지부터 생각해 보면 ‘보는 것이 믿는 것이다(Seeing is Believing)’라고 할 수 있다.
많은 보안 장비를 들여놓고 철저히 집안 단속을 했다고 믿었던 이웃집들이 털렸다는 소식을 접할 때마다 가슴이 철렁 내려앉는 좌불안석에서 벗어나보자. 보안 사고는 터지기 전에는 관심을 받지 못하다 사고가 터진 이후에야 원인 파악과 대응 방안을 마련하느라 정신없이 분주해 진다.
보안 위협에 대해 모두들 ‘안녕하십니까?’라는 질문에 당당히 ‘예스’라고 대답을 할 수 있고, 보안 사고가 없는 2014년 한해가 되길 기대해 본다.
