실시간 뉴스



[강은성의 CISO 스토리]보안시스템 – 구슬도 꿰어야 보배


요즘 보안에 관심이 높아지면서 좀 규모가 있는 기업에서는 웬만큼 보안투자를 하고 있는 것 같다. 서버가 인터넷데이터센터(IDC)에 있다면 IDC에서 제공하는 보안서비스를 받기도 하고, 산업기밀이나 고객정보의 유출을 방지하기 위해 내부정보 유출방지 솔루션을 도입하기도 한다. 백신(안티바이러스) 소프트웨어를 설치하는 건 이제 상식이 되었다.

가상사설망(VPN), 접근차단시스템(네트워크 방화벽), 웹방화벽, L7방화벽, 유해사이트차단, 통합위협관리(UTM, Unified Threat Management), 접근탐지시스템(IDS, Intrusion Detection System), 접근방지시스템(IPS, Intrusion Prevention System), 네트워크취약점 스캐너, 시스템관리(SMS), 디도스(DDoS) 방어 솔루션, APT 방어 솔루션, 무선접근방지시스템(WIPS, Wireless IPS), 암호화, DB접근제어, DB암호화, 통합로그관리, 통합계정관리, 전사보안관리(ESM, Enterprise Security Management), 통합인증(SSO, Single Sign On), 시큐어코딩, 안티바이러스, PC매체제어, 개인정보 검사 및 암호화, 내부정보유출방지(DLP, Data Loss Prevention), 문서보안시스템(DRM, Digital Right Management), 네트워크접근제어(NAC, Network Access Control), 이동단말관리(MDM, Mobile Device Management), 일회용 비밀번호(OTP, One Time Password) 생성기, 패치관리(PMS, Patch Management System), 키보드보안 들 중 몇 개의 솔루션들은 구매해서 쓰고 있을 것이다.

CEO들 중에는 아직도 백신 하나면 모든 보안이 해결되는 것으로 아는 분들이 있다. 방화벽 도입 승인을 한 뒤 "이제 보안은 다 된 거지?" 하며 보안담당자에게 묻는 분들도 있다고 한다. 분명한 건 만병통치약은 없다는 사실이다. 게다가 도입한 보안시스템이 제대로 작동하지 못하면 기업의 예산을 허비한 결과가 될 뿐 아니라 해결하고자 했던 기업의 보안위험도 그대로 존재하게 된다.

(객관적으로 조사한 자료는 못 찾았지만 어쩌면 생각보다 훨씬 많은 보안시스템이 제 몫을 다하지 못하고 있을 가능성이 상당히 있다)

그러면 도입한 솔루션을 백퍼센트 활용하기 위해서는 어떻게 해야 할까?

(1) 무엇보다도 역량있는 인력이 필요하다.

비싼 외제차를 사 놓고 자신의 차를 무면허 운전자에게 운전시키는 CEO는 없을 것이다. 보안전문 인력 없이 보안시스템을 도입하는 것이 그런 꼴이다. 보안전문인력의 관리 없이 보안시스템 운영을 몽땅 외부인력에게 맡기는 것도 마찬가지다. 무엇보다 역량있는 보안인력을 확보해야 한다.

(2) 보안위험을 줄일 수 있는 보안시스템 규칙(rule)을 설정해야 한다.

귀중품이 많은 집에 신기술이 적용된 비싼 도어락을 설치하고도 문을 잠그지 않으면 어떤 결과가 벌어지는지 우리는 안다. 규칙이 잘못 설정된 보안시스템은 집의 문을 잠그지 않는 것과 같다. 뛰어난 보안인력이 있다 하더라도 보안조직의 권한 부족, 실무부서 사이의 정보공유 부족 등으로 규칙 설정이 제대로 되지 않는 경우도 있다. 고위직책자들이 해결해 줘야 할 일이다.,

(3) 로그 점검, 규칙 점검과 개선 등 지속적인 관리가 되어야 한다.

보안시스템은 규칙에 포함되는 이벤트가 발생하면 설정에 따라 차단, 경고, 기록(logging) 등의 행위를 한다. 주기적으로 로그를 점검하여 이상징후를 발견하면 후속조치를 할 뿐 아니라 규칙에 대해서도 개선할 점은 없는지, 예외를 없앨 시기가 되지는 않았는지 등을 꾸준히 살펴야 한다. 또한 문제 행위를 한 구성원이나 조직과 소통함으로써 유사 행위의 예방 효과를 얻을 수 있다.

보안업무의 70~80%는 운영업무이다. 보안시스템 관련 업무는 특히 그렇다. 기업에 도입한 다른 시스템과 달리 보안시스템은 경영진의 눈에 잘 띄지 않기 때문에 관심이 많이 떨어진다. 이것을 챙겨야 할 사람이 바로 정보보호최고책임자(CISO)들이다.

도입 때부터 반드시 운영을 위한 인력(M/M)과 운영방안을 살펴 보고, 운영단계에서 보안시스템이 제대로 활용되고 있는지 점검해 보도록 하자. 보안시스템의 세부 규칙을 알기 어렵다면 훌륭한 리더의 덕목인 좋은 질문을 해 보도록 하자. 다음은 몇 가지 질문 팁이다.

■ 악성코드 감염이 많이 되는 상위 5개 개인이나 팀의 업무 패턴의 문제는 없나?

■방화벽의 규칙은 운영 서버에서 고객정보 유출이 차단될 수 있도록 설정되어 있나?

■ 웹방화벽의 규칙은 보호하려는 모든 웹 서비스에 대해 공격을 차단할 수 있도록 설정되어 있나? 새로운 웹 서비스가 출시될 때 웹방화벽에 출시 전에 추가되고 있나?

■ DB접근제어시스템의 규칙은 일정 규모 이상의 개인정보유출을 탐지하거나 차단할 수 있도록 설정되어 있나? 주기적인 로그 점검을 통해 유출 징후를 발견하고 있나?

■ 보안시스템에 적용한 예외사항은 목적에 맞게 한시적이고 제한적으로 제공하고, 해당 시점에 회수하고 있나?

구슬이 서 말이라도 꿰어야 보배라는 우리 속담이 있다. 아무리 좋은 보안시스템을 도입했다 하더라도 그것의 정책을 세부적으로 잘 정하고, 로그 점검 등 이상 징후를 발견하기 위한 일상적인 활동을 할 때에만 보안시스템이 빛을 발하고, 기업의 보안위험을 줄여 나갈 수 있다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리]보안시스템 – 구슬도 꿰어야 보배

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스