보안은 현실을 다루는 분야다. 교과서에 나오는 이론들이라는 것도 존재하고 중요하지만 실전적이지 않으면 안 된다. 이상론이 우리를 지배하게 두어서는 안 된다.
[보안뉴스 = 맷 미들턴리얼 사업 총괄, Qualys] 정보 보안 담당자들은 정말로 모든 것을 관리하고 신경 써야 하는 사람들로 변하고 있다. 아무리 하찮아 보이는 문제라도 어느 덧 원격 코드 실행 공격의 통로가 되기도 하고, 공격자들이 몰래 들어와 자기 집 안방처럼 드나드는 계기가 되기가 되기도 한다. 여기서 말하는 ‘사소한 문제’는 모든 영역, 모든 처소에 널려 있기 때문에 요약도 안 되고 풀어쓰는 것도 불가능하다. 보안 담당자들이 번아웃에 시달리는 것도 당연하다.
[이미지 = gettyimagesbank]
보안 팀들은 조직의 보안과 관련된 모든 일들에 먼저 책임을 지게 되는데, 이 때문에 같은 IT 부서에 속해 있다 하더라도 나머지 IT 인력들과는 완전히 다른 사고방식을 가지고 있다. 마크 저커버그(Mark Zuckerberg)의 “빠르게 움직이고 기존의 것들을 깨부셔라”라는 말부터 에릭 라이즈(Eric Ries)의 “최소한의 것만 갖춘 스타트업과 제품” 이론까지, 보안을 제외한 IT 분야의 모든 사람들은 빠르게 움직이고 얼른 성과내는 것 자체에 혈안이 되어 있다는 것을 알 수 있다. 앞으로 나아가기만 하면 된다는 것이 이들의 기본 가치관이다.
하지만 여기에 순응해서는 안 되는 게 보안 담당자들의 입장이다. 빠르게 치고나가려는 사람들이 놓치기 쉬운 것들이 너무 많고, 그 중 적잖은 비중을 ‘규제’가 차지하고 있기 때문이다. 즉, 속도전의 분위기에 휩쓸리면 조직 전체가 규정을 위반하게 되고, 이것이 무시무시한 벌금으로 돌아오게 된다는 것이다. 그럼에도 이런 ‘치고나간다’ 위주의 사고방식에서 배울 것이 있기도 하다. 특히 ‘최소한만을 갖춘 제품(minimum viable product, MVP)’을 응용한다면 보안에는 ‘최소한의 규정 준수(minimum viable compliance, MVC)’가 있을 수 있다.
MVC는 무엇을 말하는가?
MVC는 사실 이름이 이렇게 공식적으로 붙어 있는 건 아니지만 이미 여러 조직들의 보안 담당자들이 실행하고 있는 것이다. 벌금을 내지 않을 정도로만, 딱 그만큼만 규정을 지키는 것을 말한다. 하지만 그렇게 했을 때, 보안이 실질적으로 강화되는 게 아니라는 사실이 여러 번 입증되면서 MVC의 수위가 조금 더 올라갔다. 조직이 가장 효율적인 선 안에서 강화될 수 있는 수준을 지키는 게 MVC로 서서히 인식되고 있다. ‘효율적이면서 충분히 강한 보안’을 구축하려면 반드시 지켜야 하는 것들의 순위를 이해하고, 우리 조직에 적용될 규정들에 어떤 것들이 있는지 빠짐없이 알고 있어야 한다.
자산 관리를 하려면 ‘이상적으로는’ 관리의 권한 아래 있는 자산들을 빠짐없이 알고 있어야 한다. 커버리지가 높아야 한다는 것이다. 그렇지 않으면 관리자로서의 책임을 다 할 수가 없다. 보안 담당자도 마찬가지다. 조직 전체에 적용되는 보안 규정을 다 알지 못하고, 지켜야 할 것들을 다 파악하지 못하면서 제대로 된 보안 담당자라고 할 수 없고, 그런 보안 담당자 밑에서 조직이 안전하다고 말하기는 더더욱 힘들다. 하지만 실제 자산 관리자나 보안 담당자나 모든 것을 100% 알고 이해하는 게 가능하긴 할까?
물론 다 알고 이해하기 위해 꾸준히 노력하는 게 자산 관리자와 보안 담당자이긴 하지만 100%를 유지할 수는 없다. 게다가 알고 있는 사안들이 전부 정확한 것도 아니다. 과거 보안 담당자들은 정확도나 커버리지 측면에서 대략 70~80%를 유지했었다. 이는 보안 예산과도 깊은 관계가 있는 것으로, 회사 사정에 따라 70%를 밑돌기도 했었다. 그럼에도 보이는 것, 아는 것 안에서 최선을 다 할 수밖에 없었다. 그러면서 최소한의 규정만 준수한다는 방식이 고수되기도 했었다.
그렇다면 요즘의 MVC는 실제 현장에서 어느 정도의 정확도나 커버리지를 추구해야 할까? 한 CISO는 얼마 전 필자에게 “100%를 알아야 보호할 수 있다는 말들을 충분히 이해하긴 하지만, 사실 불가능한 말”이라고 토로한 적이 있다. “대신 가장 중요한 인프라에 대한 조건부 100% 가시성을 유지하는 건 가능하다”는 게 그의 설명이었다. 그가 말한 가장 중요한 인프라는 조직 전체 디지털 자산의 약 2.5%에 해당하는 것이기도 했다. 나머지 97.5%는 틈나는대로 모니터링 한다는 입장이었다.
여기서 중요한 건 2.5% : 97.5%의 비율이 아니다. 가시성을 확보한다는 게 너무나 중요한 일이긴 한데, 그 자체에 함몰되어 있으면 진짜 보안 업무에 소홀해질 수 있다는 것이다. 100% 가시성은 사실상 존재하지 않는다는 것을 인정하고 상황(주로 예산)에 맞는 가시성의 수위를 정한 이후, 실제 보안에 필요한 임무(취약점 관리, 네트워크 모니터링, 보안 교육 등)에 집중해야 한다. 가시성에 지나치게 집착하다보면 진짜 해야 할 것들을 하지 못하게 된다. 이게 MVC의 핵심이다. 일찌감치 추구해야 할 가시성의 범위를 정해놓고 진짜 해야 할 일들을 하는 것 말이다.
규정 준수를 위한 계획
MVC의 또 다른 측면은 ‘규정 준수’다. 위에서 말했다시피 이 MVC라는 게 원래는 최소한의 규정을 지킨다는 개념에서 출발한 것이다. 기본적으로 벌금을 내지 않도록 하면서 효율적인 보안을 하는 게 MVC라는 것이다. 하지만 가시성 확보나 마찬가지로 ‘모든 규정을 이해한다’는 식으로 접근하면 끝도 없고 비용만 계속해서 들어간다. 게다가 규정의 내용에 따라 준수를 위해 그 동안 했던 것들을 크게 변경시켜야 할 상황도 있기 때문에 규정 하나하나를 꼼꼼하게 지키는 방식의 접근법은 효율적이지 못하다.
그렇다고 어느 규정 하나 무시하고 위반할 수도 없는데, 어떻게 해야 할까? 다양한 규정들을 관통하는 핵심을 찾아 그것부터 회사에 뿌리를 내려야 한다. 그런 후 거기서부터 세부 내용들에 따라 확장 및 보강하는 식으로 접근하는 게 효율적이다. 그렇게 함으로써 인력들이 너무나 규정 문제에 배치되지 않도록 조절하고, 벌금의 위험에서부터 한 발짝 물러날 수 있게 된다. 법이란 게 시장의 진화에 따라 바뀌는 것이기 때문에 아주 예외적인 경우를 제외하고는 이런 식으로 다루는 게 충분히 가능하다.
최근 기업들은 비용 절감을 1순위 목표로 잡고 사업을 진행한다. 그래서 대단위 해고도 이뤄지고 있고, 투자자들은 대량 해고를 하는 기업들에 오히려 더 투자를 하고 있다. 지금은 그런 시기다. 그러니 보안 예산이 넉넉하게 배정되지 않는다. 그럴 때 가장 필요한 것들만 할 수 있는 능력이 필요하다. MVC를 통해 코어 중 코어를 파악해 자산을 배분하고, 나머지를 조금 더 가볍게 다룸으로써 효율적인 보안 강화를 이어가야 할 때다.
글 : 맷 미들턴리얼(Matt Middleton-Leal), 사업 총괄, Qualys
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 = 맷 미들턴리얼 사업 총괄, Qualys] 정보 보안 담당자들은 정말로 모든 것을 관리하고 신경 써야 하는 사람들로 변하고 있다. 아무리 하찮아 보이는 문제라도 어느 덧 원격 코드 실행 공격의 통로가 되기도 하고, 공격자들이 몰래 들어와 자기 집 안방처럼 드나드는 계기가 되기가 되기도 한다. 여기서 말하는 ‘사소한 문제’는 모든 영역, 모든 처소에 널려 있기 때문에 요약도 안 되고 풀어쓰는 것도 불가능하다. 보안 담당자들이 번아웃에 시달리는 것도 당연하다.
[이미지 = gettyimagesbank]
보안 팀들은 조직의 보안과 관련된 모든 일들에 먼저 책임을 지게 되는데, 이 때문에 같은 IT 부서에 속해 있다 하더라도 나머지 IT 인력들과는 완전히 다른 사고방식을 가지고 있다. 마크 저커버그(Mark Zuckerberg)의 “빠르게 움직이고 기존의 것들을 깨부셔라”라는 말부터 에릭 라이즈(Eric Ries)의 “최소한의 것만 갖춘 스타트업과 제품” 이론까지, 보안을 제외한 IT 분야의 모든 사람들은 빠르게 움직이고 얼른 성과내는 것 자체에 혈안이 되어 있다는 것을 알 수 있다. 앞으로 나아가기만 하면 된다는 것이 이들의 기본 가치관이다.
하지만 여기에 순응해서는 안 되는 게 보안 담당자들의 입장이다. 빠르게 치고나가려는 사람들이 놓치기 쉬운 것들이 너무 많고, 그 중 적잖은 비중을 ‘규제’가 차지하고 있기 때문이다. 즉, 속도전의 분위기에 휩쓸리면 조직 전체가 규정을 위반하게 되고, 이것이 무시무시한 벌금으로 돌아오게 된다는 것이다. 그럼에도 이런 ‘치고나간다’ 위주의 사고방식에서 배울 것이 있기도 하다. 특히 ‘최소한만을 갖춘 제품(minimum viable product, MVP)’을 응용한다면 보안에는 ‘최소한의 규정 준수(minimum viable compliance, MVC)’가 있을 수 있다.
MVC는 무엇을 말하는가?
MVC는 사실 이름이 이렇게 공식적으로 붙어 있는 건 아니지만 이미 여러 조직들의 보안 담당자들이 실행하고 있는 것이다. 벌금을 내지 않을 정도로만, 딱 그만큼만 규정을 지키는 것을 말한다. 하지만 그렇게 했을 때, 보안이 실질적으로 강화되는 게 아니라는 사실이 여러 번 입증되면서 MVC의 수위가 조금 더 올라갔다. 조직이 가장 효율적인 선 안에서 강화될 수 있는 수준을 지키는 게 MVC로 서서히 인식되고 있다. ‘효율적이면서 충분히 강한 보안’을 구축하려면 반드시 지켜야 하는 것들의 순위를 이해하고, 우리 조직에 적용될 규정들에 어떤 것들이 있는지 빠짐없이 알고 있어야 한다.
자산 관리를 하려면 ‘이상적으로는’ 관리의 권한 아래 있는 자산들을 빠짐없이 알고 있어야 한다. 커버리지가 높아야 한다는 것이다. 그렇지 않으면 관리자로서의 책임을 다 할 수가 없다. 보안 담당자도 마찬가지다. 조직 전체에 적용되는 보안 규정을 다 알지 못하고, 지켜야 할 것들을 다 파악하지 못하면서 제대로 된 보안 담당자라고 할 수 없고, 그런 보안 담당자 밑에서 조직이 안전하다고 말하기는 더더욱 힘들다. 하지만 실제 자산 관리자나 보안 담당자나 모든 것을 100% 알고 이해하는 게 가능하긴 할까?
물론 다 알고 이해하기 위해 꾸준히 노력하는 게 자산 관리자와 보안 담당자이긴 하지만 100%를 유지할 수는 없다. 게다가 알고 있는 사안들이 전부 정확한 것도 아니다. 과거 보안 담당자들은 정확도나 커버리지 측면에서 대략 70~80%를 유지했었다. 이는 보안 예산과도 깊은 관계가 있는 것으로, 회사 사정에 따라 70%를 밑돌기도 했었다. 그럼에도 보이는 것, 아는 것 안에서 최선을 다 할 수밖에 없었다. 그러면서 최소한의 규정만 준수한다는 방식이 고수되기도 했었다.
그렇다면 요즘의 MVC는 실제 현장에서 어느 정도의 정확도나 커버리지를 추구해야 할까? 한 CISO는 얼마 전 필자에게 “100%를 알아야 보호할 수 있다는 말들을 충분히 이해하긴 하지만, 사실 불가능한 말”이라고 토로한 적이 있다. “대신 가장 중요한 인프라에 대한 조건부 100% 가시성을 유지하는 건 가능하다”는 게 그의 설명이었다. 그가 말한 가장 중요한 인프라는 조직 전체 디지털 자산의 약 2.5%에 해당하는 것이기도 했다. 나머지 97.5%는 틈나는대로 모니터링 한다는 입장이었다.
여기서 중요한 건 2.5% : 97.5%의 비율이 아니다. 가시성을 확보한다는 게 너무나 중요한 일이긴 한데, 그 자체에 함몰되어 있으면 진짜 보안 업무에 소홀해질 수 있다는 것이다. 100% 가시성은 사실상 존재하지 않는다는 것을 인정하고 상황(주로 예산)에 맞는 가시성의 수위를 정한 이후, 실제 보안에 필요한 임무(취약점 관리, 네트워크 모니터링, 보안 교육 등)에 집중해야 한다. 가시성에 지나치게 집착하다보면 진짜 해야 할 것들을 하지 못하게 된다. 이게 MVC의 핵심이다. 일찌감치 추구해야 할 가시성의 범위를 정해놓고 진짜 해야 할 일들을 하는 것 말이다.
규정 준수를 위한 계획
MVC의 또 다른 측면은 ‘규정 준수’다. 위에서 말했다시피 이 MVC라는 게 원래는 최소한의 규정을 지킨다는 개념에서 출발한 것이다. 기본적으로 벌금을 내지 않도록 하면서 효율적인 보안을 하는 게 MVC라는 것이다. 하지만 가시성 확보나 마찬가지로 ‘모든 규정을 이해한다’는 식으로 접근하면 끝도 없고 비용만 계속해서 들어간다. 게다가 규정의 내용에 따라 준수를 위해 그 동안 했던 것들을 크게 변경시켜야 할 상황도 있기 때문에 규정 하나하나를 꼼꼼하게 지키는 방식의 접근법은 효율적이지 못하다.
그렇다고 어느 규정 하나 무시하고 위반할 수도 없는데, 어떻게 해야 할까? 다양한 규정들을 관통하는 핵심을 찾아 그것부터 회사에 뿌리를 내려야 한다. 그런 후 거기서부터 세부 내용들에 따라 확장 및 보강하는 식으로 접근하는 게 효율적이다. 그렇게 함으로써 인력들이 너무나 규정 문제에 배치되지 않도록 조절하고, 벌금의 위험에서부터 한 발짝 물러날 수 있게 된다. 법이란 게 시장의 진화에 따라 바뀌는 것이기 때문에 아주 예외적인 경우를 제외하고는 이런 식으로 다루는 게 충분히 가능하다.
최근 기업들은 비용 절감을 1순위 목표로 잡고 사업을 진행한다. 그래서 대단위 해고도 이뤄지고 있고, 투자자들은 대량 해고를 하는 기업들에 오히려 더 투자를 하고 있다. 지금은 그런 시기다. 그러니 보안 예산이 넉넉하게 배정되지 않는다. 그럴 때 가장 필요한 것들만 할 수 있는 능력이 필요하다. MVC를 통해 코어 중 코어를 파악해 자산을 배분하고, 나머지를 조금 더 가볍게 다룸으로써 효율적인 보안 강화를 이어가야 할 때다.
글 : 맷 미들턴리얼(Matt Middleton-Leal), 사업 총괄, Qualys
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
