방지만이 목적인 것처럼 수년을 걸어온 보안업계, 변화의 때
더 나은 방지를 위한 사후대처, 더 나은 대처를 위한 방지

[보안뉴스 문가용] 매주 한 번씩은 대형 유출사고가 터지는 듯 하다. 이런 세월이 반복되니 사람들의 질문이 하나로 통일되기 시작했다. “도대체 왜 이런 일이 계속해서 일어나는가?” 수년 간 운영자 차원에서 보안을 담당하다보니 이 질문에 대한 답을 어느 정도 할 수 있게 되었기에 이 자리에서 몇 가지 나눠보고자 한다.

지난 수년 간 보안담당자들은 대체로 ‘방지’에 초점을 맞췄다. 하지만 100% 완벽한 방지란 있을 수 없고, 이는 이미 대중들도 신문을 펼쳐볼 때마다 깨닫는 사실이 되었다. 그래서 이미 방지와 후속처리에 힘을 고르게 분배하는 법이 보안업계에 잘 자리 잡아가고 있다. 방지가 100% 안 된다고 해서 무의미한 건 아니다. 오히려 방지는 궁극적으로 절대 필요한 보안의 가치다. 다만 효율성이 떨어진다는 문제가 있을 뿐이다. 사건 대응이나 후속처리가 필요한 이유가 여기에 있다. 방지보다 후속처리가 더 중요하게 부각되고 있는 증거를 10가지 대라면 다음과 같다.

1. 내기를 건다면? 난 도박에 큰 취미가 있지는 않다. 재주도 없다. 하지만 ‘방지’가 앞으로 보안업계에서 하향세를 탈 것이라는 데에 얼마든지 돈을 걸 수 있다. ‘방지만이 보안의 참 길’이라고 외치는 분들 중에 앞으로 수년 안에 100% 방지가 가능해질 것이라는 데에 연봉을 걸 분이 있을까? 없으리라 본다.

2. 방지 vs. 후속조치? 둘을 양립하는 것처럼 써놨지만 사실 둘은 상호보완의 작용을 한다. 좋은 후속조치가 있어야 방지의 기술력도 높아진다. 반대도 마찬가지다. 지나치게 ‘방지’만을 고집하는 건 굉장한 위험이며 도박수다. 어떻게 틀어막든 방법을 찾아내고야마는 해커들을 우린 수없이 목격해왔다. 방지를 위한 방어막을 튼튼하게 마련하는 것도 좋지만 그것이 뚫렸을 때까지도 계산에 넣을 수 있어야 진정으로 튼튼한 방어막이 된다.

3. 이론은 이론일뿐, 현실과 항상 같지는 않다. 난 현실주의자이며 실용주의자이다. 위에 언급했다시피 운영과 관련된 일을 수년 동안 해왔기 때문에 자연스럽게 그렇게 변해왔다. 그래서 더 이상 한 장소에 필요한 모든 것을 담아두지 않는다. 그것이 기술이든, 사람이든, 철학이든 말이다. 이론 상 좋은 것들끼리 모아두는 편이 좋지만, 현실은 절대 그렇지 않았다. 이론 상 인재들만 모아서 사업을 꾸리는 편이 좋지만, 현실은 그렇지 않았다.

4. 침입이 멀웨어로만 가능한 건 아니다. 이 사실 하나만으로도 100% 방지가 가능하다는 이론이 깨진다. 멀웨어 없는 침입은 아직까지 정해진 형태도 없고, 그러므로 막을 ‘정공법’이 존재하지 않기 때문이다. 100% 방지가 가능하다는 주장은 보통 ‘멀웨어’를 주어로 놓고 하는 얘기이기도 하다. 멀웨어를 100% 방지할 수 있다는 건데, 그게 실제로 이루어진다 해도 ‘모든 침입’을 막는 건 아니다.

5. 침입의 경로가 다양하다. 요즘은 하도 네트워크와 인터넷이 발달하다 보니 아무리 작은 규모의 회사라고 해도 전자 발자국은 매우 복잡하고 다양하게 생긴다. 방지를 하려면 이 발자국 하나하나를 ‘경로’로 취급해서 방비책을 세워야 하고 모든 경로에서 매 순간 정답만을 준비해야 한다. 그에 비해 해커는 그 수많은 경로 중 한 번만 정답을 고르면 된다. 애초에 공정한 게임이 아닌 것이다.

6. 아직까지도 100% 완벽한 솔루션이 나오지 않았다. 방지에 특화된 솔루션을 우린 아직 보지도 못했고 어떻게 만들어야 하는지 조그마한 힌트조차 얻지 못하고 있다. 즉 여전히 우리가 지켜야 할 것들이 리스크에 노출되어 있다는 거다. 사후대책을 마련한다는 건 기업의 리스크 축소 전략을 세울 때 아주 알맞은 균형을 잡을 수 있다는 뜻이 된다. ‘보호’라는 큰 틀 안에서 방지가 겉에 입는 갑옷이라면 ‘사후대책’은 안에 입는 방탄조끼 정도 된다.

7. 이젠 해킹으로부터 완전무결한 시스템을 구축하는 것만을 목표라고 할 수 없다. 즉 방지라는 것 자체가 시대로부터 동떨어진 목적을 향하고 있다는 것이다. 침입 성공 자체가 해커들의 동기를 유발했던 시대는 이미 오래 전에 지나갔다. 이들의 목적은 그 네트워크 안에 있는 정보나 돈이다. 그렇기 때문에 해킹 방지라는 건 해커들이 진짜 목표물에 도달하는 수많은 경로 중 하나일 뿐이다. 100% 방지에 도달해봤자다.

8. 현대의 정보보안은 리스크를 줄이는 것을 말한다. 동의하지 않을 수도 있지만 이것이 요즘처럼 사고가 많이 나서 운영진들이 줄줄이 옷을 벗을 때 그 시기가 자기에게 닥칠까봐 겁에 질린 운영진이 정보보안 업계에게 기대하는 바다. 시스템 혹은 네트워크에 침입자가 도달하는 건 기업이 겪을 수 있는 수많은 리스크 중 하나에 불과하다. 운영진들이 바라보는 시각은 이보다 훨씬 넓을 수밖에 없다. 즉, 네트워크가 뚫렸다 하더라도 중요한 데이터를 먼저 봉쇄하는 데에 성공한다면, 그래서 해커가 허탕을 치게 만든다면 운영진으로선 더 바랄 게 없다는 것이다. 즉 애초에 한 명도 못 지나가게 하겠다는 보안 담당자의 이상은 기업 운영진이 바라는 그것과 상관이 없다. 병으로 치면 증상에 집중해 무슨 병에 걸렸는지 알아내는 것만으로 치료가 끝나지는 않는다는 것이다. 치료는 낫게 하는 것에 의의가 있다.

9. 아직도 ‘방지가 최우선’이라고 생각한다면 다음 질문에 답해보라. 통합보안관제센터(SOC)나 사건대응센터(IRC), 사이버방어센터(CDC)는 왜 주마다 혹은 나라마다 늘어만 가는가? 그리고 모든 걸 막을 수 있다고 자신한다면 지속적인 보안 관제라던가 사건 대응 훈련은 왜 하는가? 이런 움직임들이 정부 차원에서 혹은 기업 차원에서 점점 늘어난다는 건 사후대처가 대세가 되었다는 뜻이다.

10. 어차피 삶의 가장 중요한 요소는 균형이다. 위생이 중요한 건 누구나 알지만 손을 씻는다고 모든 병균을 예방할 수 없다는 걸 받아들이면서도 손을 씻는다. 그렇기에 손을 씻어도 감기가 걸리는 것이고, 이런 때를 대비해 우린 휴지라는 걸 발명하고 병가라는 제도를 마련한 것이다. 심지어 병원도 병에 걸리고 나서 찾아가는 곳 아니던가. 손을 씻는 것도 중요하지만 병원에 가서 약을 조제 받는 것도 할 줄 알아야 한다.

다시 한 번 강조하지만 ‘방지’ 자체가 잘못된 보안의 태도라는 건 아니다. 방지만을 고집하는 태도가 문제라는 것이다. 지금 보안업계는 ‘방지 최우선’의 노선을 이탈하여 ‘방지와 사후대처의 균형’이라는 노선으로 옮기고 있고, 그렇게 해야 한다. 아직까지 우리가 알고 있는 최선의 방법이 이 둘의 균형이기 때문이다.

글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>