보안에 대한 구구절절한 상황 설명은 오히려 독이다
자신이 보유한 기술 등에 대한 보안이 필요한 CISO
[보안뉴스 주소형] 산을 즐기는 사람들 사이에서는 좁고 가파른 산봉우리와 다른 산봉우리를 잇는 산등성이가 ‘아레테(Arete)’로 통한다. 일반적으로 아레테는 사람이나 사물이 본래 가지고 있는 탁월성, 유능함, 기량, 뛰어남 등을 말하는데 산봉우리들을 넘나드는 것이 힘든 고비를 넘기는 성장의 원동력이 될 수 있다는 이유에서다. 이 같은 아레테가 CISO에게도 필요하다. 특히 공개석상에서 정보보호최고책임자라는 타이틀을 가진 CISO가 보안에 대해 말할 때는 갖춰야 할 덕목이 있다. 그들의 실수 한 번이 대재앙을 불러올 수 있기 때문이다.
CISO가 보안을 논할 때 가장 중요한 것은 일단 겸손한 자세다. 절대 자신의 능력을 과시하려고 해서는 안 된다는 것. 그렇지 않은 해커들도 있지만 대부분의 해커들이 다소 유치한 성향이 있기 때문에 자신들의 보안력에 대해 떵떵거리는 이들을 보면 정복 욕구가 생기는 경우가 많다. 또한 자신이 보유하고 있는 보안기술 및 방법에 대해서도 너무 노출시키면 안 된다. 그 대상이 언론이든, 투자가들 앞에서든 관계없이 공개된 자리는 모두 포함이다. 해커들이 금방 이를 악용할 수 있다는 가능성을 배제하지 말고 보안정보에 대한 보안이 필요하다는 것. 하지만 과연 그러한 설명 없이 어떻게 보안에 대한 자신의 능력 어필이 가능할까? 가능하다.
첫 번째로 CISO는 무슨 일이든 반드시 침착하면서 꼼꼼하게 실행해야 한다. 보안절차를 규정에 맞게 차근차근 지키는 것이 중요하다. 보통 대중들이나 투자자들은 물론 임원진들까지 가시적인 성과인 최종 결과물 및 결론에만 관심을 갖고 있어 자칫 중간 과정을 생략할 수도 있는데 보안은 아주 작은 부분이 엄청난 결과를 초래할 수 있기 때문이다. 보안은 주어가 아닌 동사(verb)라는 점을 대중에게 확실히 각인시켜야 한다. CISO가 보안에 대한 공식적인 입장은 하지 말라는 제지뿐 아니라 애초에 공격에 대한 관심을 낮추도록 설득하는 자세도 함께 갖춰야 한다.
어떻게 말을 해야 해당 내용의 메시지가 전달될까? 이에 예시를 준비했다. “우리가 보유하고 있는 방화벽은 모든 인바운드와 아웃바운드의 트래픽을 스캔할 수 있다.” 좀 더 메시지를 강하게 전달하고 싶다면 “우리는 트래픽 오딧(Audit)이 가능한 방화벽을 갖추고 있다.” 이 때 주의할 점은 앞서 강조했듯이 모든 과정을 자세하게 설명하면 안 된다는 것이다.
“우리는 가능한 모든 방법을 동원하여 주기적으로 내·외부의 매개변수들을 테스팅 하고 있다.” 이는 매우 현명한 발언이다. 여기서 그쳐야지 이를 증명하기 위한 자세한 설명을 추가 제공해서는 안 된다. 가령 위험한 발언은 이런 유형이다. “우리는 주기적으로 내·외부에서 발생할 수 있는 서비스 거부 및 포트 스캔을 테스팅 한다.” 이는 형편없는 답변이다. 안 그래도 이미 해커들은 다른 공격 벡터들을 파악하고 또 다른 먹잇감에 굶주려 있는데 여기에 불을 지피는 정보가 될 수 있기 때문이다.
대중에게 메시지를 던져야 할 경우 보안에 대한 현정부의 방향도 고려해야 한다. 사실 한 나라의 대통령이야 말로 사람을 보호하고 가드 해야 할 의무가 있는 사람이기 때문이다. 그들은 자신들이 하고 있는 보안을 비밀리에 진행하며 성과를 자랑하거나 드러내지 않는 것이 원칙이다. 따라서 겉으로 발표하는 것은 극히 일부분 또는 큰 기조 만이어야 한다. 특히 공적인 자리에서는 최대한 간결하게 말하는 것이 좋다. “우리는 여러분의 개인정보를 지키기 위해 수많은 방법을 동원하여 최선을 다하고 있다.” 이도 현명한 발언 중에 하나다.
특히 이쪽 업계에서 피해야할 것은 명성이다. 최근 한 기업의 임원이 ‘윤리적 해커’를 고용하여 자사 보안팀에 합류시켰다고 공개적으로 밝혔다. 그는 최근 블랙햇(Black Hat)이라는 세계적인 보안컨퍼런스에서 해킹 시연을 한 인물인데 이렇게 한 번 유명세를 탄 인물은 어디를 가도 타깃이 되기 쉽다는 것을 반드시 명심해야 한다. 해커 입장에서는 공격을 부르는 표적이기 때문이다. 해커들 중에서는 상당히 유치한 성향을 갖고 있는 이들이 많다는 것을 다시 한 번 강조하고 싶다.
대중들이 알지 못하는 것에 대해서는 토론하지 않는다. 아니 해서는 안 된다에 가깝다. 준비하는 과정을 오픈하면 오픈할수록 오히려 리스크 요소를 늘리는 꼴이다.
실제로 위협 및 보안 상황이 발생했을 때, CISO는 전략과 기술에 대한 대응은 물론 이에 대해 대중에게 알리는 것도 CISO의 주요 역할 중에 하나다. 절대 각각의 위협 및 보안 요소에 대한 언급은 피하고 침착하고 강력하게 안심시킬 수 있는 메시지를 전해야 한다.
글 : 앤디 니에토(Andy Nieto)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>