수준 평가(Measurement)는 어떻게 이루어져야 하는가? 일본의 보안시장에서 배워야...보안장비나 솔루션 아닌 서비스 위주

[보안뉴스=임채호 KAIST 정보보호대학원 교수] 만약 ISMS에 6.4 유해소프트웨어 통제 부분이 있다면 ISMS 인증체계에서는 백신을 설치하고 있는가 등의 간단한 현황을 요구합니다.

하지만 SPMS는 그렇지 않습니다. (1)백신을 설치한 사용자 PC는 전체 직원 중 몇 대나 있는가? (2)최신 백신을 사용하는 PC는 몇 대나 있는가? (3)비인가 SW를 사용하는 PC는 몇 대인가? (4)사용하는 백신은 몇 종류인가? (5)신종 악성코드에 대비한 절차가 있는가? (6)최신 악성코드에 관한 정보를 받아볼 수 있는 방안이 수립되어 있는가? (7)악성코드 대응에 대한 일반 직원 교육이 정기적으로 이루어지고 있는가? (8)악성코드를 유포하기 위한 사기기법 등을 파악하고 일반직원들에게 알려주는 체계가 있는가?

이렇듯 정량적인 결과를 볼 수 있고, 또한, 그 데이터의 실효성과 법적준수사항을 알 수 있는 Measure Table들이 존재해야 합니다.

모 연구원이 직원들의 PC를 대상으로 실험을 했다고 합니다. 내부 네트워크가 아닌 외부 네트워크에 PC를 설치하여 두고 1주일을 두었는데 악성코드가 한번도 감염되지 않았습니다. 그리고 내부 네트워크에 PC를 두고 외부 인터넷 접근을 통제하지 않은 상태에서 직원들이 마음껏 인터넷을 이용하라고 하였더니 1시간 30분 만에 악성코드에 감염되었다는 것입니다.


보안 Dash Board를 통한 SPMS 구현

 
기업의 대표이사 혹은 이사회는 보안에 대한 예산(자원) 투자를 통하여 보안을 관리하고자 합니다. 물론 BI(Business Impact) 수준이 될 수 있도록 장기적으로 운영해야 하고, 책임추적을 통한 미비점 파악과 개선방안이 마련되어야 합니다. 경영진, 보안담당, 보안실무자로 이어지는 3계층 관리체계에서는 모든 관련자들이 동일한 마음을 가지고 운영해야 합니다.

그중에 보안담당은 가장 중요한 업무를 하게 됩니다, ISMS 보안통제가 가지고 있는 많은  Raw Data들은 CIO 등의 인프라 부서, 개발부서, 사업부서, 인사행정, 고객관리 등 타부서와의 협조가 필수적입니다. 대표이사, 보안담당, 그리고 실무자들이 Measured Data를 심각하게 보고, 그 결과에 따른 Risk 및 Index에 대해 고민할 수밖에 없습니다.

어떤 점수에 대하여 그 보안통제를 담당하는 실무자는 불만을 가질 수 있습니다. 왜 내가 맡은 부분이 점수가 이 모양일까? 측정방법에는 문제가 없는 것일까? 모든 부분을 다 포함했을까? 가령 서버의 보안 취약성 분석을 했다고 가정하면, 예산배정 문제상 분기별로 진행해야 할 사항을 1분기에 20%, 3분기에 100%, 4분기에 50%를 했다면 전체 점수는 42.5라고 할 수 있습니다. 만약 웹 서버의 취약성 점검이라면 이론상으로 신규 웹 코드에 문제가 발생해 조직에 외부에서의 침입이 발생할 수 있는 확률이 50% 정도라는 얘기입니다.    

일본의 보안시장에서 배워야 합니다
그동안 일본은 자체적인 보안산업이 없다고들 했습니다, 한국은 그동안 너무나 많은 보안 솔루션에 기반한 보안산업을 진행해 왔습니다. 일본의 네트워크 시큐리티 시장을 이해하기 위해서는 소프트웨어진흥원에서 과거 발표했던 보고서(조사분석 060-03, 일본 네트워크 시큐리티 시장의 현황 및 전망, 2006. 10, 소프트웨어진흥원) 내용을 참조하셔도 좋을 것 같습니다. 그 서론의 일부를 한번 볼까요?

신종 바이러스의 출현, 잇따르는 부정 접속, 파일공유를 통한 정보유출 등으로 피해가 늘어나면서 관공서, 교육기관, 기업의 정보보안 의식이 향상되고 있고, 시스템 규모나 업종에 관계없이 다방면에서 다양한 대책이 강구되고 있다. 네트워크나 애플리케이션 보안과 같은 기술적 보안대책뿐만 아니라 컴플라이언스(법령준수) 및 기업의 사회적 책임(CSR) 등 사회적 강제력에 의한 보안대책 등 항구적인 대책 강구가 필요불가결한 요소로 작용하고 있다.
특히, IT 관련법의 시행은 법적 인프라정비 차원에서 기업에 의무를 부과하는 내용으로 변화하고 있고, 2005년 4월에 시행된 ?개인정보보호법?은 기업의 정보보안 부문 투자유발 요인이 되어 IT 보안 시장을 확대시키고 있다. 2008년 4월 이후 시행 예정인 ‘일본판 SOX법’은 새로운 시장니즈를 촉진하는 요인으로 주목받고 있으며, 동법에 의한 내부 통제강화 의무를 실현하기 위해 SI 기업 및 컨설팅 기업에 의한 새로운 제안영업이 진행될 전망이다. 이와 같이 일본의 IT 보안 시장은 기존 보안 분야에서의 대응강화로 인해 계속 성장할 것이며, 새로운 제품과 서비스에 의해 신규 보안시장의 니즈가 증가하고 시장 확대를 견인해 향후 고성장을 계속할 것으로 예측된다. - 일본 네트워크 시큐리티 시장의 현황 및 전망 보고서 서론 발췌

여기서 결국 핵심은 ‘일본판 SOX 법안’이라고 할 수 있습니다. 모든 상장기업은 보안 회계 자료를 매년 이사회를 통하여 이사회와 일반에 공개되어야 하며, 일본 정부는 보안에 투자한 기업에 세금을 보전해주고 있습니다. 보고서 내용은 우리나라 입장에서 보면 의아해 할 수 있는 내용입니다, 보안장비나 솔루션 위주가 아닌 서비스 위주이기 때문입니다.


1. 시큐리티 니즈 및 사회환경·구조
1.1 바이러스, 부정한 액세스 신고상황
1.2 개인정보보호 대책
1.3 IT 보안 투자촉진을 위한 일본정부 시책
2. 일본판 SOX법의 시큐리티 비즈니스에의 영향
2.1 일본판 SOX법의 시큐리티 대책
2.2 일본판 SOX법 관련 솔루션/제품 공급상황
2.3 유망한 시큐리티 솔루션/제품
2.4 시큐리티비즈니스 사업자의 추진사항
2.5 유저 및 시큐리티 비즈니스 사업자의 향후 방향성
3. 주요 시큐리티 서비스
3.1 시큐리티 컨설팅 서비스
3.2 시큐리티 폴리시 책정 서비스
3.3 시큐리티 검사·감사 서비스
3.4 시큐리티 교육·트레이닝 서비스
3.5 시큐리티 정보제공 서비스
3.6 어플리케이션 취약성 검사 서비스
3.7 바이러스 감시서비스
3.8 부정 액세스 감시서비스
3.9 파이어월 운용관리 서비스
3.10 전자인증 서비스
3.11 타임스탬프 서비스
3.12 온라인 백업 서비스
4. 시장 성장성에 기대되는 시큐리티 제품
4.1 통합 어플라이언스 제품
4.2 단말제어·감시 툴
4.3 검역 툴
4.4 전자메일 시큐리티 어플라이언스
4.5 데이터베이스 시큐리티 제품
4.6 포렌직 툴
5. 기타 주요 시큐리티제품 분야의 시장규모 추이
6. 주요 시장진출 사업자 일람

저는 최근에 빛스캔의 웹 취약점 분석기술이 서비스로써 일본 수출 60억원 달성을 달성해 일본에게 보안을 한수 가르쳐 주는 것으로 착각했습니다. 그래서 저는 페이스북에서 일본에 가르쳐 준다고 착각한 내용의 글을 올린 바 있었습니다. 이 기술은 서비스로 수출하므로 SW나 HW 수출도 아닙니다. 왜 일본 업체는 이 서비스에 대해 대행 서비스를 하겠다고 했을까요? 계약할 때 일본 영업총괄이 다음 2가지를 이야기했습니다.

1. 일본의 웹 점검 서비스보다 50배 빠른 속도
※일본의 가장 빠른 제품보다 50배 빠름(동일 사이트에 대해 일본 제품 8시간, 빛스캔 제품 8분)

2. SQL Injection 등을 점검할 때 DB 손상이 가능하지만 빛스캔 제품은 전혀 그런 문제가 없다는 점

문제는 점검에 드는 비용이었습니다, 일본이 지불하는 서비스 비용과 국내와의 차이는 엄청난 것이었습니다. 결국 일본 보안시장이 QA에 기반한 사업체계 및 정부의 세금혜택 등으로 인해 한국을 앞지를 것이라는 판단을 하게 된 것입니다

기업보안관리의 목표는
기업은 보안관리를 위해, 즉 보안 거버넌스(Governance)를 위해 자기평가(Self Assessment)를 통해 보안수준 관리(Risk, Index 관리)를 하게 됩니다. 중국, 북한 및 범죄자들의 공격기법은 방어력 보다 우수하고 또한 사기기법(Social Engineering)에 의하여 어떤 조직이나 기업도 보안사고를 당할 수 있습니다. 이로 인해 기업의 법적준수사항(Compliance) 실행은 기업의 지속가능한 경영에 필수적입니다.

기업은 보안리스크를 관리할 때 어려운 문제에 봉착하게 됩니다. 기업의 전반적인 보안을 위해 Raw 데이터 정보를 수집해 점수를 산출하지만, 결국 경영자에게 보고하려면 이해관계자들과 부딪혀야 하는 것입니다. 네트워크 담당자에게 그 점수를 설득하고, 잘못된 계산 가능성을 이야기하고 점수가 부당하게 경영자에게 보고 되지 않는다는 사실을 다른 부서장과 부서원들에게 설득해야 합니다.

더 이상 보안담당자들이 힘들기만 하고 인정받지 못해 기피하는 직업이 되지 않도록 기업보안관리의 목표를 재정립해야 합니다. 몇 년 후 일본에 뒤쳐지지 않으려면 더더욱 말입니다.
[글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>