Back to the basic, 기본에 충실한 것이 보안의 시작이다

[보안뉴스 민세아] 보안전문업체 에스지앤(SGN)이 생각하는 올해 보안키워드 셋은 패스워드 보안, 시스템 접근통제 및 감사, 인프라 통합보안 이 세 가지다. 이들은 보안의 기본이고, 전제이며, 결국은 모든 보안사고의 원인이 되고 있지만 한편으로는 잘 지켜지지 않고 있는 부분이기 때문이다.

보안제품이라면 보안 ‘대상’에 대한 총괄적인 관리가 핵심이라 생각한다. 어느 한 부분에만 뛰어난 장점이 있다거나, 특정 루트에 대한 보안제품만 공급한다면 고객은 혼란스러워지고 여러 제품을 조합하기 위해 많은 수고와 비용을 지불해야 하는 문제가 생긴다.  

에스지앤은 시스템 접근제어 솔루션 SecureGuard AM, 계정관리 솔루션 SecureGuard IM, 패스워드관리 솔루션 SecureGurad PM을 가지고 있다. 또한, 시스템의 직접 접속을 관리하기 위한 SecureGurad DM과 자체 One Time Password 솔루션을 개발했고, 원격지에서 시스템에 접속하는 사용자에게 보안을 제공하기 위한 SSL VPN도 갖추고 있다. 이만하면 ‘인프라 시스템’에 대한 접근 전체를 커버한다고 할 수 있다.
 
‘진짜’ 보안은 각 기업들의 구성원들이 보안의식을 갖는 것

이러한 솔루션들에 다양한 정책을 적용하여 서로 유기적으로 운영될 수 있다는 것이 최대의 장점이자 경쟁력이다. 하지만 결국, ‘진짜’ 보안을 논하고자 할 때는 ‘사람’을 빼 놓을 수 없다. 아무리 완벽한 솔루션을 내놓더라도 시스템을 운영하는 최고보안관리자의 도덕적 해이까지는 어쩔 수 없기 때문이다. 각 기업들의 구성원들이 보안의식을 갖는 것이야말로 ‘진짜’ 보안이고, 가장 중요한 요소다.

그렇기에 에스지앤이 당부하는 기업보안 수칙 중 첫 번째는 ‘정책이 기본이다’라는 것이다. 매우 중요한 인프라시스템이 있고, 이에 대한 접근통제 및 감사를 수행하는 솔루션이 있더라도 기본은 ‘정책’이라는 것.

누구에게 어떤 시스템(서버)에 접속할 권한을 줄 것인지 막을 것인지, 또 어떠한 프로토콜만 허용할 것인지, 어느 시간대에만 접속하게 할 것인지 등 보안관리자들은 회사의 보안규정을 준수할 수 있도록 수많은 고민을 하고 ‘정책’을 설계해야 한다. 아무리 좋은 솔루션도 이러한 기본 정책 설계가 바탕이 되지 않으면 보안사고를 유발할 수 있기 때문이다.

두 번째는 ‘다중 Factor 인증’이다. 보안관리자는 인프라시스템 전체를 마비시킬 수도 있다. 최고 권한을 가진 슈퍼유저가 시스템에 접속해 ‘Shutdown’을 명령한다면 어떻게 되겠는가? 사실 국내에서도 이러한 대형 보안사고가 심심찮게 발생했다. 이런 사고는 대부분 실제 보안관리자가 일으킨 것이 아니라 관리자 PC에 침투한 악성코드에 의해 일어난 일이다. 아무리 PC에 대한 보안을 철저히 해도 알려지지 않은 악성코드를 100% 걸러내기는 힘든 일이다.

이러한 악성코드에 의해 탈취된 시스템 로그인 정보를 무력화시키기 위해서는 반드시 2Factor 인증을 통해 실제 접속자에 대한 추가 검증을 해야 한다. 예를 들면, 시스템에 접속할 때 OTP로 추가 인증을 하는 것은 매우 중요하고 필수적인 인증 방법이라 할 수 있다. 이외에도 정맥인식 등 최신의 인증방법들을 적용하는 것도 훌륭한 보안방법 중의 하나다.

세 번째는 ‘세상에 비밀은 없다’는 것이다. 업무가 매우 바쁠 때 유지보수 직원이 찾아와서 작업을 한다고 하면, 담당자가 직접 시스템에 접속하고 모니터링 하기가 쉽지 않다. 이럴 때 Root 등의 중요한 계정 패스워드를 알려주며 이렇게 말한다. ‘당신만 알고 있어요’라고. 하지만, 이 비밀이 유지될까?

이러한 최고권한/공용계정의 패스워드 유출 사고는 상당부분 인재(人災)라고 할 수 있다. 업무상 부득이한 경우로 외부인에게 패스워드를 알려줄 때에는, 불편하더라도 업무 종료 후 반드시 ‘패스워드’를 변경해야 한다. SecureGuard PM은 실제 패스워드 노출 없이 Workflow를 통한 임시 패스워드 발급을 해줌으로써 패스워드의 노출을 원천적으로 봉쇄하고 있다.
 
모든 Cyber Attack에 대한 가장 기본적이고 중요한 방어수단


복싱을 자주 본 사람이라면 알겠지만, 상대의 공격에 대비하기 위한 가장 기초적이고 중요한 방어수단은 바로 ‘Guard’다. 라운드 초반 체력이 좋을 때는 ‘weaving’ 이라는 피하기 기술로 공격을 피할 수도 있지만, 그러다가 제대로 한 대 맞으면 게임 끝이다. 그래서 선수 뒤에 있는 코치들이 늘상 ‘가드 올려’라고 소리치는 것이다. SGN의 SecureGuard는 모든 사이버공격에 대한 가장 기본적이고 중요한 방어수단이라는 뜻이다.


대부분의 고객이나 파트너들이 에스지앤을 들으면 브랜드명인 SecureGuard에 Networks를 붙인 것 아니냐고 한다. 절반은 맞다고 할 수 있다. 하지만 정확한 답은 Secureguard Global Networks다. SecureGuard 제품군을 가지고 글로벌 통합보안 네트워크를 구축하자는 것이 회사의 장기 목표이고, 올해 그 시작으로 말레이시아 지사에서 계약을 수주하는 쾌거를 이루기도 했다.

단순히 일정관리를 잘 해서 효율적으로 근무하는 것은 어느 회사에서나 할 수 있다. 그러나 에스지앤은 ‘Time Asset’ 이라는 개념을 도입해 시간을 자산으로 만들고 있다. 즉, 시간을 아끼기만 하는 차원을 넘어서서 업무효율성을 극대화시키기 위한 여러 가지 기준들을 만들고 있다. 구체적인 Action Item까지 설명하기는 어렵지만, 전 직원이 프랭클린 플래너(franklin planner)를 지급받아 하루를 일주일처럼 만들어가고 있다. 이를 통해 구현되는 에스지앤의 ‘일당백’ 정신이야 말로 세계 최고라 할 수 있다.

2015년 에스지앤이 바라는 세 가지 중 첫 번째는 에스지앤을 인프라 보안의 대명사로 만드는 것이다. 인프라보안 하면 에스지앤이 연상될 수 있을 정도로 이 분야를 대표하는 업계 No.1을 희망한다.

두 번째는 유럽·북미 진출이다. 아세안 지역을 넘어 내년에는 북미와 유럽 지역에도 우리 제품이 사용될 수 있기를 희망한다. 세 번째는 이직율 제로(0)이다. 올해 직원 수가 많이 늘어났고, 내년에도 꾸준히 인력을 충원할 예정이다. 우리의 목표를 달성하는 그 날까지 모두 함께하길 희망한다.
 
1 · 2 · 3 보안업계의 No. 1의 초석을 다지고, 매출 및 이익의 2배를 달성해 3배의 직원만족도를 가질 수 있는 회사가 되는 것이 2015년의 목표다. 특히, 직원들과 함께 성장하면서 현재의 모든 직원들이 10년 뒤에도 같이 할 수 있는 회사가 되었으면 한다.

 


[에스지엔의 아직 못다한 이야기]


Q. 하루만 경영해보고 싶은 회사는?
이미 CA와 같은 글로벌 보안 벤더나 국내 대기업은 재직해 보았기 때문에 보안업체가 아닌 생소한 분야의 회사를 경험해보고 싶다. 보안 분야에서 B2B Sales에만 집중하다보면 생각이 경직되는 경향이 있다.

이러한 의미에서 페이스북 같은 회사를 운영해보고 싶다. 무형의 서비스를 통해 무한 가치를 창출하는 회사. 아이디어가 자산이 되고 전 세계, 전 인류에 공헌할 수 있는 회사에서 꿈을 현실로 이루어내는 커뮤니케이션 기법·문화 등을 배워보고 싶다.

Q. 앞으로 협력하고 싶은 국내외 기업, 그리고 이유
IBM, HP와 같은 기업과 파트너십을 맺으면 좋은 시너지가 날 거라 생각한다. 저희 제품이 주로 인프라 시스템 보안제품이기 때문에 인프라 구축 및 운영에 대한 풍부한 노하우를 가진 회사와 Co-work한다면 양사간 상호 보완할 수 있는 부분이 많을 것 같다. 또한, 에스지앤이 글로벌 보안회사로 성장하기 위해 해외 고객을 확보하는 데도 도움이 될 수 있지 않을까?

Q. 우리 회사 에이스는?
홍콩 국적을 가진 전략사업팀 구효은과장(영문이름 : 피오나)이 2014년 에스지앤의 에이스라 할 수 있다. 구효은 과장은 서툰 한국말 때문에 내부 의사소통에 어려움을 겪으면서도 꿋꿋이 해외사업을 일구어 냈다.

말레이시아 지사에서도 많은 노력을 기울였지만, 구효은 과장이 중간에서 영업 및 기술 전반에 걸쳐 여러 업무를 조율하지 않았다면 올해처럼 해외판매 실적은 일구어내지는 못했을 것이다. 에스지앤이 글로벌 보안회사로 발돋움하기 위한 첫 시작을 함께해준 구효은 과장을 올해 에스지앤의 에이스로 선정했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>