단편의 조각난 정보들을 모은 것으로는 맥락이 생기지 않아
맥락이 없는 정보 조각들로만 올바른 결정을 내리기 어려워

[보안뉴스 문가용] 무언가 결정을 내리는 건 일상 속에서 계속해서 일어나는 일이다. 얼마나 자주 일어나면 하루에 몇 번이나 결정을 내리는지 일일이 세어보는 이도 좀처럼 찾아볼 수 없다. 하지만 의식하든 안 하든, 크든 작든, 모든 결정에는 다량의 정보가 연결되어 있다. 물론 정보가 아니라 감정과 본능에 의해 내린 결정도 있을 수 있다. 하지만 이 글에서 그런 류의 결정은 잠시 제쳐두고 얘기를 진행하고 싶다.
 


어떤 사안에 대해 결정을 내릴 때 결정을 내려야 하는 당사자는 사안에 대한 이해도가 높은 사람으로 세부항목을 설정하고 그에 따른 정보를 수집해 세부항목에 대입하고 평가하는 과정을 거치기 마련이다. 이런 일을 우리는 매일, 의식도 하지 않고 하고 있다. 그렇다면 이런 매일의 일상 속 ‘결정’과 정보보안은 무슨 상관일까? 이 지점부터 이야기를 길게 늘여보자.

보안 운영과 사건 대응의 측면에서 볼 때 업체나 기관 등의 조직들은 한 가지의 공통된 워크플로우를 매일 같이 반복하는 집단이다. 그런데 어느 날 매일 똑같아야 하는 이 워크플로우에 갑자기 보안 및 사건 대응 담당부서로부터 온 다른 정보가 개입한다. 대부분은 ‘경고’의 형태를 갖는다. 워크플로우로 향하는 이 ‘경고’의 부피는 보통 굉장히 크고, 소리도 요란하다. 그리고 통신신호가 잘 잡히지 않기 시작한다. 결과는 어떨까? 큰 혼란이다. 사건이 벌어졌으면 혼란스러운 게 당연하다고? 글쎄.

이는 ‘보안’의 핵심가치와 연결되는 문제다. 즉 보안 담당 부서나 사건 대응 부서의 존재가치를 생각해보지 않을 수 없다는 거다. ‘보안’ 혹은 적어도 보안부서가 한 조직 안에 존재하는 이유는 위에서 말한 ‘결정’의 과정을 돕기 위해서다. 그런 맥락에서 봤을 때 엄청난 양, 요란한 소리, 약해진 신호를 수반하는 ‘경고’라는 정보방출이 과연 어떤 사안에 대해 결정을 내리는 데 있어서 도움이 될까? 경고를 받는 타 부서 사람 입장에서 이 경고가 오류일지 아닐지 어떻게 판단하고 ‘결정’할 수 있을까? 지금 정보보안 관련 사고들을 들여다보면 감지율이 거의 바닥을 기는 수준인데 말이다.

현대의 소위 말하는 ‘워크플로우’에는 맥락이라는 것이 없을 때가 많다. 워크플로우를 구성하는 각각의 정보는 그저 하나의 썸네일 및 스냅샷일 뿐이다. 한 순간이며 파편에 불과하다. 커다란 사건이나 흐름을 구성하는 요소, 퍼즐의 한 조각이어야 하는데 말이다. 퍼즐 이야기가 나와서 말인데, 떨어져 나온 퍼즐 조각 한두 개를 보고 전체 그림을 떠올리는 게 가능할까? 아니다. 워크플로우도 마찬가지다. 하나의 경고음, 하나의 단편적인 정보만 가지고 앞뒤의 모든 상황을 파악할 수 있을 리 만무하다.

무슨 말이냐면, 보안 담당자로서 누군가에게 애써 전달하는 나의 경고 메시지가 정보로서 의미를 가지려면 ‘맥락’을 가져야 한다는 것이다. 그러려면 그 정보에 대한 수사, 평가가 먼저 이루어져서 이야기의 살을 덧붙여야 한다. 전체 상황을 그려볼 수 있는 정보가 되어야 다른 사람의 이해를 높일 수 있는 법이다. 여기에는 사건과 직접 연관이 없더라도 보충이 될 수 있는 정보, 정보 출처, 첩보, 수사 과정, 발견하게 된 경위 등도 포함될 수 있다.

그런데 이런 ‘맥락 붙이기’ 작업은 아직 자동으로 할 수가 없다. 수사하고 정보를 수집해서 세분화하고 평가하는 작업은 일일이 사람의 개입을 필요로 한다. 그러므로 이는 말처럼 쉬운 작업이 아니다. 특히 인력을 충분히 배치할 수 없는 상황의 조직에서는 더더욱 그렇다. 이는 당장의 인력 배치나 야근으로 뚝딱 해결할 수 있는 문제가 아니다. 장기적으로, 경고를 발생하고 받아들이는 패러다임 자체를 고쳐나가야 한다. 그래서 위협에 대한 소통의 효율이 보다 높아지고 이해도가 올라가 혼란을 줄이고 대응의 효율성을 증대시켜야 한다. 하지만 이렇게 ‘맥락’을 추가한 정보를 제공한다는 건 보안의 운영과 사건 대응이라는 분야 자체의 체질 개선을 의미한다. 말처럼 쉬운 작업이 아닐 것이다.

맥락이 추가된 정보 공유 모델은 분석가들이 큰 그림을 그려보고, 그에 따라 더 정확한 조치를 취하고 결정을 내리는 데 큰 도움이 될 것이다. 조각난 정보들만 주고받다 보니 여태껏 그 많은 첩보들이 중간에서 사라지고, 발견되었다고 하는 취약점들은 전혀 고쳐지지 않고 시간만 흘러가는 사태가 발생했다고 볼 수 있다. 이야기라는 ‘전체의 흐름’ 속에서 조각들은 의미를 부여받고, 의미가 생길 때 생각도 나고 기억에도 남는다. 맥락이 계속해서 공유된 후에는, 그러므로 커뮤니케이션의 효율이 높아진 후에는, 당연히 경고의 볼륨도 줄어들고 소음도 줄어들며 따라서 혼란도 줄어들 것이다.

이것은 나만의 의견이 아니다. 현장에서 아직도 활발히 활동하고 있는 보안 전문가들과 이야기를 나누다보면 커뮤니케이션에서 의외로 많은 이들이 어려움을 느낀다. 그리고 이 상호이해의 부족에서부터 취약점은 발생하고 공격이 시작된다 - 이 역시 공통의 의견이다. 이는 무슨 말인가? 이제 ‘맥락’을 추가한 정보를 공유하기 시작할 마음의 준비는 되었다는 뜻이라고 본다. 체질 개선의 때가 무르익었다는 말이다. 이제부터 보안은 조직 전체의 보다 바른 결정을 돕는 조언자 및 서포터 역할을 고민해야 한다. 조직이 바른 결정을 내릴 때 결국 그 혜택은 조직원인 우리에게 돌아오는 법이다.
 
글 : 조슈아 골드팝(Joshua Goldfarb)
@DARKReading


[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>