사건이 터지면 게임오버다 vs. 사건이 터지는 걸 막을 수 없다 하나도 완벽히 하기 힘들다 vs. 둘을 조화롭게 사용해야 한다
[보안뉴스 문가용] 기업이나 기관의 네트워크를 보호하는 일, 더 나아가 정보 자체를 보호하는 데에 여러 가지 방법이 동원되고 있다. 전쟁의 포화 속에서 사람을 죽이는 기술이 늘어난 것만큼이나 의료 기술이 늘었듯, 본격적으로 막이 오른 사이버전 시대 속 빗발치는 0과 1의 포탄 속에서 방어의 기술 역시 하나 둘 쌓여가고 있는 것이다.


 
그 중 아주 근본 단계에서 방어의 단계에 대한 논란은 아직까지도 결론을 내지 못하고 있는데, 바로 ‘사전예방’과 ‘사후대처’의 중요도이다. 충돌이 생기는 이유는 크게 두 가지로, ‘한 가지 방법만을 고집하는 경우’와 ‘사전예방과 사후대처의 황금비율을 찾지 못하는 경우’이다. 각 경우에 따라 각각 사전예방의 손을 들어주는 의견과 사후대처의 손을 들어주는 의견이 있어 이 논란은 총 네 가지로 정리가 가능하다.

9:1 혹은 8:2
조금은 극단적으로 보일 수도 있는 부류로, 사후대처나 사전예방 둘 중 하나가 다른 하나에 비해 훨씬 중요하다고 주장한다. 하지만 어느 쪽이든 하나만으로 모든 것이 해결 가능하다고 믿고 있진 않다. 정보보안 혹은 안전산업이 나아가야 할 방향, 즉 미래를 그리는 청사진에서 주로 나오는 주장이다. 현재는 어쩔 수 없이 사후대처와 사전예방을 5:5에 가깝게 가져갈지도 모르나 점점 한쪽 방향으로 가야 한다고 말한다. 대표적으로 미국이나 영국, 프랑스 등의 정부가 있다.

1. 무조건 사후대처다
현실파들이 보통 취하는 기조다. 지난 몇 년 계속해서 늘어가기만 하는 해킹 공격 사례들이 이들의 움직이지 않는 근거다. 이들은 이미 예방이라는 게 소용없다는 사실을 수년 동안 경험해왔으면 충분치 않느냐고 묻는다. 이제는 현실을 직시하고 뚫릴 것을 기정사실화해서 해킹 사건이 일어난 후의 전략을 짜야 한다고 말한다. 이들은 피해규모를 줄이는 것에 중점을 두는 것이 사이버 해킹 시대에 어울리는 방어 전략이라고 한다. 작년 ISEC 2014의 강연자로 나선 해외 인사들이 인터뷰 자리에서 전부 사후대처를 주장했었다.

2. 무조건 사전예방이다
2014년말까지만 하더라도 무조건 사전예방이 최고라고 주장하는 사람은 소수파였다. 현실적으로 해킹 공격 성공률이 높아져만 가는 가운데 ‘그래도 예방을 우선시해야 한다’는 목소리에 설득력이 있을 수가 없었다. 그러나 2014년말 파괴형 멀웨어로 소니라는 거대 기업을 초토화시켜버린 해킹 사건이 드러나고 그에 이어 2015년 초 프랑스에서 샤를리 에브도 사건이 일어나면서 ‘사후대처가 소용이 없다’는 목소리에 힘이 들어갔다. “사고가 다 터져버렸는데, 그걸 뒤늦게 막아서 무얼 하겠다는 것인가? 공격을 다 막지 못하더라도 방어의 기조는 변함없이 ‘사전예방’이며, 사후대처는 그저 보조일 뿐이다. 그 기조마저 포기하는 건 앞으로도 계속 뚫리겠다는 소리다”라는 게 보통 이 의견을 가진 자들의 주장이다. 이 의견을 취하는 정부들이 많아지고 있는 추세다.

6:4 혹은 5.5:4.5
1번과 2번의 경우가 약 8:2 혹은 9:1의 비율을 주장하는 것이라면 6:4나 7:3 정도를 주장하는 사람들도 있다. 둘을 상호보완적으로 사용해야 한다는 것이 이들의 주장이다. 다만 정확히 5:5로 하기는 현실상 힘들기 때문에 한쪽을 정(main)으로 놓고 나머지를 부(auxiliary)로 해야 하는데 이 부분에 있어서 차이를 보인다.

3. 사후대처가 60~70%, 사전예방이 30~40%
사후대처가 조금은 더 중요하다는 사람들은 사전예방을 많이 신뢰하지 않는다. 막을 수 있는 건 최대한 막도록 하되 놓칠 것도 예상해놓자고 하며 이른바 ‘위기관리’를 해놓는다. 하지만 사후대처에 좀 더 비중이 있기 때문에 이들의 전략은 ‘해킹 사건이 일어난 후 해야 할 일들’을 더 많이 포함하고 있다. 누구에게 연락을 해야 하는지, 어느 서버의 전원을 끄거나 켠다던지, 경찰에 신고하고 법적인 절차를 밟아나갈 담당자가 누구인지, 로그 기록 확보를 어떻게 할지 정해놓는다.

4. 사전예방이 60~70%, 사후대처가 30~40%
위 3번과 같지만 역시 어떤 것이 조금 더 중요한가 하는 문제에서 차이점을 보인다. 이들의 위기관리는 해킹 사건의 방지에 좀 더 초점을 맞추고 있다. 중요한 데이터가 어디에 있는가, 어떤 시스템을 평소에 망분리시켜야 하나, 누구에게 얼만큼의 권한을 주어야 하는가, 백업은 어떤 주기로 하고, 암호 변경은 얼마나 자주 해야 하는가 정해둔다.
둘 다 중요하기 때문에 50대 50으로 가급적 균형을 맞추자고 주장하는 사람들도 적지 않을 것이다.

여러분은 어느 쪽인가? 설문을 통해 의견 개진을 부탁한다. [국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>