전략을 제품으로 국한해서 이해할 때 생기는 여러 부작용들
현대 정보전에서의 방어전략, 모두의 참여 필요해

[보안뉴스 문가용] 나는 매일 기업들과 함께 일을 한다. 무슨 일을 하냐면 기업과 조직들의 사이버 보안 프로그램을 구축하거나 유지보수를 해주는 것이다. 그렇기 때문에 필연적으로 보안팀과 대화를 많이 할 수밖에 없는데 이들이 주로 선호하는 건 데이터 손실 방지(DLP) 기능과 보안 정보 사건 관리(SIEM) 기능이다. 최근 DLP와 SIEM과 관련하여 놀라운 사실을 하나 발견했는데, 보안팀 사람들 대부분이 이를 ‘제품’으로 인식하고 있다는 것이었다.
 


DLP 제품이나 SIEM 제품이 없는 건 아니다. 그러므로 DLP와 SIEM을 말할 때 제품을 언급할 수도 있는 일이다. 하지만 DLP와 SIEM의 실제 의미는 ‘전략’을 말하는 것이지 정말로 ‘제품’을 말하는 건 아니라는 걸 간과한다면, 제품으로서의 DLP와 SIEM을 말하는 건 명백한 오류다.

그렇다면 DLP와 SIEM은 무엇인가?
그렇다면 글을 더 써나가기 전에 DLP와 SIEM에 대해 간략히 정의를 내려보는 게 순서일 터. DLP는 말 그대로 데이터의 손실을 막기 위한 ‘전략’을 말한다. 보통 사용자가 이메일이나 클라우드에 중요한 정보를 업로드 및 불법 파일 전송하는 걸 방지하는 수단이나 장치인 것으로 오인한다.

SIEM은 기업이나 조직이 보유한 모든 기기들로부터 들어오는 정보를 수집할 수 있도록 해주는 보안 관리 기법 중 하나다. 이렇게 정보를 한 군데에 모아둠으로써 분리되어 있는 정보들을 이어 연관성까지 파악해 좀 더 전체적인 시야로 기업의 IT 상태를 살필 수 있게 된다. 즉, SIEM은 IT 환경을 전체적으로 조망해 이상이나 공격 징후가 있을 때 재빨리 대응할 수 있게 해준다. 이는 해킹이 매우 빈번하게 일어나는 현대의 IT 환경에서 중요한 요소다.

DLP를 잘 활용하려면 조직이나 기업에게 있어 가장 치명적이고 중요한 정보가 무엇인지 알아야 한다. 그런 전제가 깔려있지 않다면 DLP는 크게 효율을 발휘하지 못할 것이 분명하다. 예를 들어 정보보안의 가장 큰 이슈 중 하나인 신용카드 정보와 의료 기록을 보자. 개인에게 있어 이 둘은 대단히 중요한 정보임에 틀림이 없다. 하지만 회사나 병원 입장에서 꼭 그럴까 하고 묻는다면 고개를 갸우뚱 하게 된다. 즉 ‘중요한 정보’란 게 상대적으로 얼마든지 바뀔 수 있으니 이를 잘 고려해야 한다.

SIEM은 어떨까? 정보를 한 군데에 수집해 놓는다는 건 여러 모로 편리하고 중요한 일이다. 특히 전체적인 시야를 갖고 싶을 때, 또한 정상/비정상의 상태가 어떤 건지 이해하고 싶을 때 아주 유용하다. 그러나 단순히 ‘모아둔’ 것만으로 한 눈에 모든 정보가 쏙쏙 이해되는 건 아니다. 당연히 많은 정보가 모여 있으니 제일 먼저 느껴지는 건 ‘혼돈’, ‘혼란’, ‘혼잡’이다. 혼이 빠져나가는 느낌이 들지도 모른다.

SIEM을 적용한다는 건 마치 IDS, 즉 침투 탐지 시스템을 도입하는 것과 비슷하다. 이 두 가지는 분명히 다른 개념이지만 공통점이 존재한다. 어떤 환경에서는 명백한 ‘공격’으로 파악되는 현상이, 또 다른 환경에서는 ‘평범’한 트래픽으로 분류된다는 점이다. 왜 이런 현상이 나타나는 것일까? 그건 애초에 환경에 대한 이해가 부족하기 때문이다. SIEM이나 IDS나 환경에 대한 이해가 뒷받침되지 않으면 들어오는 공격을 눈 뜨고 지켜보는 상황이 나올 수밖에 없다.

그렇다면 어떻게 해야 제대로 DLP와 SIEM을 제대로 사용하는 것일까?
이런 ‘오류 발생 가능성’은 DLP와 SIEM 기능을 갖추고 있다는 솔루션 제작사들이 해결하는 데에 한계가 있다는 걸 인지해야 한다. 기술의 발전이야 있겠지만 기술로 어찌할 수 없는 것들이다. 왜냐하면 일단 DLP나 SIEM은 태생적으로 모든 보안 문제를 한 방에 해결해주는 궁극의 해결책이 아니기 때문이다. 즉 보안팀들이 얘기하는 ‘제품’들이란 처음부터 한계를 가지고 있을 수박에 없다는 것이다. 그렇다면 방법은 무엇인가?

먼저 첫째, DLP나 SIEM을 사용하는 모두가, 다시 한 번 반복하지만, DLP와 SIEM이 제품을 말하는 게 아니라 절차와 과정을 지칭하는 것임을 인지해야 한다. 또한 여기에 하나 추가할 게 있으니 이 둘 그 어느 쪽도 만병통치약과는 거리가 멀다는 것이다. 즉 이거 하나로 모든 골칫거리 사라지는 게 아니라, 제대로 사용하기 위해서 해야 할 일과 고민이 반드시 수반되어야 한다는 것이다. 이는 다름 아니라 네트워크 및 환경의 이해다.

그리고 둘째, 일단 DLP나 SIEM을 적용하기로 했다면, 보안팀뿐 아니라 조직원 누구나가 여기에 참여해야 한다. 특정 사용자가 사용하는 제품이 아니라 회사 전체에 영향을 주는 절차며 과정이니까 말이다. 그러니 어느 시점에서는 보안팀을 상회하는 수준의 결정을 내려야 할 때가 있고, 심지어 저 맨 위에 계신 회장님의 결단이 필요할 때가 있다. 비전문가인 운영진이 무슨 중요한 결정을 내릴 수 있을까 싶지만, 제일 먼저는 DLP와 SIEM 기능을 구현하는 제품을 사는 데서부터 이런 분들의 결정이 필요하지 않은가. ‘성공’은 ‘유능한 것’과 다르다는 걸 이해할 필요가 있다. DLP와 SIEM의 도입 목적은 이 둘을 능수능란하게 다루는 게 아니라 방어와 보호에 성공하는 것이다.

세 번째로 IT 및 보안팀들은 가장 중요한 정보가 무엇인지 파악하고 있어야 한다. ‘당연한 거 아니야?’라고 반문할 지도 모르는데 정작 현장에서 무엇이 가장 중요한 정보인가를 물었을 때 곧바로 구체적인 답변을 내놓는 이는 거의 없었다. 무엇보다 정보라는 게 돈이나 물건과 같은 유형의 자산이 아니라 그런지 정보의 중요성 자체를 크게 염두에 두고 있지 않은 태도가 많이 보인다.

나는 상담 중에 “당신의 기업이 시장에서 현재의 위치를 차지하게 해주는 원동력은 무엇인가요?”나 “기업 전체의 비전이 무엇인지 알고 계신가요?”, “사업 운영 절차을 처음부터 끝까지 다 이해하고 계신가요?”, “정말 자신하시나요?”라고 묻곤 하는데 직원들 중에 자신이 생각하는 것만큼 실제로 회사에 대해 알고 있는 사람은 극히 드물었다. 심지어 운영진에서도 심심찮게 이런 몰이해를 목격했다. 보호해야 할 대상을 잘 이해하지 못하는 사람이 어떻게 보호란 걸 할 수 있을까?

네 번째로, 이는 앞의 ‘모두가 참여하는 것’이라는 개념과 상통하는데, 교육과 훈련이 중요하다. 업무 과정과 보안 상태, 네트워크 환경을 잘 이해한다고 실제 상황에서 몸이 그대로 반응하지는 않는다. 이는 누구나가 겪는 문제다. 모두가 참여해야 하는 개념의 보안 전략이라면 더더욱 치명적인 문제다. 실제 상황이 발생했을 때 몸이 자동으로 반응할 수 있도록 평소에도 틈틈이 훈련을 해두는 것이 좋다. 아마 훈련을 해봤다면 알 텐데, 한 번이라도 해보는 것이 전혀 해보지 않은 것보다 훨씬 낫다. 0과 1의 차이가 어마어마하다. 해커들이 노리는 건 취약점이 아니라 사용자들의 훈련되지 않은 어설픔이다.

보안은 한 번 뚫렸다고 해서 가치를 잃는 것이 아니다. 사실상 모두가 연결되어 있는 현대에서의 정보보안은 공격자가 더 머리를 굴리게 하고 고민하게 만드는 것만으로도 엄청난 가치를 가진다. 그건 방어자가 많은 경우의 수를 미리 그려놓고 그에 대한 대비를 함으로써 가능해진다. 그래서 모두가 해커들의 한 걸음 한 걸음을 늦추는 데 성공하면 언젠가 그들을 완전히 멈추게 할 수 있을 것이다.

다시 한 번 강조하지만 DLP와 SIEM은 제품이 아니다. 커다란 과정, 절차 혹은 전략이나 개념을 말하는 것이다.
글 : 브라이언 사이먼(Bryan Simon)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>