`정보보호` 영역에서 2013년은 국내외적으로 매우 시끄러웠던 한 해였다.
국내에서는 3·20, 6·25 보안 사고를 통해 이른바 `APT(Advanced persistent Threat)`로 대변되는 새 보안 위협의 심각성을 뼈저리게 체험했다. 공격자들이 더 이상 `아마추어`가 아닌 `프로`로 바뀌었다는 것 또한 분명히 깨달았다. 기존의 방어체계로는 더는 새로운 보안 위협에 대응할 수 없음을 인지한 것이다.
국외에서는 미 국가안보국(NSA)에 대한 스노든의 폭로가 핫 이슈였다. 미국이 전 세계적인 감시망을 매우 치밀하고 조직적으로 운용하고 있음이 확인됐다. `사이버 전쟁`의 실태를 극명하게 보여줬고, 각 국가는 타 국의 서비스를 사용하는 것에 경각심을 느끼게 됐다.
올해 기업과 기관의 정보보호 체계는 이러한 이슈들을 충분히 고려해 한 단계 진화해야 한다. 이에 나는 세 가지 방향을 제시하고자 한다.
첫째, 진화되고 있는 `기존에 알려지지 않은` 보안위협에 대응하기 위해 기업의 정보보호체계를 강화해야 한다. APT 등 새로운 위협은 더욱 진화할 것이다. 기업들은 기존에 알려지지 않은 새 위협의 대응 체계를 세밀하게 구축해야 한다. 또 대응 원칙 자체를 바꿔야 한다. `막을 수 있다`에서 `뚫릴 수 있다` 또는 `모니터링될 수 있다`는 관점으로 대응체계를 재설계해야 한다. 뚫리거나 모니터링되더라도 위험이 확산되지 않는 체계 구축에 초점을 둬야 한다. 이를 위해서 APT 대응 솔루션, 망 분리, 침해 탐지 모니터링의 정교화, 보안 인텔리전스(Security intelligence), 모바일 디바이스 위험 대응 기술, 다채널 인증 기술 등을 적극 도입해야 한다.
둘째, 투자 대비 효과를 극대화하기 위해 보안체계를 `통합`해야 한다. 기존에 투자를 많이 했던 기업이나 기관은 수많은 보안 솔루션이 구비돼 있다. 그러나 위협에 일관성 있게 대응하지 못하는 게 문제다. 많은 투자에도 불구하고 여전히 전통적인 보안 위험에 노출돼 있고, 대응 또한 비효율적이다. 이를 극복하기 위해서는 정책수립 및 반영→운영→모니터링 및 피드백 체계가 일관성 있게 통합돼야 한다. 우선 인증 및 계정관리 체계부터 통합해야 한다. 이후 취약성 관리체계, 다양한 솔루션 정책 및 운영 체계를 통합하고 효율화해야 한다.
비교적 규모가 작거나 뒤늦게 정보보호 체계를 구축하는 기업들은 컨설팅을 통해 초기부터 효과적이고 효율적인 대응체계를 설계해야 한다. 또 공유서비스 형태의 보안관제로 침해대응 비용을 절감하면서도 전문성 있는 서비스를 받는 방안을 모색할 필요가 있다.
셋째, 정보보호를 IT 레벨에서 비즈니스 레벨로 한 단계 발전시켜야 한다. 최근에는 CIO가 아닌 CEO 차원에서 정보보호를 다루는 기업이나 기관이 증가하고 있다. 정보보호가 CEO의 경영 어젠다로 지속되기 위해서는 IT 인프라의 기술적 보안에만 초점을 맞춰서는 안 된다. 기술적 보안에 초점을 맞추면 CEO 어젠다가 되기 어렵다. 따라서 관련 조직은 이제 전사적 컴플라이언스와 위험 관점에서 보안의 위험을 식별하고 평가할 수 있어야 한다. 다양한 비즈니스 프로세스를 분석하면서 이에 따른 개인정보보호 및 핵심정보 유출의 위험, 법규 위반 문제, 업무 지속성 손상의 손실을 도출해내고 이를 기반으로 프로세스를 재구축할 수 있어야 한다. 새로 출시되는 다양한 서비스에 사후적으로 추가되는(add-on) 보안이 아니라 초기부터 내장되는(embeded) 보안이 돼야 한다.
이 세 가지는 비단 올해만 강조돼야 할 사항은 아니다. 이 방향은 기업과 기관이 정보보호 체계 구축과 관리에서 지속적인 화두가 될 수밖에 없는 영역임을 꼭 기억해야 한다.
신수정 인포섹 대표 sjs1234@skinfosec.co.kr