[전문가기고]메르스 사태, 보안의 타산지석

올 상반기 화두는 단연 메르스 사태였다. 해결이 돼서 다행이지만 만약 이런 사건이 정보 분야에서 발생했다면 단순히 파급속도만 비교해도 그 파장은 상상을 초월한다.

사스·신종플루는 큰 문제없이 잘 넘겼는데 유독 메르스 파장이 컸던 가장 큰 요인은 초기 검역과 대응 차이다. 입국 전 공항에서부터 사전 감지하고 분리 검역을 시스템적으로 얼마나 잘 했는지와 실시간 대응으로 골든타임을 놓치지 않았는지의 차이다. 공항 입국심사 전이나 병원 응급실 출입구에서 열 감지를 잘해 미리 격리 조치하고 치료하는 시스템을 잘 구축하고 작동했으면 이런 대형 사고는 충분히 미연에 막을 수 있었다.

그동안 몇 번의 대형 사고에서 보듯이 사소해 보이는 엔드포인트 단말 한 대가 금융전산실 서버를 모두 파괴하거나 언론사 PC를 모두 포맷하는 일이 동시 다발적으로 이번 메르스처럼 퍼진다고 생각하면 과연 우리 대응 능력과 방안은 무엇일까.

내가 해커라면 그동안 투자도 많이 하고 보안전문가들이 포진하고 있는 전산실을 직접 공격 하겠는가, 아니면 여러 모로 상대적으로 취약한 엔드포인트를 먼저 공격하고 이를 숙주로 해서 서버를 공격하겠는가.

어디서 발생할지 모르는 보안 사고를 장님 코끼리 만지듯 하는 것은 아닌지. 전체적인 통제방식은 무엇인지. 정보보호관리체계(ISMS)가 있지만 체크리스트 확인 수준이 아니라 과연 실질적이고 유기적인 시스템으로 구축돼 있는지. 이번 사태를 교훈 삼아 다시금 생각해 볼 필요가 있다. 정부도 방역대책본부를 잘 유지하고 왔다고 생각해 왔지만 치명적인 허점을 보여준 것처럼.

전산실 전문가가 아닌 임직원이 사용하는 엔드포인트로 인해 발생하는 사고는 크게 두 가지로 구분할 수 있다. 주요 업무망을 기준으로 들어가는 것(NAC:사람·장비)과 나오는 것(DLP:정보·데이터)으로 크게 양분할 수 있다. 메르스는 네트워크접근제어(NAC)가 취약한 결과로 볼 수 있다. NAC나 내부정보유출방지(DLP)는 그동안 단편적이거나 개별적 관리의 모음이 대부분이었다. 이를 통합통제시스템으로 대폭 또는 단계별로 전환해야 한다.

엔드포인트 보안은 결코 쉽지 않다. 성공사례 또한 드물다. 다양한 종류만큼 개수가 많고 설치해 사용하는 SW도 많고 사용자 수준 또한 차이가 많다. 기존 구축된 솔루션도 많다. 그동안 개인정보보호, 불법소프트웨어를 비롯해 각종 규제에 해당하는 솔루션을 나열식으로 보유하고 있는 것이 대부분이다. 이제 한계에 도달했다. 병원은 IP관리·자산관리·패치관리를 기본 인프라로 한 통합시스템을 완비하고 해당 보안솔루션을 약국 처방약처럼 목적에 맞게 투여해야 한다.

엔드포인트 보안 문제를 쉽게 해결하지 못하는 가장 큰 문제는 기술보다는 개념이다. 개념만 이해하면 아주 쉽고 간단하게 해결할 수 있는데도 복잡하게 기술적인 접근으로만 문제를 해결하려 한다. 간단하고 강력한 통합통제시스템을 먼저 구축하고 각종 보안문제를 각자 위치에서 해결하고 보강하면 되는 것을 너무 많은 각개 시스템으로 산발적으로 관리하니 허점이 생기게 마련이다.

단순 제품이나 개별적 관리시스템을 나열하는 방식으로는 한계가 있다. 유기적인 강력한 통합통제시스템이 절대적으로 필요한 시점이다. 확고한 개념을 최소한 최고정보관리책임자(CIO)나 최고정보보호책임자(CISO)가 완벽하게 이해해야 반복되는 투자비용을 줄이고 실시간 대응체계가 가능한 미래형 보안체계를 갖출 수 있다.

그동안 업무도 네트워크 팀, 자산관리 팀, 보안 팀 등으로 세분화하고 많은 개별적 관리시스템을 구축하다 보니 이를 통합해 유기적 통제시스템을 구축하는 것 자체가 어렵다. 기술적 접근보다는 개념적 이해를 먼저하고 팀 간 협조와 강력한 CIO·CISO 리더십이 그 어느 때보다 중요한 성공의 열쇠다.

이무성 미디어랜드 대표 musso@medialand.net