지난 20년 동안 대다수의 기업들은 정보 자체를 보호하는 것보다 ‘정보 시스템’에 초점을 맞춰왔다. 수많은 기업들은 자신들이 정보 보안의 전문가이며 적합한 보안 서비스를 제공하는 기업은 자신들뿐이라고 주장했으나 실제 진정한 정보 보안을 제공하는 기업을 찾기는 쉽지 않다.
근래에 인터넷이 눈부신 속도로 발전해 비즈니스에 영향력을 발휘하면서 정보 보안에 대한 기업의 인식은 변화하기 시작했다. 기업은 인터넷이 제공하는 다양한 기회를 최대한 활용하는 동시에 인터넷으로부터 유입되는 새롭고 변화하는 리스크를 스스로 보호할 수 있어야 한다.
이제 기업들도 이처럼 개방된 비즈니스 환경에서 생존하기 위해 단순히 인프라스트럭처만이 아니라 정보와 정보 상호 작용에 중점을 두고 비즈니스를 제한하기보다 강화하는 새로운 보안 시대가 필요하다는 사실을 잘 알고 있다. 시만텍은 이를 시큐리티 2.0이라고 한다.
이에 필자는 시큐리티 2.0에 대한 핵심주제, 즉 새로운 보안 시대를 준비해야 하는 이유와 보안 전문가가 어떻게 보다 정보 중심적인 보안 전략을 채택할 수 있는지에 대한 가이드를 2회에 걸쳐 제시하고자 한다.
인터넷은 기업의 비즈니스 방식을 완전히 변화시키고 물리적 경계의 중요성을 약화, 심지어 완전히 소멸시켰으며 수많은 새로운 기회와 함께 확장형 기업을 탄생시켰다. 그러나 이와 함께 등장한 새로운 보안 리스크들은 보안 조직이 이미 매일 직면하고 있던 문제들을 더욱 심화시킬 뿐만 아니라 아직 파악도 채 되지 않은 새로운 보안 위협들까지 시시각각 나타나고 있다.
■ 새로운 보안 위협의 양상
조직화 및 전문화 - 보다 조직적이고 전문적인 악성 행위들이 일어나고 있다. 오늘날 해커의 목적은 민감한 기밀 정보를 몰래 빼내 경제적인 이익을 얻는 것이다. 암시장에서 은행 계정 정보, 이메일 암호, 컴퓨터 IP주소 및 기타 개인 정보를 거래하는 완전한 지하 경제가 존재한다.
새로운 공격 대상 - 각 개인과 개인이 사용하는 다양한 엔드포인트 디바이스와 원격 액세스 포인트가 범죄의 주요 대상이 되고 있으며 이는 기업의 치명적인 보안 리스크가 될 수도 있다. 최근 합법적인 웹사이트나 신뢰할 수 있는 기업을 가장해 개인 정보 유출을 시도하는 피싱 공격이 급격히 증가하고 있다. 2008년 4월 시만텍의 인터넷 보안 위협 보고서에 따르면 2007년 7월부터 12월 사이에 발견된 피싱 사이트 수는 167%나 증가했다. 또한 사용자의 정보 사용과 공유 패턴을 악용하는 사례가 점점 더 확산되고 있는 가운데, 40% 이상의 악성코드는 감염된 USB 드라이브, 첨부 파일, 웹 사이트 등을 통해 실행 파일을 공유하는 방식으로 전파되고 있다.
내부 정보 유출 - 내부 위협은 외부 위협보다 더 큰 기업 이미지 실추와 수익 손실을 가져올 수 있다. 연구 조사에 의하면 2007년 발생한 데이터 보안 사건에 소요된 전체 평균 비용은 6백만 달러 이상인 것으로 나타났다. 공교롭게도 이러한 데이터 보안 사건의 대부분이 노트북 분실이나 취약한 기업의 보안 규정 또는 간단한 사용자 오류와 같은 의도하지 않은 개인의 실수로부터 비롯됐다.
기업의 책임 증가 - 관리해야 할 정보는 이전보다 늘었음에도 불구하고 기업이 직접 제어하는 정보는 오히려 줄고 있다. 기업이 관리해야 하는 정보의 양은 매년 40~50%씩 늘어남과 동시에 모바일 환경, 아웃소싱 및 계약 업무, 웹 애플리케이션 및 SaaS(Software as a Service) 등이 증가해 귀중한 기업 데이터가 기업 외부의 서버에 저장되는 경우가 많아지고 있다. 그러나 이러한 정보를 보호해야 할 책임은 여전히 기업에게 있다.
지난 수년간 기업은 정보를 최우선으로 여기는 사회 안에서 비즈니스를 수행해 왔다. 기업과 소비자들은 물론이고 범죄자들까지 애용하고 있는 향상된 현재 인터넷 환경은 정보를 보다 쉽게 이용할 수 있도록 만들었지만 정보를 보호하는 일은 예전보다 더욱 어려워졌다. 이에 따라 기업이 이를 간과하고 정보를 보호하지 못했을 때는 막대한 손실을 입게 되는 결과가 발생한다.
■ 개방된 비즈니스 환경에서 성공하기 위한 보안, 시큐리티 2.0
보안 조직은 기술 관리뿐만 아니라 비즈니스 성장과 수익성 향상에 기여하고 동시에 모든 리스크들을 관리하도록 요구받고 있다. 좋은 소식이 있다면 점점 더 많은 IT 조직들이 보안에 대한 접근 방식을 바꿈으로써 이러한 변화를 성공적으로 완수하고 있다는 것이다. 이러한 기업들은 보안 문제를 단순히 일련의 개별적, 전술적, 수동적인 활동으로 보는 대신, 책임소재가 분명한 전략적 기능으로 판단해 기능적이고 조직적인 팀과 각 부서간의 긴밀한 협력을 이끌어 냄으로써 기업이 나아갈 방향을 제시하고 비즈니스를 활성화한다. 잘 관리되는 인프라스트럭처와 정책에 의해 운영되고 주도되는 정보 중심 접근인 시큐리티 2.0을 선택하는 것이다.
시큐리티1.0이 단순히 리스크를 줄이는데 주력했다면 시큐리티 2.0은 기업이 더 많은 비즈니스 기회를 포착할 수 있도록 리스크에 대한 예측 가능성을 향상시켜 비즈니스 안전성을 확보할 수 있게 해준다. 시큐리티 2.0의 특징은 다음과 같다.
정보 자체를 보호하고 관리 - 정보가 기업의 가장 귀중한 자산이라는 말은 이제 너무 자주 듣는 말이 되어 버렸다. 하지만 최근까지도 기업의 모든 예산, 리소스 및 기술 개발은 엔드포인트에 방화벽과 안티바이러스 소프트웨어를 구축하고 네트워크 및 서버에 보안을 설정하며 이메일 스팸을 줄이는 일과 같이 기존의 인프라스트럭처를 보호하는 데에만 집중돼 있었다. 시만텍은 2008년 4월 인터넷 보안 위협 보고서를 통해 2007년 9월부터 2008년 3월까지 악성 코드 및 바이러스가 136% 증가했다고 전했으며, 지난 7월의 스팸 보고서에서 여전히 모든 이메일 트래픽의 80%이상을 스팸이 차지하고 있다고 밝혔다. 시스템에 저장돼 있는 정보 자체에 대한 현실적인 관심이 필요한 때다.
정책 및 절차에 대한 중요성 - 보안을 좌우하는 정책과 절차에 대한 중요성이 높아졌다. 이전까지의 보안 전략은 과학이라기 보다 기예에 가까웠으며, 기업의 전반적인 리스크 관리와는 단절된 경우가 많았을 뿐 아니라 보안 정책도 경영자가 아닌 관리자에 의해 만들어지는 경우가 많았다. 보안에 대한 이러한 전술적인 접근은 장기적인 관점에서 볼 때 보안 전략의 유효성을 크게 상실하는 효과를 초래한다.
인프라스트럭처 전반에 걸쳐 운용 - 시큐리티 2.0은 물리적 또는 가상화 환경, ‘온프레미즈(on-premise)’혹은 ‘인더클라우드(in the cloud)’ 상태에 관계없이 기업이 인프라스트럭처 전반에 걸쳐 보안이 유지될 수 있게 해준다. 보안 및 IT 조직이 보다 중요한 비즈니스 문제에 집중하기 위해서는 기존의 일상적인 업무를 자동화하여 작업 시간을 단축해야 한다. 이를 위해 보안 업무와 IT 업무 간에 보다 밀접한 협력이 필요하며 이미 많은 대규모 기업들은 이미 시행하고 있다.
시큐리티 2.0으로 성공적으로 전환한 IT 및 보안 업체들은 업계 선두 기업은 물론, 진정한 비즈니스 파트너로 인정받을 수 있으며 이 같은 새로운 보안 접근을 통해 운영 비용을 줄이고, 컴플라이언스를 향상시킬 뿐만 아니라 보다 뛰어난 비즈니스 민첩성과 역동적인 기업 환경을 구축할 수 있다.
