최근 잇따른 기업의 개인 정보 유출과 해킹으로 인한 보안 사고들은 국내 기업들이 적용한 보안 방식에 문제가 있음을 암시하고 있다.
공인인증서나 인터넷 뱅킹 보안과 같이 국내 보안 환경은 글로벌 환경과 많은 차이가 있다. 글로벌 기업과 국내 기업 보안 환경에도 질적으로 상당한 격차가 있는 것이 사실이다.
우리나라에서 일어나는 보안 사고를 보면 정말 말도 안 되는 경우가 많다. 문제의 원인과 예산 늘리는 것 말고는 해결 방법이 없는 것인지 살펴보자.
작년에 터진 3.20전산 대란과 얼마 전에 있었던 카드사 개인 정보유출, 통신사 고객 정보 해킹 등을 보면 다르지만 공통적으로 나타나는 현상과 원인을 볼 수 있다. 첫 번째가 직원 및 파트너를 통해 내부 시스템에 접근한 개인 정보 유출이다. 둘째는 사내 망에 접속된 PC를 통한 공격, 셋째는 가장 기본적인 경로로 네트워크에 침입해 정보를 해킹하는 방식이다.
대부분의 보안 전문가들은 사건 시나리오 자체는 쉽고 단순하다고 말한다. 그런데도 이러한 사건이 벌어지는 이유는 뭘까? 현재 기업 보안 방식에 근본적인 문제가 있어서라는게 필자의 생각이다.
사고가 발생하지 않았던 기업들도 대부분 재수없이(?) 당한 기업들과 유사한 보안 정책과 솔루션을 도입하고 있어, 남의 일로 볼 수는 없는게 현실이다.
지금 상황에서 보안 사고는 대부분 사람으로 인해서 발생한다. 그런만큼, 이제는 사람에 대한 그룹을 세분화하고 형식적인 신원 조회와 인증을 넘어 보다 강화된 통합 인증이 필요하다. 이것은 최초 PC로그인에서부터 네트워크, 애플리케이션, 그리고 데이터에 이르는 인증을 해야 한다는 것을 의미한다.
사용자 그룹에 따라 네트워크 망도 구분될 필요가 있다. 예를 들면 협력사나 방문객을 위한 일반 인터넷만 연결되는 게스트망, 실제 소속된 직원들이 일하는 업무망, 그리고 강화된 보안이 적용된 보안망 등이다.
대부분의 기업들이 물리적 구분과 체계는 되어 있지만 실제 환경은 그러지 않은 경우가 많다. 가장 큰 이유는 우리 나라 보안의 중심은 시스템이지 사람이 아니기 때문이다. 반면 글로벌 선도 기업들의 보안은 모두 사람으로부터 시작된다.
사람에 대한 인증과 네트워크가 체계화되면 다음은 사람들이 이용하는 디바이스를 관리해야 한다. 특히 최근에 사용자 PC에 침투된 웜 바이러스를 통한 공격이나 협력사 직원이 내부에 출입하여 데이터를 유출하는 경로를 보면 디바이스를 제대로 모니터링 하지 않은 빈틈이 존재한다.
최근에는 회사에서 직접 등록 및 관리하지 않는 BYOD(Bring Your Own Device)가 늘어나고 있기 때문에 관리해야 할 대상도 부쩍 늘었다.
무엇보다 디바이스 상태를 사전에 점검하고 문제가 생기면 앞서 세분화된 네트워크 정책에 맞춰 구분된 네트워크에서만 접속할 수 있도록 해야 한다. 오염된 PC나 매체 제어와 같은 보안 정책이 제대로 지켜지지 않은 PC는 완전 분리하여 차단할 수 밖에 없는 것이다.
마지막은 애플리케이션 시스템과 데이터와 관련된 부분이다. 현재 데이터 보안의 문제는 무조건 모든 데이터를 암호화만 하는 All-or Nothing 방식에 있다.
데이터 보안에는 암호화 뿐 아니라 누가 볼 수 있는지에 대한 공개 범위와 실제 데이터에 대한 읽기, 쓰기, 수정, 복사 등에 대한 권한을 부여할 수 있는데 이제 데이터를 권한 관리까지 확대해 최초 데이터 생성자의 실명화로 책임 의식을 통한 관리 환경을 구현할 필요가 있다.
이렇게 해결 방안이 있음에도 기업 IT 보안 환경을 바꾸거나 혁신할 수 없는 가장 큰 이유는 무엇보다 보안을 바라보고 있는 인식의 차이에 있다. 보안의 국어 사전적 의미는 안전을 유지하다, 사회의 안녕과 질서를 유지하는 것을 말한다. 영어 사전에 담긴 의미는 특정 장소를 보호하기 위해, 또는 권한을 가진 사람 만이 들어가는지 확인하거나 그 곳을 떠날 때에 모든 조치를 의미한다. (Security refers to all the measures that are taken to protect a place, or to ensure that only people with permission enter it or leave it.)
그런데 국내 기업들의 보안은 모든 가능성과 사람을 의심하는 것으로 시작하기 때문에 무조건 막아버리고 가두는 보안 정책을 하고 있다. 그런데 보안은 무조건 막고 가둔다고 되지 않는 것이 현실이다. 마음만 먹으면 무엇이든 할 수 있다는 얘기가 지금은 현실이기 때문이다.
그렇다면 글로벌 선도 기업들은 어떠한가? 그들의 보안은 회사 자산을 지켜서 보호하고,사전에 예방하는 것이 보안으로 인식되어 있다. 그래서 직원과 파트너를 신뢰할 수 있도록 끊임 없이 교육하고 관리한다.
관련기사
- 해킹이 돈벌이엔 마약보다 좋다 하니…2014.04.03
- 보안 담당자 처벌이 해킹방지 대안인가?2014.04.03
- 해킹 잘 날 없는데 보안 예산은 늘 제자리2014.04.03
- KT 해킹 개인정보 유출 여부 확인 방법은?2014.04.03
지금도 하루가 다르게 기업의 IT환경은 변화하고 있다.소셜네트워크로 인해 모든 것은 개방,연결되고 있고,빅데이터와 클라우드 컴퓨팅으로 모든 데이터 자원은 중앙 집중화되어 가고 있다. 모바일 디바이스가 많이 보급되면서 이미 많은 콘텐츠는 언제나 어디서나 볼 수 있게 되었다.
보안 기술도 빠르게 진화하고 있지만 기술로는 한계가 있다.특히, 이렇게 패러다임이 변화하는 상황에서는 기존 보안 방식 보다는 본질적으로 보안을 지키고 강화할 수 있는 인식과 방식에 대한 전환이 기업 IT 전략에 있어 우선적으로 필요하다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.