[CIOBIZ+] View Point-기업이여, 보안을 운영하라

　최근 보안 위협은 양적 증가 외에 형태와 방식 면에서도 과거와 뚜렷이 구분되는 양상을 보이고 있다. 우선 눈에 띄는 변화는 위협의 배포 방식과 대상이다.

　인터넷 상의 공격 패턴은 이미 소수의 위협을 널리 배포하는 방식에서 개인 사용자를 대상으로 다양한 위협을 배포하는 방식으로 변화하고 있다. 또한 지난해 감지된 모든 위협의 90%는 개인정보를 훔치기 위한 시도였을 만큼 사이버 공격은 금전적 이득을 목적으로 개인 사용자를 대상으로 이뤄진다. 이러한 보안 공격은 최근 연이어 발생하고 있는 개인정보 유출 사고를 통해 알 수 있듯이 기업의 생산성과 매출에 직격탄이 되고 있으며 궁극적으로 고객의 이탈로 이어지고 있다.

　그 다음으로는 기업 내부적 요인으로 인한 보안 위협의 증가를 들 수 있다. 지난 2008년 정보 유출 사고에 의한 평균 피해액은 670만달러로 2007년에 비해 5% 증가한 것으로 나타났다. 기업 내부의 정보 유출은 실수, 사고 또는 직원의 부주의 등 다양한 원인에 의해 발생할 수 있다.

　고의적인 내부 데이터 유출 역시 증가하고 있는데 2009년 1월 시만텍과 포네몬 인스티튜트가 공동으로 실시한 조사에 따르면 2008년 미국 퇴사자의 59%가 기업의 기밀 정보를 유출했다고 시인했다. 이러한 경향은 기업이 인원 감축에 나서면서 더욱 증가할 것으로 예상된다. 같은 조사에서 응답자의 24%가 회사를 떠난 후에도 이전 회사의 컴퓨터 네트워크에 접속할 수 있었다고 밝혔고, 3분의 1 이상이 일주일이나 그 이상 접속이 가능했다고 답해 기업의 보안 환경이 얼마나 취약한지 보여준다.

　이 같은 보안 위협의 변화 외에 다른 요인들 역시 기업의 주요 자산인 정보 보호를 더욱 어렵게 한다. 기업의 인프라스트럭처는 점점 더 이기종화되고 복잡해지며 새로운 컴퓨팅 아키텍처는 인프라스트럭처의 복잡성을 증가시키고 있다. 특히 최근에는 다수 기업이 SaaS(Software-as-a-Service)를 도입하면서 새로운 보안 문제가 야기되고 있기도 하다.

　그렇다면 기업이 안팎에서 다양한 변화를 겪고 있는 현 시점에서 기존 보안 모델이 여전히 유효할까. 대답은 ‘그렇지 않다’이다.

　첫째, 현재 보안 정책은 실무자급의 인력만이 참여해 e메일, 백업 또는 서버 보안 구성 방식을 바탕으로 설계되고 있다. 따라서 기업 전체를 아우르는 일관된 정책 수립이 어려운 실정이다.

　둘째, 보안이 단편적으로 이뤄지고 있다는 점이 기존 보안 모델의 한계라고 할 수 있다. 기업이 보유하고 있는 다양한 포인트 제품은 애플리케이션과 인프라스트럭처 전반에 대한 보안 정책 수립을 어렵게 한다. 위협 상황에 대한 자동화 조치를 제공하지 않는 이기종 제품으로 구성된 보안 환경에서는 다양한 보안 위협에 적절히 대응하기가 어려워질 수밖에 없다.

　셋째, 현재 기업의 IT 부서는 매우 파편화돼 있다. 일반적으로 기업의 IT팀은 그 내부에서도 기업 내 PC 구성을 담당하는 데스크톱팀, 취약점을 테스트하고 감시하는 보안팀, 데이터센터를 담당하는 스토리지팀 등으로 나뉘어 있다. 각각의 팀별로 고유의 시스템과 정책이 있어 팀 간 협업이나 커뮤니케이션이 자동으로 이뤄지지 않고 별도의 수작업을 통해서만 가능하다. 예를 들어 보안팀이 보안 감사를 위해 PC 로그를 요청하려면 데스크톱팀의 담당자에게 전화를 걸어야 하며 보통 2일 후에나 요청한 자료를 받을 수 있다. 즉, 보안 감사를 위해서는 데이터를 수동으로 전달 및 리뷰해야 한다.

　마지막으로 기존 보안 모델에서 흔히 발견되는 위협에 대한 가시성 부족은 기업이 보안 정책의 우선 순위를 정하는 데 어려움을 준다. 따라서 기업은 기업 내 보안이 가장 취약한 곳이 어디인지, 내·외부 환경에서 어떠한 위협이 벌어지고 있는지 등과 같은 주요 질문에 신속하게 답변을 제시할 수 없다.

　이제 기업은 새로운 보안 모델을 구축해 보안을 운영해야 한다. 이러한 변화를 위한 가장 효과적인 방법은 많은 시간이 소요되는 반복 업무를 자동화하기 위해 보안, 스토리지 및 시스템 관리를 통합하는 것이다. 이를 통해 기업 내부와 외부의 위협 환경에 대한 더 높은 가시성을 확보하고, 리스크 관리를 보다 효과적으로 제어할 수 있으며, 기업의 IT 환경을 보다 효과적으로 통합 및 보호할 수 있다.

　이 같은 변화를 실현하기 위해서는 △위협 기반(Risk-based) △정보 중심(Information-centric) △신속 대응(Responsive) △워크플로 기반(Workflow-driven) 등의 조건을 만족시키는 새로운 보안 모델이 필수적이다.

　기업은 이제 핵심 자산인 정보를 효과적으로 보호하기 위해 내·외부의 정보유출 위협에 주의를 기울여야 한다. 이를 위해 일상 업무를 자동화하고 보안 정책과 기술을 효율적으로 활용하는 등 ‘보안을 운영(Operationalize your Security)’하는 새로운 보안 모델을 고려해야 한다. 기업이 끊임없이 변화하는 보안 환경에 능동적으로 대처해 나갈 때 고객의 소중한 정보를 보호하는 동시에 기업의 생산성을 높이고 경기 침체 시대의 새로운 리더로 힘차게 발돋움해 나갈 수 있을 것이다.

　 jin_byun@symantec.com