IT스토리-물 샘 틈 없는 보안은 가능할까?

IT스토리-물 샘 틈 없는 보안은 가능할까?

물샘 틈 없는 보안에 대해서 사례를 들어볼까 합니다. 

아내를 살해했다는 누명을 쓰고 쇼생크 교도소에 수감된 주인공 앤디 듀프 레인. 그는 20년 가까운 수감생활 끝에 자기 감방 벽에 구멍을 뚫고 탈옥에 성공합니다. 아주 작은 망치 하나로 감방 벽에 구멍을 뚫는 작업에는 매우 오랜 시간이 소요되었습니다. 하지만 흙을 조금씩 밖으로 가져와 버리고 구멍은 커다란 포스터로 가려놓았기 때문에 발각되지 않고 탈옥에 성공할 수 있었습니다.

이 내용은 영화《쇼생크 탈출》의 줄거리입니다. 주인공이 수감되었던 교도소는 흉악범을 수용하는 최고 경비 수준의 교도소였으며 교도관들도 냉혹하기만 했습니다. 하지만 주인공은 교도소장과 교도관의 신임을 얻었고 결국 탈옥에 성공합니다.

보안의 핵심은 침입에 대한 탐지, 지연, 대응입니다. 보안의 핵심 요소는 세 가지를 꼽을 수 있습니다. 침입에 대한 탐지(detect), 지연(delay), 대응(response)입니다. 이 세 가지 중 한 가지라도 제 역할을 하지 못하면 보안은 제대로 기능할 수 없습니다. 영화에서 주인공이 탈옥에 성공한 것은 교토 소가 침입에 대한 탐지를 실패했기 때문입니다. 제아무리 막강한 시스템이라고 해도 충분한 시간이 주어진다면 보안은 뚫리기 마련입니다. 만인 금은방에 도욱이 침입해 경보가 울리고 경비업체가 출동했으나 이미 도둑은 달아난 상황이라면, 지연 또는 대응에 실패한 것이라 할 수 있습니다.

 

정보시스템의 보안도 위 세 가지 조건에서 벗어나지 않습니다. 외부에서 불법적인 침입 시도가 있을 경우 이를 탐지할 수 있어야 하고, 쉽고 침입하지 못하도록 다양한 보안 체제를 구성하고 있어야 합니다. 그리고 침입 시도에 즉각적으로 대응할 수 있는 체계적인 시스템을 갖추고 있어야 합니다. 요즘은 외부 침입에 대한 보안 설루션이 상당한 수준에 이르렀으며 기업들도 기본적으로 요구되는 수준의 시스템을 대부분 갖추고 있어야 합니다. 

하지만 최근 금융권의 보안사고 사례와 대형 포털의 정보 유출 사례 등으로 보안시스템의 신뢰성에 대한 의구심이 커지고 있습니다. 더구나 2011년 9월 30일부로 발효된 개인정보보호법으로 인해 정보 보안에 대한 의무사항 적용 대상이 크게 확대되었습니다. 그 이후 기업의 경영진이 보안에 관심을 더 기울이는 것은 당연한 일입니다. 그리고 기업의 정보시스템을 담당하고 있는 관리자들은 그 어느 때보다 정보 보안에 대해 깊이 우려하고 있습니다. 그렇다면 과연 물 샘 틈 없는 보안은 가능한 일일까?

그리고 반드시 물 샘 틈 없는 보안을 추구해야만 하는 것일까?

내가 속해 있는 기업은 제조업이기 때문에 정보 보안에 대한 관점이 금융권이나 인터넷 기업과는 다르다는 것을 인정합니다. 기업이 속해 있는 산업 분야에 따라 다루고 있는 정보의 내용과 가치도 많은 차이가 있습니다. 여기서 가치라고 하는 것은 정보가 외부에 유출되었을 때의 가치를 의미합니다.

기업의 보안시스템은 기업의 정보 가치에 따라 그 수준이 결정되어야 합니다.

보안시스템 구성을 위한 직접적인 비용은 물론, 보안사고 이후 업무 생산성 저하에 따른 간접적인 비용까지 고려하면 많은 비용이 소요되기 때문입니다.

 

최근 일련의 보안사고를 살펴보면, 외부의 침입으로 인한 사고보다는 내부 관련자의 정보 유출사고의 비중이 증가하고 있는 추세입니다. 지금까지의 보안 체계는 외부의 침입을 막는 것에 중점을 두고 있습니다. 그리고 그런 측면에서 보안시스템은 상당 부분 성과를 거두었습니다. 그러나 내부에서 발생하는 정보 유출에는 아직까지 큰 진전을 보지 못하고 있습니다.

가장 큰 이유는 앞서 이야기한 보안 체계의 3대 요소 중 탐지 측면에서 매우 어렵기 때문입니다. 속담 중에 "믿는 도끼에 발등 찍힌다."라는 말이 있습니다. 내부 관련자를 믿기 때문에 탐지가 어려운 것입니다. 영화《쇼생크 탈출》의 주인공도 교도관과 교도소장의 믿음 덕분에 자신의 탈주를 쉽게 들키지 않을 수 있습니다. 이런 상황이다 보니 내부정보 보안에 대한 투자가 늘어나고 있습니다. 내가 근무하는 회사에서도 내부정보 보호를 위해 문서암호화(DRM) 시스템을 몇 년 전에 도입했습니다. 권한이 없는 경우나 정상적으로 인증을 받지 못한 경우에는 사내 문서가 열리지 않도록 하고, 외부와의 협업을 위해 문서의 암호를 해제하는 기능은 별도의 문서 반출시스템을 구축해 이를 통해서만 가능하도록 했습니다. 그러다 보니 실무자는 업무에 불편을 겪을 수밖에 없습니다. 보안에 대한 경영진의 의지가 확고한 경우에는 문제가 되지 않으나, 이런저런 이유로 의지가 약해지면 업무상의 비효율이 더 중요한 이슈가 됩니다. 그러나 어느새 암호화 해제 권한을 가진 사람이 점점 증가하게 되는 것입니다.

물론 나는 DRM은 내부자의 정보 유출 방지보다는 노트북이나 USB 메모리 분실사고 시 정보 유출 방지에 더 큰 의미가 있다고 생각하기 때문에 DRM의 도입을 적극적으로 찬성하는 입장입니다.

그러나 경영진이 애초에 생각한 내부정보 유출 방지를 위한 도입 의미는 경영자의 인식 변화에 따라 많이 퇴색될 수 있습니다. 

 

요즘은 DRM 이외에 출력 통제, 화면캡쳐 통제 등 보안 기능이 점점 더 고도화되고 있고 스마트폰을 통한 정보 유출을 방지하는 시스템까지 등장하고 있습니다. 믿는 도끼에 발등이 찍히고 싶지 않다는 의미일 것입니다. 완벽한 보안시스템의 구축이 아니라 보안 체계 전반의 향상이 목표입니다. 보안은 취약 고리(the weakest link) 이론의 적용을 받는다. 즉 다른 모든 측면이 문제가 없더라도 가장 취약한 부분이 뚫리면 전체가 무너진다는 것입니다. 그리고 그 취약 고리는 바로 사람입니다.

IT 시스템을 담당하는 입장에서 보안사고가 나면 CEO에게 무참히 깨찔 수밖에 없습니다. 그런데 보안에서 가장 취약한 부분이 기술로 통제할 수 없는 사람이라는 점이 딜레마입니다.

나는 완벽한 보안시스템은 불가능하다고 생각합니다. 오늘 회사에서 있었던 경영회의 결과가 바로 다음 날 경쟁사에 알려지는 것은 경쟁사가 도청을 하거나 시스템을 해킹해 회의자료를 가져갔기 때문이 아니라 회사 사람들끼리 저녁에 술 한잔하면서 정보가 흘러들어 갔을 가능성이 훨씬 더 높습니다. 

그런데 경영진은 시스템 정보 보안이 허술하다며 IT부서에 대책을 수립하라는 지시를 내립니다.

오늘날 기업 정보의 대부분은 PC를 비롯한 정보시스템에 저장되고 네트워크를 통해 교류됩니다. 자동차사고는 자동차가 일으키는 사고가 아니라 운전자가 일으키는 것이듯, 정보시스템에서 정보가 유출된다고 정보시스템만을 탓할 수는 없는 노릇입니다. 그래서 정보 보안이 어렵습니다.

특히 IT 시스템을 담당하고 있는 입장에서는 더욱더 어렵습니다. 아마도 물 샐 틈 없는 보안 체계의 구현에 대해 고민하는 것은 해결할 수 없는 딜레마를 끌어안고 있는 것인지도 모릅니다.

어쩌면 완벽한 보안이란 정보를 빼내는 데 필요한 노력 또는 부담해야 할 위험성의 대가가 빼낸 정보의 가치보다 더 크게 막기 위한 IT 부서의 고민은 계속됩니다. DRM(Digital Rights Management) : 디지털 저작권 관리시스템을 말합니다. 원래는 음악이나 전자책 등의 불법 복제 및 사용을 막기 위한 기술이었으나, 콘텐츠를 암호화하는 기본 기능을 이용해 기업의 문서정보를 암호화함으로써 파일 유출에 따른 정보 유출을 막는 데 사용됩니다.