코어 보안
상태바
코어 보안
  • Network Computing
  • 승인 2003.03.17 00:00
  • 댓글 0
이 기사를 공유합니다

연일 계속되는 사기 사건, 주가 조작 방안, 그리고 만연하는 전자적 불법 침입 보고가 늘어남에 따라, 베일에 쌓인 해커에 대한 언론의 관심 또한 배가되고 있다. 디지털 방화범의 이야기는(아무리 정교한 가상 요새라도 태워버릴 수 있을 것 같은) 세계의 주목을 끌고 있다. 우리가 걱정하지 않을 수 없는 것은, 방화범이 정말 소방관들보다 더 재능이 뛰어나는가 하는 문제다.

컴퓨터 관련 범죄가 상승 일로에 있다는 사실, 그리고 우리 사회의 정보 시스템 의존도가 높아짐에 따라 위험 또한 늘어나고 있다는 사실을 아는 것만으로는 충분치 못하다. 상당한 발전이 있었음에도 불구하고 정보 보안은 쉽게 극복할 수 있는 도전이 아니다. 문제는 단순히 우리가 방어하고자 하는 시스템에 구멍을 내는 기술적인 단점들 때문이기도 하고, 경영진의 지원 부족 때문이기도 하며, 부분적으로는 진정한 자원 필요조건에 대해 이해가 부족하기 때문이기도 하다.

그러나 솔직히 말해 가장 큰 문제는 우리가 이 일을 잘못하고 있다는 사실이다. 많은 보안 전략들은 기술 중심적이다. 이러한 방식은 강력한 정책이 없이는 프로세스와 전략이 분산되고 정당화될 수 없는 상태로 있기 때문에 성공할 수 없다. 반면 정책 중심적인 보안 전략들은 프로세스와 기술적인 요소가 없이는 실패하는데 그 이유는 감시와 강행에 있어서 기술적 제어가 핵심이기 때문이다. 따라서 제 1의 원칙인 정책, 프로세스, 그리고 기술의 조화를 맞춘 전체적 방안이 성공적인 보안 프로그램에서 가장 좋다.

무엇을 보호해야 하는가

인터넷 해커들의 비범함과 잠복해 있는 또 다른 위험들에 대한 경고성 이야기들로 우리는 개방된 영역에다가 강철 문을 세우는 데 주력하고 있다. 그리고 이 때는 문이 보호하는 대상이 아니라 문에다 관심을 집중시킨다. 제2 원칙인 주변보다는 좀 더 자산 중심적이 되어야 하는데, 그 이유는 이 모든 것을 보호할 수는 없는 게 현실이기 때문이다.

무엇을 보호하고 있는지, 이것이 어디에 놓여 있는지, 그리고 그 가치는 얼마나 되는지를 확실히 알고 있지 못하다면 어떻게 필요한 보호의 수준을 헤아릴 수 있는가. 또 헤아린 다 한들 그 수준에 도달하기는 더더욱 힘들 것이다. IT와 사업 분야들간에 개방된 소통 경로가 없을 경우, 어떻게 보안 팀에서 디지털 자산에 대한 진정한 위협을 측량할 수 있겠는가.

불행히도, 자산에 있어서 문제는 사업 및 보안 팀에게 있다. 대다수의 비즈니스 운영자들은 정보 보안에 대해 거의 모르고 있으며, 정보 보안 종사자들은 비즈니스에 대해 아는 것이 거의 없다는 사실이다. 보다 나은 이해가 없이는 서로가 함께 할 수 있는 공통의 지평은 찾을 수 없을 것이다.

비용에 민감한 경제로 인해 조직들은 더 비싼 보안 제어를 원하지 않으며, 보다 효율적인 수단을 필요로 하고 있다. 이제 조직을 재정비하고, 재평가하고, 전체적 전략이 중심이 되도록 만들어야 할 때다.

정보 보안의 분류

대형 기업의 데이터 보호자라면 누구나 하는 말이겠지만, 방어하는 것보다는 공격하는 게 훨씬 더 쉽다. 침입자들은 갑옷에서 틈 하나만 찾으면 되는 반면, 방어자들은 모든 자산을 갑옷으로 무장하는 동시에 한정된 예산, 제한된 자원, 불투명한 경계선, 개방형 시스템, 그리고 계속되는 기술적 취약점들의 맹공과 전투를 벌여야 한다. 때문에 ‘디펜스 인 뎁스(defense in depth)’ 개념이 계속해서 강조되고 있는데, 이것은 하나가 실패하면 다른 것이 필요한 보호를 해주리라는 희망에서 다단계 방어벽을 만드는 것이다. 하지만 어떤 것을 보호해야 하는 것일까? 서버, 네트워킹 장비, 데스크톱, 파일, 백업 테이프, 애플리케이션, 데이터베이스 등등.

대다수의 보안직 종사자들은 ‘그것들 모두’라고 대답할 것이며 그 대답이 꼭 틀린 것만은 아니지만, 이보다 더 세계 평화를 이루는 좋은 방법이 있다. 이 모든 것을 방어할 수는 없다는 사실을 기억하라. 희생양을 선택하기를 좋아하는 사람은 없겠지만, 정보 보안 분류(triage)는 반드시 필요하다. 가장 중요한 것을 보호하는 일이야말로 당신이 해야 할 최선의 일인데, 그 이유는 확실한 제 3의 원칙이 바로 완벽한 보안이란 존재하지 않는다는 것이기 때문이다.

분류 프로세스의 기본은 정보 기술의 핵심이 정보라는 사실을 참작하여 더 중요한 것과 덜 중요한 것을 구분하는 일이다. 정보를 전달하고 배포하고 사용하는 것이 데스크톱, 서버, 소프트웨어 및 네트워킹 장비에 대한 필요를 이끌어낸다. 그리고 대다수 조직에서 정보의 가치는 비즈니스의 중요도와 민감도에 따라 달라지며, 이는 당연한 일이다. 하지만 IT와 보안 담당자가 각각의 데이터에게 어떤 가치를 줄지 언제나 확실히 아는 것은 아니다. 게다가 어떤 유형의 정보는 다른 것들보다 공격을 자주 당하는 것으로 입증되기도 했다.

예를 들어 손실 통계를 검토한다면 이야기는 이렇게 될 것이다. 타깃이 되기에 더 좋은 데이터 유형이 있을 것이며, 그 타깃과 관련된 손실은 막대할 것이다. 503인의 컴퓨터 보안 관계자들을 대상으로 한 2002년 CSI/FBI 컴퓨터 범죄 및 보안 설문조사에 따르면, 인터넷 액세스 악용과 바이러스 발발이 금융 부문에서 가장 빈번하게 발생하는 사건이긴 하지만, 독점 정보 절도가 지금까지 가장 피해액이 큰 것으로 드러났다. 이 설문조사에서는 또한 독점 정보 절도는 내부와 외부 침입자 모두로 인해 발생할 수 있다는 사실도 보여주었다.

데이터 등급 분류 만만치 않아

공격자의 소재지에 대해 왈가왈부하기보다 우선 타깃의 소재지에 대해 논할 필요가 있다. 다시 분류라는 개념으로 돌아가 이야기하자면, 진보적 생각을 가진 보안 팀들은 핵심 타깃을 가려내기 위해 사업 팀 사람들과 함께 작업하여 문제를 제거하기 위해 노력하고 있으며, 그런 다음 식별 및 등급분류 시스템을 만들고 있다. 일단 어떤 자산이 가장 중요한지를 알게 되면 그 다음으로는 우선순위를 두는 작업이 따라온다. 등급분류 전략은 보통 데이터 그루핑 작업에서부터 시작되며, 시스템 유형, 기능, 혹은 중요성과 같은 변수들이 합쳐져 보다 복잡한 자산 등급 분류 시스템으로 전개된다.

데이터 등급 분류에서 시작되는 이런 프레임워크는 2·3단계 시스템처럼 간단한 것에서부터 변동 자산 가치 모델과 같은 복잡한 것까지 다양할 수 있다.

기본적인 데이터 등급 분류 플랜은 데이터에서 시작하여 그 데이터를 두 개, 혹은 그 이상의 등급 분류 단계들로 그루핑할 수 있는 기본틀을 제공할 것이다. 3단계 방안에는 공개 데이터, 비밀 데이터, 그리고 전용 및 기간 데이터 등과 같은 범주들이 포함될 수 있다.

예를 들어, 차세대 스트롱배드 3000(Strong-Bad 3000) 통조림 공장 기계를 위한 개략도는 기계 제조업체에서 민감하고 소중하게 생각할 수 있다. 앞에서 말한 3단계 모델에서 이 개략도와 관련이 있는 데이터는 독점 및 기간 그룹으로 분류될 것이다. 이와 대조적으로 회사 웹사이트를 통해 볼 수 있는 예전 스트롱 배드 325i 모델에 대한 전년도 매출 브로셔는 공개 데이터로 분류될 것이다.

이 예는 간단하지만, 등급 분류 작업의 성공 여부는 종종 그 단순함에 따라 결정되는 경우가 많다. 4단계 모델이라면 공개 및 전용 사이에 또 하나의 단계가 들어올 수 있을 것이며, 결국 단계가 많아질수록 조직의 데이터 등급 분류 작업은 더 정교해질 수 있다. 하지만, 이러한 정교함에는 늘어나는 복잡성과 에러의 가능성이 수반되며, 등급 분류 프로세스를 현실화시키는 데 따르는 비용 또한 올라갈 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.