[관리적 보안①] 관리적 보안의 이해와 필요성
상태바
[관리적 보안①] 관리적 보안의 이해와 필요성
  • 이근영 이글루시큐리티 BSPiCE 사업부 이사
  • 승인 2003.06.02 00:00
  • 댓글 0
이 기사를 공유합니다

관리적 보안의 분야가 국내에 본격적으로 도입되기 시작한 것은 불과 2∼3년 전의 일이다. 물론 이 전부터 일부 전문가들에 의해 관리적 보안의 개념이 소개되고 컨설팅 서비스가 제공되기는 했지만, 현재와 같은 모습으로 발전하기에는 관리적 보안에 대한 인식이 충분하지 못했다.

과거와 다르게 몇 년간 급속도로 확산되고 있는 관리적 보안이란 무엇이며, 그러한 성장 배경은 어디에서 비롯된 것인지 살펴본다. <편집자>

지난 1월 25일 대한민국을 뒤흔든 인터넷 대란의 원인은 관리자의 소홀한 대응이 그 원인이었던 것으로 알려지고 있다. 즉 2002년 7월에 MS에서 MS-SQL 서버의 보안 취약점에 대해 발표하고, 보안 취약점에 대한 보안 패치를 공시했다. 하지만 전세계 MS-SQL 서버의 20%만이 보안 패치를 설치했고, 그 결과 MS-SQL 서버의 보안 취약점을 이용한 슬레머 웜의 공격으로 단 1시간 내에 막강한 대한민국 인터넷의 서비스가 마비되는 사태가 발생했다.

슬래머 웜에 의한 인터넷 대란과 같은 서비스 거부 공격들은 기술적인 대책을 포함하는 상시적인 보안관리체계, 사고대응체계, 위험관리, 정책, 절차 등 관리적인 부분의 체계화와 사고처리 대응 능력을 요구한다. 1.25 인터넷 대란은 보안 사고가 단순히 보안 제품이나 설비의 설치만으로 되는 것이 아니라 지속적인 관리가 필요하다는 점을 시사하고 있다. 또한 이 사고는 관리 부실로 인한 사고가 한 기업의 피해 정도로 끝나는 것이 아니라 국가적인 손실로 이어질 수 있음을 보여준다. 이로 인해 정부는 해킹이나 바이러스 등 국가적 차원의 사이버 안보체제에 대한 강화를 준비하고 있다.

관리적 보안의 분야가 국내에 본격적으로 도입되기 시작한 것은 불과 2~3년 전의 일이다. 물론 이 전부터 일부 전문가들에 의해 관리적 보안의 개념이 소개되고 컨설팅 서비스가 제공되기는 했지만, 현재와 같은 모습으로 발전하기에는 관리적 보안에 대한 인식이 충분하지 못했다.

그렇다면 과거와 다르게 몇 년간 급속도로 확산되고 있는 관리적 보안이란 무엇이며, 그러한 성장 배경은 어디에서 비롯된 것일까? 그리고 기업들이 관리적 보안 체계를 수립함으로써 얻을 수 있는 이점이 무엇일까? 지금부터 여기에 대해 살펴볼 것이며, 나아가 미래에 정보보안 경영시스템을 수립하고자 하는 기업들이 중시해야 하는 사항들과 실제적인 정보보안 경영시스템의 수립 절차 및 이를 지원하는 도구에 대해서 앞으로 4회에 걸쳐 알아보도록 하겠다.

기술적 보안 Vs. 관리적 보안

흔히 보안이라는 분야를 머리 속에 떠올릴 때 생각나는 것은 기업이나 개인의 중요한 정보를 침해하려는 악의적인 크래커와 그들의 위협을 차단하거나 탐지하기 위한 보안 제품들일 것이다. 어쩌면 이것은 국내에서 보안이 발전해 온 과정을 돌이켜 볼 때 당연한 일인지도 모른다. 국내에서 보안이라는 분야에 관심을 갖기 시작한 것은 1990년대 중반 무렵 방화벽이나 침임탐지시스템 또는 취약성 분석 도구 등을 개발하는 기업들이 보안의 필요성을 알리고 강조하면서부터였다.

이 시기는 국내의 네트워크 인프라가 가장 빠르게 변화하고 성장하던 시기였고, 따라서 보안에 대한 가장 큰 관심사는 기업의 중요한 정보를 네트워크를 통한 비인가된 접근으로부터 안전하게 보호하고자 하는 것이었다. 이러한 비인가된 접근은 단지 외부의 네트워크만을 의미하는 것은 아니다. 기업 내의 동일한 네트워크를 공유하고 있는 사람들이라 하더라도 정보의 중요성과 민감도에 따라서는 네트워크를 분리하거나 또는 엄격한 접근 통제를 실시하여 정보를 보호해야 할 필요성이 있기 때문이다.

금융권과 공공기관을 중심으로 많은 기업들은 네트워크에 대한 취약성 분석과 침투 테스트 등을 통해 기업의 네트워크에 대한 약점을 파악하고, 그 결과를 토대로 기업 네트워크를 보호할 수 있는 보안 제품들을 구입하여 설치하기 시작했다. 많은 기업의 보안 관리자들은 이제 기업의 중요한 정보나 정보자산이 위협받을 가능성이 사라졌다고 생각했을 지도 모른다.

과연, 보안 제품들의 설치만으로 기업의 정보보안을 보장받을 수 있을까? 실제로 중요한 정보를 다루는 일반 직원들이 보호의 필요성을 알지 못하거나 느끼지 못한다면 정보보안은 이뤄질 수 있는 것일까? 기업의 보안 관리자 혹은 네트워크 운영자는 모든 보안 제품을 조직의 보안 정책이나 지침이 없이도 일관되게 운영하고 관리할 수 있는 것일까?

아마도 IT분야에 종사하는 사람들은 보안 관련 서적이나 잡지를 통해 ‘보안은 사슬이며, 사슬의 가장 약한 고리만큼만 안전하다’라는 말을 여러 번 들었을 것이다. 실제로 보안의 약한 고리들은 보안 제품들이 아니라 대부분 그것을 운영하는 데 있어서의 실수나 관리 미숙 혹은 보안 의식의 결여일 것이다.

필자가 1990년대 중·후반 무렵에 국내의 한 기업에 근무할 때, 그 기업은 보안 제품들을 설치해 인터넷 사이트를 차단하기도 하고, 근무 시간에 주식 거래를 하는 직원들을 적발해 전사적으로 공고하기도 했다. 그리고 기업 전체의 부서를 대상으로 파일 서버를 구축해 각 팀별로 생성된 문서와 자료를 공유하고, 관리자를 두어 수정과 갱신에 대한 버전관리가 이뤄지도록 했다.

그 기업은 국내의 IT발전과 기업의 업무 적용이라는 측면에서 역기능을 방지하고 순기능을 최대한 적용하고자 했는데, 그 당시 타 기업의 네트워크 활용을 비교하면, 실로 앞선 기업임에 틀림이 없었다. 그러나 기업의 정보보안을 유지하는 데 있어 가장 중요한 것은 그러한 기업의 정책을 따라줄 직원들이라는 것을 충분히 고려하지는 못했던 것 같다. 일부 직원들은 근무 시간에 인터넷을 마음대로 활용할 수 없다는 것에 불만을 갖기도 했고, 대부분의 직원들이 파일 서버에 대한 접속과 사용법에 대한 불편함 때문에 여러 가지 이유를 들어서 정보의 저장 및 공유를 기피하거나 제대로 파일 서버를 활용하지 않았다.

기업의 정보보안을 성공적으로 달성하기 위해서 우선적으로 선행되어야 하는 것은 바로 직원들이 보안 의식을 갖도록 하는 것이다. 보안이란 직원들의 활동을 감시해 벌을 주거나, 업무를 수행하는 데 있어 불편을 주기 위함이 아니라 기업의 내·외부에 존재하는 위협으로부터 오랜 시간 노력해 얻은 업무 결과와 직원들의 중요한 개인 정보 등을 보호하기 위한 것이라는 것을 알 수 있도록 해야 하는 것이다. 물론 경영진의 명확한 정책에 대한 제시가 있어야 하며, 보안에 대한 지원 약속도 필수적일 것이다. 그러나 오히려 이러한 것은 전자보다 쉽게 보장될 수 있다.

지금까지 살펴본 바와 같이 단순히 최첨단의 정보기술을 도입한다고 해서, 그 도입의 효과가 나타나는 것이 아니듯이, 보안은 단순히 단위보안 제품만을 설치한다고 이뤄지는 것이 아니라 기술적 보안과 함께 관리적 보안(마스터 플랜, 정책, 절차, 규정, 업무분장, 자산평가, 위험대응책, 사고 시나리오, 교육 및 훈련)이 충분하게 고려되는 경우에만 그 효과가 발휘될 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.