일부 정보보안 전문가들은 보안이 핵심역량(core competency)이 돼야 한다고 주장하며 아웃소싱을 반대할 것이다. 하지만 보안이 다른 무엇이 되는 회사들이 많다. 그리고 회사의 규모와 관계없이 IT의 지형도는 전담 보안자원이 없이 가기에는 너무도 급격하게 변화하고 있다. 잘 짜여진 아웃소싱 전략이 비용, 효율성, 전문기술, 그리고 마음의 평화에 얼마나 큰 도움이 될 수 있는지 알아보자.

구로자와 아키라의 1954년 걸작 영화인 ‘7인의 사무라이’를 예로 들어보자. 약탈자들이 계속 작은 마을을 침공하자 위기감을 느낀 마을 사람들은 무기를 살 돈이나 자신들을 위해 싸워줄 전사를 고용할 돈이 없다는 사실을 알게 된다. 스스로를 지키기 위해 이들은 7명의 떠돌이 사무라이들을 고용하고 하루 세 끼 식사를 제공하는 대신 보호를 받기로 한다.
마을 사람들은 사무라이에게 신뢰를 쌓아가지만, 한편으로 또한 스스로 적들과 어떻게 싸우는지를 배워야 했으며, 마지막 전쟁에서 자신들의 집을 지키는 데 힘을 합쳤다. 이러한 전략은 ‘황야의 7인’에서 ‘벅스라이프’에 이르는 영화에서 반복돼 사용됐으며, 회사 외부에서 정보보안 능력을 점점 더 많이 가져다 쓰는 IT 전문가들의 사무실에서 매일같이 사용되는 것이기도 하다.

제대로만 한다면 막대한 혜택
일부 정보보안 전문가들은 보안이 핵심역량(core competency)이 돼야 한다고 주장하며 아웃소싱을 반대할 것이다. 하지만 보안이 다른 무엇이 되는 회사들이 많다. 그리고 회사의 규모와 관계없이 IT의 지형도는 전담 보안자원이 없이 가기에는 너무도 급격하게 변화하고 있다. 예산 삭감과 규정 준수부문 같은 새로운 책임들로 인해 많은 IT 부서에서는 사용 가능한 시간보다도 더 많은 일거리가 산재해 있기 마련이다.
하지만 보안 아웃소싱이 만병통치약은 아니다. 물샐 틈 없는 조직을 보장하는 것과는 거리가 멀게, 아웃소싱은 회사를 훨씬 더 큰 위험에 노출시킬 수 있다. 하지만 제대로만 한다면 이것은 비용과 효율성, 전문기술, 그리고 마음의 평화면에서 막대한 혜택을 가져다 줄 수 있다.
방화벽 규정 업데이팅, 이벤트 로그 모니터링, 패치 업데이팅 등과 같은 대부분의 보안 작업들은 간단히 아웃소싱이 가능하지만, 위험 관리나 거버넌스(governance) 같은 작업은 그렇지가 못할 것이다. 회사의 민감한 프로시저와 정책을 옮기는 것은 까다로운 작업이며, 관심이 덜 가는 집단을 신뢰하느니 스스로 위험을 책임지는 편이 낫다고 생각하는 조직도 많다. 이 때는 회사 내부의 권한 기관에 있는 누군가가 반드시 감독을 해야 한다. 아웃소싱은 ‘눈에서 멀어지면 마음도 멀어진다’는 보안을 확보하기 위한 단순히 하나의 편리한 방법이 아니다.
계약 업체들이 얼마나 기술이 좋은지, 혹은 이들과 얼마나 오래 교류를 했는지 상관하지 말고 계약을 탄탄하게 잘 해야 한다. 기억하라. 당신의 고객들의 소중한 보안이 걸려 있는 문제며, 이것이 훼손될 경우 책임을 물어야 할 수도 있다.
아웃소싱 보안이 자기 회사에 적합한 지 여부를 결정할 수 있는 열쇠는 위험과 이점에 대한 이해다. 보안은 적절히 되기만 한다면, 그리고 기업실사(due diligence)가 함께 한다면 효과적으로 아웃소싱이 될 수 있다. 어떤 질문을 물어야 하는지를 알고, 어떤 보안 작업을 내부에서 계속해야 하는지를 알기 위해서는 조사가 필요할 것이다.
절감 효과를 보게 될 것인지를 알고 싶다면 풀타임 경력직 직원의 총경비(연금, 세금, 수당 등 포함)와 연간 서비스 계약 비용을 비교해 보라. 어떤 회사에서는 변호사 수수료뿐만 아니라 월 수수료까지 청구할 것이다. 또한 갑작스런 지원과 근무시간 외 지원 경비도 고려해야 한다. 이들은 예기치 못하게 잠재적인 절감효과를 상쇄시킬 수가 있다.

비용절감 효과 ‘톡톡’
계약업체가 어떤 임무를 완수해야 하는지를 생각해 보라. 예를 들어 보안 이벤트 모니터링(서로 다른 보안 장비로부터 로그), 사건 응답, 그리고 원격 액세스(VPN, 다이얼업), 방화벽 및 IDS/IPS(Intrusion Detection/Prevention System)의 유지보수 등이 있을 것이다. 또한 계약업체에서 디자인, 엔지니어링 및 운영시에 하게 될 역할에 대해서도 생각해 보라. 방대한 양의 작업이 일일 운영 레벨에서 수행이 되고, 이것이 예산에서 가장 큰 비중을 차지하고 있을 것이기 때문에, 아마도 이 영역을 가장 먼저 아웃소싱하고 디자인과 엔지니어링을 내부에서 처리하는 방법을 모색하게 될 것이다.
많은 회사에서 회사 내부 네트워크와 인터넷 사이에 존재하는 방화벽과 같은 주변경계 보안의 지원 및 유지보수를 아웃소싱하고 있다. 주변경계 보안은 가장 흔히 아웃소싱 되는 부문으로, 그 이유는 이것이 막강한 정보보안 지식을 필요로 하며, 부정확하게 됐을 경우 회사에 비교적 큰 위험을 안겨줄 수 있기 때문이다. 이런 방화벽들은 언제나 그리 자주 바뀌지는 않지만 노련한 조종자를 필요로 하며, 잘못된 구성은 내부 네트워크 시스템을 노출시킬 수 있다.
IDS/IPS, 방화벽, 그리고 기타 보안 장비의 이벤트 로그를 아웃소싱하는 일은 현명할 수 있다. 좋은 보안은 24시간 동안 가동돼야 하기 때문에, 24시간 불침번을 서고 공격에 대응할 수 있는 프레즌스가 있다는 게 매력이 될 수가 있다. 특히 휴일에 근무하거나 불침번을 기꺼이 설 만한 검증된 보안 전문가를 찾을 만한 자원이 없는 중소기업들에게는 더욱 그럴 것이다. 예를 들어 마이크로소프트 SQL 슬래머(Slammer) 웜이 몇 년 전 창궐했을 때 이것은 모든 규모 회사들에게 영향을 미쳤다. 결국 회사 크기가 얼마나 되든 일을 할 수 없으면 돈을 벌지 못한다. SEM(Security Event Management) 툴과 같은 일부 기술들이 미리 정의된 규정을 기반으로 기본적인 경보 기능을 제공하긴 하지만, 실제 사람의 의사결정 능력에 견줄 수는 없을 것이다.
아웃소싱 보안의 재정적 이점은 막대해서 한 명 이상의 전담 보안 전문가 보유경비를 완전히 줄일 수 있다. 컴퓨터 조사 및 포렌직과 같이 주기적으로만 전문 기술이 필요한 곳에서는 아웃소싱 보안이 어포더블 솔루션이 된다.
웜과 바이러스의 고급 경고(advance warning)는 사소한 불편함과 전체적인 네트워크 붕괴 사이의 차이를 의미하는 것일 수 있다. 지리적으로 분산된 클라이언트 기반을 둔 아웃소서라면 순식간에 이동하는 바이러스와 웜의 활동을 이것이 미국에 도착하기 전에 먼저 보고, 이를 평가하고 전략을 짤 수 있는 소중한 몇 시간을 줄 수 있을 것이다.
급속한 성장률로 인해 가끔씩 적임의 직원을 신속하게 찾기 힘들 때가 있다. 고급 방화벽 구성, 포렌직 및 IP 텔레포니 등과 같은 니치 스킬을 아웃소싱함으로써 직원 수를 추가하지 않고도 노련한 베테랑의 힘과 두뇌를 쉽게 얻을 수가 있다. 가끔씩만 아웃소싱을 이용한다면 이것은 큰 절감효과를 가져다 줄 것이다.

아웃소싱의 약점
그렇다. 아웃소싱은 비용을 절약하고, 이런 골치아픈 비즈니스 문제들을 회사밖으로 편리하게 밀어낼 수 있다. 좋아하지 않을 이유가 없지 않은가? 하지만 뛰어들기 이전에 실질적인 위험을 고려해야 한다. 예를 들어 비즈니스의 일부를 써드파티에게 맡김으로써 특정 프로시저에 대한 제어권을 잃게 된다.
회사는 반드시 직원들에 의해 만들어지는 일일 의사결정을 기반으로 운영되기 마련이다. 아웃소싱을 할 경우 회사에서는 누가 실질적인 일을 하고 있는지, 그리고 누가 내부 네트워크에 액세스하고 있는지에 대한 제어권을 상실하게 된다.
상황에 따라 원거리에 있는 비근로자에게 시스템에 대한 자유 제어권을 주어야 할 필요가 생길 수 있다. 기간 시스템을 독립적으로 폐쇄함으로써 계약업체는 이들이 해야할 것만 볼 수 있게 해야 한다. 예를 들어 방화벽 관리를 생각해 보라. 방화벽 관리 아웃소싱을 맡겼다면 정책을 만들고 시행할 수 있는 관리 콘솔로 회사에서 당신이 액세스를 갖게 되는가? 새로운 것을 가져오려 할 때 필요한 허가를 받을 수 있는가? 하나의 보장 차원에서 탈출 전략에 대한 전문 기술을 제공해 줄 외부 컨설턴트를 영입하는 방법을 모색하라.
공개하기를 원치 않는 회사에 관한 내부 사항을 아웃소서는 불가피하게 알게 된다. 게다가 컨설턴트는 보안 인프라의 일부(IDS/IPS 등)를 관리하는 덕분에 네트워크를 건너다니는 데이터를 볼 수가 있다. 아마도 이것을 막을 수 있는 방법은 거의 없겠지만, 아웃소서에게 신원조회나 정기적 감사 등과 같이 적절한 보안 통제를 이행하라고 주장할 수는 있다. 물론 이러한 항목들은 반드시 계약서에 명기돼 있어야 한다.

성공으로 가는 팁
필요한 보안의 세그먼트들을 아웃소싱하거나, 혹은 계약업체에게 할당될 커버리지와 책임 레벨을 다양화하라. 이행의 모든 면면을 아웃소싱 업체에게 위임해서는 안 된다. 예를 들어 아웃소싱 업체가 방화벽과 내부 네트워크 접속만을 관리하게 하고, 회사에서 신제품을 확보 및 유지보수하는 책임을 계속 맡을 수 있다. 이런 식으로 일을 처리해 나가기 위한 몇 가지 팁을 소개한다:

>> 기업실사를 실시하라.
어떤 것에든 서명을 하기 이전에 업체측에 얼마나 많은 고객을 보유하고 있는지 물어보고, 그 이동률을 조사해 보라. 현재 고객 명단을 받고 이들에게 독립적으로 전화를 해서 솔직하게 물어보라. 어쩌면 놀라운 경험담을 듣게 될지도 모른다. 업체가 얼마나 일을 잘 처리하는지, 요청에 잘 응답하는지, 예측하지 못했던 문제를 잘 해결하는지 등을 파악해야 한다. 또한 업체측 시설을 방문해 보라. 변두리 창고 안에 있지는 않은지도 확인하고 싶겠지만, 이 곳이 잘 관리되고 있고 적절한 물리적인 보안 제어가 되고 있는지도 알고 싶을 것이다. 아웃소서가 24×7 직원을 배치하고 있는가? 그리고 사이트가 잘못될 경우를 대비해 중복 사이트를 갖고 있는지도 확인하라.
>> 회사의 재정 상태를 검토하라.
이것이 공개회사라면 재정 기록을 조사하라. 이 회사가 직접적인 경쟁업체들 중 한 곳으로 같은 서비스를 제공하고 있지는 않은가? 이것은 아웃소싱 코드 개발에 있어 매우 큰 문제인데, 그 이유는 이것이 곧 진정한 지적 자산의 분실 위험을 대변하는 것이기 때문이다. 어디서 작업이 이루어지는가? 어떤 회사는 해외에 본부를 두고 국내에서 프레즌스를 운영하기도 한다. 이런 오프쇼어 회사(offshore company)들에게는 그 나름의 도전과 위험이 따른다.
>> 감사와 모니터링을 하라.
회사 내부의 보안 직원에 의해서든, 아니면 아웃소싱 직원에 의해서든 분명히 실수가 나올 것이다. ‘7인의 사무라이’에 나왔던 마을 사람들과 마찬가지로, 당신은 여전히 비즈니스에 대한 책임이 있으며 이것을 보호하기 위해 능동적인 역할을 해야만 한다. 예를 들어 방화벽에서 해롭지 않아 보이는 한 가지 변경이 인터넷으로부터의 허가받지 않은 액세스에 회사를 취약하게 내버려둘 수 있다. 따라서 퀄리스가드(QualysGuard)와 같이 주변경계 보안 서비스 노릇을 하는 툴을 이용해 새로운 취약성과 변화에 대해 주변경계를 정기적으로 스캐닝해야 한다. 사용자는 자신들의 IP를 입력할 수 있으며, 툴은 어떠한 새로운 호스트를 탐지했을 때 이메일 경보를 보내줄 것이다.
>> 파트너십을 맺으라.
계약 회사를 ‘파트너’로 만들고 비즈니스를 하는 데 있어 핵심 영역으로 대우하라. 보안의 상당 부분을 아웃소싱하고 있다면 컨설턴트를 신규 프로젝트의 초기부터 투입시킴으로써 이들이 디자인 전문기술을 제공하고 어떠한 잠재적인 장애물이든 제시할 수 있도록 하는 게 중요하다.
>> 문서화를 하라.
당신이 고용한 총잡이가 자신들이 하고 있는 일에 대한 상세한 문서를 만들고 유지할 준비가 돼 있는지 확인하라. 자신의 시스템이 어떻게 구성돼 있는지는 알아야 하기 때문이다. 여기에는 방화벽 구성, 사용자 ID와 패스워드, 로케이션 및 IP 어드레스, 그리고 지원 계약 정보 등이 포함될 것이다.
당신도 또한 마찬가지다. 사용자 ID, 패스워드, 그리고 구성이 포함돼 있는 자신의 문서를 늘 최신 것으로 유지해 두어야 한다.
>> SLA(Service Level Agreement)를 철저히 만들라.
계약서를 만들 때는 양측에서 모두 합의한 SLA로 모든 것을 명기해 두는 게 중요하다. 여기에는 요청에 응답하는 시간, 변화가 이뤄지는 창, 그리고 긴급 변경이나 예정에 없던 변경 비용 등이 포함될 것이다. 문서화된 SLA는 아웃소서가 계약을 지키지 못할 경우 연관된 벌금과 함께 상환청구권을 줄 수 있다. 조기 종료에 대한 항목도 반드시 포함시켜야 한다.
>> 탈출 전략을 준비하라.
모든 것에는 끝이 있다. 계약된 서비스의 예상되는, 혹은 예상되지 못하는 종료 모두에 대한 계획을 세워두라. 보안 아웃소서가 갑자기 사업을 그만 둘 경우 어떻게 하겠는가? 우발적 사고에 대한 계획을 세워두는 것은 불이 계속 켜진 상태로 유지하는 데 있어 필수다. 이것은 만약에 대비해 다른 사업자를 물색해서 계약 정보를 확보해 둠으로써 간단히 해결할 수도 있다.

매니지드 보안 서비스
돈을 들인 만큼 얻는 것도 있으며, 이는 특히 직원을 채용하는 데 있어서 더욱 그러하다. 고임금의 풀타임 직원을 채용하는 것보다 차라리 CFO에게서 장비 한 조각을 가져오기가 더 쉬울 때가 많다. 하지만 현명한 회사들은 보안 예산에서 최고의 회수 효과를 누리기 위해 얼마간의 고용 총잡이들을 쓰고 있다. 아웃소싱은 지난 몇 년 간 좋지 못한 평판을 받긴 했지만, 여전히 중요한 보안 핵심역량을 위한 생존력 있는 옵션으로 존재하고 있다.
풀타임 보안 전문가가 필요하지 않을 중소기업들은 많은 봉급을 주지 않으면서 수십 년의 경륜과 24시간 커버리지가 가능한 스태프를 충분히 활용할 수 있을 것이다. 이번 어포더블 IT에서는 보안 팀을 아웃소싱하는 데 따르는 혜택과 위험을 검토해 보았다.
먼저 새로운 업체를 조사할 때 고려해야 할 것들을 살피고, 계약을 협상할 때 필요한 몇 가지 팁들을 정리했다. 또한 기업실사, 감사 및 문서화를 위한 상세한 전략과 함께, 아웃소싱 업체와 성공적으로 파트너십을 맺을 수 있는 방법을 제시했다. 그리고 어떻게 보면 가장 중요한 일이지만, 필요할 때 품위 있게 빠져나갈 수 있는 계획을 어떻게 짜야 하는지도 살펴봤다.
보다 저렴한 오프쇼어링을 선택하는 최근 동향에도 불구하고, 국내 서비스를 이용하고 싶어하는 이유가 무엇인지도 조사했으며, 핵심 시스템을 폐쇄함으로써 새로 얻은 베스트 프렌드가 최고의 원수가 되는 방법도 소개했다. 얼마간의 숙제와 든든한 계획을 갖춘 기민한 매니저라면 새 직원 오리엔테이션에 대한 걱정이 없이 네트워크 보안을 유지할 수 있으며, 그 과정에서 비용도 절감할 수 있다.

보안 업체에게 물어야 할 질문들
>> 데이터가 당신 회사의 구내시설을 떠나지 못한다는 사실을 보장할 수 있는 어떠한 물리적인 통제장치가 있는가?
업체측에서는 반드시 표지와 서명 시트, 그리고 감시카메라를 이용해 데이터 센터로의 접근을 제한해야 한다. 일부 아웃소서들은 심지어 직원들이 카메라폰이나 아이팟(iPod)처럼 데이터 도난에 사용될 수 있는 장비들을 갖고 건물에 들어오는 것까지 금하고 있다.
>> 모든 직원들의 신원조회를 해보는가?
업체에서 이것을 하지 않는다면, 특히 실제로 보안 업무를 수행하는 직원들에 대해 하고 있지 않다면 다른 곳을 찾아보는 게 좋다.
>> 수행하는 작업 가운데 아웃소싱하는 게 있는가?
그렇다면 사실상 당신의 네트워크를 누가 만지고 있는지 알 수가 없다. 이런 개인들을 한 사람이 통제하도록 하라.
>> 이 일이 풀타임 직원에 의해 처리되는가?
계약직 직원이 이용되고 있다면 이들이 일을 한 지 얼마나 됐는지를 물어 보라. 높은 이직률은 경보등을 울릴 만하다. 신입이 훈련의 장으로 당신의 네트워크를 만지기를 원하지는 않을 것이다.
>> 해외에 있는 직원이 수행하는 작업이 있는가?
데이터가 해외에서 분실 혹은 도난 당했을 경우 그리 많은 법적 자원이 없을 것이다.
>> 내 비즈니스의 직접 경쟁업체를 클라이언트로 두고 있는가?
그렇다면, 그리고 회사에 막대한 지적 자산이 있다면, 두 고객사를 같은 엔지니어들이 다루고 있는지 반드시 확인해야 한다.
>> 24시간 동안 가동된다는 것을 보장해줄 수 있는 장애복구/비즈니스 연속성 계획은 어떤 것이 있는가?
아웃소서에게 든든한 계획이 있다면 기꺼이 이것을 자랑스럽게 보여줄 것이다. 애매한 태도는 심각한 경고로 받아들여야 한다.
>> 감사를 정기적으로 시행하는가?
업체에서는 최소한 일년에 한 번은 자사의 보안 제어에 대해 검토해야 하며, 가장 최근의 감사 결과를 당신에게 보여줄 수 있어야 한다. 곧 할 것도 아니라면 다른 곳을 찾아보라.
>> 리뷰용의 SAS 70 감사를 갖고 있는가?
중요한 것은 아니지만 갖고 있으면 좋다.
>> 운영센터 직원이 24×7×365로 있는가?
비즈니스가 표준 근무시간 이외에 운영되지 않는다면이야 근무 외 시간 동안의 서비스 가용성이 큰 문제가 아닐 것이다. 하지만 업체에서 웹 사이트로의 액세스를 관리해야 한다면 24시간동안 대기하고 있을 사람이 필요하다.