지금까지 보안 연재기획을 통해 정보보안 관리체계 수립에서부터 운영 및 인공지능과의 결합 등 향후 보안의 발전 방향에 대해서 이야기를 나눴었는데요. 이번 시간에는 다시 한번 정보보안의 기본 개념으로 돌아가서 이야기를 나눠보고자 합니다.
옛날부터 보안업계에서는 “Security is a process, not a product”라는 관용구가 널리 사용되고 있습니다. 이 말의 뜻을 해석해 보면, “보안은 제품이 아니라 절차이다” 정도가 될텐데요. 무척 직관적인 이 문장의 참뜻에 대해서 한번 더 고민하고 음미해보는 시간을 가졌으면 합니다.
우선 이 문구는 정보보안 분야에서 많은 글들과 책을 출판하고 있는 브루스 슈나이어(Bruce Schneier)라는 사람의 글에서 나왔습니다. “The Process of Security (보안의 절차)”라는 Essay 인데요. 이 곳에서 직접 읽어보실 수 있습니다. [‘The Process of Security’ 에세이 확인하기]
무려 16년 전인 2000년에 쓰인 글인데 지금 읽어도 전혀 어색함이 없는 내용들로 가득 차 있습니다. 간단하게 요약해 보면, 새로운 보안 취약점은 지속적으로 발생하고, 완전하고 완벽한 소프트웨어 제품은 존재할 수 없기 때문에 보안 위험을 감소시키기 위해서는 지속성을 가지고 위험을 예방하고 탐지하고 대응을 해야 한다는 내용입니다.
긴 글을 너무 간단하게 요약하는 것 같아 슈나이어의 글에서 제가 중요하게 생각하는 부분을 몇 가지 상세하게 설명하도록 하겠습니다.
우선, 슈나이어는 아주 과거부터 지속적으로 발생되는 DoS(Denial of Service) 공격과 버퍼 오버플로우(Buffer Overflow) 공격을 예로 들면서 이러한 공격이 많이 알려져 있다고 해서 해결이 되는 것은 아니라는 것을 지적합니다. 오히려 이러한 알려진 공격으로 발생된 최근의(2000년 당시에 발생한) 대규모 피해 사례들을 제시합니다. 우리는 과연 무엇을 배웠는가? 하며 자문하면서 말입니다.
그리고 소프트웨어 제품의 품질 특성에 대해서도 이야기를 합니다. 건축물이나 우리가 좋아하는 치킨과 비교하면서 말이죠. 건축물이 무너지거나, 치킨에 생쥐 같은 것이 함께 튀겨져 나오지 않는 것이 당연한데, 소프트웨어의 경우에는 수많은 버그와 결함투성이로 출시되고 있는 현실을 비교합니다. 그 누구도, “어라? 건물이 무너졌군. 하지만 1.1 버전으로 업그레이드 한 건물은 괜찮습니다!”라고 말하지 않는다고 하면서요.
따라서 소프트웨어 업체들은(슈나이어는 마이크로소프트를 예로 많이 들고 있습니다) 다른 회사들 보다 상대적으로 책임에서 자유로우며, 이러한 자유로움이 버그투성이인 제품을 시장에 내어 놓을 수 있게 한다고 합니다.
특히 90~95% 결함들이 고객이 직접 경험할 확률이 낮고 성능에도 영향을 미치지 않는다는 것을 알기 때문에 제품을 먼저 출시하고, 고객이 원하는 5% 정도의 결함에 대해서 조치를 해주는 것이 훨씬 더 비용 효율적이라는 것이죠.
고객도 눈에 보이지 않는 보안 취약점이 해결되는 것보다는 눈에 보이는 멋진 기능이 추가되는 것을 더 선호하기도 하고 말이지요. 즉, 소프트웨어 회사들이 보안 취약점을 없애기 위한 노력들을 충분히 하지 않는다고 질책합니다.
또한 완벽한 보안은 없다고 선언합니다.(“There’s no such thing as perfect security.”) 따라서 보안은 완벽하지는 않지만 위험을 관리해야 한다고 합니다. 위협(Threat)을 회피하는 것은 피하거나, 피하지 못하거나로 명백하지만, 위험(Risk)을 감소시키는 것은 지속적이어야 한다고 말합니다.
바로 여기서 보안 절차(Security process)가 무엇인지에 대한 설명이 함께 나옵니다. 슈나이어가 말하는 보안 절차는 바로 보안 위험을 감소시키는 방법을 의미합니다. 그렇습니다. 슈나이어는 보안 위험을 감소시키기 위한 절차를 “예방, 탐지, 대응” 관점에서 찾고 있습니다.
그런데, 우리는 조금 더 나아가보도록 하겠습니다. 이미 연초의 연재 글에서 ISMS(정보보호 관리체계)를 구축하는 방법에 대해서도 살펴보았기 때문에 과연 보안 절차가 정보보호 관리체계와 무슨 연관이 있을까 하는 생각도 해볼 수 있을 것 같습니다.
- [보안 연재기획 4편] 정보보호 관련 인증 및 평가 제도
실제 정보보호 관리체계를 구축하는 과정에서는 가장 먼저 살펴보는 것이 해당 기관•기업의 정보 보호 정책서입니다. 그렇다면 정보보호 정책서는 과연 무엇으로 이루어져 있을까요?
바로 해당 기관•기업이 반드시 준수해야 하는 정책(Policy), 지침(Standard), 절차(Process)로 이루어져 있습니다. 정보보호 관리체계에서 말하는 절차란 바로 정보보호 정책을 준수하기 위한 기본적인 업무 흐름을 말하는 것이고, 여기에 R&R(Role and Responsibility: 역할과 책임)이 부여되어 있습니다.
그렇다면 슈나이어가 말하는 보안 절차와 실제 정보보호 관리체계에서의 절차는 다른 것을 말하는 것일까요? 그렇지 않습니다. 실제 슈나이어의 글에서 보안 위험을 감소시키기 위한 절차로 예시를 들었던 접근권한의 부여 및 회수 절차, 침입 탐지 및 대응 절차 등은 이미 널리 알려져 있는 정보보호관리체계 인증 제도인 ISMS 또는 ISO 27001의 Best Practice에서 제시하고 있는 절차입니다.
그리고 절차라는 것은 동떨어진 별도의 그 무엇인가가 아니라, 모든 보안 활동에 포함되어 있습니다. 아래 보시는 그림은 보안 솔루션, 즉 보안 제품을 도입하고 지속적으로 관리하지 않을 경우 시간에 따라 통제 효과성이 떨어지고 있는 것을 표현하고 있습니다.
위와 같은 형태가 되지 않기 위해서는 도입된 보안 솔루션의 보안 정책을 지속성을 가지고 반영시키고, 이를 통해 보안 위험을 관리할 수 있는 절차가 있어야 합니다. 즉, 제대로 된 절차가 자리 잡고 있어야 한다는 뜻입니다. 제대로 된 절차라 함은, Plan-Do-Check-Act의 Cycle에 따라 정보보안 관리체계를 수립•운영•점검•개선할 수 있도록 만들어진 절차를 의미합니다.
“보안은 제품이 아니라 절차이다”라는 말은 제품 하나로 보안을 완전하게 만들 수 없다는 표현으로, 세상에는 만병통치약이 없다는 사실을 말할 때도 자주 인용됩니다. 만병통치약은 없기 때문에 건강관리를 위해서 꾸준히 운동을 하고 예방 활동과 건강검진을 하는 탐지 활동, 그리고 병이 났을 경우 처방을 받고 약을 복용하는 등의 대응 활동을 하듯이, 안전한 정보보안을 위해서는 정보보안 사고 예방, 탐지, 대응 활동을 절차화 시켜 지속적으로 관리를 하여야 할 것입니다.
저는 여기서 한 걸음 더 나아가, “보안은 사람이고 문화이다”라고 말하고 싶습니다. 보안 절차를 실제 운영하는 것은 사람이고, 그런 사람들이 힘을 받아 열심히 일할 수 있도록 하는 것은 그 기업의 문화일 테니까요.
글 ㅣ LG CNS 보안컨설팅팀
[‘보안, 이렇게 하면 된다’ 연재 현황]
[1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
[2편] ISMS 인증을 위한 보안솔루션 구성 방안
[3편] ISMS 인증 주요 결함사항 및 대응방안
[4편] 정보보호 관련 인증 및 평가 제도
[5편] 스마트폰의 보안 위협과 대응 방안
[6편] IoT 보안 취약점 사례 소재 및 취약점 진단
[7편] 스마트폰 앱 서비스 보안의 현재와 미래
[8편] 중국 개인정보 보호법 제도 동향 및 대응방향
[9편] 출입 보안을 위한 보안 설계
[10편] 소프트웨어 개발 보안 – 시큐어 코딩
[11편] 당신의 출입카드는 안녕하십니까?
[12편] 통합 보안 관리 동향 및 활용 방안
[13편] 비대면 실명인증이란 무엇인가?
[14편] 프로젝트에서 소스 코드 보안 점검하기
[15편] 차세대 행위 기반 위협 탐지 방식에 관하여
[16편] 핀테크 보안 위협과 대응 방안
[17편] 인공지능과 보안
[18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
[19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
[19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
[20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
[20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
[21편] 유전자 정보 보안 안전한가?
