인터넷 시대의 정보 보안 ABC

백건우(kwbaek@ahnlab.com)

안철수연구소 보안컨설팅 사업부 과장

1. 들어가는 말

정보 보안이라는 명제가 새로운 화두로 떠오른 것은 최근의 일이다. 하루가 다르게 변화하는 인터넷 시대에 몇 달에서 일년의 시간은 패러다임이 바뀔 수 있는 중요한 시기라고 할 수 있는데, 정보 보안과 관련된 환경 변화와 인식의 확산도 변화의 중심에 서 있다.

불과 몇 년 전부터 활성화된 인터넷으로 인한 파급효과는 예전과는 비교하기 어려울 만큼 많은 전산 자원에 대한 투자로 이어지고 있다. 이런 결과로 생성된 데이터에 대한 활용과 함께 축적된 데이터를 어떻게 공유하고 적절히 관리할 것인가가 관심사가 되었다.

이와 함께 올해 인터넷에서 발생한 외국의 유명 홈페이지에 대한 DOS 공격 등의 각종 해킹 사고와 개인 정보 유출에 이르기까지 갑자기 부각된 보안 문제는 지난 해 CIH 바이러스 대란으로 인해 일반인들이 바이러스에 대한 경각심 강화와 백신 프로그램에 대한 인식이 달라진 것과 유사한 부분이 많다. 하지만 근본적인 차이점은 안티 바이러스 프로그램은 정보 보안의 넓은 분야 중에서 극히 일부분일 만큼 정보 보안의 범위 자체가 매우 넓다는 점이다.

때문에 전산관리자 조차 혼란스러운 모습을 보일 정도로 정보 보안이 복잡하고 어렵게 느껴지는 것은 당연한 현상이다. 정보 보안 가운데서 클라이언트 보안을 중심으로 정보 보안에 관한 개념을 정리해 보았다.

2. 정보 보안 개념

‘정보 보안’에 대해 내려진 정의는 매우 다양하지만 ‘보안할 가치가 있는 정보(Good Information)가 기밀성/통제성/무결성/확실성/가용성을 갖도록 하는 행위’라는 설명이 적절하다고 본다. 갑자기 정보 보안 시장이 커지면서 잘못 알려지고 있는 대표적인 것 중 하나가 정보 보안을 너무 특정 솔루션(S/W, H/W)에 의존한다는 점이다. 정보 보안은 필요한 도구(S/W, H/W)를 이용해 사람이 활용하는 것이지 보안 솔루션을 구축한다고 모든 문제가 해결되는 것은 아니다.

‘정보 보안’이라는 단어는 좁은 범위에서 넓은 범위까지 포괄하고 있으며 구체적인 내용부터 추상적인 내용까지 아우르고 있다. 하지만 단어의 정의보다 더욱 중요한 것은 정보 보안에 대한 사용자의 인식과 행동이다.

기업에서 직원들을 대상으로 ‘정보 보안이 무엇인가?’라는 설문을 돌린다면 그 답변은 천차만별일 것이다. 이러한 다양한 생각을 균일하게 만들지 않고 솔루션만 도입하는 정보 보안은 완성도가 떨어지기 마련이다. 예를 들어 김 대리는 매우 중요하게 생각하고 있는 문서나 데이터 파일을 박 대리는 별 생각 없이 책상 위에 방치해두거나 PC에 공유 폴더로 만들어 놓는다면 누구나 쉽게 정보를 빼내갈 수 있는 것이 현실이다.

정보 보안에서 가장 중요함에도 불구하고 상대적으로 소외되고 있는 부분이 바로 사람과 PC에 대한 부분이다. 많은 사람들이 해커나 크래커 등 외부 침입자나 네트워크, 서버 보안 등에 대한 대책에 주력하고 있지만 실질적인 피해는 내부에서 일어나는 경우가 많다(그림 1. 참조).

<그림1. 내부사용자의 정보 유출 현황>
 

정보 보안을 하고자 한다면 무엇보다 그 첫 걸음은 현재 갖고 있는 정보에 대한 중요성을 인식하는 것이다. 정보 보안 컨설턴트의 이야기를 들어보면 정보의 중요성에 대한 인식이 추상적인 곳일수록 보안 컨설팅의 효과가 떨어진다고 한다. 보안에 대한 인식 없이 섣불리 정보 보안에 투자를 한다면 우선 광범위한 보안 규모에 쉽게 질릴 것이며, 투자 대비 효과가 떨어져 실망스러운 결과를 가져오기 쉽다. 보안에 투입되는 비용이 오히려 자산 가치보다 큰 문제가 있지 않은지, 초기 투입 비용이 잘못 계산되어 있지는 않은지 등에 대한 확인이 필요하다.(그림 2 참조)

<그림2. 경직된 보안>

정보 보호에 대한 중요성을 공유하기 위해 사용하는 것이 보안 단계인데 흔히 대외비만 구분하는 단계부터 5단계까지 나눈다. 물론 단계가 많아질수록 세부적인 구분은 가능하지만 단계 구분에 대한 인식이 부족하면 단계 자체가 무의미해 질 위험성이 높다.

3. 정보 보안의 순서

그렇다면 어디까지 정보 보안을 할 것인가에 대한 고민이 당연히 뒤따르게 된다. 정보 보안 정책의 지침서처럼 사용되고 있는 BS7799에서는 ISMS(Information System Management System) 순서를 다음과 같이 나타내고 있다.

(1) 보안 정책 수립

목표와 전략을 포함하고 있는 관계로 상황에 따라 광범위하게 해석될 수도 있으나 말 그대로 가장 기초적인 기준을 세우는 것이다. 조직이 보유한 자산 중에서 보안을 유지해야 하는 부분은 어떤 것인지, 기밀 데이터의 중요도를 어떻게 구분할지 등이 이에 해당한다. 보안에 대한 의식이 희박한 회사의 경우 부서 및 개인의 이해 관계가 조정되지 않아 이 첫 단계에서부터 많은 혼선을 빚게 된다. 또한, 지킬만한 가치에 대한 의견 교환이 원활치 않은 경우 초기 투자비용이 너무 많이 투입되는 곤란을 겪게된다.

하지만 이 단계에서 발생하는 문제 중 가장 중요한 것은 해당 기업의 경영자 층이 직접 참여하여 의견을 나누지 못하고 보안 담당 조직이나 TFT에서 전담하는 경우가 대부분이라는 점이다. 향후 회사 발전 방향 및 IT 투자 방향을 예측하지 못하고, 경영자 층의 호응을 받지 못한 상태에서 세운 계획은 잦은 변경 등으로 인해 실패의 위험성이 높아진다.

(2) 적용 범위

일반적으로 보안의 범위는 급변하는 IT 업계의 특성상 회사마다 관점이 매우 다양하다. 하지만 일반적으로 우리나라에서는 관리, 물리, 기술 부문의 보안으로 나누거나 아예 클라이언트, 서버 시스템, 네트워크 보안으로 나누기도 한다. 또한 업체의 특성에 따라서는 인쇄물, 팩스 내용, 전자 메일까지도 이 범위에 포함한다. 하지만 적용 범위는 인터넷으로 인해 더욱 확장되고 있으며, 상황에 따라서는 범위를 구분하기 애매한 경우도 발생할 수 있다. 하지만 무엇보다 적용 범위는 정책에 따라 보호할 대상의 우선 순위를 매겨두는 것이 향후 관리가 용이하다(그림 3 참조).

<그림3. 정보 보안의 범위>

(3) 위험 분석

정보 보안 솔루션을 구축하기 전에 최근 세계적으로 발생한 보안 관련 사건에 대해 전반적인 조사를 해보는 것이 필요하다. 보안 침해 사건의 종류와 방법 등은 새로운 기술 발달로 매우 다양하게 발생하고 있으므로 기업에서 느끼고 있는 취약한 보안 부분을 정확하게 분석하지 않은 상태에서 다음 단계로 넘어가면 필요 없는 보안 솔루션을 도입하거나 잘못된 보안 원칙을 세우기 쉽다. 위험 분석 도구를 사용해서 분석해낼 수 있는 정보는 일부분에 지나지 않으므로 시간과 인력이 많이 투입되더라도 보안 솔루션을 도입하기 전에 정확하게 정보를 수집해야 한다.

(4) 위험 관리 정책 수립

현재의 취약점을 확인했다면 어떤 방법으로 취약점을 보강할 것인가 결정해야 한다. 또한, 문제가 발생하면 어떤 단계를 통해 해결할 것인가에 대한 충분한 대책이 세워져 있어야 한다. 최근 일부 은행권에서 하고 있는 실시간 백업을 통한 서비스 중단에 대비한 긴급 대처 능력 강화는 보안 능력 강화의 대표적인 사례가 될 것이다. 다양한 보안의 욕구를 특정 솔루션으로 해결이 가능한 것인지, 아니면 자체 인력을 더 투입해야하는 것인지, 아니면 보안을 전문으로 하는 업체를 이용할 것인지에 대한 결정을 내려야 한다. 이와 함께 지속적인 보안 교육이 필요한데 실질적인 실무자를 대상으로 하는 기술 교육, 일반 사용자들을 대상으로 하는 정보 보안 인식 교육이 함께 어우러지는 것이 바람직하다.

(5) 관리

보안과 관련된 체계가 도입되었다고 해도 아직 끝난 것이 아니다. 보안의 특성상 항상 새로운 문제가 발생하므로 지속적인 교육과 솔루션에 대한 업데이트가 필요하다. 또한 보안 솔루션을 사용할 경우 올바르게 사용하고 있는 것인지 정기적으로 조사하는 것이 좋다. 이와 함께 계속 변화하는 시장 상황에 따라 중요 데이터 관리 지침을 자체적으로 계속 업데이트 하는 한편 보안을 지키지 않아 문제를 일으킨 경우 정도에 따른 제재를 통해 세워진 보안 원칙을 지켜나가도록 해야 투입 효과를 볼 수 있게 된다.

4. 보안의 어려움

(1) 인식의 문제

100% 완벽한 보안은 없다.

모든 것을 뚫을 수 있는 창과 모든 것을 막을 수 있는 방패의 이야기를 들으면 많은 사람들이 ‘모순’이라는 한자를 떠올릴 것이다. 이처럼 완벽(!)이라는 단어는 보안이라는 영역에서는 함부로 사용하기 어렵다. 100% 자신하거나 그렇게 선전하는 것은 홍보적인 측면이라고 생각하는 것이 바람직하다. 항상 보안을 위협하는 새로운 기법들이 등장하기 마련이다. 문제는 이것을 막기 위한 대책이 얼마나 신속하게 제시될 수 있느냐 하는 것이다.

보안 문제는 결국 사람 문제이다.

가장 중요한 내용이지만 가장 간과되고 있고 사실 가장 다루기 어려운 부분이다. 외부에서 침입한 해커가 문제가 아니라 내부자에 의한 데이터 유출이 심각하다는 것은 여러 데이터가 입증하고 있다.(그림1 참조) 적절한 교육은 필수적인 요소이다.

도입된 보안 솔루션을 운용하는 문제 역시 솔루션 자체가 가지고 있는 결함보다는 사용자들의 이해 부족, 무관심, 잘못된 운용 등이 더 큰 문제이다. 솔루션 자체가 가지고 있는 결함은 컨설팅이나 시스템 도입 업체에서 단계적, 지속적으로 문제를 해결할 수 있다.

보안 정책을 일관성 있게 유지하기 위해서는 무엇보다 내부 직원에 대한 지속적인 교육과 제도적인 뒷받침이 있어야 한다.

정보 보안에 대한 인식이 성숙되어야 한다.

우리나라에서 관련 솔루션에 대한 시장 형성이 늦어지고 있는 것은 여러 가지 원인이 있겠지만 정보 보안에 대한 인식이 부족한 이유가 크다. 예를 들어 출입문에 출입 차단 장치를 달아놓았다고 해도 실수로 문을 열어놓고 닫지 않았다면 출입문에 설치된 보안 솔루션은 무용지물이 될 뿐이다. 또한, 많은 사람들이 아이디와 암호에 대한 중요성을 깨닫지 못하고 있는 경우가 많아 남들이 볼 수 있는 곳에 적어놓는 등의 실수를 하는 경우를 많이 보게 된다. 본인의 네트워크 로그인(log-in) 아이디와 암호가 유출될 경우 본인에게 할당된 네트워크 접근 권한 범위에 따라 중요한 전산 자원에 대한 침입의 위험성도 함께 높아진다. 물론 다른 곳에서 개인적으로 사용하는 아이디와 암호의 중요성도 마찬가지이다.

보안 제품은 서비스 제품이다.

일반적인 프로그램과 달리 보안 제품은 최초 기능의 우수성과 함께 지속적인 서비스가 뒷받침되어야 한다. 여기서 서비스란 새로운 기능에 대한 신속한 추가 및 고객 문의에 대한 원활한 응대를 뜻하는 것으로 새로운 바이러스나 침입 기법 등이 등장했을 경우 얼마나 빠른 시간 안에 대처할 수 있는지가 중요하듯이 때로는 신속하게 때로는 지속적으로 고객에게 서비스를 제공할 수 있어야 한다.

주기적으로 보안 솔루션에 대한 점검이 필요하며 새로운 보안 침해 기술이 나타나면 그에 대한 대책을 신속하게 마련하는 것도 중요하다. 즉, 한번 설치로 끝나는 것이 아닌, 지속적인 업데이트가 보장되어야 하는 것이다.

보안 제품은 생명 보험과도 같다.

일반 저금과는 달리 생명 보험의 경우 사고가 나지 않는 사람은 다소 억울한 제도지만 사고를 당했을 경우 보상을 받아 그 피해 규모를 최소화시킬 수 있는 큰 장점을 갖고 있다. 이처럼 보안 제품은 당장은 필요 없어 보이지만 어떤 문제가 발생했을 때 최단 시간 안에 그 피해 규모를 최소화하는데 도움을 준다.

(2) 제품의 문제

우수 제품 선택

보안 관련 솔루션이 많이 등장함에 따라 솔루션의 이름들을 한 번에 나열하는 것도 쉽지 않다. 이럴 때일수록 해당 솔루션이 얼마나 우수한지, 자체적인 기술력을 갖고 있는지, 관련 테스트를 통과해 기능을 인정받았는지 등을 반드시 살펴보아야 한다. 솔루션의 이름이나 지명도만으로 선택하거나 주어진 예산에 해당 솔루션을 억지로 맞추는 것은 매우 위험한 일이다.

필요 조건에 맞는 제품 선택

앞에서 개인, 회사, 게임방의 보안 솔루션 도입 우선 순위를 소개했지만 상황에 따라 보안의 규모 및 방법은 매우 다양하다.

예를 들어 도둑이 자주 들어 PC 본체 도난이 잦은 게임방에서 물리적 보안은 소홀히 한 체 다른 보안 솔루션을 우선 도입한다면 도입 효과는 기대하기 어려울 것이다.

또한, 다른 업체에서 ‘A’라는 제품을 도입한 다음, 긍정적인 효과를 보았다고 해서 그대로 따라하는 것은 결코 바람직하지 않다. 비용 부담도 있는 만큼 반드시 필요한 부분과 취약점을 파악한 후 우선 보안하는 것이 바람직하다.

보안 교육 병행

도입하고자 하는 방법에 따라 다르겠지만 도입 후 사람들이 해당 솔루션 사용법을 몰라 사용하지 않거나 기능을 잘못 사용하거나 아예 해당 프로그램을 지워버리는 경우도 있다. 이같은 문제를 해결하기 위해서는 적절한 제품 교육 및 보안 관련 교육이 선행되어야 한다.

5. 효과적인 정보 보호를 위한 필수 항목

(1) 보안 전문가의 조언

드라마 ‘허준’을 보면 '유도지’가 잘못된 처방을 한 후 곤욕을 치르는 경우를 종종 보게된다. 환자의 상태와 평소 식습관까지 꼼꼼히 참고하여 종합적이고 중, 장기적인 처방을 내리는 ‘허준’에 비해 치료 기술마저 떨어지는 ‘유도지’의 방법론이 얼마나 위태로운지 쉽게 비교할 수 있다.

현재 상황을 분석하여 보호 해야할 데이터의 중요도를 나열하고 어떤 보안 방법을 사용할지 결정한 후 비용 부분을 고려하는 것이 바람직하다. 그러한 단계를 밟지 않는다면 위험천만한 일이다. 또한, 보안 관련 솔루션은 대부분 금액이 높아 잘못된 투자를 할 경우 금전적인 부담이 만만치 않다는 점은 담당자에게는 커다란 부담이다.

(2) 적절한 보안 솔루션 도입 및 활용

적절하다는 것은 투자 금액 대비 보안 효과를 최고로 낼 수 있는 것을 의미한다. 이것은 준비된 보안 관련 금액에 관련 솔루션을 짜맞추는 것을 의미하는 것이 결코 아니다. 예전과는 달리 요즈음은 한 가지 보안 항목에도 관련된 보안 프로그램의 종류가 다양해졌다. 기능 및 가격대도 천차만별이다.

단순히 구색을 맞추기 위해 가격만으로 제품을 선택한다거나 경쟁사나 관계사에서 A라는 솔루션을 도입한다고 해서 무조건 따라하는 식의 솔루션 도입은 위험천만한 일이다. 보안은 한 번에 끝나는 것이 아니다. (1)의 단계를 밟은 후 우선 순위를 결정하고 차례대로 도입하는 것이 바람직하다. 물론 그 중에서 사용자가 직접 데이터를 다루는 클라이언트의 보안 솔루션은 순위가 높기 마련이다.

(3) 사용자 보안 교육 강화 및 보안 정책 확립

보안 솔루션 중에서 생체 인식 보안 솔루션이 시장에서 고전 중인 이유 중 하나가 장비 자체가 비싸다는 점과 함께 일반 사용자들이 장비에 대한 심리적인 거부감이 크기 때문이라고 한다.

지문, 음성, 홍채, 정맥 인식 등 여러 가지 솔루션이 있지만 ‘나’라는 존재를 기계(컴퓨터)가 인증한다는 것은 SF 영화 등에서는 흔한 장면이지만 거부감을 느끼는 사람이 의외로 많은 것 같다.

이처럼 사용자가 외면하는 원인이 해당 솔루션의 기능적인 문제가 아닌 정서적인 문제라면 적절한 교육을 통해 바로잡아야 한다. 보안 솔루션을 왜 도입했는지에 대한 충분한 설명과 사용법 교육이 병행되어야 도입 후 성능을 극대화할 수 있다. 아무리 현재 최고의 기술을 갖고 있고 시장에서 1위를 달리는 좋은 솔루션을 도입했다고 해도 설치 후 해당 기능을 사용하지 않거나 잘못 사용한다면 무용지물일 뿐이다.

이와 함께 사람에 대한 대비도 필요하다. 사람은 크게 근무자, 퇴사 예정자, 외부 방문자, 외부 침입자로 나눌 수 있는데 이 중에서 가장 어려운 부분이 함께 일하고 있는 사람이 고의적으로 데이터 유출을 시도할 경우인데 이러한 시도를 100% 차단한다는 것은 현실적으로 대단히 어렵다.

회사에 처음 들어온 사람이라면 현재 보호하고 있는 데이터의 종류 및 보호 방법에 대한 정보 보안 지침에 대한 교육을 받도록 하고, 회사를 그만두는 사람이라면 PC, 작성한 데이터, 서류 등 주요 정보는 정확하게 접수받고, 관련 정보에 대해 기밀을 유지할 수 있는 정신 교육이 뒤따라야 한다.

외부 방문자에게는 일단 PC 근처에 접근하지 못하도록 하는 것이 필요하고, 만약 외부 침입자가 물리적인 보안을 뚫고 하드디스크나 시스템 자체를 훔쳐 갔다고 해도 중요한 파일에는 암호를 걸어놓아 본인이 ID와 암호를 입력하지 않으면 중요한 파일을 열어볼 수 없거나 아예 부팅조차 못하게 해야한다.

(4) 지속적인 기술지원

한 번의 솔루션 도입으로 끝나지 않는 것이 보안이지만 새로운 침입 기법이나 바이러스 등이 등장했음에도 불구하고 대응이 느리거나 어떤 원인으로 대응을 못한다면 이것은 심각한 문제가 된다. 사용자의 데이터를 노리거나 E-비지니스를 못하게 방해하는 새로운 기법은 계속 등장하고 있다. 불이 났을 때 소방차가 늦게 출동하면 잿더미만 남듯이 새로운 문제 발생시 신속하게 처리할 수 있는 고객지원 능력과 기술력을 갖춘 업체를 선택해야 한다. 해당 업체가 해당 솔루션에 대한 자체 기술인력과 원천 기술을 갖고 있는지 조사해 보는 것도 필요하다.

결론

사이버 시대에 e-비지니스를 구성하는데 있어 보안은 필수조건이 되었다. 하지만 닷컴 거품론에 비유될 만큼 현재 우리나라의 보안 시장은 과열 기미를 보이고 있는 것이 사실이다. 이 시점에서 다시 한 번 강조하고 싶은 것은 보안은 시스템이 하는 것이 아닌 사람이 하는 것이라는 점이다. 정보 보안의 중요함을 전사적으로 공유하고 정보에 대한 지속적인 관리 방법을 학습하고 지속적인 투자가 이어질 때만 성공적인 보안이 가능해진다.

네트워크, 인터넷, 서버 등 큰 규모의 보안은 큰 그림 아래 관련된 보안 솔루션을 도입할 수 있다. 하지만 정작 중요한 클라이언트(PC)의 보안에는 고려해야 할 요소가 있다.

클라이언트 보안에서 최악의 상황인 데이터 파괴 및 도난에 대비해 정기적인 백업, 중요한 데이터 파일에 대한 암호화 등 보안을 유지해야 할 필요성이 매우 높다. 클라이언트 보안은 네트워크, 인터넷, 서버 보안과 상호 연동하지 않아도 되는 부분이다.

정보 보호는 추상적인 개념이나 사업의 일부분이 담당하는 문제가 아니다. 여러분이 가지고 있는 데이터와 여러분의 동료가 가지고 있는 데이터를 지키는 일부터 보안의 시작이다. 올바른 판단을 통한 최적의 보안 솔루션 도입을 통해 여러분의 소중한 데이터가 잘 보호되기를 다시 한 번 바란다.