보안 시스템에 투자하는 만큼 보안 교육에 투자하라!
최근 대한민국은 해킹관련 이슈로 몸살을 앓고 있다. 3월 20일에 방송사와 은행권의 전산망을 마비시켜서 대한민국을 혼란으로 빠뜨린 3.20 사이버테러에 그 이후 터진 날씨닷컴 사태, 그리고 지금도 안 알려지고 있지만 곳곳에서 벌어지고 있는 수많은 DDoS 공격과 사이버테러로 인해 대한민국은 말 그대로 해킹에 정신을 못 차리고 있다고 해도 과언은 아닐 것이다.
과거에 비해 해킹사건이 빈번하게 된 것은 그만큼 IT 산업이 생활 곳곳에 깊게 들어왔다는 얘기로도 해석할 수 있다. 기업에서 일을 할 때도 PC와 인터넷, 오피스 등이 없으면 업무 진행이 안 된다. 우리네들 생활 속에서도 인터넷 뱅킹이나 온라인 쇼핑 등 필수는 아니더라도 편의를 위해서 많이 사용하고 있는 IT 서비스들은 많다. 없어도 생활하는 데는 문제되지 않겠지만 불편함을 느끼는, 즉 IT 서비스는 우리네 생활 속에서 편리함을 가져다주는 중요한 요소로 자리 잡게 된 것이다. 예전부터 그래왔지만 최근에는 IT 서비스에 대한 종속성이 더 커진 것이 사실이다.
이러다보니 곳곳에 위협이 존재한다. IT 서비스의 경우 위에서 언급했듯 생활 곳곳에 깊게 관여하기 때문에 어느 한쪽에라도 어긋나기 시작하면 사회 전체가 몸살을 앓게 된다. 3.20 사이버테러는 방송사와 은행권 전산망이 마비된 사건이다. 하지만 우리는 이 사건으로 은행 업무를 보는데 힘들어했으며 TV 시청이 잘 이뤄지지 않아서 짜증이 났다. 이렇듯 생활 전반에 깊게 박혀있는 IT 서비스들은 그 시스템의 안정성과 함께 운영하는 운영자들의 마인드도 안전해야 제대로 운영될 수 있다.
IT 서비스가 커지면서 같이 성장한 시장이 있으니 다름 아닌 보안 시장이다. IT 서비스가 편리성을 강조하면서 많은 이득을 사용자들에게 줬지만 그 편리성을 악용해서 부당 이득을 취하려는 악의 무리(?)는 어디든 있기 마련이다. 크래커(악의적인 의도로 피해를 주는 해커를 크래커라고 부른다)들은 악성코드를 이용해서 사용자 PC에 접근해서 개인정보를 탈취하고 그 정보를 악용해서 다양한 피해를 준다. 또한 좀비PC를 만들어서 IT 서비스를 하는 서버를 공격함으로 서비스의 신뢰도를 떨어뜨리고 그 공격을 무기로 협박해서 금전적인 이득을 보기도 한다. 늘 그렇듯 좋은 서비스를 하는 것을 악용해서 부당이득을 취하려는 무리는 어디든 있기 마련이니 말이다.
이런 크래커들의 공격에 대비해서 다양한 보안 서비스들이 만들어졌고 그 보안 서비스에 대응해서 크래커들의 공격도 다양해졌고, 강해졌으며 그 강해진 공격에 대응하는 보안 서비스들의 발전도 동시에 이뤄져서 보안 서비스 시장은 IT 서비스 시장의 성장과 함께 같이 커오게 된다. 안티 바이러스 솔루션이나 악성코드 탐지, 제거 솔루션, 방화벽 솔루션과 같은 개인형 보안 솔루션 시장과 함께 통합 보안 관리 시스템, 위협 탐지 시스템, 좀비PC 방지 시스템, 로그 관리 및 분석 시스템(넓은 영역에서 이 솔루션도 보안 솔루션 카테고리에 들어간다) 등과 같은 엔터프라이즈 보안 솔루션 시장도 같이 성장하기 시작한다. 그리고 앞으로도 계속 이런 보안 솔루션 시장은 커져갈 것이다. IT 서비스는 이제 필수 요소가 되었으며 더 커질 것이기 때문에 이를 위협하는 다양한 해킹 기법도 다양해지고 그만큼 보안 시장도 성장 할 테니 말이다.
하지만 보안이라는 것이 시스템으로만 해결할 수 있는 것은 아니다. 보안 솔루션은 패키지로 시스템으로 구성되어있지만 그것을 운영하는 것은 결국 사람이기 때문에 운영하는 사람이 보안에 대한 마인드를 갖추는 것이 무엇보다도 중요하다. 아무리 시스템적으로 잘 막는다고 하더라도 그것을 운영하는 사람이 제대로 운영을 하지 못하면 크래커들은 운영하는 사람의 헛점, 틈을 비집고 들어가서 피해를 입힌다. 시스템적인 보안도 중요하지만 사람에 대한 보안이 무엇보다도 중요하다는 얘기다.
이번에 있었던 3.20 사이버테러의 경우만 봐도 알 수 있듯 PMS(패치 관리 서버)를 관리하는 관리자의 실수로 인해 PMS가 관리하는 PC에 악성코드가 침투되어 벌어진 일이고 그것이 대한민국을 혼란에 빠뜨린 꼴이 되었다. PMS에는 원래는 패치 데이터 외에는 아무것도 없어야 하는데 PMS가 악성코드에 감염이 되었다는 것은 PMS를 운영하는 관리자가 그 PMS를 통해서 뭔가 다른 작업을 하다가 악성코드에 감염이 되었다는 것을 의미한다. 즉, 기본적으로 하지 말아야 할 것을 했기 때문에 문제가 생기는 것이다. 작년에 한참 문제가 되었던 농협 사건도 비슷하다. 내부의 사용자에 의해서 문제가 생겼다. 즉, 아무리 시스템적으로 보안이 완벽하다고 하더라도 그것을 운영하는 사람에 문제가 있으면 무용지물이라는 얘기다.
보안을 확실히 하고 싶다면 보안 시스템에 투자하는 것도 중요하지만 그만큼 보안 시스템을 다루는, 또 그 보안 시스템의 관리 아래 있는 사용자PC의 사용자가 되었건 관련된 사람들의 보안 인식을 먼저 향상시키는 것이 중요하다고 본다. 사람이 우선적으로 보안에 대한 개념을 갖고 움직이지 않으면 아무리 훌륭한 보안 시스템을 갖췄다고 하더라고 언제든지 공격받아서 문제가 될 수 있기 때문이다. 기업 담당자들이 보안에 대해서 얘기를 할 때 가장 큰 문제점은 보안 시스템에 대한 맹신이라고 본다. ESM, TSM, 좀비PC방지에 안티 바이러스 시스템, IPS, 방화벽 등 온갖 보안 시스템을 다 갖췄다고 생각하고 우리는 보안에 대해서 완벽하다고 생각하는 경우가 종종 있는데 시스템적으로만 갖췄지 그것을 운영하는 사람들은 시스템에 대한 맹신으로 인해 스스로의 보안 개념을 상실한 채 보안 시스템을 운영하는 경우가 있으며 그런 경우에는 언제든지 그 완벽하다는 보안 시스템이 내부 직원의 실수로 인해 뚫릴 수도 있다는 것을 모르고 있다. 보안 시스템도 중요하지만 그만큼 그것을 운영하는 사람도 중요하다는 것을 알아야 하는데 그저 시스템만 맹신하는 IT 관계자들이 많다는 것이 문제라는 얘기다.
안에서 새는 바가지가 밖에서도 샌다라는 속담이 있다. 아무리 보안 시스템을 잘 갖춰놓고 있더라도 내부에서 운영하는 직원이 제대로 운영하지 못하면 그 시스템은 언제든지 무용지물이 될 수 있다. 요즘 들어 보안 강화에 대한 이야기가 많이 나오는데 여전히 보안 시스템에 대한 이야기만 나오고 있지 관리자에 대한 보안 강화 교육 이야기는 안 나오고 있는 것이 현실이다. 이유는 간단하다. 보안 시스템은 눈에 보이는 하드웨어나 소프트웨어지만 교육으로 인한 관리자들의 보안 인식 강화는 눈에 보이지 않기 때문에 기업의 경영자들이 볼 때에는 ROI가 나오지 않는다고 생각하기 때문이다. 하지만 이것은 잘못된 생각이다. 앞서 얘기했던 대로 보안 시스템을 잘 갖추는 것 만 큼이나 보안 교육을 강화해서 보안 인식을 먼저 잘 다져놓는 것이 진정으로 보안을 강화하는 길이라고 생각된다.
출처원문 : 진정한 보안 강화를 원하는가? 보안 시스템에 투자하는 만큼 보안 교육에 투자하면 된다.