보안과 보험의 공통점과 차이점은?
가끔 주변 사람들로부터 보안에 대해서 얘기를 해달라는 요청을 받는다. 이쪽 업계에 그래도 나름 10년 넘게 있다 보니 직접 만들어본 보안 솔루션도, 가끔 컨설팅하려 나가면서 본 기업의 보안 상황도 지식으로 쌓여서 보안이라는 부분을 얘기하는데 많은 도움이 되는 것은 사실이다. 하지만 보안이라는 단어 자체가 요즘은 언론에서 많이 얘기해서 사람들도 얼추 알고는 있지만 실질적인 뜻과 그 의미를 파악하는 것은 좀 어렵지 않을까 하는 생각이 든다. 특히 보안이라는 2자의 단어가 포함하고 있는 범위는 생각보다 크며 그 깊이도 많이 깊다. 한 문장으로 표현하기가 애매한 것이 보안이라는 생각이 든다.
그래서 내 경우에는 보안에 대해서 설명을 할 때 가장 많이 사용하는 예가 보험이다. 보안과 보험. 비슷하게 들릴 수도 있고 전혀 딴 이야기로 들릴 수도 있겠다는 생각을 해본다. 이제부터 보안과 보험의 공통점과 차이점에 대해서 생각을 해보자.
보안과 보험의 공통점
TV 광고에서 나오는 보험을 보면 어떤 사고를 당했을 때, 위협이 될 상황이 왔을 때를 대비하는 작업이라고 생각할 수 있다. 교통사고를 당했을 때 치료에 들어가게 되는 막대한 돈을 보험을 통해서 적은 금액으로 빠르게 대응을 한다던지, 암에 걸렸을 때 치료에 들어가는 막대한 돈을 보험을 통해서 큰 부담 없이 지불하도록 하여 치료에 대응하도록 한다 던지 하는 것이 보험이다. 좀 안 좋은 예이기는 하겠지만 사망사고가 났을 경우 그 유가족들이 향후 생활하는데 큰 불편함을 갖지 않도록 사망보험금을 지급하는 것도 어떻게 보면 사고에 대비한 후속 조치라고 할 수 있다. 즉, 보험은 어떤 위협, 불안감에 대응할 수 있는 장치라는 얘기다.
보안은 어떨까? 보안 역시 어떤 사고나 위협에 대비하는 장치다. 어떤 서비스를 운영하는데 있어서 해당 서비스에 위협이 될 수 있는 요소를 사전에 차단하거나 혹은 사후에 추적하여 법적 책임을 묻게 하는 것이 보안이다. 방화벽이나 IDS, IPS와 같은 보안 장비는 서비스를 운영하는 시스템의 네트워크 앞단에서 위협이 되는 유해 트래픽이나 악성코드 등의 침입을 사전에 차단한다. DRM이나 DLP와 같은 보안 솔루션은 허가받은 사용자만 컨텐츠나 시스템을 사용할 수 있게 하고 내부 데이터의 유출을 차단하며 유출이 되었다고 하더라도 사용하지 못하게 막는다. 워터마크와 같은 기술은 보안 세계에 들어와서 데이터가 유출되었을 때 누구로 인해 유출되었는지 사후에 조사하여 책임을 지게 만들어 다른 사용자로 하여금 이런 문제가 일어나지 않게 만든다. 보안역시 보험처럼 위협, 불안감에 대응하는 장치라고 할 수 있다는 얘기다.
보안과 보험의 차이점
그렇다면 보안과 보험은 어떤 차이점이 있는가? 보험의 경우 위에서 설명했던 것처럼 어떤 사고나 위협이 벌어진 다음에 처리되는 즉, 사후처리방식이다. 교통사고가 난 이후에 사고에 대한 치료금액을 지원한다던지, 암에 걸렸을 때 암 치료 금액을 지원한다던지, 사망 후 유족들에게 위로금을 지급한다던지 하는 등 사전에 위협을 차단하는 것이 아니라 사후에 대처하는 방식이 보험이다. 즉, 아직까지 보험은 사전에 위협 차단을 할 수 있는 제도적인 장치는 없다고 보면 된다.
보안은 어떨까? 보안의 경우에는 보험처럼 사후처리방식도 존재하지만 현재까지는 사전차단, 예방의 개념이 더 크다. 앞서 얘기했듯 방화벽, IPS, IDS와 같은 보안장비는 위협이 되는 유해 트래픽이나 악성코드가 실제 시스템에 접근하기 전에 사전에 차단하는 역할을 맡는다. DRM이나 DLP는 데이터를 사용하는데 있어서 검증받은 사용자만 사용할 수 있게 함으로 위협이 되는 미검증 사용자의 접근을 막는다. DB보안 역시 DB에 저장되어있는 데이터에 보안을 적용하여 허가받은 접근만 사용할 수 있게 만든다. 보안 통신, 접근제어, 암호화 등 보안에 적용되는 다양한 기술은 대부분 위협을 사전에 차단하여 해당 서비스 시스템을 운영하는데 있어서 안전한 운영이 가능하도록 하는 것이 목적이 된다. SIEM이라 불리는 통합 보안관제 역시 위협을 미리 감지하고 관리자에게 알려서 위협에 대해서 대응할 수 있는 준비시간을 주는 것으로 사전차단, 예방의 목적이 크다.
그렇지만 보안은 사전차단 뿐만이 아니라 사후처리방식도 존재한다. 최근 들어 보안솔루션들 중에서 감사관련 솔루션들이 많이 도입되고 있다. 감사(Audit)는 어떤 일이 일어난 후에 그 행위를 추적하여 문제가 있는 행위가 들어났을 경우 책임을 지게 만드는 의도로 시행되는데 사전차단으로는 100% 다 예방을 못하니 벌어진 일에 대해서 책임을 추궁함으로 사용자들에게 보안에 대한 경각심을 불러일으키고 인지를 하도록 만들어서 다음에는 이런 일이 안 일어나도록 만드는 것이 보안감사의 목적이며 이런 목적을 위해서 사용되는 감사 솔루션들이 최근 보안 시장에 많이 활성화되기 시작했다. 이는 보험과 비슷한 접근방식이라고 할 수 있다. 하지만 보통 보안감사에 대한 솔루션에 대해서 보안 솔루션 제품군에 포함시키는 것에 대해서 거부감을 갖고 있는 보안 관계자들이 상당수 존재하는 것이 사실이지만 이제는 감사 솔루션도 보안의 범주안에 들어가기 시작한 것은 분명해 보인다.
보안과 보험은 어떻게 보면 전혀 다른 영역의 이야기처럼 보인다. 나 역시 보안을 얘기하면서 보험을 예로 든 것은 보험의 접근 방식이 보안과 비슷하기 때문이지 보안과 보험이 연결되어있다고 생각하고 있지는 않다. 하지만 보안을 설명하는데 있어서 보험이라는 개념을 생각하면서 접근하면 좀 더 이해하기 쉽지 않을까 하는 생각이 든다. 결론은? 보안은 어떤 시스템에 대한 위협을 사전에 예방하고 사후에 추적하여 책임을 지게 만드는 작업이라는 얘기다.