2015년 5월 7일 목요일

제 값 못받는 보안관제


지난 4월 어느 기사 제목. 제대로 된 대가산정 기준이 없어 정당한 대가를 받지 못하고 있으며, 보안관제 서비스 대가 기준을 '머릿 수'가 아닌 기능·서비스별 산정방식으로 전환해야 한다는 것이 업계의 의견이라고 한다.

이리저리 에두르는 매우 조심스러운 표현이다. 왜 이렇게 조심스러울까? 표면적으로는 좁은 시장, 치열한 경쟁 등의 이유가 있겠지만 실질적인 이유는 고객에게 서비스 제공 전후 차이를 명확하게 (수치로) 제시하지 못해서라고 생각한다. 보안관제 효과를 제대로 보여주지 못한다는 이야기.

그렇다면 사이버위협이 얼마나 발생했는지, 그 중 얼마나 막았는지를 정확하게 보여줄 수 있다면 당당하게 대가를 요구할 수 있지 않을까?

반대로 얘기하면 사이버위협이 얼마나 발생했는지 측정하고, 측정된 위협을 막는 과정에 문제가 있다는 뜻이다. 일단 막는 과정은 되고 안 되고를 떠나서 큰 문제가 되지 않는다. 측정된 위협, 즉 알려진 위협은 위협이 아니기 때문. 문제는 측정이다. 어떤 문제가 있을까?

보안장비를 통해 위협을 감시하는 보안관제

사이버위협 측정 역시 보안장비를 이용한다. 보안장비 로그에서 위협만을 골라내는 것이다. 그런데 그 로그가 너무 많다. 어느 보안관제 업체 담당자는 이런 인터뷰를 남겼다.


사이버위협을 골라내기 위해 분석해야 할 로그의 양이 하루에 수십, 수백만 라인이라는 것. 성실하기 짝이 없는 분석가가 1분에 하나씩 분석해도 하루에 분석할 수 있는 로그는 1,440개가 전부다. (밥도 안 먹고, 화장실도 안 가고, 잠도 안 잤음에도)

실무자가 게을러서 발생한 문제가 아닐 뿐더러, '머릿 수'로 해결할 수 있는 문제 역시 아니라는 뜻이다. 결국 보안장비에서 발생하는 로그의 상당량(사실 대부분)이 분석이 안 되면서, 사이버위협이 얼마나 발생했는지 잘 모르는 상황이 발생하고 있다.

모든 문제는 여기에서 발생한다. 정확한 위협 측정이 안되니 업무 범위, 투입 인력 등의 산정이 어려워지고, '머릿 수' 만큼의 인력이 로그를 확인 후, 대응한 결과만이 보안관제 서비스 제공 효과로 남게 된다.

인력이 확인하지 못한 로그는?

인력이 확인하지 못한 로그는 그대로 알려지지 않은 위협으로 남게 된다. 언제 터질지 알 수 없는 시한폭탄을 안게 되는 셈인데, 그저 사고가 나지 않기만을 바라게 되는, 돈을 지불한 고객에게 쉽게 얘기할 수 있는 상황은 아니다. 결국 용기를 내서 이런 상황을 헤쳐 나가지 않는 한, 업계는 영원히 고객앞에서 조심스러울 수 밖에 없다.

실제 대부분의 현장에 가보면 '발생한 로그는 10분내에 처리한다.' 등의 약정에 의해, 정해진 '머릿 수'의 인력이 처리 가능한 로그량만이 업무 범위로 정해진다. 처리할 수 있는 양만큼의 로그만으로 업무 범위가 제한되면서, 보안장비에서 발생하는 로그 중 일부만이 처리되는, 155마일 휴전선의 일부만 감시되는 상황.

아이러니한 것은 신규 룰 개발이 주요 업무로 자리를 잡으면서, 처리할 수 있는 룰의 개수는 정해져 있는데, 전체 룰의 개수는 계속 늘어난다는 것이다. 결과적으로 룰도 늘어나고, 로그도 늘어나지만 정해진 업무 범위를 벗어난 룰이나 로그에 대한 언급은 업체나 고객 모두 회피하게 된다. (이해는 간다. 말 꺼낸 사람이 책임지는 분위기일 게 뻔하다. ㅡㅡ)

이런 상황을 타개할 수 있는 방법은 무엇일까? '머릿 수'로 해결하기엔 분석해야 할 로그가 너무 많다는 문제를 해결해야 한다. 그러나 안타깝게도 현장에서는 (보안관제 업체, 최소한 실무자들은 알고 있을) 이런 문제가 잘 제기되지 않는다. 보안관제라는 분야가 확립된지 10년이 넘었다. 이제 와서 문제를 제기하기엔 너무 멀리 와버린 것일까?

보안장비 로그를 다 분석하지 못하고 있다는 문제를 제기하면 분명 고객은 왜 그런 문제를 이제 얘기하냐며 책임을 추궁할 것이다. 고객 역시 그동안 상사나 상부에 보고한 적이 없는 문제가 이슈가 되는 상황이 싫을 것이다. 욕 먹는 게 싫다면 하던대로 하는 수 밖에 없다.

로그는 왜 많을까?

보안장비가 정확하지 않기 때문이다. 보안장비 로그는 위협을 찾아내는 룰(Rule) 운영의 결과물이다. 결국 룰이 정확하지 않다는 얘기.

낮은 룰 정확도에 대해 간단히 얘기하자면 보안장비는 맞춤복이 아니라 기성복이기 때문에, 사용자 네트워크에 최적화되지 않은 공장 초기 상태의 보안장비 룰은 위협과 함께 위협보다 훨씬 많은 오탐 로그를 만들어낸다.

(아직까지 돈을 더 내고 옷을 몸에 맞춰 입겠다는 사용자도, 돈을 더 받고 몸에 맞는 옷을 만들어 주겠다는 업체도 나오지 않고 있는 상황)

매도 먼저 맞는 게 낫다?

문제가 해결되기 위해서는 먼저 문제가 알려져야 한다. 그리고 문제가 알려지기 위해서는 누군가 총대를 메고 문제를 제기해야 한다. 그러나 누구도 선뜻 총대를 메려 하지 않는 상황에서 이 문제를 해결할 수 있을까? 총대를 멘다면 누가 메야 할까? 관제 업체? 장비 업체? 사용자?

모두 머리를 맞댈 필요가 있지만, 개인적으로 보안장비 업체의 각성을 기대한다. 국내 보안장비 업체의 딜레마는 장비가 좀 팔린다 싶으면, 곧 포화돼버리는 좁은 시장이다. 그래서 새로운 장비를 팔 수 있는 새로운 컨셉, 새로운 위협의 등장에 항상 목말라 한다.

'RSA 컨퍼런스 2015'에 참석한 국내 보안업계 관계자들 중 상당수는 팔릴만한, 새로운 아이템을 찾으려는 의도였다는 지인의 얘기를 들었다. 새로운 하드웨어는 더 새로운 하드웨어를 당해낼 재간이 없다.

하드웨어 박스 장사에서 탈피해야 한다. 하드웨어에서 서비스로 넘어가야 하는 것이다. 해답은 룰에 있다. 공장 초기 상태의 룰로는 사이버위협을 정확하게 측정하지 못함을 알리고, 룰 최적화 서비스를 통해 정확하게 측정된 '수치'를 보여줘야 한다.

서비스 제공 전에 분석하지 못했던 로그량이, 제공 후 줄어든다면, 전에는 미처 알지 못했던 위협을 명확히 알게 된다면, 그리고 그 위협에 대처할 수 있게 해 준다면 돈을 벌 수 있지 않을까?


물론 소비자가 목적과 결과를 쉽게 예상할 수 있는 분야인 자동차 SW 와는 상황이 많이 다르다. 보안 분야는 소비자는 물론 생산자도 서비스의 질을 예상하고 측정하기 어려운, 참 희한한 분야이기 때문. 운전면허 없어도 자동차를 만들고, 또 살 수 있다 보니 정작 어떻게 운전해야 목적지에 갈 수 있는지는 아무도 모르는 상황이라고나 할까?

하지만 그렇다고 시도조차 않는다면 영원히 '새로운 하드웨어'의 늪에서 빠져나올 수 없으며, 영원히 목적지에 도착할 수 없다. 이제라도 제품∙서비스 제공 결과를 정량적인 '수치'로 측정하려는 노력을 해야할 때인 것이다.

"당신이 말하는 것을 측정하지 못하고, 숫자로 나타내지 못한다면 당신은 그것을 모르는 것이다" - 윌리엄 톰슨 캘빈

미국도 헤매고 있다

룰 최적화 서비스를 해야 하는 이유는 또 있다. 보안관제의 효과가 '머릿 수' 만큼만 나타나는 현상을 과연 우리만 겪고 있을까? 미국은 우리와 다를까? 세계 어디든 이런 문제를 해결한 곳이 있을까? 누구 말마따나 세계는 넓다. 먼저 문제를 제기한 자가 그 세계에서 주도권을 갖게 될 것이다.

사족
문제를 제기했다가 공공의 적이 될 수도..

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스