2015년 12월 29일 화요일

정보보호산업법 시행을 지켜보면서

지난 23일, 보안 서비스에 대한 적정 대가, 정보보호 현황 공시(공시하면 ISMS 수수료 깍아준다고) 등의 내용이 포함된 '정보보호산업의 진흥에 관한 법률'이 시행됐다.

아마 많은 분들이 궁금해할, 그동안 서비스 만두 취급 받던 기술지원에 대한 대가 산정 기준도 마련된 듯하다. 세부 항목은 아래와 같은데 KISA에서 표준계약서도 배포한다고. 적정 금액 기준까지 제시해주는지는 모르겠다.

보안성 지속 서비스 항목 및 내용

보안성을 지속 유지하는데 필요하다고 판단된 항목들의 보강이 필요해보이긴 하지만 어차피 첫 술에 배부르기는 힘들겠지. 그렇게라도 대가를 받게 된다면 그게 어딘가. 부디 이런 변화가 현장 실무자들의 사기 진작으로까지 이어졌으면 하는 바람이다.

반면 수요 기업들은 기존에도 충분한 비용을 지불하고 있다는 입장이 많은 듯. 규제에 기대서 철밥통이 되려 한다는 거부감도 있는 것 같고.

결국 제품과 서비스의 품질로 해결해야 한다. 좋으면 비싸도 살 것이고, 안 좋으면 값을 깍거나 안 사겠지. 그런 의미에서 시간이 지나도 고려대 김휘강 교수의 통찰은 업계에 시사하는 바가 크다.

보안성 지속을 위한 보안관제

그런데 보안성 지속 서비스 항목에서 보안관제를 직접 언급한 부분은 없는 것 같다. 패턴 업데이트나 사고대응 등으로 퉁 치는 건가? 사고대응은 그렇다치고, 패턴 업데이트 대가 산정 기준은 뭘까? 패턴 개수? (참고로 패턴, 룰패턴, 시그니처 모두 같은 말)

물론 하나의 패턴, 즉 하나의 룰을 만들기 위해 취약점을 연구하고, 테스트를 통해 공격 원리를 검증한 후, 공격 패턴을 추출하는 수고를 생각한다면 당연히 대가를 산정해야 한다. (Snort나 Emerging Threat에서 공짜로 뿌리는 룰도 많지만)

문제는 룰 개수만 많으면 보안 수준이 높아지느냐가 아닐까 한다. 오랫동안 보안관제, 특히 보안장비 업계는 룰 개수로 기술력을 인정받으려는 경향을 가지고 있었다. 룰의 정확도에는 별로 관심을 두지 않았다는 얘기.

그 결과는 업체에서 제공하는 룰을 사용하지 않고 직접 만들어서 사용하는 사례의 증가. 보안 전문가들이 고객사로 많이 이동한 탓도 있겠지만, 결국 보안 업계에 대한 고객들의 신뢰가 떨어지고 있다는 방증이 아닐까?

보안장비 도입했더니 로그는 하루에 수만, 수십만 개씩 나오는데 그 중 몇 개가 공격이라는 건지 확인도 안 되고, 보안관제 서비스 받았더니 매일 고만고만한 개수의 로그를 분석/대응했다고 하는데, 그럼 분석하지 못한 로그는 없다는 건지, 있는데 무시해도 된다는 건지 설명도 없고(..)

이런 불신이 커지면 종국에는 어떻게 될까? 어느 기관에서 웹방화벽 룰에 대한 불신과 보안관제 분야에서의 미미한 역할로 인해 수십 대의 상용 웹방화벽을 오픈소스인 ModSecurity로 전격 교체해버린 사례가 있다. IDS/IPS는 아직까지 보안관제 분야에서의 높은 비중때문에 쉽게 손을 못 대는 것뿐.
실제 문제가 해결되지 않고 있음을 눈치채는 순간, 사용자는 보안 업계를 배제하고 스스로 문제를 해결하려 할 것 - IDS와 보안관제의 완성 (401 페이지)

보안관제의 기본

보안관제의 기본은 공격 현황 파악이다. 현황을 알아야 위협의 수준을 파악하고 대응 여부를 결정할 수 있기 때문. 
우리가 어느 쪽으로 가야 하는가는 우리가 현재 어디에 있느냐에 달렸다 - 틀리지 않는 법 (41페이지)

공격 현황 파악은 IDS/IPS 등 보안장비 로그 분석을 통해 이루어진다. 그래서 발생한 로그를 다 분석하지 못하면 정확한 현황을 알 수 없게 되며, 결국 눈을 감은 채 적과 싸워야 하는 상황에 놓이게 된다.

그런 상황을 방지하기 위해서는 보안장비의 룰 정확도를 일정 수준 이상 유지할 필요가 있다. 룰 정확도가 높을수록 불필요한 로그의 발생을 줄여서 전수검사의 가능성과 함께 현황 파악의 정확도를 높일 수 있기 때문.

더구나 알려진 공격을 검사하는 IDS∙IPS 로그조차 다 분석하지 못한다면 모두가 원하는 알려지지 않은 공격 대응은 영영 기대하기 힘들지 않을까?

결국 보안장비의 룰 정확도가 높아져야만 보안관제 수준 역시 높아질 수 있다. 보안장비 룰 정확도와 로그 전수검사 수준에 대한 정량적 측정은 보안관제 및 보안성 지속 수준의 핵심 지표인 것.

정보보안의 최전방인 보안관제의 중요성을 감안한다면 보안성 지속 서비스 항목에 대한 더 신중한 검토가 필요하지 않나 싶다.

문제는 UX(User Experience) 

보안 업계 역시 수요 기업들이 납득할 수 있도록 눈에 보이는 품질 개선 노력을 해야할 것이다. 일단 제품의 품질은 성능이나 안정성 등 여러 면에서 많이 좋아졌다고 생각한다.

문제는 역시 서비스. 올바른 사용자 경험이 반영되지 못하고 있는 보안 제품의 한계에 대해서 얘기한 적이 있다. 쉽게 얘기하면 자동차는 만들었지만 목적지까지 정확하게 운전하는 방법은 알려주지 못한다는 것.

실제 자동차 업계는 운전을 못하거나, 길을 모른다고 해서 자동차를 만드는 데 전혀 문제가 되지 않으며, 소비자 역시 생산자더러 운전을 해달라거나, 운전이 뭐 이렇게 어렵냐는 불평은 하지 않는다.

운전면허를 따서 직접 운전하는 게 너무나 당연하며, 목적지를 찾아가는 것쯤은 별로 어렵지도 않은 기술이니까. (돈 많으면 기사 고용해도 되고)


그런데 보안 제품도 결국 자동차와 같은 소비재니, 동작에 문제가 없다면 기능을 잘 쓰고 못 쓰고는 구매한 소비자의 책임이라고 자신있게 (고객 면전에 대고) 말 할 수 있을까?

어려울 것이다. 보안장비는 룰이 생명이고, 그 룰이 발생시킨 로그에 대한 분석이 끝나야만 의도했던 목표에 가까워질 수 있는데 그 과정이 생산자에게조차 어렵기 때문.

생산자조차 어려운 가장 큰 이유는 결국 (부정확한 룰에 의해 발생한) 로그가 많아서다. 로그가 적게 발생한다면 사실 소비자에게도 쉬운 문제고.

보안 업체조차 어렵다니? 자기들도 쓰기 어려운 물건을 만들어서 여태 우리보고 쓰라고 했던 거냐? 이런 비난을 할 수도 있겠다. 그런데 변명을 하자면 우리는 미국 따라한 죄밖에 없다(..)

원천기술을 갖고 있는 미국도 똑같은 문제, 1990년대 패턴매칭을 이용한 최초의 보안장비 IDS 때부터 발생한 대량 로그에 대한 처리 문제를 가지고 있다는 얘기.

사람의 분석 속도가 로그 발생 속도를 따라가지 못하는 바람에 분석하지 못한 로그가 차곡차곡 쌓이는 문제를 해결하지 못한 채 이후 IPS부터 웹방화벽, 지금의 빅데이터에 이르기까지 새로운 (새로워 보이는?) 기술 마케팅으로 그 문제를 계속 덮어온 게 미국.

불만 있어?

해결책은 사람

미국도 그 모양인데 포기하자는 얘기는 물론 아니다. 결국 사람이 해결책. 최신예 전투기 아무리 많아봐야 조종사 없으면 말짱 꽝이다.

스타크래프트가 대한민국 최고 인기 게임이었던 이유는 그 게임을 잘하는 사람이 많아서였다. 잘하는 사람이 많으니 노하우나 재미있는 사례도 많이 공유되고, 덩달아 그 게임을 해보겠다는 사람도 늘어나고, 당연히 게임도 흥하고.

보안장비 로그를 분석해서 룰 정확도를 높이고 로그의 불필요한 대량 발생을 막을 수 있는 인력이 정말 많이 필요한 이유. 그런 인력들이 많아져서 보안장비의 활용도가 높아지고 덩달아 그 효과를 체감한 고객들이 늘어나면 당연히 제품 판매 역시 증가하지 않을까?

그런 의미에서 전문 관리 인력의 중요/필요성을 애써 가리는, 자동화나 인공지능을 연상케하는 마케팅은 당장의 판매에는 도움이 될지 모르나 긴 안목으로 보면 결국 스스로 자기 무덤을 파는 꼴.

서비스 대가 산정 기준 마련을 환영하는 이유는 결국 매출에 영향을 줘서가 아닌가? 룰 개수만 늘려줘도 대가가 지급된다면, 룰 정확도까지 높여줄 경우 더 큰 대가를 요구해도 제 값을 한다고 만족한 소비자는 거부하지 않을 것이다.

보안이 투자니, 정책적 지원이 필요하니 해도 결국 제품으로 돈을 벌려면 소비자에게 만족스러운 사용자 경험을 안겨줘야 한다. 그러고 보면 아이폰만 만든 게 아니라 사용자 경험 만족도를 극대화해줄 앱 생태계까지 만든 애플은 참 대단.

항상 인력이 부족하다고 하는데 정부 정책에만 기대지 말고 업계 차원에서 인력 양성을 시도해보는 건 어떨까 싶다. 로그 분석 필요 없는 보안장비는 없을테니 업체끼리 공조해서 교육 기관을 만들고 (해커가 아닌) 로그 분석 전문가를 양성하는 거다.

그 인력들이 업계 진출해서 보안장비의 사용자 경험 만족도를 높이기 시작하면 덩달아 파이도 커질텐데. 파이가 커지면 나눠먹을 것도 많아지고. 그냥 그럴 거 같다고(..)

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스