지인으로부터 보안 담당자를 구하는 기관이 있는데 지원해볼 생각 없냐는 연락을 받았다. (굶을까 걱정해주는 분이 은근 많음 -_-) 좋은 일 없냐는 둥, 칼 뺐으니 무라도 썰어야 한다는 둥 시시콜콜한 잡담을 나누다 결국 언제 술 한 잔 하자는 말로 전화를 끊었다.
주고받는 얘기 가운데 올해 ISMS 의무 인증 대상이 확대되면서 보안 인력 구인이 늘었다는 얘기도 슬쩍 들리고.
그러고 보니 작년부터 대목을 기대하며 인증심사원 자격을 준비하는 이들이 주위에 좀 보이는 듯. 인증 분야는 관심 밖이긴 하지만 어쨌거나 보안 수요가 늘고 있다니 동업자 입장에서 반길만한 일인 듯하다. 다만 커지는 규모만큼 내실도 좀 다졌으면 하는 생각이 든다. 그만큼 말이 많기 때문.
갑론을박
 |
| 받아랏! |
2010년 12월말 ISMS 인증을 취득... 2012년 3월, 해킹으로 인해 약 390여만명의 개인정보 유출... 2012년 8월 5일쯤 쇼핑몰 내의 특정 페이지에서 악성코드를 유포
ISO27001과 ISMS를 모두 획득한 모 금융기관에서도 해킹이 발생... 단지 기업 내부 보안 표준 잣대나 감독기관의 감사를 위한 도구가 될 수는 있지만 보안의 질적인 향상은 어렵다는 입장
보안사고는 궁극적으로 업주의 책임이지만 ISMS 인증 기업의 보안사고는 인증주체의 책임도 있다
100개가 넘는 항목을 거의 서류심사로 진행하는데, 해커들은 서류를 갖고 해킹하지 않는다
물론 반론(?)도 만만치 않다.
 |
| 어림없지! |
운전면허증이 있으면 사고가 안나는가, 의사면허가 있으면 모든 병을 다 고칠 수 있는가에 대한 물음과 맥을 같이... 정보보호 인증을 받은 기업이 보안사고가 났다는 사실만으로 인증에 대한 무용론을 펼치는 것은 하나만 알고 둘은 모르는 근시안적 태도면허 있어도 사고 내면 잡혀가는데
정보보호는 결국 기업 스스로 해 나가야 할 문제... 정보보호 인증은 ‘중요한 건강검진’ 정도건강검진은 거의 공짠데
인증 무용론의 반대 입장은 한마디로 정보보호 인증은 '정보보호체계 마련을 위한 최소한의 요건'이며, 보안은 당사자의 문제라는 것. 정보보호 인증이 불필요한 건 아니지만 한계 역시 분명함을 인정하고 있다.
반론이라기 보다는 해명 느낌. 온갖 미사여구로도 부족해 보이던 정보보호 인증의 민낯을 본 느낌이 드는 건 기분 탓일까? 개인적으로 정보보호 인증의 이런 한계는 시작할 때부터 예고된 결과라는 생각이 든다.
정보보호 인증의 목적
CxO가 알아야할 정보보안에서 잠깐 언급한 적이 있지만 정보보호 인증은 보안이 아닌 투자 효과 입증을 목적으로 시작됐다.
특히 보안의 경우 투자효과를 직접 확인하기 어려운데 ISO 27001 인증을 받으면 보안성과에 대한 성과지표를 나타낼 수 있어 경영층의 보안의식을 고취할 수 있다 (인증을 받으면 경영진의 인정을 받기 쉽다?)
그리고 품질경영 등 기존 인증 제도를 모태로 발전했다. 건설 중심의 하도급 구조를 IT 업계로 옮겨오면서 제품, 서비스 등의 품질은 물론 인력 수준까지 '머릿수 X 시간'으로 산정하고 등급을 매겨버리는 식의 삐딱선을 타게 된 것.
전통적 굴뚝 산업 영역을 측정하는 기존 인증 제도에서 파생된 정보보호 인증이 과연 정보보호 수준 향상에 도움이 될까? 산업 사회의 이론과 관점이 정보 사회에서도 한 치의 오차 없이 그대로 통용될 수 있을까?
ISO 27001은 물리적 보안과 관리적 보안, 그리고 기술적 보안을 모두 검증할 수 있는 복합 인증이다. 하지만 ISO27001을 획득했다고 해서 완벽한 보안 시스템을 갖추었다고 생각하면 안 된다. (무슨 말이지? -_-)
출입통제, 문서관리 등등 물리적, 관리적 보안 분야에 대한 검증은 괜찮은 수준일 것이다. 전통적 굴뚝 산업 영역과 별 차이 없는, 뭘 해야 하고 어떻게 해야 할지 대충 예상이 가는 분야니까.
한계
기술적 보안은? 내가 일해온 네트워크 보안 분야는 2003년 'IDS 무용론'이 제기된 후, 그 문제를 전혀 해결하지 못하고 있음에도 (그나마 제일 좋은 기술이라) 아직까지 그 기술을 쓰고 있는 분야다. ISO나 ISMS로 수준 검증이 가능할까? 정의된 검증 항목이나 있을까?
한계
기술적 보안은? 내가 일해온 네트워크 보안 분야는 2003년 'IDS 무용론'이 제기된 후, 그 문제를 전혀 해결하지 못하고 있음에도 (그나마 제일 좋은 기술이라) 아직까지 그 기술을 쓰고 있는 분야다. ISO나 ISMS로 수준 검증이 가능할까? 정의된 검증 항목이나 있을까?
분위기(?)나 노력하는 모습에 따라 인증을 줄 수도 있다는 얘기는 그냥 보안 수준 진단 기준이 명확하지 않다는 뜻일 뿐. 결국 정부 규제 피하려는 컴플라이언스 대응 수준을 벗어나지 못한다.
우리의 한심하고 허술한 모니터링 과정으로도 PCI를 통과할 수 있다. 하지만 그렇다고 해서 조직이 적절히 보호되는 것은 아니다. 컴플라이언스와 보안은 다르다.
인증이 잘못한 건 별로 없다. 10여 년이 넘게 문제를 해결하지 못하고 있는데 그냥 이슈가 안 된다. 그래서 사람들이 잘 모르고, 모르니까 검증이 필요하단 생각을 못하겠지. 물론 의지가 있고, 의지만큼 돈을 쓰면 해결될 문제. 하지만 돈 못버는 보안에 돈 쓸 의지가 생길리 만무.
오랫동안 기술은 돈을 얼마나 많이 벌 수 있느냐는 질문의 답이 되어 왔다. 뭐가, 얼마나 좋아지느냐는 질문은 보안 이전에 모든 기술 분야에서 통용된다는 뜻. 그런데 보안은 원래 돈을 버는 대신 까먹는 분야. 그래서 컴퓨터 원천기술은 물론 천문학적 징벌 배상을 자랑하는 미국도 컴플라이언스 대응 이상의 투자에는 인색하다. 돈만 까먹으니까.
'CxO가 알아야할 정보보안'이란 책은 정보보호 인증의 세 가지 목적을 다음과 같이 정의하고 있다.
- 규제 대응
- 정보보호 이미지 제고
- 정보보호 수준의 객관적 평가와 실질적인 향상
인증을 추진하다 보면 (3)을 위해 시작했다 하더라도 어느 순간 (1)을 목적으로 일이 돌아가는 경우가 생긴다. 어쨌든 인증은 따야... (262 페이지)
솔직히 목적이 (3)이 되는 걸 본 적이 없고, 된다 한들 이룰 수 있을까?
우연히 발견한 어느 개발자분의 글. 정보기술 분야는 보안이나 개발이나 다 비슷한가 보다. 하드웨어 취급당하는 소프트웨어의 막막함이라고나 할까? 어감 좋은 거버넌스 아무리 외쳐봐야 기술 이슈가 해결되지 않는 한, 구체적인 실행 기술이 없는 한 정보보호 인증의 목적이나 결과가 (3)이 되는 날은 오지 않는다.
 |
| 막막하다 |
사족
보안 제품을 위한 인증도 있다. 대표적인 게 CC인증. 그런데 애도 좀 특이하다. 보안 제품은 기능이 동작한 결과 보안에 도움이 되는 것이 목적인데, 관련 인증들은 그 목적 달성을 보장하지 못한다.
예전에 잠깐 관련 업무를 들여다본 적이 있는데, 로그인 기능이 있는지, 패스워드를 요구하는지, 암호화는 하는지 등등을 체크하더라. 한마디로 제품 자체의 보안을 체크한다는 것.
CC(Common Criteria)에 의하면 PP(침입탐지장치 보호 프로파일)는 구현 방법에 관계없이 특정 환경에 존재하는 위협에 대한 보안 요구 사항을 나타낸다... 침입탐지 장치에 대한 PP가 침입을 탐지하기 위한 기능을 전혀 요구하지 않는다 - 네트워크 보안 실무 (394 페이지)
관련 글
댓글 없음:
댓글 쓰기