2016년 5월 21일 토요일

보안관제 분야 출판 증가의 의미

  • 2012 : 해킹 사고의 재구성
  • 2013 : IDS와 보안관제의 완성
  • 2014 : 보안관제학
  • 2015 : 네트워크 보안 시스템 구축과 보안관제
  • 2016 : 보안관제 실무가이드

2012년 이후, 매년 한 권꼴로 보안관제 분야의 출판이 이어지고 있다. (제 책도 한자리 차지하고 있군요. 하하;;) 개인적으로 무척 반가운 현상.

"서점에서 보안 관련 서적을 찾아보면 국내외를 막론하고 공격(해킹 기술) 분야와 함께 방어 분야의 일부, 즉 대응(사후 분석)과 예방(보안 강화)에 관한 책들이 대부분임을 알 수 있다. 학술적인 목적이 아닌 이상 비인기 분야의 기술 서적 출판이 어려운 현실에서 정보보안 감시 분야에 대한 무관심의 정도를 짐작해볼 수 있다." - 'IDS와 보안관제의 완성' 서문 중

오랫동안 출판계는 보안 분야 출판에 대해서 제목에 '해킹'이란 단어가 들어가거나, 자격증 대비 수험서가 아니면 흥행은 어렵다, 출판은 힘들다는 게 비공식(?) 입장이었다. 보안은 곧 해킹이었던 것.

책 분류도 해킹과 나머지

그랬던 보안 출판 시장에서 최근 몇 년 동안 당당하게 '보안관제'란 제목을 달고 나온 책이 네 권이나 된다. 어떤 분야에서 저술의 출판이 활발하다는 건 그만큼 그 분야에 대한 사람들의 관심이 많다는, 즉 인기 종목이라는 얘기가 될 것이다. 보안관제 분야에 대한 사람들의 관심이 서서히 늘어나고 있다는 방증이 아닐까?

물론 여전히 해킹 분야에 비하면 미미하지만, 해킹 일색이던 과거에 비한다면 정말 눈부신 발전이 아닐까 한다. 많은 이들이 보안관제 분야의 발전을 위해 들인 노력이 하나씩 결실을 맺고 있다는 느낌.

보안은 곧 해킹?

그러나 여전히 갈 길은 멀다. 아직도 많은 이들이 '보안 = 해킹'의 사고방식에서 벗어나지 못하고 있기 때문. 국경을 어지럽히는 오랑캐를 토벌하듯, 물리적인 세상에서 '최선의 방어는 공격'이 맞다. 최소한 국경을 넘어 노략질에 나섰다간 나도 골로 가겠구나 싶은 공포심을 심어줄 수 있어야 한다. 과거 미국과 소련이 괜히 핵무기 경쟁을 했겠나.

'눈에는 눈, 이에는 이'. 정말 명확한 물리적 전략이 아닐 수 없다. 그런나 이 전략은 사이버 세상에서는 무용지물이 되고 만다.

"사이버 세계는 국경이 없는 네트워크, 특히 인터넷을 기반으로 거미줄처럼 연결된 세계. 이런 구조적 특성때문에 사이버 공격은 언제, 어디서나 발생 가능한 일상이 되어버렸다. 국경이 없으니 허락없이 국경을 침입하는 ‘적(敵)’을 정의할 수 없고, 적을 정의할 수 없으니 ‘누가’, ‘언제’, ‘어디서’, ‘무엇을’, ‘어떻게’, ‘왜’ 공격하는지 알기 힘든 것"

"공격은 적을 먼저 정의해야만 실행할 수 있는 행위"

물리적 전쟁 개념을 사이버 세상에 적용하면 시작부터 대혼란이 발생한다. 과연 누가 적이란 말인가? 물리적 세상에서 확실한 공격력은 전쟁을 억제할 수 있는 수단이 되지만 사이버 세상에서는 아무리 뛰어난 해킹 기술, 아무리 강력한 해킹 무기도 나의 안전을 보장해주지 못한다.

사고 전환이 필요

사이버 세상에서는 적이 눈에 보이지 않기 때문이다. 투명 망토를 뒤집어쓴 다크템플러에게 하나씩 죽임을 당하는 동족을 보호하는 방법이 스캔 열심히 하는 것뿐이듯, 결국 사이버 세상에서 안전해지는 방법은 철저한 감시를 통한 방어뿐이며 방어가 가능해질 때, 그 다음을 모색하는 것도 가능해진다.


하지만 사람들은 여전히 해킹, 해커에 환호한다. '눈에는 눈, 이에는 이, 해킹엔 해킹'. 물리적 전쟁처럼 사이버 전쟁에서도 눈에 보이는 적을 상대하게 될 거라는 잘못된 대전제에도 불구하고 논리가 뚜렷하기 때문이다.

설명하기도 쉽다. '북한 해커가 몇 명이니 우리도 빨리 해커를 양성해야 한다.' 너무나 그럴 듯하지 않은가? 그러나 정작 북한의 해킹 위협이 발생했을 때 우리가 할 수 있는 건 감시뿐이다.

왜 선제 해킹해서 위협의 싹을 잘라버리지 못할까?

"버라이즌(Verizon)의 데이터 침해 사고 보고서에 따르면, 로그와 경고를 제대로 모니터링 했다면 방지를 하거나 문제점을 더 빨리 발견했을 사고가 전체의 90%에 달한다"

문제는 명확하다. 모니터링, 감시가 잘 되지 않으니 이 분야를 집중 개선하면 된다. 그러기 위해서 필요한 게 '보안 = 감시'라는 사고의 대전환. 이게 어렵다.

"핵 문제가 생겼을 때 누구의 책임인지 완벽하게 밝혀내는 건 어렵다. 하지만 핵무기 보유국은 9개에 불과하다... 사이버 시대에 억지란 예전과 같지 않을 것이다. 아니, 예전과 전혀 다른 방식으로 바뀔지도 모른다."

인용 기사 둘 다 미국의 상황. 미국조차 문제를 알면서도 못 고친다. (귀찮아서 안 고치나?ㅡㅡ) 사고 전환이 안 되기 때문이다. 물리적 전쟁 억제 개념은 사이버 세상에서 통하지 않는다는 사실에 대한 인식의 전환이 시급한 이유.

환경 변화가 필요

사고 전환과 함께 필요한 또 한가지. 단순히 인력 늘리고 업무 시간 늘리면 잘 되겠지 하는 식의 '노동집약'적인 접근은 보안관제 분야의 인재 유입을 막고, 이탈만을 가속화시킬 뿐이다. 이런 환경에서 경험과 노하우는 쌓이지 않는다. 척박한 땅에서 식물이 잘 자라길 바라면 안 되는 것 아닐까?

"보안관제 전담인력 1명을 추가 배치하고, 업무시간을 오전 9시에서 22시로 기존보다 4시간 연장하는 등 적극(?) 대응하고 있다"

보안관제 취업은 왜 수월할까?

무시하는 건 아니지만(..)

신뢰도를 높여야 한다

사람들이 보안에 돈을 쓰지 않는 이유는 투자 효과를 눈으로 확인하기 힘들기 때문이다. 투자 효과를 수치로, 숫자로 볼 수 있게 해줘야 한다.

전에 어느 기업체 강연하러 갔다가 담당자들로부터 보안관제 수준을 측정하고 평가해주는 인증 제도가 있었으면 좋겠다는 얘기를 들은 적이 있다. 현행 정보보호 인증들은 보안장비가 있고, 운영 조직이 있고, 운영 정책이 있는지 등등 운영 준비 수준에 대한 평가는 가능한데, 정작 운영 결과에 대한 수준은 평가해주지 못한다는 것.

운영 결과에 대한 수준은 어떻게 평가할 수 있을까? 간단하다. 보안장비에서 발생하는 로그의 처리 수준과 탐지 및 차단의 정확도를 측정하면 끝. 이런 평가 지표들이 정보보호 인증에 포함되는 날이 올까?

최근에 출간된 '보안관제 실무가이드'가 '정보보호심사원 협회'의 저술이란 점에 희망을 가져본다. 인증 심사원 단체에서 그저 스펙 쌓기용으로, 자격증 장사용으로 책을 쓴 게 아니라면 정보보안의 최전방, 보안관제 분야에 대한 인증 제도의 보강이 이루어질 날도 언젠가는 오겠지.

그런 날이 오려면 보안관제 분야에 대한 더 많은 관심과, 더 많은 연구 노력이 이어져야 한다. 더 다양하고 더 많은 저술의 출판이 이어지기를 기대해본다.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스