모니터링 시스템 구축 시 생각해볼 점

내가 종사해온 '보안관제'라는 분야는, '관제'라는 단어의 어감에서 알 수 있듯이 주로 모니터링, 그러니까 컴퓨터 로그를 지켜보는 일이 주 업무다.

물론 마냥 지켜보기만 하는 건 아니다. 읽고, 이해하려고 노력하는데, 문제는 로그가 너무 많아서(..)

망치 든 사람에겐 모든 게 못으로 보인다더니, '기업/기관의 모니터링 시스템 구축 시 생각해볼 점'이란 글을 본 순간, '오옷~ 보안관제?' 하면서 클릭했다. 주요 내용을 살펴보면,

1. 모든 범위를 커버하는 것은 사실상 불가능 

모든 범위 커버하면야 좋겠지만.. 아시다시피 자원은 한정

2. 시기와 주기: 그러니까 다 먹고 살자고 하는거..

시시각각으로 해주면 뭐 좋죠. 근데 해보시면 알겠지만 이거 사람 미치는 일입니다(…)

3. 정리와 평가: 모니터링 해봤자 티도 안 나잖아요

모니터링이나 이슈관리만큼 티 안 나고 하릴없는 일도 그닥 많지 않을거 같습니다. 그럼에도 불구하고 중요하다는 것을 인지한다는 가정하에, 체계적인 정리와 평가 시스템을 만드는 것은 중요

이슈관리의 딜레마 중 하나는 이슈를 방지하면 이슈가 아닌 게 되고, 이슈가 이슈가 되면 이슈관리에 실패

4. 전파와 관리: 이게 포인트

결국에 이슈를 어떻게 관리하느냐는 요체라고 해도 과언이 아니겠습니다

5. 그리고: 투비컨디뉴드

모니터링 시스템은.... 지속적으로 개선되고 단순히 ‘시스템’이 아니라, 유기적으로 기능하는 체계가 되어야 합니다.

시장에는 많은 모니터링 툴들이 나와 있습니다. 쓸만한게 있느냐?... 기업들이 제대로된 비용을 지불하지 않으니 제대로된 서비스가 발전 못하는거 아니냐? 라는 닭이 먼저냐 달걀이 먼저냐 식의 논의가 있기도 합니다.

완전한 모니터링 시스템이란 없습니다. 상황에 맞춰 계속적으로 구체화하고 정교화하며 현실적으로 기능해야 합니다. 그렇지 않으면 이거 참 쓸데없는 일이 됩니다.

원문을 읽어보면 알 수 있지만 기업 측면의 미디어 이슈 관리 방법론에 관한 글이다. 깜박 속음.

하지만 읽는 내내 보안관제 분야랑 상황이 너무 흡사해서 신기하더라. 차이점은 없을까?

1. 커버 범위 

보안관제 역시 모든 범위를 커버...하면 좋지만 시간, 돈, 결정적으로 사람이 부족하기 때문에 주로 주요 길목인 네트워크에서 알려진 위협을 우선 모니터링한다.

네트워크 따위는 우회해버리는 톰 아저씨

문제는 그럼 네트워크는 모두 커버하느냐인데, 전에 비슷한 얘기를 했었지만 네트워크 보안장비의 룰은 보통 수천 개, 모니터링 하는 범위는 수백 개(..)

2. 시기와 주기

24시간 365일 교대근무가 기본.

3. 평가

해킹을 막으면 해킹이 아니기 때문에 하는 일이 없어 보이는 이 분야의 특성상, 몇 분 내 사고 여부 확인 및 사고 확인 시 몇 시간 내 보고서 작성 완료 등이 주가 되는 SLA(Service Level Agreement)가 체결된다.

모니터링 범위에 대한 평가는 아예 논외. 누구 책임이라고 말하기도 어렵다. 십 년 넘게 잘못 꿴 첫 단추가 유지되고 있을 뿐. 우리만 그러는 것도 아니고(..)

www.itworld.co.kr/news/93192

4. 관리

'알려진 악재는 더 이상 악재가 아니다 '란 증권가 격언이 있다. 정보보안도 마찬가지. 알려진 위협은 위협이 아니다. 하우투를 결정할 수 있고, 관리할 수 있기 때문. 하지만 모니터링 하지 않고 있는 범위에서 발생하는, 그래서 알려지지 않은 위협은 관리할 수 없다.

5. 그리고

미디어 이슈 관리 분야처럼 '지속 개선되는 시스템'이 필요하지만, 현실은 미국발 최신기술 찬양에서 끝나는 경우가 많다. 왜 그럴까? IT 기술 발전의 역효과를 뜻하는 '생산성 역설'이란 용어가 있다.

'생산성 역설(productivity paradox)'은 최근 들어 더욱 뚜렷이 모습을 드러내고 있다. 예컨대 (컴퓨터도 제대로 보급되지 않았던) 1947년부터 1983년까지 미국의 노동생산성 증가율은 평균 2.8%였다. 하지만 (인터넷 사용이 보편화된) 2000부터 2007년 사이 비율은 오히려 2.6%로 떨어졌다. '스마트폰 혁명 '이 일어난 2007년부터 2014년 사이는 어땠을까? 정확히 반토막이 난 1.3%였다.

'생산성 역설'이 나타나는 이유는 무엇일까?

‘제도’가 구비되어 있지 않았기 때문이다. 교육제도와 노동조직 등이 적절하게 준비되지 않으면 컴퓨터를 아무리 많이 설치하더라도 생산성은 정체된다. 기술과 제도는 공진화(co-evolution)한다. 따라서 컴퓨터 시설에 맞는 제도를 마련하자.

시스템이 인력과 조직에 내재화되고, 기본 프로세스가 되기까지 시간이 필요하며, 비싼 시스템의 뽕을 뽑으려면 인력과 조직에 대한 지원이 뒤따라야 한다는 뻔한 얘기.

차이점을 찾아볼까 했지만 실패했다. 로그가 발생할 때마다 위협의 진위 여부를 확인해야 하는 보안관제 업무의 특성에서 차이가 나지 않을까 했지만, 미디어 이슈 관리 분야도 발생하는 이슈의 진위 여부 확인이 필요할 것 같고.

IMF 여파가 지속되던 1999년, 하드디스크 백업 사업(?) 하다 혼쭐이 난 후, 운 좋게 논문을 이북으로 만드는 '정보화 공공 근로사업'에 참여한 적이 있다. 입력팀이 키보드를 두드려가며 논문을 입력하면, 검수팀이 오타 등을 검수하는 방식.

입력팀의 노력 여부와 관계없이 입력된 모든 논문을 눈이 빠져라 전수조사해야 하는 검수팀의 신경은 항상 날카로웠고, 내심 미안하면서도 검수팀이 아님에 안도했던 기억이 난다. 분야를 떠나 모니터링이란 게 티도 안 나는 주제에 사람 참 피곤하게 만드는 일인 듯하다.

관련 글

• 몰라서 못하는 걸까?
• 제 값 못받는 보안관제
• 보안관제 출판 증가 의미
• 정보보호산업법 시행을 지켜보면서
• 보안사고 재발의 악순환을 막으려면