일단 눈에 보이지 않고, 손에 잡히지 않는다. 인간은 원래 본 적이 없고, 경험한 적이 없는, 한마디로 예측이 어려운 분야를 싫어한다. 어떤 위험이 도사리고 있는지 알 수 없기 때문.
그래서 인간은 모르는 위험보다 알려진, 눈에 잘 띄는 위험을 선호하는 쪽으로 태고적부터 프로그래밍되어 왔다. 그런 인간이 0과 1의 전기 신호로 만들어진 사이버 세상에서, 같은 전기 신호로 만들어진 공격과 방어를 논하는 게 쉬울리 없다.
두 번째로 인간의 본능이 그렇다보니 정보보안 분야는 (다른 분야도 마찬가지지만) 의식, 무의식적으로 눈에 보이는 상황을 유도하게 되었다. 누군지 알 수 없는 해커보다는 북한, 뭘 하는지 알 수 없는 보안관제보다는 비상근무.
정보보안이 어려워진 가장 큰 이유는
개인적으로 두 번째라고 생각한다. 다시 북한 얘기를 해보자. 북의 도발을 막는 최선의 방법은 뭘까? 없애면 된다. 지금도 없앨 수 있지만 얼키고 설킨 국내외 상황 때문에 휴전 상태가 유지되고 있을 뿐이다.
이 상태에서 뭘 해야할까? 잘 감시해야 한다. 북한이 한 대 치면 맞받아치기 위해서 언제 주먹을 휘두르나 예의 주시해야 한다. 그럴려고 수백 KM나 되는 철조망을 두르고, 수많은 젊은이들이 밤낮없이 휴전선을 지키고 있는 것이다.
덕분에 북한은 휴전선을 쉽게 넘어오지 못한다. 넘어오려면 비용이 많이 드는 땅굴을 파거나, 바다 또는 하늘로 멀리 돌아와야 한다.
이렇게 북한이라는 '주적'이 멀쩡히 눈앞에 있음에도 휴전선 감시가 군대 최고의 임무가 돼버리는 상황에서, 도대체 누가 적인지 알 수 없는 정보보안 분야의 갈 길은 분명하다. 감시체계 구축에 총력을 기울여야 한다. 보안관제 체계의 수준을 높여야 한다.
그런데 문제가 있다
군대가 휴전선을 지키고 있는 한 북한은 쉽게 쳐들어오지 못한다. 전쟁 억지력이 생겼다. 전쟁이 발생하지 않는 상황 자체가 군대 최고의 성과다. 그런데 티가 안난다. 뭘 하는지, 잘하는지 못하는지 티가 안난다.
'폭력집단' 등으로 매도당하는 이유가 다 티가 안나서다. 전쟁이 터지거나 간첩을 잡지 않는 한, 군대 최고의 성과는 별로 티가 안난다. 그런데 군대가 휴전선을 지켜준 덕분에 국정원은 정말 드물게 간첩을 잡아도 엄청 티가 난다.
가정을 해보자. 재주는 누가 부리고 생색은 누구만 내냐며 삐진 국방부가 앞으로 간첩 색출에 전념하겠다고 선언하는 것이다. 휴전선 감시 병력을 몽땅 빼서 간첩 색출만 하게 한다. 새벽에 양복입고 산에서 내려오는 사람 있나 없나만 감시하게 한다.
북한이 바본가? 휴전선이 텅 비면 당당히 탱크 앞세워서 내려온다. 현재 정보보안의 상황이 그렇다. 많은 보안관제센터가 구축되었고, 구축되고 있지만 감시체계는 매우 허술하다. 어떻게 아냐고?
보안관제센터는 보안장비의 로그를 모아서 분석한다. 얼마나 많은 로그가 보안관제센터로 모이고 있을까? 그리고 그 중 얼마나 분석되고 있을까?
객관적인 수치가 공개된 적이 없다
그런 수치 자체가 보안이라서 그럴까? 보안관제 업체들이 꽤 많다. '우리는 하루에 몇 개의 로그를 분석할 수 있다'거나, '로그 분석의 정확도가 몇 %정도 된다'는 마케팅정도는 할 수 있지 않을까? 하지만 그런 사례는 없다.
수준 측정이 안 되고 있는 것이다. 측정이 안 되면 개선도 못한다. 현재 수준을 모르니 미래 목표를 산정하지 못하는 것이다. (국내만 그런 건 아니니 관계자분들은 너무 억울해하지 마시라) 왜 수준 측정이 안될까?
첫 번째 이유는 두려움이다. 현장에서는 알고 있다. 분석하는 로그보다 분석하지 못하는 로그가 훨씬 많다는 사실을. 그게 알려지면 업계가 받는 타격이 상당할 것이다. 대체 어떤 수준이길래? 새로운 사업의 명분을 제시하는 과정에서 그 수준이 (우연히) 공개된 사례가 있다.
이렇게라도 분석하지 못한 로그양이 줄어들 수 있다면 다행. 해당 사업이 완료되면 수준은 얼마나 나아질까? 그 개선 수준은 과연 (또 다른 사업이나 기술 도입 명분이 아닌) 해당 사업의 순수 성과로 공개될 수 있을까?
수준을 높여봐야 티가 안 난다
수준 측정이 안 되는 또는 안 하는 두 번째 이유. 분석하지 못하는 로그가 더 많지만 그래도 보안관제 현장에서는 제법 많은 공격 시도를 탐지하고 차단하고 있다.
하지만 사람들은 막아낸 공격엔 관심이 없다. 반대로 막아내지 못한 공격엔 엄청난 관심이 몰린다. "xx 또 뚫려..", "보안 소홀..어쩌고 저쩌고" 따위의 기사가 봇물을 이룬다.
전쟁을 막아내도 티가 안나는 휴전선처럼, 보안관제 분야 역시 많은 공격을 막아내도 사람들은 인정을 잘 안 해준다. (잘 막아낸 덕에) 사고가 없으면 '하는 일이 뭐냐'는 비아냥을, (미처 막지 못해서) 사고가 터지면 '일을 못한다'는 비난을 들어야 하는 곳이 바로 보안관제 분야.
그러다보니 가장 투자가 집중되어야함에도 보안관제 분야는 최소의 투자로 연명하는 신세가 됐다. 물론 보안장비에는 투자가 많이 이루어진다. 하지만 분석할 사람이 없는데 장비만 많으면 뭐하나?
예전에는 이런 상황들이 정말 이해가 안 됐다. 그런데 '더 테러 라이브'란 영화를 본 후 이해가 되기 시작했다.
무릎을 탁 치게 하는 대사 |
사람들은 티가 나야 좋아하고 안심한다
우리 모두는 누군가로부터 돈을 받고 있다. 그 누군가에게 열심히 하고 있음을 알리고 싶은, 티를 내고 싶은 마음이 드는 것이 당연하다. 그래서 본능적으로 실제 안전과 상관없는, 티 나게 '안전해 보이는' 조치들을 하게 된다.
보안관제 수준 향상보다 북한 악성코드, IP 같은 이벤트 소재를 찾아헤매고, 근거도 불명확한 기사 한 줄에 전 보안팀이 매달리며, 24시간 365일 보안관제와 별도로 비상근무 계획을 짜거나, 최신 미국 기술에 목을 메는 이유는 별거 없다. 티가 잘 나서다.
정보보안이 어려운가? 티나는 일을 해라. 그러면 쉽다.
관련 글
댓글 없음:
댓글 쓰기