결국 소비자의 보안 책임을 솔루션 생산자가 가져와야

신뢰를 기반으로 한 관계 속에서 해결 가능

레이어드 시큐리티를 통한 효과적인 리스크 관리 고민 필요

[보안뉴스 문가용] 변화무쌍이란 말이 부족할 정도인 보안 산업계는 호시탐탐 빈틈을 찾아 노리는 해커들과 그에 발맞추는 보안인들의 줄다리기 싸움이 항상 벌어지는 곳이다. 그래서 양쪽이 상대를 제압할 수 있는 새로운 무기 고안에 심혈을 기울이며 키보드 타닥이는 것 외에는 소리 없는 총성이 잦아들 날이 없다.

▲ 주무세요, 제가 불침번 설 테니!

델 소프트웨어(이하 델) 역시 이 분야에 참전한지 수년이 지났다. 그리고 최근엔 티팸(TPAM : Total Privileged Account Management)과 소닉월이라는 신식 무기를 장착했다. “티팸은 여기 저기 산재해 있는 최고 권한 패스워드를 한 번에 관리해줄 수 있는 솔루션이며 소닉월은 차세대 방화벽으로 기존의 IP포트 기반의 분석 영역을 넘어 데이터 페이로드에 대한 심층적인 분석 기능까지 갖췄습니다.” 델 소프트웨어의 한국 지사에서 근무 중인 오진욱 이사의 설명이다.

차세대 방화벽에 대한 이야기는 최근 해외에서도 곧잘 등장하기 시작했다. 특히 클라우드와 관련된 기능을 탑재한 것이 주목을 받고 있는 듯 한데 소닉월은 그것과는 조금 다르다. 권영목 이사는 이에 대해 “차세대 방화벽이라는 용어 자체가 아직 명확하게 정립된 개념이 아니라 시장에서 여러 가지 의미로 사용되고 있습니다”라고 하며 “소닉월은 기존 방화벽에 애플리케이션 인지와 제어, 사용자 식별, 보안 위협 관리를 해주는 총괄적인 솔루션”이라고 설명했다.

애플리케이션의 보안관리 기능이 소닉월의 주요 특장점이라는 부분은 보안 산업에 대한 여러 가지 의미를 담고 있는데 먼저는 ‘꾸준한 업데이트 시스템’이라는 전제가 깔린다. 애플리케이션이란 매일 같이 새롭게 개발되어서 시장에 나오는 것이기 때문에 ‘애플리케이션을 관리한다’라고 하면 ‘여태까지 나온 것뿐 아니라 앞으로 나올’ 애플리케이션까지도 아우른다는 표현인 것이다.

권영목 이사가 설명을 이었다. “전통 방화벽 제품을 다른 나라로 수출할 때는 사용자 인터페이스만 현지화시키면 되었습니다. 하지만 소닉월은 그렇지 않습니다. 나라마다, 시기마다 인기 있는 애플리케이션이 변하기 때문입니다. 한국형 소닉월에는 그래서 한국에서 많이 사용하는 애플리케이션 인지 기능이 도입되었습니다.”

이 업데이트는 델 본사에서 분기별로 이루어지기도 하고 요청에 따라 그때그때 수시로 이루어지기도 한다. 이 수시 변경은 요청일로부터 최소 3일, 길게는 일주일이 걸릴 뿐이다. “보안 솔루션 시장에서는 진화가 이미 필수항목이 되어버렸습니다.” 이런 변화란 것이 단 몇 사람의 야근이나 2교대 근무만으로 이루어질 수는 없을 것이다. 이번 ISEC 2014에서 ‘연중무휴 모니터링’을 강조했던 알란 화이트(Alan Whiate) 델 시큐어웍스 APJ 지역 책임자는 “엄청난 노력이 필요한 일”이라고 설명한다.

“한번 출시한 제품에 대한 업데이트를 계속 한다는 것은 결국 보안 관리의 책임을 소비자로부터 제품 생산자가 가져왔다는 뜻입니다. 그리고 ‘내’가 아니라 ‘타인’의 보안책임을 가져온 자는 잘 수가 없죠. 저희도 엄청나게 큰 규모의 연구실을 운영 중에 있고, 여태까지 델과 인연을 쌓아온 여러 해외의 파트너들의 자발적인 정보 제공을 통해 위협에 대한 정보를 최대한 많이 수집하고 패치를 빠르게 내놓고 있습니다.”

즉 결국 굉장히 많은 인적 네트워크가 여기에 소요된다는 뜻이다. “현재 보안사고가 하도 많이 터지다보니 위협 정보에 대한 공유 체제가 빠르게 확산하고 있고, 이는 심지어 한국에서도 마찬가지입니다. 위협에 대한 정보는 빠르게 돌고 돌죠.” 정보가 공유된다는 건 자본주의 경쟁사회에서는 낯설 수 있는 개념이다. “하지만 보안 쪽은 조금 다릅니다. 기업 비밀이야 기업 내에서 꽁꽁 감추고 있지만 뭔가 위험 요소에 대한 정보는 기꺼이 전파하는 기류가 있습니다. 요즘처럼 상호연결도가 높은 사회에서는 다른 사람이 입은 피해가 곧바로 나에게도 돌아올 수 있다는 위기감이 남다르기 때문인 것 같습니다. 위협에 대한 공동 제어가 현재 보안산업의 추세입니다.”

알란 화이트는 이를 결국 ‘신뢰’의 문제라고 설명한다. “이런 정보보안 문제를 연구하는 커뮤니티가 온라인과 오프라인에 많이 있습니다. 여기서 자발적으로 정보 공유가 일어나고 있죠. 게다가 여타 다른 분야의 커뮤니티보다는 그 크기가 작은 편입니다. 정보의 유통이 무척 빠르고, 위협 정보라는 것이 시간에 굉장히 민감하며, 커뮤니티 크기가 작다보니 자체 정화 기능이 있을 수밖에 없죠. 저희에게 정보를 제공하고, 혹은 저희의 보안 솔루션 혜택을 받은 수많은 고객들 역시 저희와 신뢰관계에 있기 때문에 이런 식의 협조가 가능합니다. 국가별 CERT 단위에서 공모가 이뤄진 지는 이미 꽤 됐고요.”

큰 조직 단위에서는 이런 정보 공유와 협조가 이뤄진다면, 개인 단위에서는 그에 발맞춘 ‘자기 업데이트’ 혹은 ‘자기 패치’가 필수일 텐데, 보안 전문가로서 이들은 어떻게 이를 수행하고 있을까? 권영목 이사는 “방금 말씀드린 온라인 커뮤니티에서 많은 것을 배웁니다. 또한 현장에서 일을 하다보면 자연스럽게 서로 가르침을 주고받기도 하지요”라고 하고 알란 화이트는 “회사에서 매일처럼 제공해주는 뉴스피드를 빼놓지 않고 읽습니다”라고 말한다.

그렇다면 한국 시장에 대한 지식 업데이트도 당연히 있을 터. 보안전문가로서 보는 시장의 현주소를 물었다. 권영목 이사는 “아쉬운 점은 보안의 최신 트렌드를 너무 쫓아가는 경향이 있다는 겁니다. 어떤 문제가 발생했을 때 그에 대한 이슈가 무엇인지, 그 해결책은 무엇인지 스스로가 자기만의 명확한 견해를 갖고 문제에 접근해야 하는데 아직은 최신 트렌드에만 맞춰 끼워 맞추기 식으로 적용할 때가 많습니다”라고 말했다.

최신 트렌드라는 말 또한 굉장히 여러 가지 의미를 담고 있는 말이고 사람마다 해석이 다를 수 있겠으나 기자가 보는 최신 트렌드는 보안이 개념이 ‘침입의 방지’에서 ‘사건 후 충격 완화’로 서서히 흘러가고 있다는 것이다. 이에 대해 알란 화이트는 조금 다른 견해를 제시했다. “결국 예방이냐 사후처리냐의 문제는 ‘리스크 관리’의 큰 틀에서 보아야 합니다. 사업의 성격 및 조직의 상황에 따라 리스크가 얼마나 치명적인지 혹은 사소한지를 결정해야 하고, 그 결정에 따라 보안 예산을 얼마나 투자할 것인지가 정해집니다. 그 결과가 사전 방지로 나올 수도 있고 사후 대처로 나올 수도 있는 것이죠. 전 두 가지가 공존한다고 생각합니다.”

그러면서 알란 화이트는 “레이어드 시큐리티”를 강조했다. “세큐리티를 다수의 계층에서 처리하면 먼저 보안의 현 상황에 대한 ‘전체적인 시야’를 가질 수 있게 됩니다. 그리고 문제가 어느 지점에서 일어났는지 더 구체적으로 파악할 수 있죠. 그러면 당연히 취해야 할 행동이 무엇인지 나오고, 이게 사건 대응을 성공으로 실패로 좌지우지 할 수 있는 겁니다. 물론 레이어드 시큐리티가 절대적인 정답은 아니겠지만 현재까지는 꽤나 유효한 방법입니다.”

▲ ISEC 2014 행사장에서. 왼쪽부터 권영목 이사, Alan White, 오진욱 이사

알란 화이트의 말에 “보안도 역시 다단계”라는 농담을 던진 권영목 이사는 “앞으로는 보안의 가장 엔드포인트에 위치한 백업과 스토리지 문제가 다음 화두가 될 것”이라는 전망을 내비치기도 했다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>