보안 부서, 독자적인 컨설턴트 사업처럼 운영해야
보안을 통해 조직 전체가 정말로 이루고자 하는 것 찾아내야
[보안뉴스 문가용] 지겹도록 들어왔겠지만 보안 팀과 IT 팀의 목표는 매우 다르다. IT 팀은 사용성, 편리성, 성능, 비용절감을 주요 덕목으로 삼고 일한다. 이 네 가지를 위해 직원들 사이의 소통을 돕고, 정보 공유를 원활하게 만들고, 업무를 쉽고 빠르게 완료할 수 있도록 필요한 툴을 개발하거나 환경을 조성한다.
보안 팀은 어떤가? 하루가 다르게 방대해져 가는 네트워크를 모니터링하고, 수상한 활동은 일어나고 있지 않은지, 내부 직원 누군가 이상한 접근을 시도하고 있지는 않은지, 혹은 비슷한 행동을 실수로 저지르고 있지는 않은지 파악하는 게 일이다. 클라우드, 모바일, IoT, SNS 등 새로운 기술과 유행이 생기고 검증 없이 퍼질 때마다 긴장감이 바짝바짝 타오를 수밖에 없다. 이들에겐 사용이 편리한 것보다는 안전하고 검증된 게 더 중요하고 빠른 것보다는 결점이 없는 것이 낫다. 정보 공유는 최대한 필요한 것만, 필요한 사람들끼리, 미리 정의된 조건 내에서 이루어져야만 할 일이다.
그러나 새로운 기술은 계속해서 등장하고, 네트워크는 커질 대로 커져 더 이상 자랄 수 없을 정도가 되어서 소프트웨어 정의 네트워크(SDN)라고 하는 새로운 개념의 네트워크가 나오는 등 보안 팀과 IT 팀은 싫어도 같이 일할 수밖에 없게 되고 있다. 또한 경쟁이 심화되고 있어 보안을 이유로 회사의 생산적인 흐름을 방해할 수도 없는 상황이라 이 두 전문분야의 협조는 ‘필수’로까지 자리잡아가고 있다.
왜 둘 사이는 벌어졌는가?
“환경의 빠른 변화를 간과해온 것이 보안 팀과 IT 팀 사이에 마찰이 생기는 근본적인 요인이라고 봅니다.” 에얼리언볼트(AlienVault)의 보안 전문가인 자바드 말릭(Javvad Malik)의 의견이다. “모바일의 출현과 클라우드로의 변환 등 아무리 IT 팀이라고 해도 지금 환경의 변화 속도는 숨이 가쁠 정도입니다. 여기에 각종 보안 사고들이 터지니 정신을 차리기가 힘들죠. 공부해야 할 것도 많고, 처리해야 할 일도 많고, 책임져야 할 것도 많아지는 상황입니다.”
록히드 마틴(Lockheed Martin)의 보안 책임자인 그레그 보이슨(Greg Boison)은 “IT와 정보보안 분야의 협조 노력이 데브옵스(DevOps)라는 개념 아래 이뤄지는 등 여러 가지 노력들이 이루어지고 있다”며 “데브옵스라는 개념이 도입되기 전에는 - 물론 지금도 활발히 도입 중에 있긴 하지만 - 애플리케이션의 개발(IT 팀)과 운영(보안 팀)을 분리해 생각했기 때문에 둘의 사이는 더욱 벌어질 수밖에 없었다”고 짚었다.
그렇다면 어떻게 해야 가까워질까?
하지만 현대의 빠른 경쟁 체제와 IT 기술 개발로 인해 둘 사이는 더 이상 벌어져 있을 수만은 없게 되었다. 여기에 대해 몇 가지 제안을 마련해보았다.
1. 소프트웨어 개발과 보안 분석 팀을 통합하라
록히드 마틴사에서는 개발과 보안 분야의 전문성을 하나로 합치기 위해 오래 전부터 연구와 실험을 진행해온 것으로 알려져 있다. 그런 록히드 마틴은 가장 최근 개발자들과 보안 분석가들을 한 부서, 한 공간에 앉혀놓기 시작했다. 먼저는 보안 분석가들이 반복적으로 진행해야 하는 일을 개발자들이 ‘자동화’ 처리할 수 있도록 돕게 하기 위해서였다. “한 번 이상 반복해야 하는 일은 전부 코드로 짜서 자동화하라”고 지시했습니다.
그러나 코드 짜는 일이 단순히 ‘타이핑’하는 일이 아니다. 알고리즘을 만들려면 그 분야에 대해 어느 정도 이해를 하고 있어야 한다. 보안 분석가를 돕다보니 IT 개발자들이 자연스럽게 보안의 일에 대해 이해도를 높여갈 수 있었다. “조금씩이지만 개발을 할 때 보안의 측면을 생각하기 시작하더라고요. 자연스러운 변화였습니다.”
2. 보안 팀은 컨설턴트 사업처럼 운영하라
CISO들은 자신에게 할당된 보안 팀을 별개의 보안 컨설턴트 사업을 운영하듯 이끌어야 한다고 자바드 말릭은 조언한다. “보안은 전 부서에 필요한 사항입니다. 모든 부서를 유료 고객처럼 대해야 해요. 보안을 담당하는 부서가 다른 부서에 제공할 수 있는 서비스가 무엇인지 정확히 정의하고 고지해야 하는 게 가장 첫 번째 일이고, 팀원들마다 특정 부서를 전담시켜주는 것도 좋습니다. 즉 별개의 서비스 사업처럼 일을 진행해야 한다는 겁니다.”
컨설턴트 사업체는 무형의 서비스를 제공하기 때문에 뭔가 일을 진행하기 전에 고객들에게 자신의 일이 어디서부터 어디까지인지 분명하게 인지시킨다. “산업과 조직을 막론하고 보안 부서의 가장 큰 실수 중 하나는 ‘하는 일이 무엇인지 명확하게 인지시키지 못한다’는 것입니다. 보안 자체에 대한 혼돈으로 이어지는 커다란 실수죠. 이 점은 반드시 해결해야 합니다.”
말릭은 취약점 스캐닝을 예로 들었다. “여태까지는 보안 부서가 취약점 스캐닝을 하고 찾아낸 결과물을 보고서로 작성해 IT 부서에게 전달했어요. 이 부분과 저 부분 고치라는, 지시나 다름없는 내용이었죠. 그런데 IT 부서도 할 일이 굉장히 많거든요. 컨설턴트처럼 일하라는 건 왜 이 부분 저 부분을 고쳐야 하는지 설명을 곁들이라는 거예요. 그래야 그 사람들도 일의 우선순위를 정하고 스케줄을 짜죠. 사람들은 큰 흐름을 파악하고 싶어해요. 단순히 눈 앞에 일을 처리하라고 하면 스트레스만 받습니다. 보안 부서는 IT 부서 직원들이 이해할 수 있도록 큰 그림을 그려줘야 해요.”
3. 보안 통제의 맹목적인 적용을 삼가라
“사실 말이죠,”라고 말릭이 입을 뗀다. “우리는 다 알고 있어요. 왜 보안 부서가 미움을 받는지. 그 수많은 ‘안 돼’ 때문이죠. 보안 상 이것도 안 돼, 저것도 안 돼... 누가 좋겠습니까?” 그러면서 말릭은 한 가지 예를 들었다.
“예를 들어 중요한 데이터가 있어서 회사에서 ‘기밀’로 분류했다고 칩시다. 실무자들이 이 데이터에 접근하려면 회사가 승인한 컴퓨터나 랩톱에서만 가능하도록 하는 게 보통이죠. 실무자가 집에서 갑자기 할 일이 생각나 개인 컴퓨터로 회사 네트워크에 접속해 해당 데이터에 접근하려 할 때 무슨 일이 일어나나요? 접근이 불허됩니다.”
바로 이게 보안의 문제라는 것. “잘 생각해보세요. 이게 맞나요? 중요한 데이터를 함부로 사용 못하는 게 회사가 원하는 것일까요? 아니죠. 중요한 데이터가 밖으로 새나가지 않도록 하는 게 진짜 목적이죠. 무조건 안 된다고 하는 게, 아무리 안전을 위한 것이라고는 하지만 회사가 진짜 바라는 것에 부합하지 않았다는 겁니다.”
그렇다면 어떻게 해야 할까? “보안 담당자들의 태도가 바뀌어야 합니다. 여태까지는 ‘우리 회사에서 보안상 하지 말아야 할 것들’을 쭉 목록처럼 만들어 복사해서 종이만 쭉쭉 돌리고 끝이었죠. ‘백신 설치’, ‘1달에 한 번 취약점 점검’ 따위의 내용이 들어있는 거요. 그런 일방적인 소통으로는 아무도 보안에 참여시킬 수 없습니다. IT 팀과 ‘우리가 진짜 이뤄야 할 것은 무엇인가?’를 진지하게 토론해야 해요. 위의 예에서 직원이 집에서 데이터에 접근을 못하도록 원천 차단 할 것이 아니라 디지털 저작권 솔루션이라도 사용해 ‘다른 곳으로 복제하거나 전송하지 못하도록’ 해야죠.”
“보안의 동의어는 no라는 말이 있을 정도”라고 보이슨은 말한다. “IT와 보안의 마인드셋 자체가 바뀌어야 합니다. no는 보안의 오명이에요. 본질을 더 찾아들어가야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
보안을 통해 조직 전체가 정말로 이루고자 하는 것 찾아내야
[보안뉴스 문가용] 지겹도록 들어왔겠지만 보안 팀과 IT 팀의 목표는 매우 다르다. IT 팀은 사용성, 편리성, 성능, 비용절감을 주요 덕목으로 삼고 일한다. 이 네 가지를 위해 직원들 사이의 소통을 돕고, 정보 공유를 원활하게 만들고, 업무를 쉽고 빠르게 완료할 수 있도록 필요한 툴을 개발하거나 환경을 조성한다.
보안 팀은 어떤가? 하루가 다르게 방대해져 가는 네트워크를 모니터링하고, 수상한 활동은 일어나고 있지 않은지, 내부 직원 누군가 이상한 접근을 시도하고 있지는 않은지, 혹은 비슷한 행동을 실수로 저지르고 있지는 않은지 파악하는 게 일이다. 클라우드, 모바일, IoT, SNS 등 새로운 기술과 유행이 생기고 검증 없이 퍼질 때마다 긴장감이 바짝바짝 타오를 수밖에 없다. 이들에겐 사용이 편리한 것보다는 안전하고 검증된 게 더 중요하고 빠른 것보다는 결점이 없는 것이 낫다. 정보 공유는 최대한 필요한 것만, 필요한 사람들끼리, 미리 정의된 조건 내에서 이루어져야만 할 일이다.
그러나 새로운 기술은 계속해서 등장하고, 네트워크는 커질 대로 커져 더 이상 자랄 수 없을 정도가 되어서 소프트웨어 정의 네트워크(SDN)라고 하는 새로운 개념의 네트워크가 나오는 등 보안 팀과 IT 팀은 싫어도 같이 일할 수밖에 없게 되고 있다. 또한 경쟁이 심화되고 있어 보안을 이유로 회사의 생산적인 흐름을 방해할 수도 없는 상황이라 이 두 전문분야의 협조는 ‘필수’로까지 자리잡아가고 있다.
왜 둘 사이는 벌어졌는가?
“환경의 빠른 변화를 간과해온 것이 보안 팀과 IT 팀 사이에 마찰이 생기는 근본적인 요인이라고 봅니다.” 에얼리언볼트(AlienVault)의 보안 전문가인 자바드 말릭(Javvad Malik)의 의견이다. “모바일의 출현과 클라우드로의 변환 등 아무리 IT 팀이라고 해도 지금 환경의 변화 속도는 숨이 가쁠 정도입니다. 여기에 각종 보안 사고들이 터지니 정신을 차리기가 힘들죠. 공부해야 할 것도 많고, 처리해야 할 일도 많고, 책임져야 할 것도 많아지는 상황입니다.”
록히드 마틴(Lockheed Martin)의 보안 책임자인 그레그 보이슨(Greg Boison)은 “IT와 정보보안 분야의 협조 노력이 데브옵스(DevOps)라는 개념 아래 이뤄지는 등 여러 가지 노력들이 이루어지고 있다”며 “데브옵스라는 개념이 도입되기 전에는 - 물론 지금도 활발히 도입 중에 있긴 하지만 - 애플리케이션의 개발(IT 팀)과 운영(보안 팀)을 분리해 생각했기 때문에 둘의 사이는 더욱 벌어질 수밖에 없었다”고 짚었다.
그렇다면 어떻게 해야 가까워질까?
하지만 현대의 빠른 경쟁 체제와 IT 기술 개발로 인해 둘 사이는 더 이상 벌어져 있을 수만은 없게 되었다. 여기에 대해 몇 가지 제안을 마련해보았다.
1. 소프트웨어 개발과 보안 분석 팀을 통합하라
록히드 마틴사에서는 개발과 보안 분야의 전문성을 하나로 합치기 위해 오래 전부터 연구와 실험을 진행해온 것으로 알려져 있다. 그런 록히드 마틴은 가장 최근 개발자들과 보안 분석가들을 한 부서, 한 공간에 앉혀놓기 시작했다. 먼저는 보안 분석가들이 반복적으로 진행해야 하는 일을 개발자들이 ‘자동화’ 처리할 수 있도록 돕게 하기 위해서였다. “한 번 이상 반복해야 하는 일은 전부 코드로 짜서 자동화하라”고 지시했습니다.
그러나 코드 짜는 일이 단순히 ‘타이핑’하는 일이 아니다. 알고리즘을 만들려면 그 분야에 대해 어느 정도 이해를 하고 있어야 한다. 보안 분석가를 돕다보니 IT 개발자들이 자연스럽게 보안의 일에 대해 이해도를 높여갈 수 있었다. “조금씩이지만 개발을 할 때 보안의 측면을 생각하기 시작하더라고요. 자연스러운 변화였습니다.”
2. 보안 팀은 컨설턴트 사업처럼 운영하라
CISO들은 자신에게 할당된 보안 팀을 별개의 보안 컨설턴트 사업을 운영하듯 이끌어야 한다고 자바드 말릭은 조언한다. “보안은 전 부서에 필요한 사항입니다. 모든 부서를 유료 고객처럼 대해야 해요. 보안을 담당하는 부서가 다른 부서에 제공할 수 있는 서비스가 무엇인지 정확히 정의하고 고지해야 하는 게 가장 첫 번째 일이고, 팀원들마다 특정 부서를 전담시켜주는 것도 좋습니다. 즉 별개의 서비스 사업처럼 일을 진행해야 한다는 겁니다.”
컨설턴트 사업체는 무형의 서비스를 제공하기 때문에 뭔가 일을 진행하기 전에 고객들에게 자신의 일이 어디서부터 어디까지인지 분명하게 인지시킨다. “산업과 조직을 막론하고 보안 부서의 가장 큰 실수 중 하나는 ‘하는 일이 무엇인지 명확하게 인지시키지 못한다’는 것입니다. 보안 자체에 대한 혼돈으로 이어지는 커다란 실수죠. 이 점은 반드시 해결해야 합니다.”
말릭은 취약점 스캐닝을 예로 들었다. “여태까지는 보안 부서가 취약점 스캐닝을 하고 찾아낸 결과물을 보고서로 작성해 IT 부서에게 전달했어요. 이 부분과 저 부분 고치라는, 지시나 다름없는 내용이었죠. 그런데 IT 부서도 할 일이 굉장히 많거든요. 컨설턴트처럼 일하라는 건 왜 이 부분 저 부분을 고쳐야 하는지 설명을 곁들이라는 거예요. 그래야 그 사람들도 일의 우선순위를 정하고 스케줄을 짜죠. 사람들은 큰 흐름을 파악하고 싶어해요. 단순히 눈 앞에 일을 처리하라고 하면 스트레스만 받습니다. 보안 부서는 IT 부서 직원들이 이해할 수 있도록 큰 그림을 그려줘야 해요.”
3. 보안 통제의 맹목적인 적용을 삼가라
“사실 말이죠,”라고 말릭이 입을 뗀다. “우리는 다 알고 있어요. 왜 보안 부서가 미움을 받는지. 그 수많은 ‘안 돼’ 때문이죠. 보안 상 이것도 안 돼, 저것도 안 돼... 누가 좋겠습니까?” 그러면서 말릭은 한 가지 예를 들었다.
“예를 들어 중요한 데이터가 있어서 회사에서 ‘기밀’로 분류했다고 칩시다. 실무자들이 이 데이터에 접근하려면 회사가 승인한 컴퓨터나 랩톱에서만 가능하도록 하는 게 보통이죠. 실무자가 집에서 갑자기 할 일이 생각나 개인 컴퓨터로 회사 네트워크에 접속해 해당 데이터에 접근하려 할 때 무슨 일이 일어나나요? 접근이 불허됩니다.”
바로 이게 보안의 문제라는 것. “잘 생각해보세요. 이게 맞나요? 중요한 데이터를 함부로 사용 못하는 게 회사가 원하는 것일까요? 아니죠. 중요한 데이터가 밖으로 새나가지 않도록 하는 게 진짜 목적이죠. 무조건 안 된다고 하는 게, 아무리 안전을 위한 것이라고는 하지만 회사가 진짜 바라는 것에 부합하지 않았다는 겁니다.”
그렇다면 어떻게 해야 할까? “보안 담당자들의 태도가 바뀌어야 합니다. 여태까지는 ‘우리 회사에서 보안상 하지 말아야 할 것들’을 쭉 목록처럼 만들어 복사해서 종이만 쭉쭉 돌리고 끝이었죠. ‘백신 설치’, ‘1달에 한 번 취약점 점검’ 따위의 내용이 들어있는 거요. 그런 일방적인 소통으로는 아무도 보안에 참여시킬 수 없습니다. IT 팀과 ‘우리가 진짜 이뤄야 할 것은 무엇인가?’를 진지하게 토론해야 해요. 위의 예에서 직원이 집에서 데이터에 접근을 못하도록 원천 차단 할 것이 아니라 디지털 저작권 솔루션이라도 사용해 ‘다른 곳으로 복제하거나 전송하지 못하도록’ 해야죠.”
“보안의 동의어는 no라는 말이 있을 정도”라고 보이슨은 말한다. “IT와 보안의 마인드셋 자체가 바뀌어야 합니다. no는 보안의 오명이에요. 본질을 더 찾아들어가야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
출처 - 보안뉴스