Cappuccino sapiens

2016년 세계경제포럼을 통해 “제4차 산업혁명”이 언급된 이후, 이를 실현하기 위한 대표적인 기술로 인공지능, 클라우드 컴퓨팅, 사물 인터넷(IoT), 빅데이터 등이 부상하고 있으며, 기업은 새로운 도약을 위해 기존의 업무 프로세스를 개선하고 효율적인 자원 활용과 생산성 향상을 위해, 자신에 적합한 IT기술을 선택하여 디지털 트랜스포메이션을 시도하고 있다.

정부는 이러한 흐름을 반영하듯 최근 대통령직속의 4차 산업혁명위원회를 통해, 사회혁신(노동제도 개혁, 고등교육 혁신, 사회 안전망 구축), 산업혁신(바이오 헬스, 제조, 금융, 모빌리티·물류, 스마트시티, 농수산식품), 지능화 혁신기반(인공지능·데이터, 사이버보안, 블록체인, 스타트업 생태계)을 내용으로 하는 “4차 산업혁명 대정부 권고안(2019.10.25)“을 발표한 바 있다.

정보보호는 IT서비스가 안정적으로 운영될 수 있도록 지원하는 역할을 해 왔으며, 정보보호 전문가를 비롯해 기업의 정보보호 담당자들은 디지털 트랜스포메이션과 같은 새로운 IT패러다임의 변화에 따라, 보안위협에 대응하기 위한 여러가지 보안대책들을 끊임없이 고민하고 준비해 오고 있다.

이러한 현상을 반영하는 최근의 보안 패러다임의 변화 중 하나가 사이버 레질리언스 이다.

현재까지의 침해사고 대응이 사이버 공격에 대해 선제적으로 공격 징후를 탐지하고 차단함으로써 원천적으로 공격을 차단하는 예방 관점 이었다면, 사이버 레질리언스는 침해사고 발생시 빠르게 공격을 차단하고 서비스를 정상화하는 사후 대응에 초점이 맞춰져 있다.

기업은 정부의 보안 컴플라이언스를 준수함은 물론, 자체적으로 보안대책을 강화하여 침해사고에 대응하고 있다. 하지만, 끊임없이 보안 취약점을 연구하고 기회를 엿보는 해커의 공격을 100% 탐지하고 차단하는 것은 거의 불가능하다는 것이 보안전문가들의 의견이다.  

세계 최대의 암호화폐 거래소 바이낸스는, 올해 5월 해킹으로 4100만 달러(약 470억원) 규모의 비트코인이 인출되고 거래가 정지되는 수모를 겪은 바 있다. 바이낸스 측은 서비스에 앞서 보안에 많은 투자를 했음에도 불구하고, 다양한 공격기법과 기존 보안시스템을 우회하여 침투하는 해커를 막아낼 수 없었다고 보고했다.

기업은 사이버 레질리언스를 도입함으로써, 침해사고 발생시 시스템 및 서비스 피해확산, 정보유출 및 이로 인한 2차 피해, 기업 이미지 불신, 고객 이탈, 외부 보안감사 등  사이버 공격으로 인한 파급효과를 최소화하고, 빠른 서비스 복구와 정상화를 통해 기업의 서비스에 대한 연속성을 강화하고, 보안에 대한 대외 신뢰도를 높이는 효과를 기대하고 있다.  

보안 패러다임의 변화는 조직의 입장에서 임직원의 공감대형성과 인식전환, 신규 시스템 도입 및 안정화, 신규 보안정책 수립 및 업무절차 적응 등 유·무형의 많은 투자비용과 노력이 수반되어야 한다. 특히, 새로운 보안시스템을 도입하는 보안팀의 입장에서는 조직의 보안진단을 통해 보안대책을 수립하고, 이에 적합한 보안시스템의 선정과 구축을 진행해야 하는 등 많은 업무 부담을 갖게 된다.  

최근에 KISA가 발간한 “정보보호시스템 구축을 위한 실무 가이드(2018.6, KISA)”는 기업이 정보보호 시스템 구축에 필요한 준비부터 검수까지 모든 과정을 예제와 함께 상세하게 가이드 해 주고 있다. 기업의 보안담당자는 본 가이드를 통해, 정보보호사업 진행을 위한 사업계획 수립, 요구사항 분석, 제안요청서 작성, 보안 시스템 선정, 제안 평가 및 사업자 선정, 구축 및 검수 등의 전 과정에 대해 도움을 받을 수 있다.

여기에서는 보안 패러다임 변화에 앞서 기본적으로 보안시스템 도입시 고려해야 할 사항과 보안성 강화를 위한 방안에 대해 살펴보도록 한다.

1. 보안시스템 선정시 고려사항

보안시스템 선정시 보안시스템간의 호환성과 확장성을 제공하는지, 운영 효율성을 고려한 설계가 가능하지, 기업의 보안운영 독립성을 위해 충분한 기술교육을 제공하는지에 대해 고려할 필요가 있다.

1)     보안시스템간의 호환성 및 확장성을 제공하는가

Firewall, IPS/IDS 등의 네트워크 보안제품군은 수집·분석한 보안로그들은 통합보안관리시스템, 로그관리 및 분석 시스템으로 전송하여, 상관관계 분석 등 추가 분석을 수행한다. 제조사들은 각자의 제품설계 및 구현방식에 따라 자신들만의 프로토콜을 사용하고 있어, 제조사가 관련 API 스펙을 제공하지 않으면, 보안로그를 전송하지 못하게 된다.

프로토콜간의 호환성 문제는 전송 데이터 보호를 위한 암호채널(VPN)에서도 발생한다. 국제 규격인 IPSEC(IETF RFC 6071)에 따라 구현했다 해도 구현 규격을 제대로 따르지 않을 경우, 타사의 VPN장비들간에 통신이 안되는 경우도 있으며, 특히, 대외구간에서 방화벽 설정에 따라, 연결이 차단되기도 한다.

제품간의 이러한 프로토콜 호환성 문제는 설치·운영시 장애를 유발할 수 있으며, 유지보수를 복잡하게 한다. 또한, 추가 보안시스템 도입 및 선정시에 영향을 미치며, 최신 기술을 반영한 보안시스템 도입시에도 장애요소가 될 수 있다.

따라서, 보안시스템 선정시 제조사가 API를 공개하는지 여부를 확인할 필요가 있으며, 국제규격이 요구되는 보안기능의 구현에서 구현적합성을 준수 했는지를 살펴볼 필요가 있다.

2)     운영 효율성을 고려한 설계가 가능한가

국내에 소개된 보안시스템은 보안관리, 침입탐지·방지, 분석·대응, 물리보안 등의 분야에서 약 50여개의 보안시스템들로 세분화되어 있다.

국내 보안제품이 세분화되고 기능 중심으로 단편화된 이유는 국내의 정보보호시스템 평가·인증 체계와도 관련이 있다. 글로벌 제품들의 경우, 기술의 발전에 따라 다양한 기능들이 복합적으로 한나의 시스템에 통합되어 구현되어 제공되고 있으며, 이는 생산성은 물론 효율적인 유지관리를 가능하게 한다. 또한, 관리 포인트를 줄여줌으로써 보안헛점을 줄일 수 있는 장점도 있다.

세분화된 제품들은 기업의 보안요구사항에 따라, 레고를 조립하 듯 선택적으로 필요한 제품을 도입하여 운영할 수 있다. 하지만, 이러한 방식은 중·소규모의 기업에는 적합할 수 있으나, 대규모 시스템을 운영하는 사업장의 경우에는 적합하지 않을 수 있다.

신도시 설계시 미래 확장성과 운영 효율성을 고려하여 큰 구획으로 주거지, 공원, 행정타운, 산업단지 등 도시의 주요 기능을 정의 한 후, 구획 별 세부 기능을 정의하게 된다. 대규모 사업장의 경우도 이와 유사하게 설계할 필요가 있다. 즉, 여러 보안기능이 포함된 시스템을 우선 배치하고, 추가적인 보완이 필요한 영역에 단위 보안기능을 제공하는 제품을 도입함으로써 확장성과 효율성을 고려할 수 있어야 한다.

3)     기업의 보안담당자에 대한 기술교육을 제공하는가

2018년 정보보호 실태조사(KISA)에 따르면, 조사대상 기업의 보안시스템 이용은 90.9%로 상당히 높게 나타나 있다. 반면 정보보호 정책(16.0%)과 정보보호 조직(5.5%)은 상당히 낮게 조사되었으며, 이는 그 만큼 보안시스템에 대한 운영 및 관리가 부실할 수 있다는 반증을 보여준다.

정부의 정보보호 인력양성 정책과 기업의 보안인식 전환으로, 많은 보안 인력이 배출되고 기업에서도 보안전문가들을 보안담당자로 채용하고 있는 추세이다. 하지만, 아직도 많은 부분에 있어 기업의 보안담당자들은 부족하다고 판단된다.

ISMS-P와 같은 보안 컴플라이언스 관리, 웹 서비스 및 시스템 취약점 관리 등 관리적인 부분에 있어서는 기업의 보안담당자들이 꾸준히 자리를 넓혀가고 있으나, 기술적 취약점 및 위험분석, 보안시스템 정책설정 및 관리 등의 기술적인 영역에 있어서는 부족한 실정이다.

기업은 핵심 IT자산을 보호하는 보안시스템에 대해, 유지보수 업체나 외주 인력이 관리해 주는 틀에서 벗어나야 한다. 특히, 통합보안관리시스템이나 외주 인력을 포함한 계정관리 시스템의 경우에는 기업이 직접 관리 할 수 있는 능력을 갖출 필요가 있다.

이러한 경우, 기업은 보안시스템에 대해 제조사가 주기적으로 지속적인 보안기술 및 운영교육을 제공하는지를 우선으로 보아야 할 것이다. 또한, 기업의 보안담당자가 기술에 대한 궁금증을 해소하고, 기술 교류를 할 수 있는 채널을 제공하는지도 살펴볼 필요가 있다.

2. 보안시스템 도입시 보안성 검증 방안

보안시스템은 기업의 핵심 IT자산을 보호하기 위한 수단이기도 하지만, 적절한 도입검증, 운영통제,  유지보수 등의 관리가 소홀 할 경우, 더 큰 문제를 야기 시킬 수 있다.

기업은 일반적으로 보안시스템에 대한 성능 검증을 위해 BMT테스트를 진행하고 있으나, 시스템 자체에 대한 보안취약점 진단에는 제조사에 종속적이거나 소홀히 하는 경향이 있다.

2013년 발생한3·20 금융사 전산망 해킹이 대표적인 예라 할 수 있다. 당시 보안벤더사는 "납품한 보안관리 서버(자산 및 중앙관리서버)의 계정(아이디, 패스워드)이 자사의 관리소홀로 탈취된 흔적이 있으며, 해당 서버의 '로그인 인증 관련 취약점'으로 인해 악성코드가 내부망으로 배포될 수 있었다"고 자사제품의 관리부실에 대한 문제점을 인정하기도 했다. (출처 : 데일리시큐, https://www.dailysecu.com)

보안시스템의 안전성과 신뢰성을 검증하기 위해, 정부는 CC(Common Criteria, 국제공통 평가기준) 인증, GS(Good Software) 인증, 암호모듈 검증, 보안적합성 검증, 보안성 검토 등 여러 가지 제도를 마련하여 시행하고 있다.

CC평가·인증제도는 정부의 IT운영환경을 보호하기 위한 보안요구사항(보호프로파일)을 도출하고, 이를 준수하는 보안시스템에 인증서를 발급하는 제도로, 인증기관은 IT보안인증사무국이 담당하고, 평가기관은 한국인터넷진흥원, 한국시스템보증, 한국아이티평가원 등 6개의 기관이 활동하고 있다.

즉, CC인증제품은 정부기관 및 공공기관에 납품하기 위한 용도로, 기업의 경우 선택적으로 인증제품을 도입할 수 있다. 다만, 기업의 다양한IT서비스 환경에 적용 가능한지에 대한 여부를 확인할 필요가 있으며, 특히, 빠르게 변하는 기업환경에 적합한 보안시스템을 도입하고자 할 경우, 인증규격 정의 및 개발, 제품평가 및 인증 등으로 인한 기간을 고려해야 한다.

또한, 인증기관의 사후관리를 통해 인증제품의 무단형상 변경을 감시하는 부분에 있어, 기업은 인증제품을 도입하였다 해도 감시 대상이 아니다. 즉, 인증제품의 변경으로 인해 취약점이 있는 시스템을 도입했다고 해도, 제도적으로 보호를 받을 수 없다.

보안시스템을 도입한 후에 컨설팅전문업체를 통해 운영환경에 대한 취약점을 진단하고 보완할 수 있으나, 도입단계 부터 시스템이 갖는 자체 보안 취약점을 진단할 수 이는 절차는 부재한 상황이다. 이는 단순히 시스템의 설정 취약점 뿐만 아니라, 기능의 동작오류와 기능 자체가 갖는 잠재적인 취약점을 포함하고 한다.

따라서, 기업은 보안시스템 도입시 최소한의 보안성 검증을 위한 절차와 기준을 마련하고, 보안팀 또는 외부 전문가를 통해 시스템의 기능성과 취약성을 자체적으로 진단하고 검증할 필요가 있다.

국외의 경우, CC평가 기관은 물론, AV-TEST, AV-Comparative, VB 100 등 민간 전문기관을 통해 검증할 수 있는 반면, 국내에서는 아직까지 평가기관을 통한 검증이 일반화 되어 있지 않은 형편이다.

부득이, 자체적인 보안성 검증이 곤란한 경우, CC인증을 수용할 수도 있다. 다만, 인증제품 도입시 아래의 세가지 사항에 대해 확인할 필요가 있다.

1)     인증서 및 인증서 효력 확인

IT보안인증사무국(https://itscc.kr/main/main.do)은 인증제품에 대해 3년의 유효기간을 두어 관리하고 있다. 인증만료 기간은 기술의 발전에 따라, 잠재적인 취약점을 보완하기 위한 과정이라고 볼 수 있다.

따라서, 도입하려는 제품이 인증목록에 있는지 여부와 인증만료일을 준수하여 잘 관리가 되고 있는지 등의 인증효력을 점검한다.

2)     인증범위 및 운영환경 확인

인증제품 상세정보를 통해 도입하려는 제품의 세부 평가내용을 확인 할 수 있다. 특히, 공개된 인증보고서를 통해, 세부 평가범위, 운영환경, H/W 및 S/W 요구사항, 주요 보안기능에 대해 확인할 수 있다.

특히, 제품의 운영환경은 제품이 안정적으로 동작하기 위한 기본조건으로, 이 외의 환경에서는 제품의 안정성을 보장할 수 없다. 따라서, 제품의 운영환경을 만족시킬 수 있을지에 대한 여부도 점검해야 한다.

3)     도입제품과 인증제품의 버전 비교

인증보고서 또는 제품의 인증서에 명시된 세부 버전(TOE 식별자)과 설치·구동 가능한 시스템의 세부 버전이 일치하는지 확인한다. 제품의 컴파일 일정에 따라 빌드번호는 달라질 수 있으나, 제품의 인증버전을 의미하는 점(.) 이하 세 자리는 변경되어는 안된다.

CC인증으로 확인할 방법이 없다면, GS인증이나 제조사 자체적인 검증 방법을 요구할 수 있으며, 이때도 마찬가지로 인증 규격과 실물을 비교하여 진위를 확인할 수 있을 것이다.

다만, 한번 도입한 제품은 최소 3년은 사용하는 만큼, 전사 IT를 보호하는 제품을 이해하고, 세부 보안기능과 취약점을 이해함으로써 보안팀의 역량을 강화한다는 측면에서는 자체 검증이라는 부분도 고려해 볼만 하다.