보안

회사 내 보안 담당자 길들이기

Lisa Vaas | Computerworld 2008.10.15

당신이 채용한 보안 전문가가 과연 항상 믿을만하고, 경쟁력 있으며, 풍부한 지식을 갖춘 사람일까? 한 보안 전문가가 경험한 최악의 시나리오를 한 번 들어보면, 전혀 그렇지 않을 수도 있다는 사실을 깨달을 수 있을 것이다.

 

MSP(Managed Service Provider) 기업 알바카 네트웍스(Alvaka Networks)의 수석 부회장으로 재직중인 케빈 맥도널드(Kevin Mcdonald)는 사이버 보안 관련 서적도 다수 저술한 인물이자 AeA 기술 무역 협회 회원으로도 활약하고 있는 유능한 인물이다.

 

맥도널드의 고객 중 하나였던 한 건설 기업에는 해당 기업의 보안을 담당하는 수석 보안 관리자가 있었다. 왜 그랬는지는 알 수 없지만, 그 보안 담당자는 사장에게 기업의 다양한 DB를 이미 광섬유가 깔려 있는 자신의 집에 저장하는 것이 다른 곳에 두는 것 보다 그 비용이 적게 들고 효율적일 것이라고 설득하기 시작했다.

 

이러한 설득에 넘어간 사장은 이후 엄청난 배신감과 함께 상당한 피해를 입게 된다. 그 보안 담당자가 건설 회사의 고객들에게 그들의 신상 정보를 모두 가지고 있다고 협박 메일을 보내기 시작했기 때문이다.

 

물론 다른 이유들도 복합적으로 있긴 했지만, 근본적으로 보안 책임자의 배신 때문에 이 건설회사는 결국 문을 닫고 말았다고 맥도날드는 말했다. 그의 행동을 저지하기까지 무려 6개월이나 걸렸기 때문이다. 그는 기본적으로 회사 정보에 대한 완전한 접근권한을 가지고 있던 인물이었기 때문에, 쉽게 그의 악행을 포착해 낼 수 없었던 것. 결국 FBI가 그의 집에 찾아가 집 안의 기업 관련 자료 및 도구들의 사용을 저지함으로써 그의 불법 행위는 막을 내렸다.

 

이는 사실 최악의 시나리오라 말할 수 있지만, 단연 기업의 보안 부문은 다양한 문제에 부딪히는 것이 사실이다. 악한 마음을 가진 사람이 기업 보안 망에 침투하거나, 예산, 또는 직원의 실력 부족으로 보안이 뚫리는 일이 심심치 않게 벌어지고 있다. 지금부터 기업 보안을 위협 하는 주요 행태들과 이를 방지하는 방법들에 대해 한 번 알아보도록 하겠다.

 

통합 패키지의 함정

 

능력이 없는 소위 C급 경영진들을 물 먹이기 위해 가끔 보안 전문가들이 해당 기업 사정에 부적절한 보안 패키지를 권하는 경우가 있다. 즉, 대형 보안 기업의 영업 담당자들이 이들 경영진들에게 데스크톱 안티바이러스, 이메일 보안, 침입 감지 및 웹 필터링 기능을 모두 포함한 자사의 보안 패키지를 구입하는 것이 합리적인 선택인 마냥 설득하는 것이다. 그것도 시트(seat)당 38달러의 가격에 말이다.

 

이게 뭐가 잘못되었냐고? 익명을 요구한 한 보안 소프트웨어 기업 이사는 보안 인프라의 핵심적인 요소들을 일반 시중에 나돌아 다니는 제품으로 도배를 한 것 자체가 문제가 있는 것이라고 말했다. C급 경영진들은 보안 또한 그저 무난한 제품을 사용하면 다 되는 줄로 착각을 한다. 그 제품이 그 제품이라는 생각을 하고 있는 것이 문제인 것이다.

 

그러나 보안 기업들마다 각자의 강점이 있고 약점이 있다. 패키지 형태로 보안 솔루션을 구입할 경우 확실히 비용 절감이 가능하다는 장점은 있다. 맥도날드는 “그러나 패키지 형태의 보안 제품들은 기업의 보안을 위험하게 만들 정도로 그 품질이 현격히 떨어지는 경우가 다반사”라고 덧붙였다.

 

그렇다면 경영진으로 하여금 패키지 상품의 부작용을 깨닫게 하려면 어떻게 해야 할까? 우선 보안 전문가를 의사 결정 과정에 참여시키는 것이 중요하다. 실질적인 돈이 오가기 전에 말이다.

 

원활한 커뮤니케이션과 관계 유지도 또 하나의 관건이라 할 수 있다. 맥도날드는 “즉, 보다 보안 관련 이슈에 대한 이야기를 평소에 많이 하는 것이 중요하다는 뜻”이라며, “점심시간을 활용해 짤막한 회의를 열어 경영진들과 여타 직원들에게 보안이 왜 중요한지, 또 보안에 대해서는 함부로 결정해서는 안 되는지 지속적으로 이해시킬 필요가 있다”고 조언했다.

 

이러한 노력이 경영진들로 하여금 단순히 보안이 기업 경영에 있어 “그저 하나의 성가신 방해물”에 불과하지 않다는 사실을 깨닫게 해줄 것이라는 설명이다. 맥도날드는 “직원들과 경영진들에게 다음과 같이 말하라. ‘PCI 정보를 보호하고, 기업의 자산을 보존하기 위해, 그리고 정부의 기준을 충족시키기 위해 이러이러한 일을 해야 한다. 만약 당신이 내가 해야 할 일을 대신 한다면 어떤 결정을 내리겠는가?’”고 말했다.

 

또 다른 방법 중 하나는 보안 제품을 선택하는데 있어 개인의 의견을 아예 반영하지 않는 것이다. 실제로 펜실베니아 주 정부는 밥 맬리(Bob Maley)가 2005년 최고 정보 보안 책임자로 부임하기 전부터 이미 규정된 보안 기준에 의거해 보안 제품들을 선택해 왔다.

 

이 때문에 맬리가 보안 제품의 부적합성에 대해 크게 걱정할 일은 없었지만, 다른 문제가 그를 기다리고 있었다. 고급 인력을 수급하기 너무 힘들었던 것이다. 보안 전문가들에 대한 일반 사기업의 연봉이 펜실베니아 주 정부가 지급할 수 있는 수준보다 적게는 20%, 많게는 100%이상 더 많기 때문이다.

 

맬리는 “얼마 전에도 한 직원이 여기서 받던 연봉의 두 배를 보장 받고 사기업으로 이직했다”며, “현재 보수 수준에서 아무리 좋은 인재를 구한다 하더라도 사기업의 그 것을 따라잡기는 힘들다”고 주장했다. 또 설사 실력 좋은 직원을 채용한다 하더라도 곧 다른 사기업으로 옮길 것이 뻔하기 때문에 실질적으로 우수한 직원을 영입하고 또 유지하는데 어려움이 많다고 지적했다.

 

경험의 중요성

 

이에 맬리가 생각한 해결책은, “아직 미숙한 그러나 유망한 인재 채용하기”이다. 실제로 주 정부 보안 팀은 유망한 인재들에게는 더 없이 좋은 경험의 장이다. 실제로 최근 들어 새로운 사이버 어택 수단이 개발되면 가장 먼저 공략당하는 대상 중 하나가 바로 정부기관이기 때문이다. 실제로 지난 6개월 동안 그의 팀은 다른 보안 조직에서 찾아내지 못한 새로운 형태의 스톰 트로이 목마 변형 바이러스를 3개나 찾아내는 성과를 거두었다. 그러나 이는 전혀 놀라운 일이 아니다. 시만텍(Symantec)이 최근 공개한 “인터넷 보안 위협 리포트”에 따르면, 인터넷 공격의 대상이 소셜 네트워킹 또는 정부 기관 사이트들로 점점 이동하는 모습을 보이고 있기 때문이다.

 

맬리는 “지금 새로운 보안 위협과 맞서 이를 분석하고, 또 잡아내는 보안 전쟁의 최전방에 팀원들과 함께 서 있다고 생각한다”고 말했다.

 

자신의 팀에 들어오면 기본적으로 매우 흥미로우면서도 보안 전문가라면 반드시 경험해보아야 할 다양한 업무를 수행할 수 있다고 맬리는 덧붙였다. 즉, 단적인 예로, 최근에는 동일한 바이러스가 다시 침입하지 않도록 하기 위해 모의 해킹 테스트를 코어 시큐리티 테크놀로지스(Core Security Technologies)에서 개발한 툴을 부분적 자동화시켜 이용해 시행하는데, 이러한 테스트를 경험해볼 수 있다는 것 자체가 유망 인재들에게는 큰 경험이 된다는 것이다.

 

맬리는 더불어 이들 직원들이 자신의 이력서를 멋지게 장식할 수 있도록 하는데 필요한 조언을 마다하지 않는다. 결국 그들 또한 언젠가는 떠날 것이라는 사실을 잘 알기 때문에, 그들의 입장을 잘 이해해주고, 함께 즐기며 배울 수 있는 공간을 마련해 줌으로써 오히려 그들이 오래 남아있고 싶어하게 되는 계기를 마련해 주는 것이 더 낫다는 것이 그의 판단이다. 이는 재정적인 부분에서 직원들에게 큰 만족을 주기엔 한계가 있는 기업들이 흔히 사용하는 전략이라 할 수 있다.

 

상당 수의 보안 기업들은 실력 미달의 직원들과 아무것도 모르는 새내기 직원들로 인해 골머리를 앓고 있다. 만약 실력이 조금 부족한 직원이 있을 경우, 필연적으로 기업은 그가 모든 것을 망쳐버리기 전에 그의 역할 범위를 최소화해야 한다. 즉, 그에게 상대적으로 중요하지 않은 일을 맡기라고 한 보안 소프트웨어 기업 엔지니어로 근무하고 있는 앤소니 스칼지티(Anthony Scalzitti)는 조언했다. (그는 그가 근무하고 있는 기업 명을 밝히길 거부했다) 실력 미달 직원들에게는 의심이 가는 로그 기록을 추적하는 업무를 부여하거나, 침입 감지 시스템 리포트 작성 등을 맡기는 것이 좋다고 더불어 말했다.

 

이들을 활용하는 또 다른 방법은 바로 기업 회의에 참여시켜 최근 기업 운용 현황을 보안 부서에 보고토록 하는 것이다. 그 스스로 회의에 참석함으로써 기업 조직의 많은 부분을 학습할 수 있을 것이고, 또 회의에 그가 참석함으로써 참가자들은 논의 및 설계 단계에서부터 보안을 의식, 고려하지 않을 수 없게 된다. 즉, 기업 의사결정 과정이 모두 끝난 이후 뒤늦게 보안 관련 이슈가 부각되는 부작용을 상당부분 억제할 수 있다는 것이다.

 

스칼지티는 “그가 굳이 회의장에서 많은 발언을 하지 않더라도, 자연스레 회의 참가자들은 보안 부서의 직원이 착석해 있다는 것 자체를 의식해 다가오는 프로젝트를 진행하는데 있어서도 표면적으로나마 보안을 생각하고 고려하게 된다”라며, “위와 같은 업무들은 실수를 저질렀을 때 크게 표가 나거나 기업에 피해를 끼치지 않으면서도 보안 직원들 중 누군가는 해야 하는 일이라 할 수 있다”고 덧붙였다.

 

그러나 로그를 추적하거나, 간단한 분석, 또는 회의 참석등과 같은 일부 단순 업무들에 대해 가치 없는 일이라며 막연한 거부감을 표하는 개성 강한 직원들도 존재한다는 것이 문제.

 

스칼지티는 “이런 유형의 직원들에게는 언론에서 화제가 되고 있는 이슈에 대한 조사를 진행하도록 맞기는 것이 최고”라고 조언했다. 언론에서 중요한 듯 떠들어대는 보안 관련 이슈들도 80% 이상이 결국 단순한 기회주의적 공격에 의해 비롯된 것이라는 사실을 깨닫게 하는 것이 포인트.

 

그는 “정보 보안 측면에서 볼 때 인터넷 상에는 해커가 공격할 수 있는 대상이 무수히 널려 있다”라며, “특정 기업에 대한 악감정이 있지 않는 이상, 해커들은 당연히 가장 보안이 취약한 곳부터 공약할 것”이라고 덧붙였다.

 

개성 강한 직원에게 그런 보안이 취약한 기업들에 대해 조사할 것을 지시하라. 스칼지티는 “시간이 걸리긴 하겠지만, 모든 보안 문제의 근본 원인이 어디에서 비롯되는 지를 학습할 수 있도록 돕는 것이 중요하다”고 충고했다.

 

나쁜 씨앗

 

다시 악의적인 감정을 가지고 있는 직원으로 관심의 대상을 돌려보자. 솔직히 초보 직원들을 학습시키거나, 다양한 방법을 통해 재정적인 불리함을 뒤집어 유망 인재들을 붙잡는 일은 충분히 해낼 수 있는 일이고, 가능한 일이다. 그러나 진정 악의를 가진 직원을 상대하는 것은 또 다른 차원의 이야기라 할 수 있다. 사실 가장 좋은 방법은 그를 애초에 채용하지 않은 것이다.

 

다행히도, 대부분의 조직들은 신규 채용 시 90일 간의 수습과정을 거치도록 의무화 하고 있다. 그 90일 동안 직원들을 면밀히 살펴보고 그가 우리 팀에 적합한 인물인지 아닌지를 파악해야 한다. 대부분의 주들은 90일 간의 수습기간이 지난 이후 직원들을 해고하는 것을 방지하고자 다양한 규정들을 마련해 놓고 있다. 그러므로 90일 내에 최대한 신규 직원들의 특성을 분석해 내는 것이 중요하다. 이상한 점이 조금이라도 발견되면 이에 대해 세심한 주의를 기울여야 할 것이다.

 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.