보안

보안 전문가들이 실패하는 이유 (그리고 대책)

Dan Lohrmann | CIO 2010.12.09

 

‘실패는 성공의 열쇠’라는 말쯤은 누구나 들어보았을 것이다. 하지만 보안 전문가라는 사람들은 실패로부터 무엇을 배우는 걸까?

 

계정 도용과 온라인 위험이 계속 증가하는 이 시대에 보안 분야는 과연 어려움에 적절히 대처해나가고 있는 것일까? 과거의 실수를 되풀이하고 있는 것은 아닐까? 보안 기술이 향상되는 것에 맞춰 범죄자들도 더욱 진화된 툴을 사용하고 있다. 그렇다면 보안 전문가 역시 진화하고 있는 걸까?

 

사람들은 으레 직원 교육과 기술 보안 자격증을 늘려야 한다고 말들을 한다. 그런가 하면 급여를 올려주거나, 범죄자들에 대한 이해를 높이거나, 임원 리더십 교육을 늘리거나, 최고위 경영자의 영입이 필요하다고 말하기도 한다. 이런 게 도움은 되겠지만 이를 모두 갖추고도 실패하는 보안 담당자가 여전히 있으니 이건 어찌된 일일까?

 

필자는 세계 여기 저기를 돌아다니면서 보안 전문가의 실수를 유발하는 몇 가지 공통적인 함정을 파악했다. 보안 성과를 극대화하는데 효과가 있는 것은 무엇이고 그렇지 않은 것은 무엇일까? 필자는 이 글에서 보안 전문가가 참고할만한 7가지 문제와 해답을 제시한다.

 

문제 1: 보안 전문가들이란 매사에 부정적이다

보안 전문가들은 어딘지 겉도는 사람이라는 인상을 받기가 십상이다. 이런 생각은 보안 컨설턴트의 신뢰성에 위협이 된다. 문제를 가져오자는 건가, 아니면 해법을 제시하자는 것인가? 당신에 대한 기업의 인상이 부정적이지는 않은가?

 

클라우드 컴퓨팅을 예로 들어보자. 기술 분야는 클라우드의 도입을 서두르고 있다. 그런데 새로운 클라우드 아키텍처의 변화적 측면과 ROI에 대한 긍정적 기사들이 수 없이 쏟아져 나오고 있는 이 때 보안 분야는 클라우드가 안 되는 이유만을 떠들어대느라 바쁘다.

 

해답 1: 촉진제 역할을 하라. 어떻게 하면 좋으냐고? 고객에게 ‘아니오’라는 말부터 하지 말라. 확실한 해법을 제시하라. 금지하는 이가 아닌, 구현하는 이가 되라. 프로젝트를 정시에, 예산에 맞춰, 적정 보안 수준으로 납품하는 것을 어떻게 보장할지 이야기하라. 기업이 자신의 해법을 가치 있게 생각하는지, 아니면 장애물로 보고 있는지 자문하라.

 

필자가 2004년 미시간 주 CISO로 있을 때 ‘무선 통신은 불가’라는 입장이었다. NSA를 비롯한 여러 기관에 있는 전문가들의 말을 인용하며 무선 네트워크는 보안이 전혀 불가능하다고 말했다.

 

그런데 당시 필자의 상사로서 지금은 캘리포니아 CIO로 있는 테리 타카이가 필자의 보안에 대한 생각에 의구심을 던지면서 몇몇 회사의 사례에 따라 무선 보안을 전개하도록 했다.

 

테리가 해주었던 조언은 필자의 보안에 대한 접근방식을 다시 생각해보는 계기가 됐다. 시간이 흐르면서 필자는 신기술을 촉진하는 사람(enabler)으로 알려지게 됐고 미시간주는 우리가 만든 무선 보안 네트워크로 상도 받았다.

 

문제 2: 한가지 해법만을 제시하는 보안 전문가

보안 전문가가 2번째로 흔히 저지르는 실수는 사이버 보안에 대해 천편일률적인 접근방식을 취한다는 점이다. 사물을 흑백논리, 가령 암호화되어 있거나 암호화되어 있지 않은, 이런 식으로만 본다.

 

기업 아키텍처 팀이 정말 괜찮은 설계를 제안하고 이에 프로그래머, 네트워크 담당자 등 모든 사람이 의견을 같이하는데 보안전문가만 나섰다 하면 아키텍처를 송두리째 바꿔놓는다는 인식이 일반적이다.

 

방화벽, 구역, 제한사항, 신규 블랙 박스 같은 것을 추가하려 한다. 이렇게 되면 비용이 증가하여 프로젝트가 진척될 수 없기 마련이다. 보안 담당자 생각에는 이러한 해법을 내놓는 게 긍정적일지 모르지만 다른 사람들 눈에는 장애물로 보일 뿐이다.

 

해답 2: ‘1안, 2안, 3안’을 각각 제시한다. 최소한 3가지의 대안을 제시하려고 노력하라. 가트너, 포레스터, 기술 전문 잡지에서, 그리고 다른 회사에 다니는 지인에게서 다른 해법들을 찾아보라. 유관 협회, 과거 직장 동료, 외부 전문가에게 문의하면 다채로운 해법을 도출하는데 도움이 될 것이다. 기업이 각 선택안에 따른 위험을 이해하도록 도와주고, 그들이 최종 선택을 하도록 하라.

 

유의할 점: 비용이 가장 적게 드는 해법을 고르는 사람들을 조심해야 한다. 효과적이지 않거나 감당할 수 없는 대안은 아예 추천하지 말아야 한다. 분위기가 완전히 저비용으로 기울었다면 저비용의 해법을 전개한다는데 동의하기 전에 이에 따른 위험에 관해 분명히 한다.

#######

문제 3: 겸손하지 않은 보안 전문가

어느 고객이든지 긍정적이고 우호적이고 겸손하고 인내심 있는 태도를 가진 사람과 일하고 싶어하는 것은 당연하다. 불행한 일이지만 그런 태도를 가진 보안 전문가를 찾아보기가 쉽지 않다(보안 전문가끼리 만나 이야기를 할 때는 태도가 달라진다). 프로세스 따위는 안중에도 없고 그저 시급을 다투는 일만 신속히 조치하라고 요구해버리는 편이다.

 

보안 전문가는 공포, 불확실, 의심(fear, uncertainty and doubt: FUD)에 대해 훈계를 늘어놓지만 정작 훈계한 내용을 실행하지는 않는다. 왜일까? FUD를 정기적으로 갱신하기만 하면 되기 때문이다.

 

보안 담당자는 법적 준수, 어둠의 해커, 멀웨어 문제, 제3세계 위협, 계정 도용이라는 비장의 카드를 하나씩 꺼내 든다. 이들 문제가 진정 해결해야 할 가치가 있는 유일한 문제인 척 할 수도 있다. 요지는 자신의 본분 그리고 보안 팀의 존재 이유를 망각하고 있다는 것이다.

 

해법 3: 전문가적 탁월함과 진심에서 우러나는 겸손함을 가져라. 옛말에 ‘자만심은 파멸에 이르는 길’이라고 했다. 보안 전문가는 이 말을 마음 속 깊이 새겨야 한다.

 

사악한 무리들은 계속해서 진화하고 있다. 보안 전문가가 기업을 보호하고자 무엇을 하고 있던 간에 이를 무력화시키려고 어느 때보다 더 열심히 노력하고 있다. 이 사실 하나만으로 보안전문가는 자신의 일에 대한 그리고 진정한 임무 완수에 대한 시각을 바꿔야 하지 않을까?

 

오늘 효과가 있던 게 내일은 무용지물일 수 있다. 그러므로 보안 전문가는 자신이 전개하는 보안에 관해 다른 사람에게 확답하는데 신중해야 한다. 이 영역의 목표에는 원활한 협업과 아울러 보안이 짜맞추어 넣어진, 정립된 프로젝트 수명 주기 프로세스(project life-cycle processes)를 준수하는 게 포함된다.

 

진짜 급할 때가 아니라면 되도록 비상 상황을 선언하지 마라. 양치기 소년으로 전락할 수 있다. 존중 받는 팀 구성원의 한 사람이 되려고 노력하라. 타인에게 대접받고 싶은 만큼 똑 같이 타인을 대접하라. 한가지 요령은 사무실 소프트볼 팀에 가입하거나 여타 회사 오락 활동에 참여하는 것이다.

 

문제 4: 고객에 대해 속단하지 말라

여기 다소 골치 아픈 의뢰인이 있다고 하자. 곰곰이 생각한 결과 컴퓨터 보안에 대해 문외한이라는 결론에 이르렀다. 자신이 어떠한 위험에 처해 있는지 알지를 못한다. 그냥 재빨리 문답식 점검이나 하면서 진행하고 싶어한다. 이들은 제어 수단에 돈을 쓰지 않을 것이므로 이제 보안 전문가는 감사들에게 자신이 규제를 준수하고 있음을 설득하려고 노력하는 것 말고는 별다른 선택의 여지가 없을 것이다.

 

그런데 이 보다 더 나쁜 게 뭐냐 하면 이들이 보안에 대해 절대 이해하지 못할 거라고 판단하고 아예 감정적으로 손을 떼버리는 것이다. 그렇게 되면 프로젝트 미팅은 은연 중에 그들 대 우리라는 구도로 흘러가게 된다. 문제는 무언가를 할 돈과 영향력과 권한은 그들에게 있다는 것이다.

 

해답 4: 사람과 보안을 분리해 고객 관계를 개선하라. 대형 SI 프로젝트를 수도 없이 성공적으로 마무리한 바 있는 한 전문가는 “언제나 사람, 프로세스, 기술적 문제를 극복해야 한다. 그런데 이들 문제는 난이도 면에서 서로 비슷하지조차 않다. 어려움의 90% 이상은 진실로 사람에 관한 문제이다”라고 필자에게 토로한 바 있다.

 

우선, 기업은 사람들로 이루어진다. 이들 사람은 가족이 있고 골프를 치거나 다른 게임을 하고 지역 스포츠 팀을 응원한다. 이 사실을 기억하면 이들을 악마 같이 생각하거나 거칠게 매도하려는 충동이 가라앉을 것이다. 나아가 현재 다루고 있는 난해한 문제 그리고 의견이 맞지 않은 사람을 서로 분리하는 것도 도움이 된다.

 

이 관계는 현재 처한 문제보다 더 오래 지속될 거라는 사실을 기억하라. 한 번에 한 사람씩, 기업과 친숙해져라. 신뢰를 쌓아라. 고객과 점심을 함께 하며 그의 말을 듣는다면 좋지 않은 일도 무난히 넘길 수 있는 관계가 자연스럽게 형성될 것이다. 고객들은 대개 전문가가 아니므로 알아차리지 못한 고객의 니즈는 없는지 파악하라.

#######

문제 5: 개인 사이버 윤리, 보안전문가는 내부의 적인가?

보안 전문가 중에는 자신은 선량한 해커여서 다른 사람들이 준수해야 할 정책쯤은 지키지 않아도 된다고 생각하는 사람들이 많다. 한 익명의 해커가 설파하는 다음의 말을 음미해보자.

 

“사이버 윤리라고? 이봐, 해커들 치고 이게 황당한 말이라고 느끼지 않는 사람이 있을 것 같아? 규칙 따위는 애들과 우리 이외의 사람들에게나 적용되는 말이지. 정책? 지금 장난하나? 그런 건 현실에선 아무 소용 없어. 이봐, 이건 전쟁이라니까. 사이버 전쟁은 멈추는 법이 없어. 사랑과 전쟁에서는 모든 게 공정한 법이야.”

 

이런 말을 곧이 들었다간 망가지기 십상이다. 현실은 영리하면 영리할수록 사이버 보안 전문가로서 발전할 가능성이 더 높고, 해커로 더 나아갈수록 유혹에 빠지기가 더 쉽다. 사악한 사람들이 무엇을 어떻게 하는지 알게 되고, 감지를 피하는 새로운 수법, 영업 상의 비밀, 방어막을 구축하고 회피하는 최고의 방법을 알게 된다면 일련의 중대한 갈림길을 만나게 될 것이다.

 

보안전문가의 윤리, 가치, 신념은 어쩔 수 없이 시험대에 오른다. 이는 마약 두목을 체포하고 숨겨둔 마약과 현금을 찾아낸 경찰과 비슷하다. 보는 사람이 없으니 조금 챙겨버릴 생각인가?

 

해답 5: 책임성을 추구하고 훌륭한 멘토를 찾고 가상 공간에서의 정직함을 실천하라. 보안 전문가로서 위험 관리에 치중하라고 주장하지만 이들은 정작 본인의 개인적 또는 직업적 삶 앞에 놓인 네트워크 위험을 과소평가하는 것을 보면 경이롭기까지 하다고 느낄 때가 한두 번이 아니다. 이들은 자신의 직업, 명성, 결혼, 가족을 위험에 빠뜨리고, 심지어 감옥에 갈 위험마저 있다. 이들은 사이버 공간에서 무엇을 하던 잡히지 않을 자신이 있다고 생각하는 것이다.  

 

이 함정에 빠지지 않을 몇 가지 비결을 이야기하겠다.

 

1) 존경할만한 동료로부터 실천적 윤리 행동에 대해 조언을 구한다. 당신과 직업적 가치관을 공유하는, 책임을 물을 수 있는 상대(accountability partners)를 찾는다. 책임은 승리자를 위한 것이지 패배자를 위한 것이 아님을 기억한다. 최고의 음악가, 예술가, 운동선수는 코치가 이들의 책임을 유지한다. 향상을 원한다면 책임감을 갖는 것은 필수이다.

 

2) 당신이 존경하고 믿을만한 업계 멘토를 찾아라. 이 사람에게 당신의 직업적 경력에 관한 결정 방향을 이야기하고 그 말에 책임을 지라.  

 

3) 7가지 온라인 정직성 습관을 실천한다. 자신의 핵심적인 신념 및 윤리 경계를 파악하고 가치 있다고 생각하는 것에 매달려라.

 

문제 6: 경력 상의 고갈 증상

보안 전문가는 대개 직업 경력이 일정 시기에 이르면 심리적 및 감정적 고갈(burnout) 증상을 경험한다. 지난 해의 한 여론조사에서 설문에 참여한 보안 전문가 중 절반 이상이 직업에 만족하지 못한다고 응답했다. 한 온라인 상담 가이드에 따르면 다음과 같은 징후가 있다면 고갈을 향해 가고 있는 것이다.

 

* 하루라도 불운하지 않은 날이 없다.   

* 일이나 가정 생활에 주의를 기울이는 게 에너지 낭비로만 보인다.

* 언제나 지쳐 있다.

* 하루 중 대부분을 진저리가 날 만큼 지루하거나 아니라면 감당하기 힘든 작업에 매달려 있다.

* 무슨 일을 하더라도 달라질 게 아무것도 없거나 제대로 평가 받지 못한다는 느낌이다.

 

해답 6: 인내심과 직업-삶의 균형. 스트레스 그리고 심지어 고갈 증상마저 일의 한 부분이라고 생각하도록 한다. 기후 변화를 예견하듯 스트레스에 대비하자. 경계 신호에 주의하자. 심리적 및 감정적 고갈의 징후를 기민하게 알아차리는 것이 첫 번째 할 일이다.

 

두 번째 할 일은 1년에 한번쯤 느긋하게 한 걸음 물러나 상황을 되돌아보는 시간을 갖는 것이다. 휴가 시간을 계획하고 최소한 휴가의 일부분 동안이라도 연락을 끊은 채로 지내려고 노력한다. 휴가 중 일을 해야 한다면 경계를 철저히 구분하라. 신뢰하긴 하지만 견해가 다른 사람들과 일에 대해 이야기를 나눠본다. 필요하다면 의사의 전문적인 도움을 받는다.

 

세 번째 할 일은 직업이 단거리 경주가 아니고 마라톤임을 인식하는 것이다. 필자는 찰스 R. 스윈덜 목사의 “이제 끝장이다. 희망이 없다. 고갈되었다. 소진됐다. 대체되고 잊혀졌다. 이러한 말들은 모두 거짓말이다”라는 메시지를 전해주고 싶다. 희망은 언제나 존재한다.

 

문제 7. 직업에 대한 정체된 시각

 

우리는 파레토 법칙이 얼마나 강력한지 알아야 한다. 파레토 법칙은 우리 일의 결과 중 80%는 20%의 원인에서 나온다고 설명한다. 존 C. 멕스웰은 자신의 저서 ‘리더십 101: 리더라면 반드시 알아야 하는 것들’에서 일터에서의 파레토 법칙을 이야기한다. 예를 들면 다음과 같다.  

 

* 20%의 시간이 80%의 결과를 산출한다.

* 20% 사람이 당신의 시간 중 80%를 차지한다.   

* 20%의 업무가 80%의 직업 만족을 준다.

* 20%의 사람들이 80%의 결정을 만든다.

* 20%의 프레젠테이션이 80%의 결과를 만든다.

 

나아가 맥스웰은 성공적이면서 최대의 효과를 거두기 위해서는 태도, 관계, 준비, 리더십이라는 4가지 영역의 기술을 개발해야 한다고 지적한다. 하지만 많은 보안 전문가들이 지속적인 향상을 위해 어떤 노력도 하지 않거나 오로지 전문 기술 향상에만 노력을 기울인다.   

 

해답 7: 직무를 넘어 솔선수범하는 사람이 되라. 어떻게 하면 안이하고 정체되고 활기 없는 직업적 삶에서 벗어날 수 있을까? 보안적 맥락에서 파격적(상식을 뛰어넘는)인 사고란 무엇일까? 어떻게 하면 직업, 나아가 고객에 도움이 되는 보다 넓은 시각을 얻을 수 있을까?

 

실용적인 전략을 몇 가지 소개해본다.

 

1) 무엇보다도 중요한 것은 당신의 직무는 존중 받을 만하고 괜찮은 것이라고 생각하는 것이다. 항상 명시된 직무를 완수하라. 그렇지 않으면 나태하다고 인식되고 존경을 받지 못할 것이다.

 

2) 핵심적인 위원회나 중요한 특별 팀에 자진해서 참여하라. 역할에 따른 기대를 솔선해서 행하고 이에 부응하고 이를 넘어서려고 노력하라. 블로그나 위키를 시작하라. 지식을 쌓아놓지만 말고 그냥 베풀어 줘라.

 

3) 좋은 생각을 떠올린다. 조직의 해결되지 않은 니즈가 없는지 찾아본다. 경영진과 이들 문제에 대해 그리고 이의 유망한 저비용 해법에 대해 논의한다. 자신이 속한 조직을 넘어서는 제휴 관계를 생각한다. 당신 앞에 놓인 범업계적 기회가 무엇인지 생각한다.

 

필자의 고등학교 축구 코치는 “똑 같은 일을 계속할 수 없다면 남다른 결과를 절대 얻을 수 없다”라고 일깨웠었다. 이 진리를 보안 분야에도 적용하자. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.