Why Information Security Fails Often in Korea? (2)

이 글이 국내 정보보안을 하는 모든 이에게 단비가 되었으면 한다.
옳고 그름을 떠나 독자들이 “맞아맞아 진짜 이래” 하며 동의한다면 어떻게 풀어나가야 할지 진심으로 함께 고민해야 될 때다.

D. Who performs the task of information security for my organization? – Outsourcing in real

가슴에 손을 얹고 한 번 상기해 보자.
본인은 보안 업무를 하고 있는가? 아니면 보안 업무에 관련되어 있는가? 또는 보안 업무하는 사람이 보안을 잘 하고 있는지 관리/감독하고 있는가? 보안 부서에 있다면 내 역할은 무엇인가?  정보보안 전문업체에 있다면 내 역할은 무엇인가?  정보보안 서비스를 제공하고 있다면 보통 어떻게 진행되고 있으며 자부심을 느낄 만한 수준인가?

이 물음에 자신있게 대답할 수 있다면 굳이 이 글을 안 읽어도 좋다. 앞서 큰 그림을 그려본 다음 내용에서 (*) 부분을 다뤘다. 여기서 Bold체 부분을 중심으로 다뤄보자. 사실 이 문제를 나누는 것은 의미가 없으며 실제 현업에서 동시다발적으로 일어나게 마련이다. 예를 들어 설명하는 게 와닿으므로 부분부분 경험과 허구를 섞어 또 얘기해 보겠다.

  • 상사 또는 임원의 얘기와 관심사가 항상 우선이다.
  • 정보보안에 종사하는 이(또는 정보보안 관련부서)의 지식에 의존하여 판단하는 경우가 많은데 지식 부족과 예산 한계 문제로 의사결정자와 소통이 원활하지 않다.
  • 문제점을 알고 개선해야 한다고 인식하고 있으나 그냥 둘 수 밖에 없다.
  • 대형 조직의 경우 수직상하적이고 관료주의 문화가 배여 있다.
  • 기술적인 문제가 생겼을 경우 문제 자체보다는 책임부서와 책임자를 가리기에 급급하다.
  • 보고문서를 작성하는 데 과도하게 리소스를 낭비하는 경향이 있다.
  • 급한업무 때문에 중요업무가 뒷전인 경우가 잦다.
  • 부서 간의 보이지 않는 갈등이나 부서간 지나친 경쟁 등으로 인해 NIMBY, PIMPY 현상이 빈번히 발생한다.
  • 전문분야의 경우 대부분 외주위탁(outsourcing)을 통해 해결하며 특히 계약관계에서 갑을 관계로 인해 실제 경쟁력 있는 기술제공과 그에 상응하는 대가를 제공하는 테이블에서 공평하지 않은 계약을 한다. 
  • 사실상 자산이나 현황 관리 자체가 잘 되고 있지 않다. (*)
  • 조직 내 복잡한 정치적 상황이나 이해관계, 논리 등이 얽힌 경우 계약 또는 프로젝트 등이 지연되거나 폐기되기도 한다.
  • 결국 검토 끝에 대비책(countermeasure)은 보안 솔루션을 도입으로 종료되는 경우가 많고 일단 도입해서 운영하면 많은 부분이 자연스레 해결된다고 생각한다. (*)
앞서 수없이 쏟아져 나오는 보안 솔루션을 언급했다. 일반적으로 보안 전문기업이 아닌 조직에서 보안 장비 또는 솔루션에 투자함으로써 무엇을 얻을 수 있다고 기대할까? 여러 Scene에서 봤듯이 하나의 보안 솔루션을 도입하기 위해 (즉 투자하기 위해) 큰 조직일수록 투자비가 클수록 시간이 더 걸린다. 수없이 수정되는 보고문서에는 추진개요, 현황분석과 함께 어김없이 뒷부분에 기대효과라는 부분이 등장하는데 향상, 개선과 같은 상당히 추상적인 어구가 특히 포함된다. 게다가 상급자의 입맛에 맞게끔 통과되기까지 수없이 수정하는 이 보고서의 효력은 사실상 싸인을 하는 순간까지인 경우가 많다.

여기 보고는 이렇게 되어 있는데 어떻게 하죠? – 괜찮아, 일단 결재 났으니깐.

그 이후의 실제도입, 운영, 관제 등 지속적으로 잘 돌아갈 수 있도록 기름칠을 하고 문제가 발생하면 교체하고 분석하는 일은 보통 어디서 할까? 자사인력으로 보안장비를 운영하고 관제하는 곳은 드물다. 행여 그렇다 할지라도 그 업무 종사자의 대우는 사뭇 다른 경우도 많다. 맞다. 업체가 한다. 업체란 말도 갑을관계가 짙게 묻어나는 용어다. 좋은 말로 아웃소싱이라고 하며 원래 목적은 직접 하기 힘든 전문영역은 해당분야를 전문적으로 하는 곳에 맡기고 내부적으로 경쟁우위 업무자체에 집중하려는 데 있었다.이는 조직마다 추구하는 바가 다르기 때문에 매우 그럴 듯하게 들린다. 하지만 정보보안, 좀 더 넓게 해석하여 한국에서 IT 전문기업의 아웃소싱은 아쉽게도 그냥 돈주고 자신이 하기 귀찮은 일 또는 잘 모르는 일을 해주는 업체일 뿐이다. 혹자는 그렇지 않다고 할지도 모른다. 하지만 이 관계의 왜곡은 상당부분 정보보안 발전에 위해요소가 되고 있다. 소위 업체는 보안 솔루션(장비) 도입이 결정되는 순간부터 여러 가지 추가적인 짐을 안고 가야 한다.

[1] 아웃소싱 = 갑+을+병+정 

첫째, 갑은 연 투자금액의 한계와 서비스를 종용하며 금액을 낮추고자 한다. 사실 흥정이란 시장경제의 가격이 좀 더 합리적으로 보일 수 있는 윤활유 역할을 하기도 한다. 문제는 과도할 경우에 나타나는데 보통 조직에서 도입부서와 구매부서는 나눠져 있기 때문에 할인율이 높을수록 보너스를 챙겨갈 수 있는 구매부서에서 (늘 그렇지 않지만 인센티브가 대부분 존재한다) 낮은 가격을 제시하게 되고 때로는 울며 겨자먹기로 맞추기도 한다. 영세한 보안장비 제조업체나 신규 보안솔루션 제공업체의 경우 대고객 확보나 선점효과를 누리기 위해 출혈경쟁을 하는 것이다. 이는 단기적으로 상호 상생하는 모습으로 비춰질 수 있으나 장기적으로 보면 서로 잃는 게임이다. 재화와 서비스를 제공하는 쪽은 제값을 받지 못해 연구개발과 기술지원 인력에 어려움을 겪게 되고 좋은 보안인력을 보유하기도 확충하기도 힘들게 된다. 반대의 경우 시간이 지날수록 유지보수비만 지불하면서 제대로 된 기술지원 서비스를 받지 못하게 된다.

일단 해 달라고 해, 뭐 안 되면 딴 데로 바꾸지.

둘째, 갑은 보안 솔루션 도입 시 종종 업무 프로세스 연관성, 내부 시스템과 호환성, 그리고 효율성과 사용성을 고려해 원활하게 돌아갈 수 있는 맞춤형(Customized System) 개발을 요청한다. 이를 좋은 말로 Customizing이라고 하기도 하는데(개인적인 견해는 갑이 좋아하는 용어 중 하나다) 솔루션이 제공하는 세부설정이나 약간의 수정을 요구하는 경우를 의미한다. IT가 복잡해짐에 따라 자연스레 발생하는 문제이기도 이는 국외의 경우도 마찬가지다. 해외 솔루션을 보면 소프트웨어를 제공할 경우 내장(Built-in) 방식이나 아주 간단한 수준의 코드 레벨의 수정 이외는 하지 않는다. 그래서 실제 더 품질좋은 해외 보안장비가 있다고 해도 맘대로 주무르기 편한 국내업체를 선정하는 경우도 있다. 국내 솔루션 도입의 대체적인 이유는 국가 경제 발전이나 내수산업 활성화가 아니라 바로 Customizing 용이성과 접근성이다. 하지만 국내의 경우 일반적으로 개발이 개입될 경우 보안 솔루션과 현저히 다른 영역으로 진행되는 경우가 허다하며 투입인력(M/M) 또한 가늠하기 힘들어 을의 입장에서 난감한 경우가 잦다. 개발투입인력 산정은 추정방식이 있으나 보안 솔루션과 관련된 표준방식이 없어 대략적인 근거로 진행하는 경우가 잦은데 이 역시 실제 프로젝트와 다르게 돌아가는 경우가 많다. 단도직입적으로 얘기해서 개발비가 예산을 초과해도 받지 못한다는 거다.

그 문제는 알아서 처리하셔야죠. 내부 사정까지 저희가 봐 줄 순 없는 거 아닌가요?

게다가 갑은 프로젝트가 진행되는 중간중간에 개입하여(개입자체가 잘못된 건 아니다) 요구사항(requirement)을 지속적으로 변경한다. 이런 변경요청은 때로는 전체 프레임워크를 바꾸거나 프로젝트 기간과 리소스에 현저히 영향을 미칠 수 있음에도 불구하고 무언의 압력으로 진행되는 경우도 허다하다. 을 내부에서도 요구사항 변경 건의 경우 영업과 엔지니어 사이에서 잦은 갈등을 볼 수 있다. 그럼 위와 같이 서비스 품질 저하와 불만족의 악순환(vicious cycle)이 계속된다. 심지어 무리한 요구사항이나 무조건 강요 등으로 인한 관계 악화로 프로젝트 중간에 담당자가 병원신세를 지내거나 그만둬 바뀌는 사례로 적지 않게 볼 수 있었다. 결국 누구 손해일까?

(오픈을 한 주 앞두고) 이 부분만 급히 좀 바꿔야겠어요, 저도 위에서 들은 내용이라.

조금 더 나아가 생각해 보자. 이미 이런 경우를 많이 당한 을의 경우는 갑의 변덕을 예상하고 병과 정까지 끌여들여 또다른 계약을 하는 경우도 있다. 대부분 이런 경우 불법이거나 계약상 위반으로 명기되어 있더라도 공공연히 이루어진다. 복잡하게 생각할 필요없이 갑이 지불한 금액은 을,병을 거쳐 수수료를 제한 후 정이 맡게 되어 힘든 프로젝트는 낮은 임금을 받은 개발자 몫으로 돌아간다. 그럼 개발된 시스템의 품질은 갑의 수준에 못 미치기도 하며 (결코 낮은 임금과 개발자와의 관계를 논하는 게 아니다. 유능하지만 제대로 대우 못받는 IT업계 종사자 무수히 많을 것이다) 해당 시스템의 보안 수준조차 의심스러울 수 있다. 보안 솔루션과 연관된 보안 시스템이 취약하다? 보이지 않는 잔여위험으로 충분히 존재할 개연성이 있다.

그 가격에 맞춰 주세요. 저희도 올해 책정한 예산이 그거밖에 안 되네요.

그 뿐이 아니다. 유지보수는 어떨까? 맞춤형 제작의 RISK를 그대로 안고 있다. 코드 제작자 입장에서는 각기 다른 회사에 각기 다른 코드와 소프트웨어를 제공해야 하다보니 무지 복잡하고 코드 관리가 어렵다. 전문적으로 소프트웨어를 취급하는 회사가 아닌 일반 보안회사라면 버전관리 또는 변경관리가 더욱 쉽지 않으며 (인력난인 경우가 많다) 문제해결할 수 있는 사람도 개발인력 한두명에 국한된다. 그 인력이 더 이상 해당 업무를 맡지 않으면 유지보수가 불가하다는 의미다. 자, 이게 현실이다. 보안을 잘 하고자 하는 열정은 둘째 치더라고 기존의 불공정한 관례와 단기적인 안목이 점점 그릇된 길을 가게 되는 것이다. 시간이 지나면 그 누구도 돌리지 못할 만큼 이상한 형태로 남는 경우도 있으며 이미 그 땐 뿌리부터 잘못되어 있음을 알지만 근절하기 어려운 상태가 된다. 보안에 앞서 조직에서 본인의 위치가 위태해질 만큼 큰 위험을 감수하려는 자가 얼마나 되겠는가? 그냥 안고 가는 것이다.

다 보신 거죠? 저 ㅇㅇ님만 믿고 따로 확인 안 해도 되는 거죠?

셋째, 시간이 지날수록 보안 솔루션의 운영 또는 유지보수가 기계처럼 돌아가는 경향이 있다. 오래된 솔루션일수록 갑은 을에게 의존하게 되며 을 또한 매우 정기적인 통과의례처럼 진행한다. 운영자는 편의상 을과 보안장비 계정을 공유하거나 접속 경로를 알려주기만 하고 실제적인 현상 파악에 소홀해지기 쉽다. 매번 매월 정기보고서에 “xx를 패치해야 합니다”, “업데이트해야 합니다”, “장비(솔루션)가 단종되어 교체해야 합니다” 라고 작성한들 갑의 관심과 투자범위에 멀어져 있다면 수개월, 수년간 방치되는 경우도 많다. 보안 솔루션은 돌보고 신경쓰는 만큼 이용할 수 있다.

[2] 아웃소싱: 관제와 운영

정보보안 아웃소싱 분야에서 보안 솔루션을 제조 공급하는 파트가 있다면 이를 이용해 관제하고 운영하는 파트가 있다. 앞서 제조공급에 대해 살펴봤으니 운영과 관제에 초점을 맞춰 보자. 물론 대부분 아웃소싱이다. 실제 자세히 들여다 보면 정보보안은 자체인력으로 감당할 수가 없다. 자체인력은 인건비가 비싼 만큼 운영과 관제를 동시에 하기가 힘들며 자체인력이라 하더라도 내부적으로 급여수준 등 처우가 다르게 설계되어 있는 경우도 있다. 특히 관제의 경우 일년내내 근무를 누군가는 해야한다는 부담으로 99% 이상 아웃소싱이라고 봐도 틀리지 않을 것이다. 실제 IT는 IT를 주업으로 하지 않는 조직의 경우 90% 이상은 아웃소싱이다. 구성원이 10,000명이 넘는 거대한 조직에도 실제 정규직원은 10명이 채 되지 않는 경우도 있다. 1명이 1,000명을 어떻게 담당하냐고? 사실 인원보다 제공하는 서비스와 보호해야 할 자산이 더 중요하다. 어쨌건 자산과 제공서비스는 정규직원에 대체로 비례하니 글쎄다. 가능하다기보다 가능하게 보이게 한다는 게 맞지 않을까?

자, 이를 위해 내놓은 서비스가 보안 관제이다. 요즘 들어 MSS(Managed Security Service)란 이름으로 탈바꿈해 보안관제를 제공하던 국내 보안 회사 뿐 아니라 외국 회사에서도 오래 전부터 제공하던 서비스다. 24/7 Monitoring, 24시간 동안 사고징후가 있는지 계속 봐 줄 사람이 있다는데 그 서비스를 받는 자는 얼마나 안심스러운가? 하지만 보안업종 종사자 시각에서 보면 이들은 24시간 순환근무를 할 수 밖에 없다. 비록 체력좋은 20대라 할지라도 실제 밤낮을 바뀌어 근무하는 자가 지속적으로 할 수 있는 직업은 아니다. 실제 건강상의 이유로 많은 관제 인력들이 3~5년 이내 주간근무로 이전하려 하고 이는 높은 이직률로도 이어진다. 높은 인력 회전율은 role-based task가 잘 만들어지지 않는 경우 효율적인 관제를 하기가 어렵다. 다시 말해 보안 이슈나 문제가 발생해도 눈치채지 못할 수 있다는 의미다. 공격자는 나날히 교활해지고 공격기법도 고도화되는 현실을 직시해 보면 관제의 중요성은 실로 크다고 할 수 있다.

걔는 또 이번에 어디간대? 또 사람 뽑아야겠네, 인사팀에 공고 내라고 해.

하지만 더 큰 문제는 관제라는 Position 자체에 있다. 공격탐지(detection) 이후에도 그들이 주도적으로 할 수 있는 일은 극히 제한적이다. 단순히 그 사실을 알리는(inform) 업무까지로 제한되는 경우가 많다. 조금 더 들여다보면 당연한 결과다. 직접 침해사고에 대한 대응을 하려면 네트워크 packet을 열어보거나 다양한 장비의 로그 기록을 우선 참조할 필요가 있다. 하지만 그들은 그럴 권한이 없다. 바로 아웃소싱이라는 훌륭한 제도 때문이다. 자체적으로 보안팀을 구성하고 있다 해도 관제를 직접하는 경우는 없다고 봐도 되며, 실제 관리업무와 보고서 작성에 훨씬 많은 시간을 투자하기 마련이다. 국내 보안종사자는 사실 보안 관제를 모니터링에 국한한 단순업무로 보는 경우가 많으며 관제인력의 역할과 책임을 크게 가져가지도 않는다.

보안 관제를 통해 알아낼 수 있는 영역은 사실 매우 많이 있지만 그 배후에는 매우 적절히 잘 설계되어 있어야 함을 전제로 한다. ESM에서 받는 수많은 로그를 한 번 생각해 보자. 무엇보다도 한 눈에 모든 로그를 한 군데서 볼 수 있다는 생각은 훌륭하다. 하지만 실제 그게 가능할까? 네트워크 구간은 단순 내부/외부/DMZ 구간으로 나눠져 있지 않고 보다 복잡하며 라우팅 경로도 다양하다. (특히 국내와 해외가 연결될 경우) 이는 관제인력이 정확한 정보를 바탕으로 여러 로그를 재구성하기 위해서 상당히 많은 지식과 권한을 가지고 있어야 한다는 뜻이다.

일단 어디까지 보고된 거지? 이번은 내 선에서 처리하도록 할 테니 애들 교육 잘 시켜.

하지만 현실은 어떤가? 정보보호 책임자(‘장’이라는 직책 또는 직급)는 자주 이런 얘기를 한다. 관제는 뭐하냐? 거기 맨날 모니터 쳐다보고 있는데 아닌지? 할 일 없을 텐데 일거리 좀 더 만들어야 되지 않나? 좀 더 심한 타 부서 책임자는 아예 보안을 싸잡아 얘기하기도 한다. 보안은 뭐하냐? 바쁘다고 말만 하는데 뭘하고 있는지 모르겠다. 보고서에는 뭔가 주저리주저리 올라오는데 뭔지 도통 모르겠다. 인원은 왜이리 많나? 적정수준이 맞는지? 최근 수 년간 보안사고가 나기 전 보안부서의 위상은 아마 전반적으로 크게 다르지 않았을 거라 생각한다. 지금은 위상이라기보단 책임질 부서가 필요한 듯 보인다.

고사하고 다시 관제와 운영으로 돌아가 얘기해 보자. 관제는 이런 오해를 빌미로 본인의 원래 업무를 하지 못하는 경우도 상당하다. 관제업무 영역이나 핵심적인 역할을 이해하지 못하는 자로 인해 매번 불필요한 잡다(필자는 이를 잡무라고 표현하고 싶다, 이보다 더 나은 단어가 있음 추천해 주심 고맙겠다) 업무를 지시한다. 아니 때로는 강요한다. 이를 잘 반영해 주는 게 보고서다. 관제는 보고서가 무척 많다. 일일/주간/월간/연간보고서는 기본이고 특이 보고와 긴급 보고가 수시로 작성되며 외부언론이나 믿을 만하지 못한 ‘카더라’ 소식통에도 일일이 보고 대응을 해야 한다. 사건사고나 국가대사는 물론 명절이나 연휴가 되면 어김없이 관제 강화 멜을 송수신하는 모습이 하루이틀 모습이 아니다. 놀라운 사실은 이런 보고서를 눈여겨 보는 이는 참 드물다는 거다.

왜 하는지는 저도 잘 모르겠습니다. 하라고 하니깐 작성하는 거죠. 하루이틀 일도 아니고 이젠 익숙해요.

문제는 이런 형태의 업무가 아니라 그로 인해 정말 중요한 것을 잃고 있다는 사실이다. 매번 급한 일 때문에 중요한 일은 묻힌다.매번 쳇바퀴 도는 듯한 유형의 보고서 작성과 역할과 책임의 분리, 그리고 경계가 애매모호한 지시가 수동적인 보안 문화를 굳혀가고 있다. 정보보안사전에서 효율성이라는 단어는 어느새 복종이란 단어로 탈바꿈하지 않았나 싶다. 보안 운영 부분도 크게 다르지 않다. 운영이 해야 할 업무는 앞선 블로그에 언급했으므로 새삼스레 따로 얘기하지 않겠다. 그렇다면 아웃소싱을 하지 말라는 소리인가? 아니다. 보안운영과 보안관제가 할 일이 왜곡되어 조직에서 투자하는 만큼 결실을 보고 있지 못하고 있다는 의미다. 그래서 조직이 지불하는 금액만큼 서비스를 못받고 있으며 갑이 상당한 원인 제공하고 있다는 거다. 이 영역을 다뤄야 하는 게 컨설턴트의 몫이 아닐까 한다. 하긴, 갑은 보안 컨설턴트의 말도 사실 잘 듣지 않는다. 참고만 할 뿐(그 정도도 감사하다) 실제 제3자의 외부 컨설턴트 결과에 의해 보안이 좌지우지되는 건 보지 못했다. 혹시 그런 사례가 있음 공유해 주시라.

Leave a Reply

Your email address will not be published.