인간 중심 보안 전략

Trust but verify

예전부터 ‘보안은 인간의 문제(People Problem)’라고 많은 전문가들은 언급하였다. 그럼에도 불구하고 보안 전문가들은 얼마나 ‘인간을 이해하고, 변화시키려고 노력했는 가’에 대해서는 누구도 자신할 수 없을 것이다. 더욱이 디지털 시대에 진입하면서 예방 중심의 강압적 보안대책으로는 한계가 있으며, 지나친 기술적 보안대책에 대한 의존으로 오히려 우회 행위를 초래하는 결과를 낳고 있다. 또한 지능정보사회가 본격화되면서 인간과 기술에 대한 통제력도 점차 약화되고 있으며, 새로운 디지털 서비스와 제품을 개발하기 위해서는 협업과 자발적인 창조역량을 키워야 하는 시대적 요구사항을 더 이상 외면할 수 없는 상황이 도래했다. 이러한 상황적 배경으로 인해 기존의 기술적 보안대책 중심의 접근방법의 한계성을 인정하고 인간 중심 보안(People-Centric Security: PCS) 전략을 고려해야 할 시점이다. 

인간 중심 보안은 원칙과 신뢰를 기반으로 개별 사용자의 권한과 이와 관련된 책임을 명확히 할당하고, 강압적/예방적 보안대책을 최소화하는 대신, 이상 징후의 신속한 탐지와 지속적 교정을 강조하는 접근방법이라고 정의할 수 있다. 즉, 과거의 ‘아무도 신뢰하지 않는(Trust no one)’ 패러다임에서 ‘신뢰하되 확인하는(Trust but verify)’ 패러다임으로의 변화라고 볼 수 있다. 조직 구성원의 자율성, 소통, 탐구 등을 통하여 개별 사용자의 신뢰 영역을 확장하면서 정보의 소유자가 보안에 대한 궁극적 책임을 지며, 임직원들은 각자 행동에 대한 책임을 진다는 책임성 원칙, 예외적 행동에 대한 실시간 탐지할 수 있는 투명성 원칙, 관련 제재 조치가 즉각적으로 실행되어야 하는 즉시성 원칙, 위험에 크기에 따라 필요 대책이 구현되어야 하는 비례성 원칙 등 제반 원칙 기반의 보안활동이 수행되어야 한다.

그러나 이러한 인간 중심 보안이 구현되기 위해서는 아래와 같은 전제조건이 만족되어야 한다. 즉 최고경영층의 리더십과 함께 임직원의 책임과 자율성을 촉진하는 문화가 조성되어야 하며, 권한에 따른 책임을 이행하고자 하는 임직원들의 노력과 의지가 필요하고, 의사결정과 행동 결과에 대한 개별 사용자들의 명확한 이해가 전제되어야 한다. 직원의 바람직하지 못한 행동과, 이로 인하여 발생할 수 있는 제재조치가 명확히 연계되어야 한다. 즉 조직 내 자율적이며 관리 역량이 어느 정도 성숙된 작업환경을 전제하고 있다. 

이러한 전제조건을 만족하기 위해서는 다음과 같은 두 가지 프로그램이 구현되어야 한다. 첫째, 정교한 인식 제고 및 교육을 포함하는 보안문화 변화관리 프로그램이 구현되어야 한다. 개별 사용자의 권한과 책임에 대한 인식 수준에 그치는 것이 아니라, 태도 및 실제 행동에 영향을 줄 수 있도록 정교한 교육 프로그램이 구현되어야 한다. 즉 전통적인 교육 프로그램은 보안에 대한 중요성 인식과 보안을 위한 기술적 역량을 습득하고 숙달하는 데 중점을 두었으며, 교육 실행 방법도 집체 교육과 교육시간 충족 위주로 수행하다 보니 효과가 있다고 보기 힘들다. 개인 사용자의 책임과 자발성을 유도할 수 있기 위해서는 인지 부조화 이론, 넛지 이론, 행동경제학 등의 사회과학 이론을 접목한 효과적인 커뮤니케이션 프로그램 개발이 필요하며, 게임 및 심리학 등을 이용하여 일반 임직원들이 쉽고 재미있게 참여할 수 있도록 유도해야 한다. 인간의 인식과 행동을 바꾸는 것은 장기적인 노력이 필수적이며 궁극적으로는 긍정적인 보안문화를 형성하기 위한 변화관리 노력이 수반되어야 한다.

둘째, 정교한 모니터링 프로그램이 구현되어야 한다. 보안 탐지 기술(DLP, SIEM, DAM 등)을 통한 정보 접근에 대한 투명성을 제공하고, 사용자 행위에 대한 모니터링 결과를 분석할 수 있는 역량 강화가 필요하다. 신뢰 속에서도 정책 위반 행위를 즉시 색출하여 즉각적 대응을 하고 교정활동을 위한 피드백을 제공해야 한다. 사용자 행위 분석(User Behavior Analytics, UBA)이 기존의 전사적 보안 솔루션과 연계되어 상호 보완적인 활동을 할 때 비로소 효과적으로 정책 위반자를 탐지할 수 있을 것이다. 또한 보안정책이나 지침에 대한 경각심을 높이기 위해서는 이벤트 기반 메시지 시스템도 효과가 있을 것이다. 사용자가 시스템상에서 특정 권한을 요청하거나 활동을 할 때, 관련 위험요인 및 책임에 대한 사항을 팝업 메시지로 주지 시킴으로써 본인의 활동이 모니터링되고 있다는 사실을 주지 시킴과 동시에 필요 보안 행위를 제시하는 방안도 중요할 것이다.

혹자는 ‘인간 중심 보안이 예방적 기술적 보안대책을 무시하는 것이다’라는 오해가 있을 수 있다. 오히려 예방적 통제는 올바른 행위를 유도할 수 있는 가드레일 역할 또는 안전망(Safety Net) 역할을 한다고 할 수 있다. 즉 보안기술 사용에 대한 인식을 바꾸는 것이라고 할 수 있으며, 자율성을 보장하면서 보안대책의 투명성을 제공하는 방향으로 기술을 적용해야 한다는 것이다. 즉 DRM(Digital Right Management)와 같이 선택적으로 비밀문서를 보호하거나, UBA와 같이 사용자 행동을 예측할 수 있는 애널리틱스 기술, 이벤트 기반의 IAM(Identity Access Management) 기술 등은 적극적으로 활용해야 하며, 부적절한 행동을 못하게 막으려고 노력하기보다는 오히려 모범사례를 제시하고 가이드해줄 수 있는 기술을 적용해야 한다.

이러한 인간 중심 보안을 구현할 때 고려해야 할 것은 현존하는 조직문화를 무시할 수 없다는 점이다. 신뢰기반의 조직문화가 공고하지 못하다면 전폭적으로 인간 중심 보안을 적용하기 어려울 수 있다. 이런 경우, 조직의 특정 부서(예: 위험 수준이 낮거나, 전통적 보안 전략이 실패한 부서)를 선정하여 시범적으로 인간 중심 보안을 적용할 수 있을 것이다.  

보안 접근방법은 인간에 대한 관점에 따라 상이하게 전개될 수 있다. 어차피 인간은 절대적으로 악하지도 않고 선하지도 않다. 더 이상 성선설, 성악설로 인간의 속성을 획일적으로 매도하는 것은 옳지 않다. 이제는 신뢰 기반 하에 교육을 통해 선한 모습을 장려하면서 모니터링을 통해 악한 모습을 사전에 예방, 탐지하는 방향으로 패러다임을 변함으로써 ‘보안은 사람 이슈’라는 근본적인 문제를 해결할 수 있도록 노력해야 할 것이다. 

인간 중심 보안 프레임워크