[넋두리 5] 1. 정보보안 분야의 화두(8)

안전하다고 하면 거의 틀리다

"취약하다고 하면 거의 맞다. 하지만 안전하다고 하면 거의 틀리다"

  아무리 노력해도 보안에 100%는 없다는 것은 이제는 상식이라고 해도 과언이 아니다. 제 아무리 많은 보안설루션을 도입하고 취약점을 진단하고 수시로 모의해킹을 한다고 해도 어딘가에는 보안의 허점이 존재하기 때문이다.

  허점 즉 취약점이 있다는 것은 언젠가 해커들이 눈치채는 순간부터 안전하지 않다는 것. 즉, 해커들이 알게 되기 전까지의 한시적인 평화를 의미한다. 하지만 해커들이 언제 눈치채게 될지는 아무도 모르니 사실상 어느 한순간도 방심할 수 없고 안전하지 않은 상태와 같다.

  그러니 침해사고의 발생이란 그 허점의 존재를 누가 먼저 알게 되느냐에 따른 결과일 뿐이다. 해커가 먼저 알게 되면 공격을 통해 침해사고로 이어지는 것이요, 보안조직이 먼저 알게 되면 방어를 통해 허점이 사라지는 것이다.

"취약하다고 하면 거의 맞다. 하지만 안전하다고 하면 거의 틀리다"

  이 말은 보안을 하는 사람이라면 항상 가슴속에 품고 살아야 하는 화두이다. 그 어떤 IT 장비 IT 설루션도 안전을 장담할 수 없고 심지어 보안설루션도 예외는 아니기 때문이다. 혹시 누군가가 안전하다고 큰소리치면서 장담을 한다면 설사 그가 유명한 보안업체 직원이거나 나름 분야의 소문난 보안전문가라고 해도 다소의 과장과 허풍이 들어간 소리라고 치부하는 것이 좋다. 지나친 과신이나 방심이 사고로 이어지는 경우를 숱하게 봐오지 않았는가.

  보안조직이 아무리 열심히 취약점을 점검하고 모의해킹을 해도 취약점은 사라지지 않는다. 개발조직과 현업을 구슬리고 닦달해 발견된 문제점을 100% 조치한다고 해도 기쁨은 잠시뿐이다. 조만간 이전에는 몰랐던 새로운 취약점이 발견되게 마련이고, 예전에는 미처 발견하지 못했던 개발자의 설계오류가 다음 모의해킹에서 확인될 수도 있다. 그런 전차로 보안조직은 섣불리 안전을 장담할 수 없고 또 섣불리 안전을 장담해서도 안된다.

  어느 기업도, 설령 국내 굴지의 대기업이라고 할지라도, 보안진단의 결과가 100점으로 나온 경우를 지금까지 보지 못했다. 아마도 보안에 100점은 없음을 그리고 경솔하게 100점을 주어선 안된다는 것을 보안을 진단한 전문가(혹은 심사원이나 감사원)들이 경험적 본능적으로 느끼고 있기 때문일 것이다. 설령 위의 화두를 몰랐다고 하더라도 말이다.

  최고경영진들은 보안조직의 리더인 CISO에게 항상 이렇게 묻는다. "우리 회사는 안전하지요?"라고. 누가 알겠는가? 오직 신만이 알고 있을 뿐. 기업의 IT환경은 항상 취약할 가능성을 가지고 있고, 누구도 안전하다고 장담할 수 없다. 보안에 대한 투자가 미흡한 경우라면 취약할 가능성은 더욱 높아진다. 그래서 대부분의 CISO는 이렇게 답변할 수밖에 없다. "최선을 다하고 있습니다"라고.

  혹자는 이렇게 말하기도 한다. 말이라도 "안전하니 걱정 마십시오. 저희만 믿으십시오"라고 왜 못하냐고. 그게 회사생활에 좋고 조직생활을 하는 방법이라고. 사실도 좋고 정직한 것도 좋지만 좀 융통성 있게 살라고 말이다.

  그것도 나쁘지 않다. 100점은 어차피 불가능하니 목표를 95점 정도로 잡는 것이 오히려 현실적이다. 그리고 95점의 보안 수준을 달성했다면 회사는 안전하며, 이를 위해 보안조직이 최선을 다했음을 최고경영진에게 열변을 토해도 좋다. 95점을 달성했다면 말이다.

  혹시 100점을 꿈꾸는가? 꿈일 뿐이다. 솔직히 95점도 좋다. 그냥 좋은 게 아니라 상당히 좋다. 사실 95점도 보안조직이 최선을 다하지 않으면 쟁취하기 어려운 점수이다. 그리고 5점 정도의 오점(污点)은 남겨두는 것이 좋다. 언제 어디서 어떻게 발생할지 모를 사고는 항상 그 5점으로 인해 생긴다는 긴장과 경계의 자극제로 말이다.