brunch

You can make anything
by writing

C.S.Lewis

[넋두리 3] 9. 정보보안 분야의 화두(7)

보안은 제품이 아니라 절차다

Security is a process, not a product(보안은 제품이 아니라 절차다).


  아는 사람은 알고 모르는 사람은 모르는 이 말은 정보보안업계에서 유명한 화두이자 격언이다. 2000년에 브루스 슈나이어(Bruce Schneier)라는 사람 글 "The Process of Security"라는 수필집에서 처음 언급되었고, 그 이후 두고두고 회자되고 있는 표현이기도 하다.


  오래전 나온 이 화두를 가물가물한 낡은 기억의 한구석을 구석구석 뒤져가며 다시 꺼내 들었다. 아무리 생각해도 요즘이 이 화두가 가장 필요한 때라는 느낌을 지울 수가 없었기 때문이다. 아니 오히려 이제부터가 이 화두의 의미를 되새겨볼 적기라고 느꼈다는 것이 더 적합한 표현일 것이다.


  법이 시켜서 또는 해커의 위협에 노출되어서 등의 여러 이유로 기업의 내부는 각종 보안제품으로 겹겹이 쌓여있다. 실제로도 문제를 해결하기 위해 여러 방안을 고민하고 다양한 무언가를 시도해 보는 것보다 차라리 보안제품을 도입하는 것이 가장 손쉽고 빠른 방법일 것이다. 어떤 곳은 도입한 보안제품이 너무 많아서 가끔은 보안담당자조차 도입한 보안제품을 헛갈리기도 하는 것이 요즘이다.


  현실이 이렇다 보니 어느새 보안조직의 주요 역할도 기업의 보안전략과 비전을 고민하기보다는 보안제품을 운영하는 단순 운영조직으로 전락해 버린 느낌이다. 실제로 지금의 기업들은 부지불식간에 도입된 많은 보안제품들에 기업의 안전을 의존하는 처지로 전락한 상태다. 이쯤 되면 "제품을 도입했으니 이제 위협은 없는 거지요?"라는 최고경영진의 질문은 당연한 질문이기도 하다. 보안제품을 사면 모든 것이 안전할 것처럼 과장되고 부풀려진 요즘의 제품만능주의 분위기에서는 말이다.


  옛말에 구슬이 서 말이라도 꿰어야 보배라고 했다. 아무리 좋은 보안제품이라도 잘 쓰여야 안전이라는 도입의 효과가 따라오는 법이다. 각종 보안제품들로 직원용 단말기부터 네트워크 영역까지 온통 도배를 해놓았는데도 여전히 침해사고가 발생하는 이유는 무엇이겠는가! 바로 문제의 본질이 다른 곳에 있기 때문이다. 사람.


  사람이 조심하고 사람이 신경 쓰면 되는데 그러지 않아서 대부분의 사고가 발생한다. 아무리 말을 해도 누군가는 말을 듣지 않고 또 누군가는 반드시 일탈을 행한다. 사람은 본능적으로 속박당하고 구속되는 걸 싫어해서 항상 정해진 규칙을 위반하려고 시도한다. 그리고 흔히들 얘기한다. "규칙은 깨기 위해서 있는 거야"라고. 그 결과는 꼭이라고 해도 좋을 만큼 침해사고로 이어지게 된다.


  아무리 좋은 보안제품이 도입되어도 기업이라는 단체의 구성원들이 협력하지 않으면 그 효용은 반감될 수밖에 없다. 이런저런 이유와 때로는 직위를 이용한 반강제적 으름장을 통해 보안정책의 예외가 하나둘씩 추가되다 보면 어느새 한아름이 되고 보안설루션의 도입취지는 유명무실해지고 만다.

  

  이런 전차로 오늘의 화두가 등장하게 된 것이다. "보안은 제품이 아니라 절차다"라는 화두는 보안의 규칙과 정책이 내재된 보안절차를 준수하는 구성원들의 자세를 에둘러 요구하는 표현이기도 한 것이다. 침해사고는 항상 조직의 가장 취약한 부분 즉 보안절차가 지켜지지 않은 허점을 통해 발현되기 때문이다.


  단, 명심해야 할 것이 있다. 보안제품은 해커와 같은 악의를 가진 사람들의 불의한 행동을 차단하거나 감시하기 위한 목적으로 개발된다는 것이다. 따라서, 본래의 개발목적을 충실하게 달성하는 것이 중요하며, 그 과정에 사람에 대한 배려는 없다. 보안제품에서 제공하는 강력한 보안기능을 어떻게 보안절차에 녹여낼 것인지에 대한 진지한 고민이 필요한 이유다.


  사람에 대한 배려가 담겨있지 않은 보안절차는 복잡하고 어렵다. 사람에 대한 배려가 담겨있지 않은 보안절차는 업무수행 과정에 많은 불편함을 야기한다. 그 결과 구성원들의 불만을 야기하게 되고 그 자체로 지켜지기 어려운 이유를 내재하게 된다. 애당초 사람에 대한 배려를 고민하는 것은 제품이 아닌 온전히 사람의 몫이었던 셈이다.


  너무 많은 보안제품들이 난립하는 요즘. "보안은 제품이 아니라 절차다"라는 화두가 보안제품의 도입보다 '어떻게 보안제품을 활용할 것인가', '어떻게 구성원들이 보안절차를 지키도록 할 것인가'가 더욱 중요함을 다시금 되새겨주고 있다.

이전 08화 [넋두리 3] 8. 정보보안 변화관리(2)
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari