[넋두리 3] 16. 그야말로 속 빈 강정

보여주기식 보안에 치중된 현실

  기업들의 경우 대기업일수록 보안과 관련해 많이 투자하고 많은 활동을 한다고 홍보하고 있다. 그런데 이렇게 홍보하고 있는 기업들의 보안체계를 살펴보다 보면 특이한 점을 하나 발견할 수 있다. 대부분 기업들의 보안체계가 모두 비슷하다는 것이다. 흡사 Ctrl+C Ctrl+V 라도 한 듯이 말이다. 보안설루션 이름이 다르거나 도입된 보안설루션의 개수가 다른 경우를 제외하고 도입된 설루션도 같고 운용되는 형태도 대등 소이한 것이 사실이다.

  이렇듯 독창적 색깔 없이 거의 모든 기업들의 보안체계가 Ctrl+C Ctrl+V처럼 비슷하다는 점은 한 곳의 보안체계가 해킹으로 침해될 시 기업 전체가 비상이 걸리는 이유이기도 하다. 같은 방법으로 똑같이 침해될 수 있는 것이다.

  이렇게 매력 없고 색깔도 없고 취약하기까지 한 보안체계가 기업에 도입되게 된 이유는 단순하게도 법 때문이다. 너무 자세하고 구체적인 방안(모범답안)을 제시하고 있는 법으로 인해 기업들이 자신만의 색깔을 추구하기보다 하나같이 편리한 길을 선택해 너도나도 같은 보안설루션과 같은 보안정책의 도입을 진행한 것이다.

  로그인을 예로 들면 우리나라 모든 기업들의 로그인 보안정책은 같고 도입된 설루션들의 형태도 같다. 법에서 요구하는 모범답안이 존재하므로 모두 이를 따르기 때문이다. 구체적인 모범답안이 존재하는데 굳이 다른 기술적 방안을 애써 고민할 필요가 없다.

  요즘 화제가 되고 있는 제로트러스트도 마찬가지다. 정부 차원에서 모범답안(우수 구축사례)을 제시할 것이 뻔하므로 굳이 다른 구축방안(자신만의 창의적 방안)을 애써 고민하지 않는다. 그저 답안을 기다리다 나오면 그대로 할 뿐이다.

  이렇게 겉으로 보이는(법에서 요구하는) 보안 정책과 보안 강화 방법에만 집중해 '보안을 지키는 안전한 조직'이라는 이미지에 도취되는 행위를 '보여주기식 보안조치(Security Theater)' 다른 말로 '극장형 보안'이라고 한다.

  독창성과 창의성이 결여된 특색 없는 '극장형 보안'의 가장 큰 문제점은 획일적 구성이라는 특징으로 인해 해커의 손쉬운 먹잇감이 되기 쉽다는 것이다. 찾아낸 하나의 침투방법이 거의 모든 기업에게 적용 가능하기 때문이다. 더불어 기업은 법에서 요구하는 항목에 집중해 적지 않은 자원을 투자하고, 이를 안전한 보안이라 간주해 만족하기 때문에 이의 범위를 넘어서는 추가 투자가 이루어지기 어렵게 된다.

  이런 현실은 혹여 CISO(보안책임자)가 의지를 가지고 기업만의 창의적 보안체계를 구축해 보고자 해도 한계에 봉착하도록 만든다. 이미 법 요구사항 만족을 위해 적지 않은 비용이 투자되어 각종 보안설루션 도입, 정책 마련, 기본 보안활동, 유지보수 등이 이루어지고 있는 상태이므로 추가 투자가 필요한 창의적 보안활동을 펼치기에는 부담이 되는 것이다. 설사 운 좋게 개선의 기회를 얻었다고 해도 현재의 체계를 완전히 뒤집는다는 것은 기대하기 어렵다. 그저 어느 한 부분의 작은 개선 정도가 가능할 뿐이다. 

 

  그야말로 겉만 번드르르한 속 빈 강정인 셈이며, 이것이 기업들이 자랑하는 우리네 보안체계의 실상이다. 따라서 이렇게도 생각해 볼 수 있다. 해커로부터 침해당한 기업들은 너무 알려진 유명세 때문이거나 진짜 지지리도 복이 없는 운 나쁜 기업이라고 말이다.