M(Monitoring): 관찰하라
"통제가 아닌 관찰로의 인식 전환이 필요"
"직원의 실수도 기술로 막아라"
보안업계에서 오랫동안 근무하면서 가장 많이 듣고 또 질문했던 대화 중 하나가 바로 절차에 대한 언급이다. "보안절차가 있느냐?" "직원들이 절차를 숙지하고 있느냐?" "직원들에게 절차를 교육하고 있느냐?"처럼 절차를 만들라고 요구하는 형태의 질의들도 있고, 침해사고가 발생하면 "왜 직원들이 절차를 지키지 않았느냐?"와 같은 추궁 형식의 질의들도 있다. 형식과 문서화를 중시하는 기업문화에서 보안절차는 꼭 있어야 하는 것으로 간주된다.
하지만 "보안절차를 잘 만들고 직원들에게 교육만 시키면 기업이 내외부의 침해로부터 안전해집니까?"라고 묻는다면 그건 전혀 다른 차원의 얘기라고 할 수 있다. 보안절차가 있다고 기업의 보안 수준이 향상되지는 않기 때문이다. 그럼 보안절차가 왜 필요할까? 가령 A 기업에게 침해사고가 발생했다고 가정해 보자. A 기업에게 보안절차들이 있는가 없는가는 이후의 과정에 적지 않은 영향을 끼칠 수 있다. 마치 보안절차를 구비했음에도 침해사고가 발생한 경우와 침해사고가 발생했는데 확인해 보니 보안절차도 없는 경우처럼.
실제 기업 내부에 존재하는 보안절차들 중 상당수는 보안의 효과가 떨어졌거나 아예 상실해 유명무실한 경우도 다수 존재한다. 이유야 어떻든 절차가 존재한다는 것은 빠른 업무처리를 원하는 직원들에게 있어 일정 수준의 처리속도 저하요소이기도 하고, 다른 한편으로는 귀찮음을 유발하는 요소인 것이다. 그렇다 보니 이런저런 갖은 이유와 강압, 협박으로 예외처리가 생겨나게 되고, 이것이 누적되다 보면 애초 기획했던 보안 수준을 달성하지 못하는 지경으로 효과가 떨어지거나 아예 상실하는 경우까지 생겨나게 된다. 따라서 보안절차가 없는 것보다야 있는 것이 낫다는 다소 원론적인 표현은 할 수 있지만, 보안절차가 있다고 실질적 보안의 수준을 높여주지는 못하는 것이 현실이다.
보안절차 중 많은 수는 기업이 도입한 보안설루션과 연관이 있다. 보안설루션을 통해 통제/차단하던 것을 보안절차를 통해 허용하는 방식이 일반적이다. 하지만 직원들이 올린 보안절차 신청서를 대부분 상사(파트장/팀장/부서장)들은 상세한 검토 없이 말 그대로 영혼 없는 승인을 하고 있어 보안설루션 도입의 취지를 무색하게 만든다. 그러니 많은 보안설루션을 도입했다는 것은 많은 보안절차를 만들었다는 말과 다르지 않고 동시에 많은 예외처리가 이루어지고 있음과도 다르지 않은 것이다.
한 가지 예로 상당수 기업들은 기업에서 제공하는 그룹웨어 메일 이외 인터넷에서 제공하는 웹메일은 사용하지 못하도록 차단하는 정책을 채택하고 보안설루션을 통해 차단하고 있다. 웹메일을 사용하기 위해서는 보안절차를 통해 예외신청을 하면 된다. 그리고 실제 상당수의 직원들이 예외를 인정받아 웹메일을 사용한다. 차단정책의 본래 취지 자체가 무색해지는 현실로서 접수된 많은 예외를 적용하느라 보안설루션 운영담당자의 업무만 증가시킨 결과를 양산한 꼴이다.
부언하면 보안절차를 통한 침해예방의 효과는 미미하다. 오히려 우리가 주목해야 할 것은 이미 도입된 보안설루션들이다. 남용된 예외처리로 인해 보안설루션 도입의 효과가 낮아진 것이지 설루션이 가진 기술적 능력이 낮아진 것은 아니기 때문이다. 설루션들은 쉬지 않고 동작하고 있고 예외처리 작업을 포함한 많은 정보를 수집하고 있다.
보안조직과 보안담당자들은 설루션들이 수집하는 이 정보에 주목할 필요가 있다. 엄청나게 많은 이 정보들을 한 곳에 모아 잘 분석할 수 있다면 외부에서 유입된 악성코드의 은밀한 실행여부, 내부정보를 외부로 반출(유출)하는 임직원의 행위, 외부 웹메일을 통한 내부자료의 전송, 내부규정을 위반한 의도치 않은 직원의 실수 같은 중요한 상황들을 빠르게 탐지하고 대응하는 것이 가능하다.
많은 통제의 적용은 불평불만과 함께 통제에서 벗어나고자 하는 많은 일탈을 불러오게 마련이다. 기업에게 있어 보안절차가 이에 해당한다. 따라서 생각의 전환이 필요하다. 통제가 아닌 관찰 즉 모니터링을 통해 보안 수준을 강화하고자 하는 방향의 전환. 통제 없는 자유로운 업무환경을 제공하여 업무의 생산성을 높이되 강력한 관찰(모니터링) 체계를 구축하여 작은 일탈이나 위반행위까지 찾아내어 예방/제재할 수 있도록 함으로써 직원들의 긴장과 경각심을 유지할 수 있도록 말이다.
강력한 관찰체계가 구축된다면 보안성을 상실한 보안절차들은 과감히 걷어내는 것이 좋다. 있으면 불편하고 없어도 그만이다. 중요한 점은 도입된 보안기술들이 직원들을 통제하는 수단으로 인식되어서는 안 된다는 것이다. 마치 공기처럼 그런 게 있는지도 모르는 것이 가장 좋다. 그러다 어느 순간 악성코드 감염을 인지해 빠르게 조치해 주고, 직원의 실수로 발생한 잘못된 처리를 인지해 사고를 예방해 주고, 안 좋은 생각으로 잘못된 행위를 하고 있을 때 메일이나 메시지로 경각심을 일깨우고 환기시켜 주는 정도 그 정도가 딱 좋다.
사실 이렇게 하자고 기술을 발달시키는 것 아니겠는가!