보안 위험을 최소화하기 위한 위험관리 및 대응방안

이마트 5분치킨, 홈플러스 당당치킨, 롯데마트 한통치킨 이들의 공통점은 무엇일까?

바야흐로 대한민국의 치킨전쟁을 촉발한 마트치킨의 가성비템이라고 볼 수 있다. 지금은 역사의 뒤안길로 사라진 용달차 다마스도 안전문제나 환경오염 등의 문제들이 제기되어 왔으나 차량 공간에 비해서 합리적인 가격을 앞세워 자영업자들에게 오랜 시간 사랑받아왔다. 샤오미 전자제품 역시 가격경쟁력의 우위와 함께 참신한 아이디어와 높은 기술력으로 ‘대륙의 실수’를 넘어 글로벌 전자제품시장을 선도하는 ‘대륙의 기적’으로 발돋움하고 있다.

이처럼 ‘가성비’는 국내를 넘어 전 세계 경제시장을 뒤흔드는 주요 키워드로 자리 잡았으며, 이는 보안 업계에서도 쉽게 찾아볼 수 있다. 일반적으로 생각하는 ‘보안’의 이미지를 떠올리면 납득하기 어려울 수도 있다. 위험한 순간에는 매우 필요한 존재지만 위험하지 않은 순간에는 필요성을 느끼기 어렵기 때문이다. 24시간 365일 호시탐탐 우리의 개인정보나 중요자산들을 노리는 공격자에게 맞서 싸우기 위해서는 엄청나게 많은 비용을 투자하거나 대규모의 인력이나 시간을 투입하여야 한다.

하지만 현실적으로 이렇게 많은 자원을 무한히 투자하는 것은 낙타가 바늘구멍을 통과하는 일만큼 불가능에 가까운 일이다. 그렇기 때문에 우리에게 필요한 것은 보안의 가성비다. 현실적으로 완벽한 보안을 구현하는 것은 어렵기 때문에 투자 대비 높은 효과를 얻기 위해서는 가성비를 극대화해야 한다. 그게 바로 오늘 이야기할 ‘보안의 황금비율’이다.

1. 보안 가성비의 핵심, 위험의 구성요소 이해하기

보안 가성비를 극대화하기 위한 황금비율을 찾아 나서는 기나긴 여정에 앞서, 보안의 가성비에 영향을 미칠 수 있는 구성요소들에 대해 먼저 살펴보자. 사이버 세상은 구체적인 형체가 없이 눈에 보이지 않기 때문에 ‘집’이라는 하나의 매개체를 통해서 살펴봐야 한다.

예를 들어 우리는 지금부터 넓은 광야 한가운데 안전하게 살 수 있는 ‘집’을 짓고자 한다. 우리의 목표는 가족들이 안전하게 생활할 수 있는 소중한 보금자리를 지속적으로 관리해서 안전한 상태를 유지하는 것이다. 그렇다면 우리의 ‘집’의 안전을 위협하는 요소들이 무엇이 있을까?

홍수나 태풍으로 집이 침수되거나 폭설로 인해 건물이 붕괴하는 등 인간의 힘으로 대응하기 어려운 자연재해가 집을 위협할 수 있다. 또한 전쟁이나 테러와 같이 외부의 물리적인 충격으로 집이 폭파되거나 훼손될 수도 있다. 물론 자연재해나 물리적 충격과 같은 외부 요인들로 인해서만 집의 안전이 위협받는 것은 아니다. 건물 노후화로 집이 부서지거나 도둑이 들어와 금전적인 피해를 볼 수 있다.

우리가 살펴본 ‘안전한 우리 집’을 유지하는 데 방해가 되는 요소들을 바탕으로 본격적인 보안의 가성비를 높일 수 있는 성공방정식을 만들어 보고자 한다. 먼저 우리가 여러 위협 요소로부터 안전하게 관리하고자 하는 대상인 ‘집’은 ‘자산(Asset)’이라는 단어로 표현할 수 있다. 자산은 경제적인 가치가 있는 유형 또는 무형의 재산을 의미하는데, 물리적인 건축물인 집이나 집에서 보관하는 귀금속 등이 대표적인 예시이다.

이걸 보안에 접목하면 사이버 환경을 구성하는데 필요한 컴퓨터나 데이터베이스 등은 유형자산이라고 하고, 기업 이미지나 데이터 등은 무형자산이라고 한다. 기존에는 위치 정보, 구매 이력, 바이오 정보와 같은 데이터 등을 자산으로 인식하는 경우가 낮았으나 최근에는 인공지능이나 머신러닝과 같은 기술의 발달로 인해 데이터를 활용하여 가치를 창출하는 경우가 높아짐에 따라 무형자산을 안전하게 관리해야 한다는 인식이 높아지고 있다.

금전적 피해나 정신적 피해, 물리적 피해 등은 ‘위협(Threat)’이라고 한다. 자산에 손실을 끼칠 수 있는 원인이나 행위들을 의미한다. 이러한 위협이 발생하려면 이를 유발하는 잠재 속성 ‘취약점(Vulnerability)’이 있어야 한다. 취약점은 위협과 굉장히 밀접한 관계를 맺고 있는데, 취약점의 존재여부에 따라서 위협이 발생할 수도 있고 발생하지 않을 수도 있게 된다. 언뜻 보면 비슷한 의미라고 생각될 수 있으니 예시를 통해 더 구체적으로 설명하겠다.

먼저 집이라는 자산에 다량의 현금을 보유하고 있고 도둑은 집에 둔 현금을 훔치고자 하는 상태라고 가정해보자. 도둑들은 집에 현금이 있는 것을 알고 있기 때문에 집을 염탐해서 안으로 들어올 경로를 확인할 것이다. 물리적으로 집을 폭파할 수도 있겠지만, 더 편한 방법을 찾던 중 제대로 잠그지 않은 현관문을 발견하게 된다. 도둑은 잠그지 않은 현관문을 통해 수월하게 안으로 들어올 수 있게 되고 결국에는 현금은 도둑의 손에 들어갈 수 있게 된다.

여기서 집 안에 있는 현금은 자산(Asset)이 되고, 제대로 잠그지 않은 현관문은 취약점(Vulnerability)을 의미하게 된다. 열려 있던 현관문을 통해 집안의 현금을 가지고 달아나는 행위는 위협(Threat)이라고 할 수 있다. 이때 중요한 것은 현관문이 잘 닫혀 있었다면 도둑은 집안으로 진입할 수 없었을 것이고 현금도 훔치지 못했을 것이다. 따라서 위협이라는 것은 취약점이 존재하는 경우에는 발생할 수도 있게 되는 것이고 취약점이 없는 경우에는 발생하지 않게 되는 것이다.

만약 이 과정에서 도둑이 집 안으로 들어올 수 없게 CCTV로 감시하고 있거나 경비원이 있어서 안으로 들어가려는 사람들을 검문하고 있는 경우였다면 도둑이 들어갈 수 있었을까? 바로 이러한 방법들이 ‘보호대책(Countermeasure)’이라고 할 수 있다.

보호대책은 보안의 가성비를 결정할 수 있는 중요한 요소 중에 하나로 보안의 성공방정식을 의미하는 위험(Risk) 수준을 결정하는 데 많은 영향을 끼치게 된다. 위험은 우리의 자산에 발생 가능한 위협에 대한 손실의 기대치나 가능성을 의미하는 것이기 때문에 가성비 좋은 조건으로 최대한 낮은 위험 발생 가능성을 만들기 위해서는 적절한 수준에서 위험을 감소할 수 있는 방법들을 적용해야 한다.

보안의 성공방정식은 자산, 위협, 취약점 등을 분석하여 위험의 유형이나 규모를 결정하는 위험분석(Risk Analysis)에서 시작된다. 위험은 자산의 가치나 위협 및 취약점의 발생 가능성, 보호대책의 효과 등 다양한 요소의 상호작용으로 인해 위험발생 가능성에 영향이 발생하기 때문에 구성요소 간의 조건들을 고려해야 한다. 자산, 위협, 취약점이라는 위험의 주요 구성요소(Components)들을 식별하고 위협이나 취약점으로 인해 발생할 수 있는 피해범위의 발생확률 및 가능도(Probability & Likelihood)를 고려해야 한다.

2021년에 가장 많이 악용된 취약점 중의 하나인 Log4Shell(CVE-2021-44228)은 취약점의 위험도를 수치화한 ‘CVSS(공통 취약성 스코어링 시스템) v3’을 기준으로 10점 만점의 10점을 받은 가장 위험한 취약점이다. 취약한 버전의 Apache Log4j를 사용하는 경우, 내부 시스템에 접속하지 않고도 외부에서 공격 명령어를 전송하면 공격자의 의지대로 시스템을 조정할 수 있게 된다. 하지만 아무리 위험한 취약점이라고 할지라도 취약점에 영향을 받지 않는 버전을 사용하고 있거나 Apache Log4를 적용하지 않고 있는 환경에서는 취약점의 영향도가 낮아지거나 사라지게 된다.

다음으로 고려해야 하는 사항은 보안대책의 영향도(Impact)이다. 보안대책은 위협이나 취약점이 유발될 수 있는 발생확률 및 가능 등을 고려하여 관리적, 물리적, 기술적인 보호대책을 통해 위험을 최소화할 수 있다. 보안대책에서 중요한 것은 소요비용이나 기술적 제약사항, 컴플라이언스 이슈 등에 대한 현실 가능성 있는 대안을 선정하는 것이다.

2. 보안사고를 대응하기 위한 위험관리 방안

적정한 보안대책 수립을 위해서는 위험의 구성요소인 자산, 취약점, 위협, 보호대책 등을 분석하고, 이 결과를 바탕으로 적절한 위험 수준까지 유지할 수 있는 보안대책을 제시하는 위험평가를 수행해야 한다. 현행 위험을 평가한 결과를 바탕으로 이를 수용할 수 있는 수준인 'DoA(Degree of Acceptance)'까지 위험을 관리하기 위해서는 크게 4가지 위험관리 방안이 적용된다. 바로 위험회피(Risk Avoidance), 위험전가(위험전이, Risk Transfer), 위험완화(위험감소, Risk Mitigation), 위험수용(Risk Acceptance) 등이다.

일반적으로 보안 강화를 목적으로 주로 사용하는 방식은 ‘위험감소’이다. 위험감소는 취약점으로 악용될 수 있는 요소들을 통제해 위험 수준을 낮추는 것이다. 물론 이 방식이 완벽하게 위험을 제거할 수 있는 방법은 아니다. 하지만 완벽하게 취약점을 제거하기 위해서는 상당한 시간과 비용이 소요된다. 그래서 위험감소를 활용해 적정한 수준으로 위험을 관리하여 공격 영향도를 줄이는 것이 궁극적인 목표이다.

다음으로 많이 사용되는 방식은 ‘위험수용’이다. 비용대비 효과를 판단하였을 때 위험이 발생할 가능성이 작다고 판단하거나 위험을 감소시키기 위해서 시간과 비용이 과다하게 발생하는 경우에 활용된다. 간단히 말해 일정한 수준 이하의 위험들은 감수하는 방식이다.

세 번째로는 위험으로 발생하는 책임을 제3자에게 넘겨주는 ‘위험전가’ 방식이 있다. 위험전가는 우리가 자주 접하는 ‘보험’의 개념을 생각하면 된다. 지진이 발생할 확률이 현저히 낮은 지역에 1층짜리 단층건물을 건설하는데 고가의 비용과 시간을 소요하면서 내진설계를 적용하는 것은 현실적이지 않다. 이런 경우에는 자연재해가 발생하였을 때 보상을 받을 수 있는 풍수해보험에 가입하여 지진을 포함한 태풍, 강풍, 해일, 대설 등과 같은 발생확률이 낮은 위험을 대비할 수 있게 되는 것이다.

마지막으로 살펴볼 항목은 ‘위험회피’다. 위험회피는 위험이 발생할 가능성이나 상황을 애초부터 제거하는 것을 의미한다. 지진이 발생할 수 있는 지역에는 애초부터 건축물을 건설하지 않는 것과 같이 위험을 처리하는 과정에서 일부 불편함을 감수하고서라도 위험을 발생을 저지하는 방법이라고 할 수 있다.

위험관리가 중요한 이유

지금까지 보안에서 위험이 발생하는 데 영향을 미치는 요소와 위험을 최소화하기 위한 방안에 대해 살펴보았다. 수용 가능한 수준으로 위험을 관리하기 위해서는 위험관리 절차에 따른 지속적인 자산 식별과 중요도를 산정하는 것이 중요하다. 특히 최근에는 조직의 에코시스템이 온프레미스와 클라우드 같은 외부 환경 구축으로 조직 에코시스템의 인프라가 복잡해지면서 유∙무형 자산에 대한 경계가 모호해졌다. 따라서 보안 위험을 관리하기 위한 첫걸음은 자산을 식별하고 위험도에 따른 그룹화를 통해 지속해서 위험관리를 수행하는 것이다.

위험관리는 투자대비효과를 극대화할 수 있도록 위험에 따른 적절한 방안을 도입하는 것이 중요하다. 특히 위험으로 인해 발생할 수 있는 손실에 대한 가능성을 기준으로 비용을 고려해 방안을 적용해야 한다. 또한 위험관리 방안을 적용할 때에 중요한 것은 관리적 통제방안과 기술적 통제방안을 적절히 사용해야 하는 점이다. 사회공학기법 등을 이용한 악성메일 등은 기술적인 통제방안으로는 한계가 발생하기 때문에 사용자 보안인식 함양 등 관리적인 통제방안을 적절히 사용하였을 때 보안위험을 대응할 수 있게 된다.

위험관리는 주식으로 따지면 장기투자에 가까운 일이다. 지치지 않고 공격자에게 맞서 싸우려면 투자비용을 고려한 위험관리전략이 핵심이라고 할 수 있다.

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.