이번 장에서는 정보보호 업무 실무자들이 가장 고민스러워 하는 부분에 대해서 이야기 해보겠습니다. 금융이나 엔터프라이즈의 보안 담당자의 경우는 일반적으로 보안관련 내부 컴플라이언스(Compliance)를 가지고 있습니다. 이때 컴플라이언스에는 개인정보보호 관련 ISMS, 금융관련 PCI, EU의 개인정보관련 GDPR, 기타 ISO27001등이 있으며, 대부분의 보안 담당자들은 이러한 컴플라이언스에 대한 내용을 준수하고 검토하고 실행합니다.
그런데 컴플라이언스만 지키면 보안에 문제가 없을까요?
실무를 담당하는 보안 담당자라고 하면 대부분 아니라고 대답할 것입니다. 컴플라이언스는 해킹 방어를 위한 최소한의 가이드 라인일 뿐이지 최대의 보안 적용 규정이 아니기 때문입니다. 일례로 컴플라이언스에는 구간 암호화를 적용하기 위한 VPN 규정이 있지만 VPN만 적용한다고 모든 해킹을 방어할 수는 없습니다. 단말단의 무결성을 보장하기 위한 엔드포인트 보안이 적용이 되어야 좀더 강한 보안을 적용할 수가 있는 것입니다.
이곳이 보안 담당자들은 업무의 괴리를 느끼게 되는 지점입니다. 컴플라이언스를 따르자니 보안에 문제가 보이고, 보안을 강화하자니 비용이나 해킹시 책임소재에 대한 부담이 발생하게 되는 것입니다.
그렇다면, 컴플라이언스와 보안 이 둘을 적절하게 활용할 수 있는 방법은 없을까요?
먼저 한 가지 사실을 알아야 합니다. 컴플라이언스와 보안은 상호 보완적이라는 사실 말입니다. 컴플라이언스를 위해서는 보안을 희생할 필요도 없고, 보안을 희생해서 컴플라이언스를 준수할 필요도 없습니다.
앞에서 예를 든 VPN을 다시 이야기해보겠습니다. 컴플라이언스가 VPN에 대한 암호화를 256으로 적용할 권고할 때, 추가로 접근 통제를 고려해서 인증된 사용자나 Device에 대해서만 VPN을 적용하기 위해서는 NAC이 필요합니다.
즉, VPN과 NAC을 통해서 Network와 Endpoint 보안이 동시에 가능합니다. 따라서 컴플라이언스를 이루는 3대 원칙인 무결성, 기밀성, 가용성안에서 보안을 강화하는 방법을 고려해 볼 수 있는 것입니다.
따라서 컴플라이언스라는 큰 틀에서 보안의 고도화를 고려해야 컴플라이언스와 보안이 따로 노는 것 같은 문제는 해결됩니다. 보안 담당자로써 컴플라이언스의 큰 틀에서 보안을 적용하는 지혜가 필요한 것입니다.
보안 담당자들은 그렇다면 무엇을 어떻게 해야할까요? 단순히 보안 담당자에게 “우리 회사 보안이 필요한데 빨리 보안 솔루션을 도입해봐”라고 하면 현재 랜섬웨어가 이슈이니까 안티 랜섬웨어 솔루션, APT 공격이 유행이니까 APT탐지 대응 솔루션을 도입하는게 되면, 작은 부분에서는 목적을 충족시킬 수 있을지 모르지만, 전체적인 그림에서 이빨 빠진 강아지처럼 어색하고 솔루션별 유기적인 조화에 문제가 발생하게 됩니다.
여기서 보안 업무를 하기 위한 중요한 핵심 내용을 알아야 합니다. 그것은 보안 고도화를 하기전에 기준을 잡을 필요가 있으며, 그 기준은 바로 컴플라이언스가 되어야 한다는 것입니다. 보안 고도화를 하라고 해서 아무 솔루션이나 도입하는 것이 아니라 컴플라이언스를 기준으로 하고 회사가 목표로 하는 정보보안 거버넌스에 부합하도록 수행을 하면 되는 것입니다.
대부분의 사람들은 단순히 보안업무는 “고도화되는 해킹 기술에 맞춰 해킹 대응 솔루션을 도입해서 보안을 고도화하는 것이다.”라고 생각하는 경우가 많습니다. 하지만 이제는 보안에 대한 시각을 달리해야 합니다. 보안 담당자들은 해킹 사례별 대응이 아닌 컴플라이언스의 큰 틀에서 보안을 고려하며, 최종 목표인 정보보안 거버넌스를 위한 보안 업무의 수행이 필요합니다.
