한빛출판네트워크

당신의 소프트웨어에서 더 많은 보안과 관련된 정보를 얻고 싶다면 Brian Sletten의 “Introduction to Secure Software” 비디오를 보기 바랍니다. 

충분한 것은 충분히 좋다.

충분한 것은 언제나 완벽을 가져온다.

정말 어려운 것은 무엇이 충분한지 판단하는 것이다.

— Ravi Sandhu

사실, 오늘날의 조직에서 보안의 중요성에 말하는 것은 식상한 일입니다. 자신의 데이터가 알지도 못하는 사이에 은행, 온라인 마켓, 혹은 데이트 사이트, 그리고 2천 백 만 명의 정보가 OPM(미국 연방정부 기관)에 의해 유출되었다는 유명한 뉴스도 있습니다. 그들은 해커와 행동주의 해커들이 지속적으로 기관에 대해 불신하고 국민과 다국적 기업 그리고 국가와 대등한 수준의 도구들은 가져다 주고 있다는 것을 알고 있습니다. 영화에서와 같이 외국의 정부가 발전소 인프라와 같은 다른 나라의 정부, 외국 기업 그리고 미심쩍은 비난의 대상을 공격하고 있다는 것을 많은 사람들은 알고 있습니다. 

충분하지 않은 경우

표면적으로, 대부분의 인식은 일반적인 조직의 보안 수준은 개선점이 검출되지 않습니다. 왜냐하면, 보안 취약점에 대한 책임이 더 이상 한 조직의 문제가 아니기 때문입니다. 그에 따른 해결책은 매우 복잡합니다. 임원, 팀장, 소프트웨어 보안 전문가, 개발자, 테스터 그리고 운영팀의 복잡한 협업이 필요합니다. 이러한 것에 대한 이해가 없다면, 그 조직은 작은 진전만을 할 수 있을 것입니다. 불행하게도 매우 적은 조직만이 보안이라는 것이 일부의 문제가 아니라, 모두의 문제라는 것을 알고 있습니다. 모든 사람은 보안을 원합니다. 그렇지만 그 누구도 비용을 지불하고 싶어하지는 않습니다. 소프트웨어 업계의 실패에 의해 이미 결정된 예산을 유지 시간과 예산에 따라 적당한 품질의 소프트웨어를 제공합니다. 최근, 보안에 대한 중대한 새로운 비용들 그리고 팀의 작업-그것은 아마도 아마도 보안에 대해 수행할 능력이 부족한 팀-에 대해 관심이 증가하고 있습니다. 조직의 (보안)패배에 대한 책임은 종종 조용히 문제를 무시하는 것이 최선의 결과이기를 바라고 있습니다. 심지어 공격을 당했더라도, 그것은 많은 사람들에게 벌금을 냈다는 것과, 그들의 고객에게 사과를 하고, 그리고 위반이라는 대열에 합류한다는 것은 쉽게 선택할 수 있는 것입니다. 

보안이란 당신이 살 수 있거나 소유할 수 있는 것이 아닙니다. 보안이란 당신이 지속적으로 일하고 있는 것입니다. 보안이란 다단계의 절차이며, 내가 언급한 바와 같이 여러 이해 관계자가 필요합니다. 보안이란 책임의 재구성이 필요하며, 보호와 생산성의 양 측면이 함께 작동할 수 있도록 조정을 해야 합니다. 보안이란 왜 어떤 사람이 당신을 공격할지에 대해 탐색하는 긴 여정에 착수하는 것을 필요로 합니다. 어떻게 그들은 당신을 공격할 수 있을까요? 어떤 공격이 어디에서 이뤄질까요? 그리고 무엇을 공격할까요? 어떻게 이런 공격들에게서 (이겨낼 수 있다는) 자신감을 얻을 수 있을까요? 어떻게 당신은 향후에 예측되지 않는 공격을 발견하고 대응하는 것을 배울 수 있을까요? 그것은 쉽게 상상할 수 있습니다. 이런 질문들에 대해 답을 구하고, 천문학적인 관련 솔루션을 제공할 수 있는 비용이 할당된다면 말이죠. 그렇지만, 과연 그들(회사의 경영진)이 그렇게 할까요? 

충분한 것을 찾기

대답은 “골디락스와 곰 세 마리”라는 오래된 동화에서 찾아볼 수 있습니다. 우리는 뛰어난 능력을 갖고 있는 정보 보안 전문가(그녀)가 잠재적인 세 고객 회사를 본다고 가정해 보겠습니다. 

첫 번째 회사에게는 보안이라는 것은 중요한 것이 아닙니다. 보안이라는 것은 우선 순위도 아니고 우선순위 중에 하나가 될 수도 없습니다. 그들은 보안이라는 것은 좀 더 주의하면 되는 것으로 이해합니다. 그렇기 때문에 보안과 관련된 그들의 예산은 삭감될 것이고 언제라도 삭감될 수 있는 것일 뿐입니다. 우리의 보안 전문가는 이 회사는 그들의 취약점에 대해 이해하고 있지 못하고, 그 취약점에 대해 (공격 당할 경우)저지할 수 있는 명확한 계획이 없다고 봅니다. 문제는 그들이 공격을 당할지 모른다는 것이 아니라 언제 당하느냐입니다. 이러한 명백한 접근의 결과는 파괴적입니다. 만약 치명적이지 않더라도 회사와 그녀(동화 속의 골디락스)는 아무것도 하고 싶어하지 않을 것입니다. 조직적인 지원이 없다면, 그녀는 이 회사가 성공할 수 없다고 판단할 것입니다. 

두 번째 회사는 피해 망상형입니다. 그들은 가능한 모든 공격으로부터 그들을 보호하는 것이 목표인 회사입니다. 보안이란 그들에게 그 무엇보다도 높은 우선 순위를 갖습니다. 그들은 그녀에게 완벽한 보안 환경을 요구한다고 말합니다. 이것은 첫 번째로 만족할 수 없는 조건을 만들게 됩니다. 완벽한 보안 환경이란 존재할 수 없기 때문입니다. 그것은 모든 가용 자원을 망상적인 목표를 향해 다 소모하는 것과 같습니다. 심지어 단순한 “높은 보안” 시스템은 많은 클라이언트에서 사용할 수 없게 만들었습니다. 보안의 우선 순위는 기능과 사용성 보다 위에 있으며, 이는 드물게 성공할 수 있는 전략이 됩니다. 위에서의 아주 열렬한 지원에도 불구하고, (그리고 그에 맞는 예산을 갖고), 그녀는 예상하는 것들이 비 현실적이고 회사가 오래가지 못할 것이라는 것이라고 판단할 것입니다.

마지막으로 그녀는 세 번째 회사에게 기대하고 있습니다. 그들은 그들이 직면한 위험과 어떻게 그것을 우선순위에 따라 처리할지에 대해 설명하였습니다. 그들은 그들이 가진 위협 모델 개발의 최상단에 있습니다. 그러나 그들의 사용성과 관련된 시간과 미래의 개선에 대해서 균형을 맞춰야만 합니다. 이 요구사항에는 일관성과 조직적인 협력이 필요합니다. 그것을 위해서는 시간과 노력이 들어갑니다. 그러나 최종적으로 그들은 추가적인 요구사항을 개선해야 하고, 다양한 참여자들의 이해, 일정, 지원, 그리고 테스트가 필요하게 됩니다. 그녀는 성공적인 협업을 수행하는 개발팀과 높은 품질, 보안 그리고 유용한 소프트웨어를 만드는 개발팀과 협업을 할 수 있는 좋은 기회를 얻었다고 판단했습니다. 

조직의 책임에 대해 다음 세 가지로 구분할 수 있을 것입니다.. 

• 충분하지 못한 상태
• 지나치게 충분한 상태
• 충분히 좋은 상태

팽팽한 밧줄 걷기

옛날 이야기들은 실존, 철학 혹은 도덕적인 문제들에 대해 단순하면서도 적절한 해결책을 알려줍니다. 지금의 경우, 대답은 균형– 맞거나 어쩌면 쓸모가 없거나 문제의 핵심을 빼낸 것-입니다. 균형을 유지하기 위해서는 조직은 위험을 정량화하고, 그들의 결정에 대한 기초와 관련한 프레임워크를 가져야 합니다. 이것은 잠재적 위험을 정량화할 수 있고, 잠재적인 취약점을 확인하고, 이러한 잠재성들에 대해 종합하여 경영에 영향력을 미칠 수 있는 사람을 필요로 합니다. 이러한 것들로부터, 소프트웨어 개발 절차의 일부로써 다른 비즈니스 활동에 대응하는 보안을 선택을 가능하게 합니다.

우리는 비즈니스 활동을 책임지는 보안 실패에 대한 책임을 갖고 있는 참여자를 보고 있습니다. 이것은 보안에 높은 우선순위를 주는 우리의 첫 예제와 같이 조직에 도움을 주게 될 것입니다. 시장은 두 번째 유형(지나친 보안)의 조직의 형태가 되도록 압박을 받고 있습니다. 보안에만 초점을 맞추게 되면서 부가 기능을 없애거나, 사용하기 힘든 시스템을 만들게 되면 그 회사는 살아남기는 힘들게 될 것입니다. 그렇기 때문에, 세 번째 유형(충분히 좋은)의 조직이 되어가고 있습니다. 충분히 좋은 조직이라는 것의 적절한 균형을 찾아 내기 위해서는 약속과 투자 그리고 다양한 잠재적 위험에 대한 인식을 필요로 합니다. “충분히 좋은” 것은 특정 조직의 외부에서 정의할 수 있는 것은 아닙니다. “충분히 좋은” 것이란, 그것이 무엇을 의미하는지 결정하기 위해 참여하는 것을 말합니다. “충분히 좋은” 것이라고 확실한 단서를 얻을 수 있는 것으로는 당신의 조직과 유사한 조직들을 비교하는 것입니다. (the Building Security in Maturity Model (BSIMM) 은 이런 비교를 위해 유용합니다.) 그렇지만 그것들은 단순한 가이드라인일 뿐입니다. 당신의 확실한 취약점, 비즈니스의 영향 그리고 개선활동의 우선순위들은 고유하기 때문에 반드시 그 부분들을 이해해야만 진행할 수 있습니다.

보안과 관련한 새로운 취약점과 기술들 – 클라우드 컴퓨팅, 마이크로 서비스, 빅 데이터, BYOD 역량 그리고 정부가 제시하는 규정 준수의 복잡성의 수준이 지금과 같이 중요한 적은 없었습니다.  지금의 세상은 조직을 위험에 밀어 넣고 있습니다. 그렇기 때문에 그 위험 속에서 배울 수 있습니다. 이러한 자기 인식은 필요합니다. 그러나 그것만으로는 충분치 않습니다. 기술자들은 소프트웨어와 네트워크 보안에 대해서 반드시 충분히 배워야만 합니다. 그들은 반드시 유연한 해법을 만들어 낼 것입니다. 그리고 보안이라는 도전에 대해 빠르게 반응할 것입니다. 프로젝트와 기술 책임자들은 반드시 이러한 요구사항과 우리가 직면한 급격한 변화를 따라갈 수 있도록 팀 활동을 할당해야 합니다. 테스트와 운영 팀은 반드시 보안 정책을 검증하고 이행하도록 책임을 가져야 합니다. 임원진들은 어디에 직원들을 할당할지 의사 결정을 해야 합니다. 이 것들 중에 하나가 작동하기 위해서는 반드시 인센티브가 필요합니다. 

보안에 있어 “충분함”은 쉬운 일이 아닙니다. 그리고 그것은 언제나 변화하고 있습니다. 다행스러운 것은 우리가 “보안”이라는 것이 어떤 의미인지 이해하기 시작했다는 것이고, 어떻게 해야 하는지 안다는 것입니다. 보안이라는 것이 당신의 세상에서 특정한 의미를 갖고 있다는 것을 배울 수 있을 것입니다.

***

원문 : What is good enough security?

번역 : 최태순