조시행 안랩 CTO
정보통신기술(ICT)의 발전으로 기업의 첨단 IT 인프라 도입이 활발하다. 따라서 기업의 기밀 정보를 노리는 위협도 지능화하는 추세이다. 최근의 화두로는 APT(Advanced Persistent Threat), 모바일 기기 보급 확대에 따른 BYOD(Bring Your Own Device) 보안을 들 수 있다. 그리고 컴플라이언스(정책과 규제)에 대한 요구도 점차 강화할 것으로 보인다.
APT는 한층 더 지능화하고 있다. 정상적인 전자문서의 압축을 풀면 곧바로 실행되는 실행압축파일을 포함해 메일로 보내거나, 공격 대상 기업에서 많이 사용하는 운영체제를 겨냥한 악성코드를 별도로 제작해 유포하는 식이다.
이에 효과적으로 대응하려면 기존 방식에서 진일보해 더욱 조직적이고 입체적인 대응 방법이 필요하다. 각 침입 구간 별로 솔루션을 구축함은 물론 지속적인 모니터링(관제)으로 실시간 대응 체계를 갖추어야 한다.
모바일 기기를 겨냥한 안드로이드 기반 악성코드는 2011년 대비 지난해 31배나 급증했다. 2011년까지 모바일 보안 위협은 가능성으로만 존재했으나 스마트폰의 보급이 증가함에 따라 2012년부터 실체적인 위험으로 다가왔다. 특히 지난해 말 발견된 '체스트'는 지금까지 변종이 만들어지며 스마트폰 소액결제를 가로채 실제 금전적인 피해를 주고 있다.
공격의 주된 타깃이 되는 스마트폰이 기업의 업무 영역으로 들어오는 것이 BYOD 환경이다. 이런 경우 기업의 보안 정책과 개인 사용자의 요구 사이에 충돌이 발생하기 쉬운데 이를 효과적으로 해결하고 스마트폰 환경에 기업 비즈니스를 융합해나가는 것이 기업의 과제다.
컴플라이언스 측면에서는 정보보호관리체계(ISMS) 의무화, 개인정보보호 강화, 취약점 분석·평가 강화로 기업이 신경 써야 할 규제가 늘어나는 추세다. 그 밖에도 전자금융감독규정이 개정되고, 정보보호사전점검 대상이 확대되는 등 정보보안 준거성을 요구하는 법규와 제도가 강화하는 상황이다.
이런 컴플라이언스를 준수하기 위해 기업은 전 임직원의 보안 인식을 높이는 노력을 적극적으로 해야 한다. 다양한 공격은 보안 장비나 보안 담당자만 대응해서 되는 것이 아니기 때문이다. 전 임직원이 자발적으로 동참하여 업무에 자연스럽게 녹아 있어야 한다. 대상, 범위, 목표를 도출해 지속적인 변화가 이뤄지도록 참여를 위한 이벤트, 업무별 교육 등의 활동이 필요하다.
독자들의 PICK!
또한 내·외부 통제로 실질적 보안을 적용하는 일도 중요하다. 정보보호관리체계, 개인정보보호관리체계 등을 수립했으면 이를 실질적으로 적용할 수 있는 평가지표를 만들고, 보안 프로세스와 상황을 눈으로 확인할 수 있는 인덱스를 만드는 것이 좋다.
아울러 기업 내부에서 만들어지고 수정되는 모든 파일에 대한 가시성을 확보해야 한다. 어떤 것이 정상 파일이고 악성 파일인지 판단하기 어려운 상황에서는 모든 파일을 빠르게 분석할 수 있는 환경을 만들어야 한다. 기업 내부에서 사용하는 프로그램을 철저하게 관리할 필요도 있다. 회사가 인정한 프로그램만 실행케 하고, 허가되지 않은 프로그램을 사용하면 사내 네트워크 접근을 막는 등의 조치가 필요하다.
정보 유출 등 보안사고 때문에 회사의 신뢰가 떨어지고 심지어 존폐의 기로에 설 정도의 위기 상황으로 내몰릴 수 있는 환경이니만큼 이런 때에 구성원 개인의 편의성은 제한된 수밖에 없다.
무엇보다 중요한 것은 여러 지침이 실제 이행됐는지 점검하는 것이다. 이미 정해진 지침만 잘 지켜도 보안 수준은 매우 높아진다. 실천이 따르지 않기 때문에 보안 사고가 발생하는 것이다. 가령 인터넷 접속용 로그인 암호를 복잡하게 구성하라고 권장하지만 아직도 많은 사람들이 쉽게 추정할 수 있는 단순한 암호를 사용한다. 구성원 모두가 같은 수준의 실행을 하도록 수시로 점검하는 것이 기업 보안의 관건이다.
IT는 기업의 생산성 향상을 위한 도구가 아니라 그 자체가 비즈니스의 중심이 됐다. 이런 시대에 정보보안 위협에 대응하는 것은 위기관리의 핵심이다. 적절한 리스크 매니지먼트로 비용을 절감하는 일은 매출 증가 못지않게 기업의 성장과 지속가능성을 확보하는 데 중요한 요소다. 정보보안을 비용이 아니라 투자 관점에서 봐야 할 이유이다.