2024-02-23 08:50 (금)
[박나룡 보안칼럼] 복잡한 위기에 대한 준비
상태바
[박나룡 보안칼럼] 복잡한 위기에 대한 준비
  • 길민권 기자
  • 승인 2022.11.02 17:19
이 기사를 공유합니다

점점 복잡해지는 IT 환경에서 위기 대응력 확보 필수
재해, 재난 상황에서 실제 작동이 가능한 의미 있는 훈련 필요

최근에 '복합위기'라는 단어가 경제, 사회 분야에서 자주 보이고 있다.

경기침체, 환율, 공급망, 국제관계 등 다양한 분야에서 동시에 위기 상황이 현실화 되면서 그에 대한 대응이 필요하다는 경고의 메시지다.

정보보호 분야에서는 날로 복잡해지는 IT 환경에서 위기 대응력을 확보할 수 있는 준비가 필요하다.

대응을 위해서는 복잡성을 만드는 상황을 이해하고 접근해야 한다.

그 첫 번째는 시스템과 네트워크 환경에서 찾을 수 있다.

다양한 디바이스들이 온라인에 연결되면서 네트워크 환경이 빠르게 확장하고 있고, 새로운 기술적/사회적 변화에 대한 요구를 반영하면서 그 기술적 대응으로 인한 복잡성이 가중되고 있다.

온프레미스 인프라를 관리하면서, 퍼블릭/프라이빗 클라우드도 운영해야 하고, 원격 근무와 같은 유연한 근무 환경으로의 변화에도 대응해야 한다.

여러 조직에서의 다양한 요구사항이나, 기존 기술과 새로운 기술 간의 차이에서 발생하는 기술적 이슈와 컴플라이언스 대응을 위한 다양한 대응 방식들이 서로 복잡하게 얽혀있다.

복잡하게 구성하지 않겠다는 담당자의 의지로 기존의 레거시 환경을 무시하고 항상 새로운 환경으로만 구성할 수도 없는 노릇이다.

방화벽에서 차단하면 쉽겠지만 외부와의 연결 필요성, 신규 서비스 활성화, 사회적 요구에 따라 허용해야 하는 상황이 발생하고, 그로 인해 패킷 단위로 모니터링 하고 차단하기 위한 다른 방법들을 도입해서 운영해야 한다.

이렇듯 지속적으로 확대되는 운영 방식으로 인해 다양한 도메인에서의 보안 취약점도 늘어날 수 밖에 없다.

두 번째로는, 복잡성으로 인한 가시성 확보의 어려움이다.

복잡한 구성의 증가로 인해 가시성 확보가 어려워지고, 이는 더 복잡성을 증가시키는 악순환을 만들어 낸다.

조직이나 시스템의 규모가 커질수록, 오랫동안 운영된 시스템 구조를 가진 조직일수록, 구조와 내용을 모두 이해하고 대응할 수 있는 인력이 충분하지 않을 수 있다.

ITSM을 구축해서 시스템 도입이나 개발과 관련된 운영, 폐기까지 관리하는 조직이라면 어느 정도 기본을 갖추었다고 할 수 있다.

그러나 시스템 이관 문제나 조직의 인력 변동, 인프라와 서비스의 변화 속도에 따라 히스토리가 제대로 관리된다고 보장하기 어렵고, 그 내용을 보고 심각한 장애 상황이나 재난에 충분히 대응할 수 있을 것 이란 보장을 하기도 어렵다.

그래서 조직은, 중요 우선순위에 따라 선정된 업무나 시스템이 문제없이 운영되도록 효과적인 연습이 필요하다.

발생 빈도가 높은 부분은 조직의 일상적인 리스크 관리 관점에서 운영하고, 발생 가능성은 낮지만 비지니스에 충격(임팩트)이 큰 리스크에 대해 BCP를 수립해야 한다.

BIA를 통해 핵심 업무를 선정하고, 핵심 업무에 영향을 끼칠 수 있는 재해/재난 리스크를 식별하여 RTO(복구목표시간)를 기준으로 대책을 수립하는 BCM은 실질적인 훈련으로 완성해 나가야 한다.

크리티컬 장애나 재해, 재난 상황에서 실제 작동이 가능한지에 대한 의미있는 훈련을 반복해서 수행하는 것이 복잡한 위기 상황에서 서비스의 신뢰를 지켜낼 수 이 있는 방법이다.

이러한 활동들은 조직의 거버넌스와도 깊은 관련이 있다.

실무자 부분에서 바라볼 수 있는 이슈들이 있고, 최상위 경영층에서 고민하는 이슈들이 다를 수 있다.

이런 부분도 고려해서 거버넌스 체계를 정비해 나가야 한다.

지구의 역사는 46억 년, 인류의 탄생은 300만 년 전에 시작되었다고들 한다.

감히 측정하기조차 어려운 인류의 역사 속에서 인터넷이라는 온라인 세상은 이제 갓 30여 년 정도의 시간을 보내고 있다.

박나룡 보안전략연구소장
박나룡 보안전략연구소장

IT에서의 정보보호 역사는 인터넷의 발전과 함께 시작되어 이보다도 더 짧은 시간 동안 그 역할을 만들어가고 있는 과정이다.

정보보호 분야가 기존의 오프라인에서 갖췄던 다양한 신뢰의 개념을 온라인에서 충분히 구현해야 그 존재 가치를 인정 받을 수 있을 것이다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net

 


◆사이버위협 대응 인공지능 정보보호 컨퍼런스 ‘AIS 2022’ 개최(보안교육 7시간 이수)

-주최: 데일리시큐

-대상: 정부, 공공, 기업, 금융, 교육, 의료 등 전분야 CISO, CPO, 정보보안 실무자 600여 명

-일시: 2022년 11월 15일(화) 오전9시~오후5시

-장소: 더케이호텔서울 2층 가야금홀

-교육이수: 공무원 정보보호 및 개인정보보호 교육 이수 7시간 인정(CPPG/CISSP 등 자격증 7시간 인정)

-점심/주차: 점심식사는 제공하지 않습니다. 주차권은 1일 무료주차권을 드립니다.

-참석확인증: 행사 종료후 설문지를 제출해 주신 참관객에게 메일로 일괄 발송

-등록마감: 2022년 11월 14일 오후 5시

-전시회: 국내·외 최신 개인정보보호/정보보안 솔루션 소개

-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★