기반시설 인프라 진단에 대한 소고

모 정부출연기관 프로젝트를 마쳤다. 작년에도 진단을 진행한 곳이기에 2023년의 자료 및 결과물을 확인할 수 있었다. 그리고 느낀 것은 ISO 27001이건, ISMS-P건, 무엇이건, 결국 중요한 건 나의 능력이라는 점이었다. 예를 들어, 한 항목에 대해 작년과 같은 스크립트 값을 얻었지만, 작년의 담당자는 양호로 판단했고, 나는 그것을 취약으로 판단했다. 가이드라인에는 양호와 취약에 대한 명확한 설명이 되어있으나, 실제 현장은 문서와 다소 차이가 있는 탓에 이런 일이 발생했다고 생각한다.

 

① A 프로그램을 가이드라인에서는 취약한 프로그램으로 여긴다. 그런데 이 프로그램은 도무지 일반적인 방식으로는 삭제가 되질 않는다. 삭제가 되지 않는 프로그램인 A가 계속 남아있는데, 이것을 취약으로 주어야 할까? 진단을 받는 조직 담당자는 다소 억울할 수 있다. 취약한 프로그램이 삭제가 안 되어 조치가 불가하다고 느낄 수 있으니 말이다. 그렇다고 삭제가 안 되는 프로그램에 양호 판정을 주어야 할까? 삭제가 되지 않는다면, 적어도 무언가 조치를 취해야 한다고 생각한다. A 프로그램이 취약하다면 그 이유가 있을 것이고, 삭제를 대신하여 그 취약한 요소에 대한 조치가 필요하다는 것이다. 그렇게 조치를 취한다면 양호 판정을 줄 수 있지 않을까 싶다.

 

② 가이드라인은 업데이트가 분명 늦다. 즉, 정책이 실무를 따라오지 못하는 것이 현실이다. 그렇기에 가이드라인을 맹목적으로 따라하면 문제가 생기는 경우가 있다. 예를 들어, 'B일 경우 양호, B가 아닐 경우 취약'의 항목이 있다. 여기서 B가 On으로 되어 있으면 보안 요소인 b1이 On이라고 판단이 되기 때문에 B로 판단 여부를 가른 것이다. 그런데 환경이 바뀌어 B의 On/Off와 무관하게 b1이 모두 On으로 된다면 어떻게 해야 할까? 이때는 당연히 정책이 따라가지 못한 것이므로 양호 판정을 주어야 타당할 것이다. 이 항목은 B의 여부가 중요한 게 아니라, 사실 b1의 여부가 핵심이기 때문이다.

 

③ 스크립트 결과만으로는 판단이 되질 않아 담당자 인터뷰가 필요한 경우가 많다. 그런데 작년과 올해의 담당자가 바뀐 것이다. 그리고 작년의 담당자는 인터뷰 내용을 말끔하게 답했으나, 올해 담당자는 이 능력이 부족한 경우가 있다. 그리고 작년과 아무리 모든 상황이 같다고 해도, 작년엔 양호였던 것이 올해는 취약으로 바뀔 수 있다고 생각한다. 왜냐하면, 담당자의 보안 이해도가 부족한 상황이기 때문이다. 개인적으로는 이런 요소가 내부자의 보안 사고를 유발하는 원인 중 하나라 생각한다.

 

작년의 결과를 맹신해서도 안 되고, 가이드라인만을 맹신해서도 안 된다. 그렇다면 중요한 것은 각 진단 항목에 대한 온전한 이해를 기반으로 한 나의 기준이 될 것이다. A일 경우 양호, A가 아닐 경우 취약에 대해 왜 A면 양호인지, 그 이유를 파악해야 한다. 과거 법을 공부하면서의 방식이 여기서도 적용이 되는 것 같다. 성문화되었다고 해서, 그것의 표면적인 것만을 보아서는 안 된다. 법에서 판례를 공부했던 것처럼, 여기서는 각 항목에 대한 실제 사례를 따져보고 판단을 내려야 한다. 아쉬운 게 있다면, 법에서는 판례가 있었다면 여기서는 없다는 것이 될까? 하지만 법에 비해 범위가 압도적으로 작다는 것은 반대 급부의 장점일 것이다. 여하튼, 가장 중요한 것은 가이드라인을 근거로 내가 기준을 삼을 수 있어야 한다는 점이다.

 

그리고 한 가지 더 느낀 것이 있다면, 글을 잘 써야 한다는 점이다. 당장은 같은 보안 분야 담당자와 소통을 해왔지만, 내가 일반 회사의 보안 담당자 위치로 가게 된다면, 그때는 일반 직원과 소통을 해야할 날이 올 것이다. 그리고 어느 분야건, 상대를 이해시키기 위해서는 글을 명료하고, 이해하기 쉽게 쓸 필요가 있을 것이다. 심지어 같은 보안 담당자를 대상으로 한다고 하더라도 말이다. 그래서 이번 프로젝트에서 각종 보고서 및 결과표를 작성하면서 그런 노력을 조금은 했다고 생각한다. 첫째로 중요한 것은 통일성이고, 그리고 그것을 기반으로 한 가독성이 있어야 할 것이다. 그런 가독성을 갖추기 위해서는 이해하기 쉬운 단어를 써야 하고, 문장을 길게 가져가서는 안 될 것이다. 때로는 기호가 가독성 및 가시성에 도움이 될 수도 있을 것이다. 이런 기본적인 것은 인지하고 있으나, 결국 나아지는 방법은 경험의 연속일 것이다. 글을 쓰는 연습을 하기는 쉽지 않겠으나, 적어도 어떠한 글을 봤을 때 그 글을 더욱 조리있게 정리하는 방식에 대해 고찰하는 연습을 일상에서 해야 할 것이다. 개인적으로 법을 공부할 때도 이 점에 대해 느낀 적이 있다. 법의 용어는 실생활 용어와 다르기 때문에 일반적으로는 법을 잘못 해석할 여지가 크기 때문이다. 결국 만사 같은 길로 가게 되는 것일까.

 

① 모든 프레임워크에서 나의 명확한 기준을 정립하는 것

② 그것을 깔끔하게 정제하는 것

 

앞으로의 꾸준한 과제가 될 것이다.