DoA 및 위험, 자산에 대한 고찰

보안 관련 공부를 하면서도, 각종 제안서를 작성하면서도 DoA에 대한 개념은 늘 봐오고 있다. 그런데 문제는 이게 진짜로 의미가 있냐는 것이다. 짐작컨대, DoA는 위험분석 및 평가 과정에서의 논리적 개념의 등장을 위해 쓰인 것으로 보인다. 그리고 단언컨대, DoA를 실제 업무에서 쓰는 경우는 거의 없을 것이다. 예를 들어, DoA를 1~10점으로 점수화해서 표현한다고 생각해 보자. 7점이면 냅두고, 8점이면 조치를 취할까? 실상은 결코 그렇지 않다는 게 내 생각이다.

 

결국 위험을 조치하는 데 있어 중요한 것은 인력, 예산이라 생각한다. 그것을 토대로 단기/중기/장기로 분류하여 이 문제를 해결할 수 있는가 없는가가 핵심인 것이다. 그리고 보통 장기에 속하는 것들은 해결이 불가능하기에 장기로 두는 경우도 부지기수다. 즉, 당장 조직이 정말 취약점 및 위험의 문제를 해결할 수 있는 것은 단기적, 중기적으로 분류한 것들이 대상일 것이다. 

 

DoA에 대한 의문이 생기면, 그 이후에 따라 오는 것이 위험 수용, 위험 전가, 위험 회피, 위험 감소, 잔여 위험 등이 된다. 결국 이런 것도 전부 인력, 예산이라는 것에 의해 좌지우지되는 개념이기 때문이다. DoA와 마찬가지로, 이들도 결국 논리적으로 분류하기 위한 개념이라는 것이다. 그리고 이는 공공기관 같은 곳에서는 아마 바꾸기 힘든 미래일 것이다. 안 그래도 예산 배정으로 골머리를 썩이는데, 보안 분야에 대한 변화를 꾀하기 쉽지 않기 때문이다. 공공기관에서는 적어도 10년 동안은 DoA와 같은 개념을 내세울 수만 있을 뿐, 실무에서 제대로 적용하지는 못할 것이다.

 

하지만 사기업은 조금 다를 수 있다. 그리고 그걸 해낼 수 있는 것은 결국 경영진의 의지와 담당자의 설득 능력에 달렸을 것이다. 다만, 담당자의 경우, 위험관리의 접근법에 대해 고민할 필요가 있을 것이다. 현재 국내에 행해지는 대부분의 취약점 진단 및 위험 평가의 경우 자산을 기반으로 실시하고 있다. 그런데 자산을 식별한다는 것은 사실 정말 어려운 일이다. 그런데 이 어려움 때문에 컨설팅 업무를 함에 있어서 큰 영향도 발생한다. 컨설턴트 입장에서는 조직 내 자산 식별이 제대로 되지 않으면 업무의 퀄리티에 지속적인 영향을 받을 수밖에 없고, 담당자는 이 컨설턴트의 결과물에만 기대서는 안된다는 것이다.

 

담당자의 경우 자산 기반이 아닌, 위험 기반의 접근법에 대해 고민할 필요가 있다고 생각한다. 담당자로서 조직이 직면한 위험이 무엇이 있는지, 그것을 식별하는 것을 시작점으로 잡는 것이다. 내가 자산 기반에 대해 의문을 갖는 이유는 자산 식별 뿐만 아니다. 자산을 분류하고 중요도를 산정하는 과정에도 문제가 있다고 보기 때문이다. 자산의 중요도는 보통 담당자나 컨설턴트가 실시하지는 않는다. 왜냐하면, 모르기 때문이다. 해당 자산에 대해 가장 잘 아는 것은 자산의 소유자일 것이고, 그래야만 한다. 그렇다면 자산 분류에 대한 기준과 가이드라인이 있다 한들, 보안담당자 및 컨설턴트가 보는 판단 기준과 자산의 소유자가 보는 판단 기준이 동일할까? 그렇지 않다는 것이 내 생각이다. 물론 그렇기에 그 차이를 줄이는 것이 중요할 테고 말이다. 또한, 기밀성+무결성+가용성 점수로 판단하는 산정은 정말 신뢰할만 할까? 점수제에서 필연적으로 발생하는 불완전성은 이 방식에 대한 의문을 남기게 된다. 

 

결국, 자산을 식별하고 평가하는 과정에 있어 모두 의문이 존재하기 때문에 위험 기반의 방식이 더욱 효과적일 수도 있다는 것이다. 거창하게 해야 한다는 말은 아니다. 사실 담당자 입장에서도 자산 기반에서 위험 기반으로 바꾼다는 것은 너무나 큰 책임을 지는 일이고, 그렇기에 기존의 방식을 유지하되, 추가적인 안을 고려해 보자는 것이다. 나도 위험 기반의 방식을 수행해본 적은 없기에 이 과정에서 어떤 문제가 발생할지, 어떤 의문점이 발생할지에 대해서는 현재로는 알 수가 없다. 다만, 내가 컨설턴트의 위치가 아닌 담당자의 위치로 이동하게 된다면, 위험 기반의 방식에 대한 도입을 꼭 고려해볼 것이다.