정보보호 수준진단에 대한 고찰

정보보호 수준진단은 정말 정보보호 수준을 반영하는 것인가

 
나는 10월 4주 차부터 정보보호 수준진단 인터뷰를 실시하고 있다. 이제 약 2/3 정도 진행이 되었는데, 진척이 되면 될수록 '과연 이게 정말 보안 수준을 반영하는 지표가 맞는가'에 대한 의구심만 커지고 있다. 그래서 내가 정보보호 수준진단 인터뷰 및 판단을 실시하며 느꼈던 문제점과 더 나은 방안에 대해 논해보고자 한다.
 
문제점 1. 기본 점수를 퍼준다
특정 항목이 대상 시스템에 해당하지 않는 항목이라면, 그 항목은 '해당사항 없음'으로 판단하여 점수 계산에서 배제가 되어야 한다는 게 내 생각이다. 즉, 0점 만점에 0점으로 계산해야 한다는 것이다. 허나 실상은 그렇지 않다.
 
예를 들어, 2.2.1 항목에서 정보자산 신규 도입 시 도입 절차를 수립하고 이행하고 있는지 여부를 따지는 항목이 있다. 그리고 여기서 도입 절차는 수립되어 있지만, 신규 도입이 없는 경우 만점을 주게 된다. 도입이 없으면 아예 '비대상'으로 해야 하는데, 도입이 없다는 이유로 기본 점수 1점을 챙겨가는 것이다.
 
마찬가지로, 2.2.3의 재사용·폐기 과정에서도 이런 문제를 볼 수 있다. 2.2.3에서는 아래와 같이 4가지를 따져야 한다.
① 폐기 시 저장매체 확인 및 승인
② 저장매체 폐기와 재사용에 따른 처리 방법 정의
③ 완전 삭제 방식으로 정보 삭제
④ 폐기 이력 관리대장 작성하고 관련 책임자가 확인
내가 생각할 때, 대상 기간 사이에 폐기가 발생하지 않았다면, 그렇다 하더라도 ②와 ④는 감사 대상이 되어야 한다. 당장 없을 뿐이지, 폐기가 언제 발생할지 모르는 것이고, 이에 대한 준비는 되어있어야 하기 때문이다. 마찬가지의 이유로 관리대장도 빈 문서라고 하더라도, 해당 양식을 만들어서 갖고 있어야 할 것이다. 하지만, 2.2.3에서도 당해 연도에 자산 폐기가 발생하지 않은 경우 묻지도 따지지도 않고 1점 만점을 받게 된다.
 
또한, 8.1.2에서는 세부 항목 중 백업 수행 후 주기적으로 백업매체를 별도 소산하는지를 묻는다. 그런데 전산 센터와 별도 건물(100M 이격) 보관 시 인정한다고 쓰여 있다. 100M? 나는 처음 이것을 보고 놀랄 수밖에 없었다. KM 단위가 아닌 M 단위가 나온다는 것을 상상할 수 없었기 때문이다. 보면 볼수록 점수를 너무 쉽게 준다는 생각에서 벗어날 수 없다. 결과적으로, 정보보호 수준진단 점수의 신뢰도는 하락한다.
 
문제점 2. 여러 세부 항목이 묶여 하나의 점수로 판단된다
여기서는 위에서 언급한 2.2.3의 예시를 다시 말하고 싶다. '합리적'으로 생각했을 때, 나는 ②, ④만이라도 점수를 매겨야 한다고 주장했다. 그런데 만일 그런 판단 기준을 도입하더라도 문제는 여전히 남아있다. 정확히는 새로운 문제가 생긴다. 2.2.3이 총 1점 만점이며, 세부항목이 4개인데, 만일 ①~④가 각각 0.25점씩을 갖고 있거나, 또는 중요성에 따라 0.3, 0.3, 0.2, 0.2씩 갖고 있다면 문제가 발생하지 않았을 것이다. 허나 정보보안 수준진단은 세부 항목 별로 점수를 계산하지 않는다. 4개를 모두 실시하면 1점, 3개만 실시하면 0.7점, 2개만 실시하면 0.4점의 방식으로 채점한다.
 
따라서 ②, ④만 해당이 된다고 가정하고, 여기서 ②만 수행이 되었다고 가정하자. 그러면 대상 시스템은 ①, ②, ③을 수행했다고 판단되어 1점 만점에 0.7점을 받게 되는 사태가 발생한다. 50%만 받아야 하는 것이 70%의 점수를 받게 되는 상황이 발생하는 것이다. 결과적으로, 점수의 신뢰도는 하락한다.
 
문제점 3. 널리 알려진, 치명적인 항목에 대한 배점이 너무 적다
분명, 중요하지 않은 진단 항목은 없다. 하지만 명백하게도, 덜 중요하고, 더 중요한 항목의 개념은 반드시 존재한다. 그저 그것을 가르는 기준이 다를 뿐이다. 항목이 지닌 중요성, 취약점 노출 시의 파급력, 공격에 자주 쓰이는 빈도 등을 고려한다면 충분히 무엇이 더 중요한지 결론을 낼 수 있다. 그리고 이 부분에 있어 정보보호 수준진단의 배점은 너무나도 현실을 반영하지 못한다.
 
예를 들어, 5.6.1 항목은 중요 정보(비밀번호, 고유식별정보) 보호를 위해 저장 및 전송 시 암호화를 적용하는가를 확인한다. 정보보호 수준진단에서 모든 항목은 1점 또는 2점 만점인데, 이 항목은 2점도 아니고, 1점 만점이다. 2점을 줘도 아쉬울 판국에 1점이라니, 대체 무슨 근거로 1점만을 부여한 것인지 이해하기 어렵다. 암호화는 최근 전북대의 대량 유출 사건을 비롯하여 너무나도 이슈가 되고 있는 항목인데 고작 1점이라니. 차라리 모두가 동등하게 1점이라고 했으면 이해를 하려고 했을 것이다. 그런데 1점과 2점으로만 나눠져 있으며, 그 기준은 알 수가 없다. 결과적으로, 점수의 신뢰도는 하락한다.
 
나는 이번 사업에서 교육부 수준진단을 한다는 것을 알고 나서, 사업 투입 전에 검색을 해서 미리 사전 정보를 파악한 적이 있다. 그리고 정보보호 수준진단에 대한 부정적 기사를 수차례 접할 수 있었다. 각종 교육기관이 정보보호 수준진단에서 우수 또는 매우 우수를 받았음에도 사고를 발생했다면서, 이게 과연 신뢰도가 있는지를 꼬집는 것이 골자였다.
 
물론, 점수가 높다고 해서 반드시 사고가 나지 않는 것은 아니다. 점수라는 것도 감사를 나간 시점이지, 사고가 터진 시점의 점수를 발하는 것이 아니기도 하다. 또한, 단, 하나의 취약점이나, 내부 직원의 방심 또는 방만, 실수 등으로 인해서도 사고가 터질 수 있는 것이니 말이다. 그러나 그렇다 하더라도, 정보보호 수준진단은 그러한 변명을 댈 수 없다고 느낀다. 이미 이 진단 자체의 신뢰에 대해 너무나도 큰 의문이 따르기 때문이다.
 
앞서 말했듯, 점수가 높다고 해서 반드시 보안이 뛰어난 것도 아니고, 리비히의 법칙을 고려한다면 더욱 그러하다. 나머지 모든 것이 완벽하더라도, 한 부분이 정말 취약하다면 평균 점수는 높지만, 그 시스템의 보안이 좋다고 말할 수는 없기 때문이다. 그러나 그렇다고 하더라도, 보안 감사 및 진단이라는 것은 반드시 필요한 영역이며, 따라서 우리는 적어도 이것의 내용에 있어 신뢰도를 끌어올릴 필요가 있다고 믿는다.
 
개선점 1. 세무 항복 별 점수를 도입한다
모든 세무 항복 별로 점수를 매기는 방식을 도입해야 한다. 특정 항목의 배점이 2점이고 세부항목이 4개라면, 우리는 그 4개에 각각 점수를 부여하여 총합이 2점이 되도록 해야 한다. 물론, 이는 굉장히 고되고 귀찮은 일을 만드는 것이지만, 그럼에도 필요한 일이라 생각한다. 교육기관에서 발생하는 주요 문제 및 사건에 초점을 맞추고, 이를 특히나 반영하여 새로운 점수 체계를 만들 필요가 있을 것이다.
 
개선점 2. 기본 점수를 폐지한다
대상 시스템에 해당하지 않는 항목이라고 기본 점수를 주는 것은 의미없는 일이라고 굳건하게 믿는다. 해당되지 않으면 아예 논외가 되어야 할 것이다. 따라서 A 시스템은 74점 만점에 54점을, B 시스템은 40점 만점에 12.4점을 맞을 수도 있을 것이다. 그리고 최종 점수는 %로 환산할 것을 기록해야 할 것이다. 나는 그것이 더 나은 방식이라 믿는다.
 
개선점 3. 분야별 최저 점수 표기제를 도입해야 한다
앞에서 나는 리비히의 법칙에 대해 말했다. 정보보호 수준진단에는 8개의 분야가 존재하는데, 만일 7개 분야의 점수가 모두 95점 이상이고, 나머지 1개 분야가 50점이라면, 이 시스템은 못해도 '우수' 등급을 받을 것이다. 실상은 엄청난 취약점이 존재하는 시스템인데도 불구하고 말이다. 사람들은, 특히나 보안 쪽에 관심이나 지식이 크게 없는 사람들은 더욱 결과만을 보기를, 등급만을 보기를 원한다. 그런데 우수, 매우 우수 등급이라면? 만족하고 넘어갈 가능성이 크다고 생각한다. 나는 그리하여 리비히의 법칙을 고려한 경우를 등급란에 병기해야 한다고 생각한다. '매우 우수(보통)'처럼 말이다. 앞선 예시의 경우에는 '우수(미흡)'이 되겠다. 최저 점수를 기록한 분야에 대해서 분명히 명시를 하는 과정이 필요하다고 생각한다. 이렇게 한다면 등급만을 보고 방만하는 것을 조금은 줄일 수 있을 것이다.
 
개선점 4. 지침서를 알기 쉽게 써야 한다
교육기관의 특성을 고려할 때, IT 및 보안 용어를 모르는 분이 상당히 많다. 그분들이 평생 학습하고, 몸을 담았던 곳이 교육이니 당연한 일이다. 그분들에게 IT 쪽 용어를 학습하라고 강요할 수도 없다. 각 시스템 담당자분들에게 있어 이런 수준진단은 '부' 업무일 뿐이지, 결코 '주' 업무도 아니기 때문이다. 다만, 담당자분들 중에서도 그저 업체에 모든 것을 떠맡기지 않고, 열의를 갖고 수준진단에 임하려는 분들이 계신다. 실제로 어떤 담당자분은 사내 메신저가 존재함에도 불구하고 2번 찾아오셔서 여러 질문을 하고 가시기도 했다. 그리고 나는 그분과의 소통을 하면서 지침서가 정말 불친절하다고 느끼게 됐다.
 
예를 들어, 5.6.1 항목에서는 분명 체크리스트 내용만을 보면 비밀번호와 고유식별정보만을 다루고 있다. 하지만, 지침의 내용을 보면 ID에 대한 기술도 있다. 즉, 비밀번호, 고유식별정보의 암호화만을 보는 게 아니라, 개인정보의 암호화를 본다고 해석할 수 있을 것이다. 이런 것들이 담당자에게는 혼동을 주는 것이다. 분명 '비밀번호, 고유식별정보'라고만 했지, '비밀번호, 고유식별정보 등 개인정보'라고 적혀 있던 것이 아니니 말이다.
 
또한, 다른 관점에서의 문제도 있는데, 5.6.1 항목에서는 패스워드 부분에 대해서는 '일방향 암호화를~' 이라고 적혀있지만, 패스워드를 제외한 개인정보에 대해서는 '암호화를~'이라고 적혀 있다. 나야 당연히 이것은 양방향 암호화를 말하는 것을 알고 있지만, 그건 나를 비롯한 업계 사람에게나 당연한 거지, 이 업계에 속하지 않은 사람에게는 당연한 것이 아니다. 개인정보 쪽에서 우리는 '정보주체가 알기 쉽게'라는 항목을 수도 없이 본다. 그런데 이 지침서는 결코 '정보주체가 알기 쉽게'에는 해당할 수 없는 지침서인 것이다. 하나부터 열까지 쉽게 풀어쓰자는 것은 아니다. A와 B를 논할 때, B가 ~A인지, A와는 아예 다른 새로운 개념의 B인지, A를 포함한 개념인지를 문장 구성을 통해 알 수 있도록 써야 한다는 것이다. 용어를 풀어쓰자는 게 아닌, 문장 구성의 측면에서 쉽게 풀어쓰자는 것이다.
 
물론, 이 모든 것은 이뤄지기 힘들 것이라는 사실을 인정한다. 설령 내가 높은 자리에 올라간다 하더라도 말이다. 안 그래도 개인정보 수준진단, 정보보호 수준진단 담당자에게 있어 이 일은 하기 싫은 일인데, 강도를 높이면 자칫 포기하고 '배째!'를 외치는 사람만 늘어날 수 있을 테니 말이다. 하지만 그렇다고 하더라도, 지금처럼 점수를 퍼주는 것보다는 그게 낫다고 생각한다. 같은 위기라고 하더라도, 스스로가 위기인 줄 아는 것이, 위기인 줄 모르는 것보다 나은 상황이라는 것은 명확하다. 우리는 더욱 적나라한 현실을 마주할 필요가 있다.