토스의 보안 소개 - 지금 우리에게 필요한 보안 전략은?

공격자는 환경의 변화 속에서 빠르게 진화하고 있다. 이건 10년 전에도, 5년 전에도, 현재에도, 미래에도 통용되는 말일 것이다.

그런데 그렇다면, 방어자는 어떻게 진화하고 있는가? 명백하게 방어자는 공격자의 변화 속도를 따라가지 못하고 있다. 날이 갈수록 늘어나는 공격의 피해 규모, 범위 등이 그 사실을 밑받침한다.

 

그렇다고 방어자들이 놀고 있는가? 그렇지 않다. 각 기업의 보안 담당자들이 얼마나 갈리고 있는지 현실을 고려한다면 이는 매우 억울한 일이다. 그렇다면 결국 방향성의 문제가 답이라는 결론에 이르게 된다. 관성적으로 업무에 임하는 것이 문제라는 말이다. 기존의 업무를 하기 바쁠 뿐이다.

 

예를 들어, AI 공격이 최근 공격의 트렌드라고 하자. 그럼 AI 공격에 대응할 수 있는 사람이 조직에 있기는 할까? 새로운 공격이 나타나는 걸 볼 때마다 그저 손 놓고 기다리는 것이 담당자의 현실이다. 이는 개인정보 정책을 담당하는 직원의 예시로도 설명이 가능한데, 개인정보보호법이 바뀐다고 가정하자. 그렇다면 그 다음 담당자들이 기다리는 것은 '가이드라인' 내지는 '해설서' 등이다. 법이 개정됨에 따라 담당자가 선제적으로 대응을 하는 문화 자체가 형성되어 있지 않다. 물론 이는 리스크 차원의 문제가 커서 그렇기는 하지만 말이다. 핵심은 무언가 새로운 것이 등장하였을 때, 담당자 입장에서 선제적 대응을 한다는 것이 현실적으로 매우 어렵다는 점이다.

 

정보보호를 위한 핵심요소에 대해 토스의 CISO는 크게 3가지를 말한다. 당연하다면 당연한데, 그만큼 중요하면서도 잘 지켜지지 않는 곳이 태반이다.

 

① 경영진 + 임직원의 공감과 동참

보안은 비즈니스를 방해하기 위함이 아니라, 안전한 비즈니스를 만들기 위한 활동으로 인식되어야 하는데, 대부분의 조직에서는 그렇지 아니한 것으로 인식된다. 보안은 감히 서비스 가용성에 위협을 가하는 것으로 여겨지는 경우가 많으니 말이다. 

 

문화부터 바뀌어야 한다. 그리고 그러기 위해서는 경영진의 의지가 매우 중요할 것이다. SKT, KT, LG, 쿠팡, 넷마블 등.. 그간 수많은 기업이 보안 이슈가 터졌는데, 이쯤되면 우리는 의심해봐야 할 게 있다. 보안 문제가 터지는 것이 한 두 군데가 아니라면, 이건 특정 기업의 문화 문제가 아니라, 대한민국 내의 전반적인 문화의 문제이지 않을까? 하고 말이다. 

 

우리나라 사람들은 빠른 걸 좋아한다. 그러면서 성능이 좋고, 편해야 한다. 하지만 보안은 빠른 걸 저해하고, 편한 걸 저해한다. 그리고 우리나라 사람들은 대개 그것을 '낮은 성능'으로 받아들일 가능성이 높다. 사실은 보안성을 높인 것이라 그런 것이라 항변하더라도 말이다. 그렇기에 더욱 경영진의 보안에 대한 의지와 동참은 매우 중요할 것이다. 단언컨대, 경영진이 의지가 없음에도 보안이 좋은 곳이란 존재할 수 없을 것이다.

 

② IT 자산 파악 / 관리 범위 확대

전통적으로 조직 내에서는 엔드포인트에 관한 자산을 주로 관리하는데, 이마저도 관리하기 힘든 게 현실이라는 지적이다. 그리고 백번 맞는 말이다. 관리가 도무지 되질 않는다. 서버, DB, WEB, WAS, APP, 네트워크, 정보보호시스템, 클라우드 컨테이너 등.. 조직이 커지다 보면 관리해야 할 자산이 1,000이 넘어가는 건 시간 문제다. 

 

그런데 사실 저것만 관리해서는 안 된다는 것이 현실적인 문제다. 저것조차 관리가 안되는데, 실제 공격자 입장을 고려한다면, 모든 IT 자산을 싸그리 관리해야 하는 것이 맞지만, 그것이 어렵다. VM, 각종 프로그램, 중요 데이터 등 모든 것을 자산으로 폭넓게 정의해야 하는 것이 옳은 방향성일 것이다. 이게 가능할지는 모르겠지만.. 나아가야 할 방향성이 이렇다는 데에는 CISO의 말에 동의하지 아니할 수 없다.

 

그래서 전략을 짜야만 한다. 여기서 솔루션 관리가 중요할 것이고, 모든 자산이 솔루션에 의해 통제되는 것을 계획하는 안을 고려할 수 있다. 예를 들어, 모든 서버는 Hiware 같은 솔루션을 통하여 접근제어를 실시한다고 가정하면, 그것을 통해 자산 파악의 용이성을 높이도록 계획하는 것이다. 한 번 등록하고 끝이 아니라, 아무리 못해도 1년 단위로 갱신하는 것으로 말이다. 

 

③ 보안위협 식별 및 대응

②가 되었다면 이제 그 자산을 토대로 보안 위협을 식별하고 대응해야 할 것이다. 단순히 IDS, IPS, DDOS 장비 등을 설치했으니 되었지가 아니라, 각 자산 별로 위협을 식별할 필요가 있다는 것이다. 

 

그러기 위해서는 늘상 동향 파악을 하는 것은 기본이다. 오늘 CVSS 10.0의 react 취약점으로 시끌벅적했던 것처럼, 취약점에 대해 늘 주시하며 선제적 대응을 해야 하고, 공격 기술과 방어 기술의 발전에 대해서도 파악하고 있어야 할 것이다 .

 

그리고 나서는 그런 기술과 취약점 등을 고려했을 때 조직 내의 보호 자산으로 어떻게 공격이 들어올 수 있을지 가시성을 확보해야 한다. 그렇게 위협을 식별하고 대응하는 과정을 거치는 것이다. 이게 정말 중요할 테지만, 많은 조직에서는 설령 보안 담당자라고 하더라도 현재 조직 내에 어떤 취약점이 있는지 명확하게 답하지 못할 것이다. 그런 활동을 실제로 거치지 않을 것이니 말이다. 보안담당자에게 대뜸 조직 내의 보안 취약점에 대해 인식하고 있냐는 답을 했을 때, 명쾌하게 답을 할 수 있다면 스스로와 조직 내의 보안 수준에 어느 정도는 자신을 가져도 되지 않을까 싶을 정도다.

 

이 토스 가디언즈를 비롯해 여러 컨퍼런스의 주된 목적은 여러 정보를 공유하고 발전하기 위함에 그 가치가 있다. 그렇기에 나도 더욱 많은 담당자들을 앞으로 괴롭힐 필요성을 이번을 기회로 더욱 느끼게 된다.