보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

기업 정보보안 활동, 어떻게 해야 할까?

2020.11.04

8,002


업무의 시작은 일반적으로 출근 후 PC를 켜는 것에서부터 시작한다. 그런 다음 이메일을 확인하고, 업무용 소프트웨어를 사용해 본격적으로 하루 일과를 시작하게 된다. 최근에는 코로나19로 인해 재택근무가 증가하면서 집에 있는 PC에서 회사 네트워크로 접속해 업무를 수행하고, 화상 회의로 이를 공유하는 일도 낯설지 않게 됐다. 정보화 시대이기에 가능해지는 ‘일상의 정보화’가 어느덧 우리에게 익숙한 모습으로 자리 잡아가고 있다.   그러나 문제는 매일같이 사용하는 이메일이 사실 악성코드 감염의 주요 원인이 되고, 감염된 PC는 기업의 중요 정보자산 유출 또는 전산 시스템 파괴 등 상상하기조차 싫은 영화와 같은 일들이 언제든 현실화 될 수 있다는 것이다. 위와 같은 공격 기법을 통해 기업이 보유하고 있는 고객 개인 정보와 같은 중요 정보가 유출되고, 랜섬웨어 감염으로 인해 공장 가동이 중단되는 등 크고 작은 보안 사고가 발생하게 된다.  

<그림1. 2016 중소기업 정보보안 현황조사(출처: 오피스키퍼)>

 

이렇듯 디지털 트랜스포메이션이 가속화됨에 따라 업무의 무게 중심이 IT로 이동하고 있으며 IT에 보안 위협은 날로 증가하고 있다. 그렇다면 이에 대응하는 기업들의 전략은 어떠할까? 정보보호에 대한 투자, 정보보호 조직 구성 등 기업 정보보호 활동 현황에 대해 살펴보고, 보다 철저한 보안을 위해 기업이 해야 하는 일은 무엇인지 그 방안에 대해 고민하는 시간을 가져보고자 한다.     ■  ​정보보호 투자는 미흡, 사이버 공격은 용납하지 않는다?   최근 사이버 공격 동향을 살펴보면, 외부에서 내부로 직접적인 공격을 시도하기 보다는 내부의 취약한 사용자에게 접근해 2차·3차로 행해지는 공격이 많다. 그리고 실제 이러한 공격이 성공 확률이 높은 것으로 나타나고 있다.   이에 사이버 공격의 탐지 및 대응 방식도, 기존 외부에서 내부로 유입되는 공격에 대한 방어보다 오히려 내부에서 외부로 나가는 정보 유출을 방어하는 데 훨씬 집중되는 추세를 보이고 있다.   직접적인 공격이 어려워졌다는 건, 다시 말해 기업의 보안에 대한 투자가 과거보다 크게 늘어났다는 것으로 의미한다. 하지만 사이버 공격 역시 이전에 비해 한층 진화한 모습을 보이고 있다. 최근에는 정상적인 서비스인 것처럼 속여 내부에 침투하는 공격 또는 사용자를 속이기 위해 위장한 악성 메일이나 홈페이지로의 접속을 유도하고 악성코드에 감염시키는 등의 공격 사례가 급증하고 있다.   이러한 사례는 기업의 입장에서 내부 정보보안에 대한 투자를 늘려야 한다는 것을 의미한다. 또한 기술적 보안에 대한 한계를 극복하기 위해 보안 인식 제고 교육과 같은 사용자 스스로에게 보안에 대한 중요성을 심어주고, 더 나아가 정보보안 활동을 유도할 수 있는 노력도 함께 요구되고 있다.   그러나 올해 초 과학기술정보통신부와 한국정보보호산업협회가 발표한 ‘2019년 정보보호 실태조사’ 결과에 따르면, 기업들의 정보보호(개인정보보호)에 대한 투자는 여전히 미흡한 것으로 드러났다. 기업의 전체 IT 예산 중 정보보호 예산의 비중이 5% 이상인 기업이 소폭 늘어나기는 했지만 아직도 기업의 정보보호에 대한 인식은 부족하다고 할 수 있다.  
 

<그림2. 2019년 정보보호 실태조사 결과 자료 중 일부 (출처: 과학기술정보통신부)>

  실제 동종업계 A기업과 B기업의 정보보호 투자 현황 비교 자료를 기반으로, 공격 대응에 대한 점수를 집계해봤다. 해당 내용은 실제 공격의 대응과 다소 차이가 있을 수 있으나, 사이버 공격이 일어날 때 대응할 수 있는 장비가 마련돼 있는지에 초점을 둬 살펴본다.   먼저 A기업은 외부에서 유입되는 공격에 대한 탐지 및 대응을 위한 투자는 물론, 내부 데이터 보호를 위한 무선침입방지 및 접근통제 등을 수행하며, 외/내부의 정보보안이 모두 적절하게 이뤄지고 있음을 확인할 수 있다. 그에 비해 B기업은 외부 공격에 대한 보안 조치는 존재하나, 내부 보안에 대한 투자가 미흡해 내부 정보 유출과 같은 공격에 쉽게 노출될 수 있는 취약성을 내재하고 있다.  

<표1. 정보보호 투자에 따른 공격 대응 점수 비교 예시(출처: 이글루시큐리티)>

  결국 정보보호 투자는 경영진이 정보보호에 얼마나 관심을 보이는지에 달려있다. 날로 지능화, 고도화되는 사이버 공격으로 부터 기업의 자산을 안전하게 보호하기 위해서는 기업이 성장하는 것 이상으로 정보보호에 대한 투자를 확대해야 할 것이다.     ■  ​산 넘어 산? 기업 정보보호 조직 및 담당자의 역할, 그리고 한계   1) 정보보호 조직에 대한 기업의 소극적 태도 오늘날 대부분의 기업은 정보보호를 위한 조직을 보유하고 있다. 하지만 그 조직에 부여되는 역할과 책임에 대해서는 여전히 많은 문제점을 안고 있는 것이 현실이다. 아직까지도 일부 기업에서는 정보보호에 대한 조직 자체에 미온적인 태도를 보이면서, 소극적으로 운영하는 모습을 보이고 있다. 별도의 독립된 팀을 구성하지 않고, 총무부서나 경영관리부서 등에 귀속되어 있는 경우를 심심찮게 찾아볼 수 있다. 이러한 조직 구성만을 놓고 보더라도, 기업 내에 정보보호 조직의 비중이 그리 크지 않음을 느낄 수 있다.  

<그림3. 하위 조직으로 보안 조직 구성 예시(출처: 이글루시큐리티)>

   

<그림4. 경영지원 조직 내 보안인력 구성 예시(출처: 이글루시큐리티)>

  다음은 정보보호 조직의 역할에 따라 상반된 결과가 도출된, 두 기업의 사례를 비교해 봤다.  
시나리오 1. 정보보호 조직에 대한 하위 체제 관리 A기업은 매년 취약점 진단을 수행하고 있다. 정보보호팀은 해당 기업의 대외 서비스에서 도출된 취약점을 각 서비스 담당 팀에 전달했지만, 취약점에 대한 조치는 이뤄지지 않았다. 정보보호팀에서는 해당 팀에게 취약점에 대한 조치를 지속적으로 요청했지만, 서비스의 가용성을 이유로 처리되지 않았다. 얼마 후 해당 취약점으로 웹셸이 업로드됐고, A기업은 정보 유출 사고를 당하게 됐다.
시나리오 2. 정보보호 조직에 대한 중앙 집중적 체계화 관리 B기업에서는 모든 시스템의 도입, 변경, 폐기가 정보보호팀을 거쳐 진행된다. 정보보호팀에게 취약점 진단 및 폐기 과정을 보고한 후 수행돼야 하며, 웹서비스의 신규, 수정 등의 변경 사항이 발생할 때는 정보보호팀의 취약점 진단 후 업로드가 가능하다. 또한 연 2회 진행되는 취약점 진단에서 취약점이 도출될 시 단기 또는 중/장기 계획을 수립해 조치 기간을 보고해야 하며, 중/장기 조치가 필요할 때는 이에 대한 보완 대책을 사전에 마련해야 한다.
    2) 기업 정보보호 담당자 역할의 한계 필자의 업무인 보안관제를 수행하다 보면, 당사 관제센터 기준 개별 기업에서 발생하는 공격 이벤트 건수는 월평균 약 150만 건, 이 중 보안 솔루션에 의해 자동 차단되는 건을 제외한 실제 유효 공격 대응 건수는 약 130건 정도에 달한다는 사실을 알 수 있다.  

<그림5. 이글루시큐리티 보안관제월간보고 샘플 일부(출처: 이글루시큐리티)>

  이렇듯 매일 같이 발생하는 수많은 공격 이벤트에 대해 일부 기업은 보안관제서비스를 활용해 대응해나가고 있지만, 그렇지 못한 기업의 경우 그 기업에 소속된 보안 담당자가 일일이 분석해 처리해야 한다.   그러나 보안 담당자의 역량에는 편차가 존재해 실제 공격 이벤트를 보고도 이에 대응하지 못해 속수무책이 되고 마는 경우가 상당하며, 공격 대응 및 보안 운영을 위해 배치된 인력도 평균 1~3명 수준으로 외/내부 보안에 대한 모든 것을 처리하기에 턱 없이 부족하다. 더불어 기업의 무분별한 인프라 확장으로 인해 구조 파악이 어려워져 실제 공격이 발생하더라도 어디서 어떻게 대응해야 하는지조차 모르게 되는 경우도 발생하고 있다.   실제 랜섬웨어에 감염된 한 기업에서 공격이 진행되고 있음은 인지했지만, 각 부서마다 무분별한 네트워크 확장으로 인해 그 구조를 파악하지 못해 감염 경로 및 피해 규모를 확인하는 데 어려움을 겪은 사례가 있었다. 며칠에 걸쳐 사고 경위를 조사한 후에야, 외부망에 직접 연결한 한 부서의 PC로 인해 전체 인프라가 감염됐다는 사실을 인지했고, 이는 신속한 초기 대응을 어렵게 만드는 원인이 됐다. 기업 인프라 환경 내 보안이 필요한 곳, 집중돼야 하는 곳, 또 현재 상태에서 보완돼야 하는 곳을 사전에 파악하는 것은 보안 담당자에게 있어 매우 중요한 일이라고 할 수 있겠다.     ■  ​고도화되는 보안 위협, 기업은 어떻게 대응해야 할까   물론 모든 기업의 정보보호 활동이 부족한 것은 아니다. 하지만 여전히 별다른 투자 없이 사고가 발생하지 않기만을 바라는 기업, 사고가 발생해도 어떻게 해야 하는지 모르는 기업이 많이 보이는 것을 보면 기업들의 정보보호에 대한 인식이 전반적으로 낮다는 것 또한 부정할 수 없는 현실이다.   웹사이트의 비밀번호를 잃어버렸을 때 비밀번호를 찾기보다 다크 웹에서 찾는 것이 더 빠르다는 우스갯소리가 있을 정도로, 해킹으로 인한 개인 정보 유출로 기업의 이미지 손상, 막대한 금전적 손실이 발생했다는 기사가 연일 터져 나오지만, 내 기업은 아닐 거라는 안전불감증은 지금까지도 만연하다.   방화벽 한 대로 보안시스템이 완벽할 것이라는 안일한 생각과 주먹구구식 문제 해결은 더 이상 유효하지 않다. 보안 사고를 직접 경험하지 않았다는 이유로 또 정보보호 투자 성과는 측정하기 어렵다는 이유로 정보보호 예산을 투자가 아닌 비용으로 인식해왔던 낡은 생각은 버리고, 이제는 언제 어느 때건 얼마든지 보안 위협에 노출될 수 있다는 사실을 명심할 필요가 있다.   기업들은 사이버 공격에 대한 효과적인 대응 체계를 갖출 수 있는 만반의 준비가 필요하며, 이를 위해서는 정보보호 조직의 역할이 그 무엇보다 중요하다. 정보보호 담당자의 한계를 이해하고 이를 보완할 수 있는, 적극적으로 수행하는 조직으로서의 역할이 절실히 요구되는 시점이다.