[강은성의 안전한 IT 세상]보안은 문화다?


얼마 전 회사에서 남이섬으로 워크숍을 다녀 왔다. 고등학교 시절 가족과 함께 남이섬을 다녀 온 지 근 30년 만에 다녀 온 것이다. 남이섬의 콘셉트를 나미나라(Naminara Republic)로 잡고 섬 전체를 한 나라처럼 꾸민 게 참 인상 깊었다.

그러니까 남이섬으로 들어가는 건 입국(Immigration)이고, 표 검사하는 곳은 입국심사대였다. 게다가 유니세프관으로 가는 길에는 각 나라들에 대해 설명하는 표지판들이 쭉 서 있고, 평화와 생명을 상징하듯 병과 중고책 등 재활용 물품으로 만든 다양한 조형물이 있어서 남이섬의 특징을 평화를 사랑하는 나라로 잡은 것 같았다.

하지만 무엇보다도 눈에 띈 것은 금요일 오후 남이섬으로 향한 배에 가득 찬 일본인과 중국인 관광객들이었다. 잘 알려져 있다시피 이 추운 겨울에 그들을 경기도 구석의 조그만 섬으로 이끈 원동력은 남이섬이 바로 ‘겨울연가’의 촬영지였다는 점이다. 남이섬 곳곳에 있는 겨울연가의 주연 배우 배용준과 최지우의 조형물 곁에서 그들은 사진을 찍으며 즐거워했다. 문화 컨텐츠의 힘이 정말 대단하다는 걸 느꼈다.

한국민족문화대백과에서는 문화를 ‘한 민족이나 사회의 전반적인 삶의 모습’이라고 정의하고, 브리태니커 백과사전에서는 '사회 구성원에 의해 공유되는 지식, 신념, 행위의 총체'로 설명한다. 둘 다 문화를 민족이나 사회 등의 매우 큰 단위 관점에서 보는 게 특징이다. 전통문화, 외래문화, 동양문화, 서양문화와 같은 용례가 이 사전에서 정의한 문화에 잘 부합한다.

요즘은 문화라는 말이 훨씬 다양하게 쓰인다. 고급 문화, 저질 문화처럼 문화의 수준을 나타내는 말부터, 기부문화, 게임문화, 인터넷문화, 나눔문화, 심지어는 화장실문화라는 용어까지 특정한 분야나 행위의 일반화된 속성을 나타낼 때 사용된다. 문화란 말을 많이 쓰면 좀더 문화적으로 보고, 좀더 고급스러운 사람으로 보는 경향도 있는 것 같다.

내가 일하는 회사의 보안담당조직의 이름은 ‘보안문화추진팀’이다. 조직문화, 개발문화, 기업문화 등 기업에서도 문화라는 말을 많이 쓰지만, 보안조직 이름에 ‘문화’를 붙인 것은 매우 낯설다. 뭔가 통제하고 음침한 느낌이 드는 ‘보안’과 자유롭고 밝은 어감의 ‘문화’가 만난 것이다. 처음 이 이름을 대했을 때에는 이미지 치장용으로 만든 건 아닐까 하는 생각이 들기도 했지만, 기업보안 업무를 맡아 일해 보니 보안이야말로 문화가 되어야 할 분야라고 생각하게 되었다.

◆보안은 프로세스다

인터넷서비스 산업에서는 보안취약점 없이 서비스를 출시하는 것이 보안조직의 가장 큰 과제다. 회사의 지속적으로 성장하려면 SNS나 검색 등 사용자에게 제공하는 각종 서비스가 보안공격에 의해 중단되지 않도록 해야 하고, 사용자가 만들고 저장한 각종 고객정보를 안전하게 보호해야 한다. 이를 위해 보안조직에서는 기획, 개발, QA 등 각 서비스 개발 프로세스에 보안 요구사항을 넣고 각 단계에서 이를 점검함으로써 서비스가 보안 취약점 없이 출시되도록 최선을 다하고 있다.

사실 각종 기업용 소프트웨어나 장비들을 개발하는 업체에서도 마찬가지다. 기업용 제품에 보안취약점이 있으면 그것들의 오작동이나 악의적 작동을 통해 고객사나 최종 사용자에게 큰 피해를 입힐 수 있기 때문이다. 더구나 기업에서는 제품의 안정성과 타 제품과의 연동이나 타 조직과의 협업 때문에 제품의 패치나 교체를 달가워하지 않는다. 따라서 이미 출시된 이후에는 제품에 존재하는 보안취약점을 찾아 내기도 어려울 뿐 아니라 설령 찾아 냈다 하더라도 그것을 제거하는 비용이 매우 크게 된다. 제품 개발 프로세스에서 보안점검의 중요성은 아무리 강조해도 결코 지나치지 않다.

하지만 보안 프로세스가 잘 되어 있다 하더라도 큰 규모의 신규 개발부터 단순 오류 수정을 위한 긴급 패치에 이르기까지 사내에서 어떤 개발 과정이 진행되고 있는지 알기 어려운 경우도 많다. 또한 개발 기간을 산정할 때 보안 업무를 제외하고 산정한 다음에 고객과 미리 약속된 일정 때문에 보안성 검토를 하지 못한 채 출시하는 경우도 생긴다.

개발을 위해서는 적극적으로 투자하면서도 보안점검 자동화 도구나 보안취약점을 점검하는 보안전문가에 대한 투자는 소홀한 경우도 종종 있다. 제품과 서비스의 보안을 제대로 해 내기 위해서는, 기획부터 출시까지 개발 프로세스에서의 보안을 챙기는 것도 중요하지만, 경영진을 비롯해 개발에 직접, 간접으로 관련된 모든 주체들이 보안의 중요성을 알고 실행해야 한다. 보안 ‘문화’의 필요성이 바로 여기에 있다.

◆보안문화의 필요성

나는 '문화'를 '자연스럽게 배어 있는 모습'이라고 정의한다. 전사의 업무에 보안업무가 스며들고, 업무 담당자들의 생각과 활동에도 보안이 배어 있어야 보안이 제대로 이뤄질 수 있기 때문이다. 하지만 다른 분야에서도 어떤 활동이 문화가 되는 것이 쉽지 않은데 관리와 통제 중심으로 수행되어 온 보안 활동이 문화가 되는 과정은 매우 어려울 수밖에 없다.

보안이 문화가 되려면, 보안의 위험과 필요성을 인식하고, 보안 취약점을 찾고 해결하는 방법을 알고, 실제로 그것을 어렵지 않게 수행할 수 있어야 한다. 그리고 이 과정을 통해 보안의 효과를 직간접적으로 몇 번 경험하게 되면 보안 활동이 점점 더 자연스러워진다. 이런 과정을 반복하면서 보안문화가 형성된다.

그래서 무엇보다도 먼저 필요한 것이 지속적인 교육이다. 전사적으로 매년 시행하는 온라인 (개인)정보보호 교육, 신규 입사자에 대한 보안교육, 각종 보안 캠페인, 보안 뉴스레터, 보안에 기여한 현업 담당자들에게 주는 분기별 Special Thanks, 전체 개발자에게 실시한 ‘직군별 정보보호 교육’ 등이 작년에 당사에서 진행했던 정보보호인식 제고를 위한 교육 활동이다. 또한 개발 보안 가이드라인을 만들어 개발조직에 제공하고, 자동화된 보안취약점 점검도구와 함께 이를 좀더 쉽게 사용할 수 있는 사용자 인터페이스를 제공한다.

보안취약점이 발견되었을 때 그에 대한 해결책을 함께 모색한다. 사실 보안기술을 가진 개발자, 보안지식이 있는 네트워크 담당자, 보안을 잘 아는 기획자 등 보안이 개발 활동 전반에 스며들면서 보안에 대한 지식과 경험이 기획자나 개발자 자신의 가치를 높이게 될 거라는 점을 인식시키는 것도 보안이 문화가 되는 중요한 측면이다.

◆다양한 영역에 걸쳐 있는 보안

서비스의 개발 이외에도 기업보안에는 매우 다양한 영역이 있다. 서버와 네트워크, PC와 모바일 단말 등 각종 IT 인프라, 수시로 드나드는 외부 인력과 외주 인력의 관리, 사내 기밀 문서와 이동 저장장치의 관리 등, 조직이 커질수록 매우 다양한 활동이 있고, 그 활동에 보안 프로세스가 포함될 필요가 있다. 하지만 보안부서에서는 서비스 개발에서와 마찬가지로 그러한 활동이 있는지 알지 못하는 경우도 생긴다. 해당 활동 담당자가 보안의 필요성을 느끼고 있다면 보안부서에 보안 프로세스를 요청해 올 것이다.

보안 프로세스가 되어 있다 하더라도 그것을 담당하는 주체들의 역량과 열의에 따라 실제로 구축되는 보안의 수준은 큰 차이가 난다. 보안요구사항이 해당 활동의 일정과 성과, 사용의 편리성에 상충하는 경우가 많아서 보안부서에서 요구하는 보안의 수준은 최소 요구사항으로 합의될 가능성이 높기 때문이다. 따라서 조직의 전체 구성원들에게 보안문화가 스며들어 있다면 전체 조직에서 보안이 취약한 부문을 없앨 수 있을 뿐 아니라 전반적인 보안 수준도 크게 높일 수 있다.

보안이 문화가 되면, 이런 일들이 일어난다. 서비스를 기획하면서 고객정보의 생성과 이용, 폐기까지의 흐름을 살피기, 개발일정에 보안검토 일정을 포함시키기, 프라이버시 데이터의 저장과 전송 보안 수준을 높이기, 소프트웨어를 구현할 때 보안취약점이 있는 API를 쓰지 않기, 메일을 쓸 때 한번쯤 수신인과 전달할 내용을 살펴 보기, 출근하면서 사원증 달기, 퇴근할 때 서랍 잠그기, 잡상인이 사무실을 돌아 다닐 때 누굴 찾아 왔는지 물어보고 나가달라고 요구하기, 외부에서 업무에 대해 얘기할 때 얘기할 것과 얘기하지 않아야 할 것을 구분하기, 일을 할 때 보안 측면에서 검토하기, 업무 중 보안 관련 사항을 보안부서에 문의하기 등등.

자신의 업무를 수행하면서 이러한 일들을 일일이 생각해야 한다면 누구든지 머리가 아플 것이다. 그래서 보안 활동이 자연스럽게 몸에 배는 것이 중요하다. 하지만 짧은 시간에 그렇게 되기는 어렵다. 천 리 길도 한 걸음부터라는 속담이 말해 주듯, 첫 걸음을 떼는 게 중요하다. 보안담당자들은 지금 자신이 속한 조직의 보안수준을 고려하여 어디에서 출발할까 고민해 보자. 가능하면 1년~2년 정도의 보안 목표를 정해 보자. 그리고 그것을 달성하기 위한 첫 걸음을 뗀다면 그것은 단지 한 걸음이 아니라 기업의 보안 문화 형성을 향한 매우 중대한 한 걸음이 될 것이다.

/강은성 SK커뮤니케이션즈 PMO








포토뉴스