서론
최근 미세먼지 대책으로 차량2부제가 시행되었습니다. 일부 공감하는 분들도 있겠지만 대부분은 원인과 대책에 의문을 제기하였습니다.
중국에서 넘어오는 미세먼지를 줄이기 위해 차량2부제가 시행되었는데 (물론 공무원만 강제였지만) 이는 불편은 상당하지만 효과는 미미한 정책이었던 것 같습니다.
중국발 미세먼지와 보안이 무슨 상관 관계가 있을까요?
대충 눈치채신 분들도 있겠지만 저는 보안정책의 방향성에 대해서 이야기하고 싶습니다.
본론
어떤 보안정책은 우리가 일하는데 상당한 불편을 줄 수 있습니다. 보안 정책의 목적은 안전한 서비스를 제공하는 것입니다.
그런데 어떤 보안정책은 불편은 상당하지만 실제 안전한 서비스에 별로 기여하지 못하는 경우가 많습니다.
특히 고전적으로 내려오는 보안정책들 중에 현재 상황을 반영하지 못한 정책들이 그런 경우가 많은데 저는 이런 보안을 “꼰대 보안”이라고 부르고 싶습니다. (*꼰대: 자기의 구태의연한 사고 방식을 타인에게 강요하는 사람)
꼰대 보안의 특징은 이렇습니다.
1. 일단 차단, 분리, 통제
2. 서비스를 운영하는 단계에서 방어 (보안팀 주도하에 통제 중심)
3. 승인, 강제화 등과 같은 프로세스 위주의 보안정책
4. 일방적인 보안정책 강요
우리 Delivery Hero Korea에서도 꼰대 보안 정책들이 다소 있는 편이라 불만을 가지신 분들이 있을 듯 합니다.
특히 애자일, 데브옵스 환경에서 업무를 해야 하는 기술연구소에서는 꼰대 보안 정책은 더 이상 공감받기 어렵습니다.
이는 당사 뿐만 아니라 타사들도 같은 상황이며, 특히 IT를 기반으로 비즈니스를 수행하는 회사들에게는 큰 이슈가 되기도 합니다. 그래서 극단적으로 외부 공개용 보안정책과 내부 실무 보안정책을 별도로 운영하는 회사도 생겨났습니다. (바람직하지 않지만 이해는 갑니다.)
‘보안은 다 그런거 아닌가?’ 라고 할 수도 있을 것 같습니다.
그러나 꼰대 보안의 한계에 대해서 생각해 본다면 과연 ‘보안은 다 그런거야’ 라고 말하기 어려울 것 같습니다.
예전에는 대부분의 회사에서 통제 기반의 보안 정책들을 수립하고 이행했습니다.
그러나 차단만 해서는 업무를 할 수 없는 경우가 생기고 (“모바일 서비스를 개발하는데 인터넷이 안되요.”) 무리해서 차단하고 분리했는데도 여전히 보안사고가 발생하는 사례들이 생기기 시작했습니다.
꼰대 보안은 비효율적일 뿐 아니라 효과성도 입증받지 못해 최근에는 통제가 아닌 모니터링 후 신속한 대응 체계로 바뀌어 가고 있습니다.
그렇다면 스마트 보안(꼰대 보안의 반대 개념?)의 특징은 무엇일까요?
1. 최소 차단 후 모니터링 및 즉각 대응
2. 서비스를 만드는 단계에서 안전하게 제작 (디테일한 보안가이드에 따라 모든 담당자들이 보안에 참여)
3. 보안업무의 (도구 및 개발을 통한) 자동화
4. 보안 문화 형성
스마트 보안은 최근 보안 업계에서 화두가 되고 있는 데브섹옵스(DevSecOps)의 특징과도 유사합니다. 우리 Delivery Hero Korea가 추구해야 할 보안 정책 방향이기도 합니다.
단, 스마트 보안 정책의 이해에 있어 무조건 차단을 해제하는 것으로 오해가 있어서는 안됩니다.
보안을 허술하게 하는 것이 스마트 보안이 아니라 효율성과 효과성을 높이는 것이 스마트 보안의 핵심입니다.
자, 꼰대 보안과 스마트 보안의 특징을 비교하면 아래와 같습니다.
그럼, 제가 생각하는 스마트 보안에 대해 조금 더 상세히 설명을 드리겠습니다.
1. 최소 차단 후 모니터링 및 대응
차단은 최소화 하지만 백조가 물 아래에서는 열심히 발길질을 하는 것처럼 보안 담당자는 열심히 모니터링을 하고 이상행위가 감지되었을 때, 바로 대응할 수 있는 체계를 갖추고 있어야 합니다. 여러 가지 솔루션이나 툴들을 활용하여 모든 트래픽들을 분석할 수 있는 환경을 만들고 이상행위가 탐지되었을 때 비로서 차단을 하거나 알람을 주는 형태입니다.
2. 제작 단계에서 안전하게 제작
인프라 전문가가 작성한 것 같은 수준의 서버 보안가이드와 개발자가 직접 작성한 듯한 수준의 시큐어 코딩 가이드가 제공되어 일정 수준 이상의 보안성을 갖춘 서비스가 만들어 지게 된다면 서비스를 오픈해 놓고 모의해킹을 해서 다시 보완하는 작업은 상당 수 줄어들 것입니다. 개발과 운영의 경계가 모호해 져도 보안 가이드대로 잘 지켜진다면 문제가 안될 것입니다.
형식적인 보안 가이드가 아니라 누구나 공감하고 감탄할 수 있는 보안가이드에 따라 자발적으로 업무가 수행되어야 하는 것이 핵심입니다.
3. 보안업무 자동화
최근 보안솔루션, 오픈소스, 직접 개발을 통해 보안 업무 자체가 자동화되고 있습니다. 제한된 자원으로 많은 서비스들을 모니터링하고 즉각 대응하기 위해서는 필수적인 상황입니다. 빅데이터와 AI 등의 기술을 이용해 효율적인 보안업무를 수행할 때, 차단위주의 꼰대 보안 정책을 탈피할 수 있습니다. 이러한 기반이 없다면 꼰대 보안을 탈피할 수는 있어도 보안 수준은 낮아질 것입니다.
4. 보안문화 형성
이를 위한 전제 조건은 회사 전체적인 보안 문화 형성입니다.
최근 이커머스 기업의 한 보안 담당자가 감성 보안이라는 주제로 발표를 한 적이 있습니다.
임직원들의 감성을 자극하지 않으면 전혀 관심을 받지 못한다는 내용이며, 감성을 자극할 수 있는 여러 가지 수단을 이용하여 보안 문화를 형성해야 한다는 내용이었습니다.
보안 문화 형성은 각 구성원들 한 명 한 명의 감성을 자극하지 않으면 형성되기 어려운 미션입니다. 특히 꼰대 보안 정책으로는 보안 문화는 형성되지 않을 것입니다.
맺음말
꼰대 보안이라는 단어 자체가 부정적 이미지를 갖고 있으나 그래도 여전히 안전한 서비스에 기여하는 부분은 있습니다.
그렇더라도 우리 기술연구소는 아직 생산 효율성이 중요한 상황이고, 개발 방향 또한 Squad 중심의 Cross-functional team을 강조하고 있어 꼰대 보안으로는 원할하게 지원하기 어려운 구조이기 때문에 Delivery Hero Korea만의 스마트 보안 문화를 만들어 가야 할 것입니다.
스마트 보안 문화가 정착되면 정보보안 부서 위주로 진행되던 보안 활동들이 모든 구성원들의 업무에 녹아 들어가서 보안 안전성은 유지되지만 사전에 차단되어 업무 생산성을 저해하던 요소들이 많이 제거될 것으로 기대하고 있습니다.
앞으로 꼰대 보안은 지양해야 겠지만 꼰대 보안 정책들 중에는 정보통신망법이나 개인정보보호법으로 정해진 정책들도 있어 일부 현실을 반영하지 못한 비효율적인 법이라도 어쩔 수 없이 지켜야 하는 경우가 있습니다. 그리고 수준 높은 모니터링 체계나 보안 문화가 준비되지 않은 상태에서는 안전한 서비스를 위해 여전히 일정 부분은 꼰대 보안에 의지할 수 밖에 없습니다.
DHK 정보보안팀에서는 이러한 어려움을 극복하기 위해 다양한 방향에서 고민하고 여러 사례들을 분석하여 보안 정책을 수립할 계획입니다. (법률을 지키지 못했을 때의 Risk는 우리가 생각하는 것 보다 영향이 클 수 있어 신중해야 하거든요.)
자, 이제 Delivery Hero Korea만의 스마트 보안 문화가 정착되는 날 까지 노력해야겠습니다. 정보보안팀이요? 아니요, 우리 모두가요.
국태호, 정보보안팀 @Delivery Hero Korea
가입하기
