[보안칼럼]컨설팅은 기업의 보안 수준을 높여 주는가

보안 컨설팅은 '전산 시스템과 네트워크 등 모든 정보기술(IT) 자산과 조직에서 일어날 수 있는 위험을 분석하고 관리자 및 조직이 대책을 실현할 수 있도록 지원하는 독립적 자문 서비스'로 정의할 수 있다.

그렇다면 보안 컨설팅만으로 기업의 보안 수준을 향상시킬 수 있을까. 보안 컨설팅을 건강검진에 비유하면 유추할 수 있다. 건강검진을 받는다고 몸이 건강해지는가. 그렇지 않다. 몸이 건강해지거나 계속 건강을 유지하려면 건강검진 결과에 따라 처방을 충실히 이행하는 것이 중요하다.

보안 컨설팅도 이런 이유에서 중요하다. 개인이 건강검진 보고서 내용을 충실히 이행하지 않았다고 법적 문제로 이어지지는 않는다. 기업이 규제와 관련된 내용을 이행하지 않는다면 법적 문제로까지 이어지게 되기 때문에 주기적 보안 컨설팅은 매우 중요한 요소다.

아예 건강검진을 받지 않으면 어떻게 될까. 쉽게 예방할 수 있는 질병에 걸릴 수도 있고, 치료 시기를 놓쳐서 다시 회복하기 어려울 뿐만 아니라 치료 비용 또한 올라가는 상황이 발생할 수도 있다.

현재 개인정보보호법, 정보통신망법, 전자금융 감독규정 등에 따라 일정 규모 이상의 기업은 사내에서 운영하는 정보기술 자산과 조직에 대한 정기적 취약점 진단을 받아야 한다. 하지만 사내 보안담당자는 다수의 전산 시스템과 네트워크, 애플리케이션에 대한 기술적 내용을 모두 파악하기 어렵다. 끊임없이 쏟아지는 악성코드와 제로데이 취약점에 대한 점검·조치를 수행하는 것도 쉽지 않다.

외부 전문가를 통해 보안 컨설팅 서비스를 받는 이유다. 보안 컨설팅을 받고 난 뒤 취약점에 대한 보완 대책을 적절히 수행하고 이에 대한 이행 점검을 통해 다시 한 번 확인해야 한다. 이때 식별된 취약점에 대한 보완 대책은 보안 컨설팅 업체가 하는 것이 아니라 피 컨설팅 기업이 수행해야 한다. 의사가 나를 대신해서 소금 섭취량을 줄이는 것이 아니고, 나를 대신해서 하루 1시간 러닝머신을 뛰는 것이 아니다.

보안 컨설팅을 통해 식별된 취약점을 모두 보완했는데도 이후 보안사고가 발생하는 경우가 있다. 보안 컨설팅 단계에서 취약점 도출이 미흡한 경우도 있겠지만 대부분은 그 이후 정보기술 자산과 조직 변화를 통한 새로운 취약점이 발생한 경우가 많다. △신규 장비 추가 설치 △네트워크 구조 변경 △기존 시스템 업그레이드 △장비 교체 △인력 교체 등을 통한 신규 취약점이 추가로 발생하는 경우가 빈번하다. 기술은 진보하고 취약점은 끊임없이 식별되기 때문에 해커가 이를 이용한 새로운 공격기법을 개발하기 때문이다.

기업은 두 가지로 분류할 수 있다. 해킹을 당한 기업과 아직 해킹을 당했는지 모르는 기업이다. 그만큼 해킹에 이미 노출된 기업이 많다는 의미다.

끊임없이 쏟아지는 공격으로부터 대응하기 위해서는 끊임없는 예방과 방어가 필요하다. 보안 컨설팅도 일회성이 아니라 주기적으로 수행해야 한다. 정보보호 수준은 어느 수준까지 유지하면 안전할까. 명확한 기준은 없다. 공격자는 10을 얻기 위해 10 이상의 노력을 투자하지 않는다. 기업은 정보자산의 가치를 판단하고 이에 대한 적절한 투자를 통해서 정보보호 수준을 유지해야 한다. 이러한 복잡한 임무를 수행하기 위해 정보보호최고책임자(CISO)를 지정하고 운영해야 한다.

유럽연합(EU) 개인정보보호법(GDPR)에 규정된 정보보호 관계법령 위반 과징금은 위반의 성격, 중대성, 의도성, 태만 여부, 피해 경감 노력 등 11가지 기준에 따라 산정된다. 일반 위반 사항의 경우 세계 매출액의 2% 또는 1000만유로(약 132억원) 가운데 높은 금액, 중요한 위반 사항은 세계 매출액의 4% 또는 2000만유로(263억원) 가운데 높은 금액으로 산정된다. 경영에 심각한 영향을 미칠 수 있는 금액이다.

최악의 상황이 발생하기 전에 기업은 정보보호 수준을 향상하고 유지하는 노력이 절대적으로 필요하다. 매년 건강검진을 받듯 단순한 일회성 이벤트로 취약점을 점검하고 조치한다는 생각으로 접근하는 것이 아니라 정보보호 관리체계 안에서 주기적인 보안 컨설팅을 수행해야 한다.

유영일 테르텐 대표이사 richard.yu@teruten.com