정보 보안

정보보안은 기업의 잠재적 손실을 최소 비용으로 가장 효율적으로 제어하고자 하는 위험 관리입니다.

위험 관리로서 정보 보안은,
시시각각으로 변화하는 보안 위협에 지속적으로 대응함이 중요합니다.
위험의 종류 및 규모에 따라 두 가지 이상의 다층적 수단을 병용하는 것도 필요합니다.
특정 리스크만을 대상으로 하지 않고 모든 리스크를 체계적으로 파악하는 일도 중요합니다.
다년간의 경험과 풍부한 원천기술 그리고 지속적 연구개발을 통한 근본적 해결 방안을 갖춰야 합니다.

위험 관리는 현재의 자산이자 미래의 부입니다.

“보안을 꼭 해야만 하나? 한다면 비용을 얼마나 투자해야 하나?”

이 질문은 다음 질문으로 바꿔야 보다 본질에 가까워집니다.

“얼마나 중요한 정보인가?”

정보 보안 정책 수립에 있어 최우선으로 고려할 것은 정보의 중요도, 즉 가치에 대한 판단입니다.
자신에게 얼마나 중요한가, 그리고 또 해커에게 얼마나 매력적인 정보일까,
정보를 보호하는 데에도 비용이 들기 때문에 보안 노력과 비용 결정에 앞서 가장 먼저 판단해야 합니다.

resource_정보보안

결론적으로 말하자면, 보안 대상인 정보의 가치가 보안 비용보다 크다면, 보안을 해야 합니다.

하지만 모든 상황에서 늘 최고 수준의 보안이 필요한 건 아닙니다.
개인이 재미로 수집한 정보의 가치와 기업 및 정부의 정보 가치는 완전히 다릅니다.
특히 개인 해커뿐만 아니라 각국 정보기관이 노골적으로 노리는 목표인 군사 관련 정보는 보안의 최전선입니다.
모든 국가는 타국 정부의 컴퓨터를 공격하는 데 믿을 수 없을 정도로 많은 자원을 투자하므로,
정부 관할 시스템은 상상 가능한 모든 공격을 막아낼 수 있도록 철저하게 설계되고 운영되어야 합니다.

그렇다면 해커 입장에서는 어느 쪽 정보를 탐내겠는가, 보안이란 결국 정보의 가치 문제입니다.

resource_정보보안2

경제학적으로 보안이란, 공격 비용이 정보 가치보다 더 커지도록 만드는 일입니다.
정보를 탈취하는데 들인 비용이 정보의 가치보다 크다면 그 정보는 노릴 만한 정보가 아닙니다.

사실 일반 사용자들은 보안에 대해 크게 고민할 필요가 없습니다.
일반 사용자가 가진 정보는 자신 외 다른 사람에게 특별한 가치가 없는 경우가 대부분이라 노리는 자도 없습니다.

하지만 여기에도 웹 시대의 함정이 있습니다.
네트워크 컴퓨터 사용자의 정보는 여타 시스템을 공격하기 위한 발판으로 악용되므로 위험합니다.

“가장 높은 보안 정책을 적용하면 안전하다?”

그렇지 않습니다.
네트워크 연결을 끊고 컴퓨터를 금고 안에 넣어 두면 완벽한 보안을 이룰 수 있습니다.
하지만 그렇게 둘 수 없으니 보안의 수준을 어느 정도 수준으로 갖출 것인지 정책을 결정하는 것입니다.

오로지 안전에만 집중한다면 가용성이 떨어집니다.
출입구의 물리적 보안을 예로 들면,
모든 방문자의 신원을 철저히 확인하고 촬영 및 녹음 가능한 기기를 압수하고 금속 탐지기를 통과해 출입을 허한다면,
보안성은 상당히 높게 유지할 수 있지만 출입에 걸리는 시간과 출입자의 수는 현저히 줄어들게 됩니다.

정보 보안도 위의 출입구 물리적 보안과 마찬가지입니다.
웹사이트 보안의 경우,
다단계 로그인 등 높은 수준의 정책으로 방문자의 신원을 확인하고 사이트에서의 행동을 제한하는 등,
보안의 강도를 높이면 높일수록 사용자 행동의 가용성 및 편의성은 떨어집니다.

가용성과 편의성뿐만이 아닙니다.
IDS/IPS 침입방지 시스템, 안티바이러스, 까다로운 로그인 확인 절차, 모든 정보 암호화 등,
시스템을 보호하는 보안 장치의 수가 늘어날수록 프로세서 처리속도 등 자원을 더 많이 소모합니다.
개별 전용 하드웨어를 구입하는 등 성능 저하를 막는 방법이 있지만 그만큼 비용이 발생합니다.

이렇듯, 보안성 | 가용성 | 비용 | 성능 등, 보안의 요소들 사이에는 모종의 거래가 발생합니다.
모든 요소의 관계를 고려하여 적절한 수준으로 타협을 보는 것이 보안 정책 수립의 바탕입니다.

웹 시대의 보안

열린 시스템은 근본적으로 위험합니다. 하지만 지금은 시스템을 닫아 둘 수 없는 웹 시대입니다.

개방성과 접근성은 웹 시대의 밑바탕이자 가장 위대한 기능입니다.
하지만 그런 개방성과 접근성은 정보 보안을 해치는 위협 요소이기도 합니다.
세상에는 너무나 많은 컴퓨터 사용자가 있으며, 일부 사용자는 악의를 가지고 있습니다.

웹이란 애초에 수많은 익명의 사용자가 서비스를 요청할 수 있게끔 만들어진 것입니다.
요청의 대부분은 합법적이고 이미 예측되어 설계에 반영된 것이지만,
불특정 다수를 향해 열어 둔 시스템에 정당하지 않은 방법으로 접속하려는 사람은 당연히 존재합니다.

보안 위협

정보 보안 위협의 행태는 매우 복잡해 보입니다.  언론 보도를 보더라도 하루가 멀다 하고 새로운 용어가 쏟아져 나와 눈을 어지럽게 만듭니다.

하지만 보안의 대상은 결국 사람입니다.
그리고 문제를 일으키는 모든 사람을 악의적 공격자로 분류하는 태도는 가장 큰 오류입니다.
자신도 모르는 채 문제를 일으키는 경우도 많으며 악의적으로 의도하지 않은 공격 또한 많이 존재합니다.

해커
가장 명백한 공격자는 해커입니다. 해커 본래 뜻에 위배되므로 크래커라 불리기도 합니다.
크래커는 시스템의 약점을 노려 자신이 원하는 바 탐욕을 쫓아 범죄를 저지르는 자입니다.
시스템에서 정보를 빼내 경쟁사에 돈을 받고 팔기도 하고,
신용카드번호 등 재정과 관련된 정보를 모아 다른 범죄자에게 돈을 받고 넘기기도 합니다.
아니면 순전히 재미를 위해 시스템에 침입하는 행위 자체를 즐기기도 합니다.
크래커는 가장 위험하긴 하나 이들만 막으면 모든 게 깔끔해진다는 생각은 큰 착각입니다.

감염된 컴퓨터와 소프트웨어
악의를 가진 크래커 외 일반인도 공격자가 될 수 있습니다.
소프트웨어에서 발견되는 많은 약점과 보안상 결함 때문에 수많은 컴퓨터가 이미 감염되어 있습니다.
기업 네트워크에 존재하는 컴퓨터의 어떤 소프트웨어가 감염되었다면,
그 소프트웨어는 사용자가 미처 인지하지도 못하는 틈에 다른 컴퓨터와 서버를 공격할 수 있습니다.

정보 보안 위협의 행태는 매우 복잡해 보이지만 성질에 따라 분류하면 대체로 아래와 같습니다.

정보 손실과 파괴
크래커가 시스템에 침입해 저장장치를 포맷해버릴 수도 있습니다.
부주의한 관리자가 실수로 데이터를 지워버릴 수도 있습니다.
저장장치 하드웨어가 고장날 수도 있습니다.

정보의 조작
악의를 가진 정체불명 방문자가 시스템에 침입해 파일 내용을 변경했다면?
정보가 조작되었다는 사실을 알아낼 때까지 얼마나 오래 걸릴까, 정보의 조작은 손실보다도 더 나쁜 상황입니다.
데이터와 프로그램 조작은 눈에 잘 띄지 않기 때문에 정보 조작을 찾아내기란 매우 어렵습니다.
시스템에 보안 허점이 있다는 것을 발견했다더라도 파일이 조작되었는지 어떻게 알아낼 것인가?
프로그램이 수상하다면 재설치하면 되지만, 데이터가 믿을 만한지 알아내기란 매우 어려운 일입니다.

서비스 거부 공격
최근 보안 관련 언론 보도를 보면 서비스 거부 공격이 마치 보안의 전 분야인 듯합니다.
그 정도로 서비스 거부 공격은 현재 매우 빈번하게 발생하고 있습니다.
서비스 거부 공격은 사전에 막기 어려운 위협 중 하나입니다.
사용자가 서비스에 접근하기가 어렵거나 불가능하게 만들거나 의도적으로 느리게 만드는 공격입니다.

정보의 노출
시스템에 저장된 데이터 그리고 네트워크로 송수신되는 데이터는 비밀을 요하는 경우가 많습니다.
특히 금융 등 실재화 관련 정보 그리고 신용 정보는 고도의 보안성을 요구합니다.
만에 하나 정보가 유출되었다고 가정한다면, 그 정보 내용의 노출을 막는 것 외에는 달리 방법이 없습니다.
철통 보안을 자랑하는 기업의 정보마저도 유출되는 경우가 종종 발생합니다.
그런 경우 기업의 명예와 신용을 지키는 유일한 방법은 유출된 정보 내용의 노출을 막는 것입니다.
정보 노출을 막는 원천적 그리고 궁극적 방법은,
재화적 가치를 가진 정보를 아무 짝에도 쓸모 없는 이진수 덩어리로 만드는 작업, 데이터 암호화입니다.