[2001/06/19]
가끔 고객과 보안 관련 이야기를 나눌 때 본질적인 질문을 던지는 사람들이 있다. 그들은 비전문가들도 알아들을 수 있도록 위험을 정의하고 정보보안의 목적을 설명해달라고 한다. 물론 포괄적 의미의 위험(risk)은 자동차 운전이나 스포츠·주식투자 등 우리의 일상생활과 함께 한다. 그러나 정보보안에서 다루는 위험은 정보기술과 인터넷 사용의 관점에서 보는 기술적 위험이다. 그리고 위험은 그 속성상 100% 제거될 수 없고 부인될 수도 없다.

따라서 조직이 그들의 사업적 활동의 안정적 수행을 보장할 수 있는 환경을 조성하기 위해 적절한 몇 가지 단계를 밟아야 하고 이런 단계를 통해 위험을 최소화하는 것이 올바른 접근 방법이다.

보안의 라이프 사이클은 기업의 컴퓨팅 자산과 이의 가치를 정의하는 ‘정의 단계’, 파악된 자산의 사업적 우선 순위를 결정하고 필요한 실증 테스트를 실시하는 ‘평가 단계’, 보호 수준을 정의하고 이에 대한 보호 수단을 수립·구현하는 ‘보호 단계’, 그리고 새로운 정책·기술에 따른 위협과 취약성을 관리해 안전한 기업의 보안 수준을 지속적으로 유지하는 ‘감시 단계’ 등 4단계로 구분할 수 있다.

이때 ‘위험 분석’은 ‘정의’와 ‘평가’ 단계에 수행된다. 물론 ‘위험 분석 요소’를 평가하고 정의하는 많은 방법들이 있다. 이 방법들은 미묘하고 본질적인 차이를 갖고 있지만 위험 평가에서 위험을 정의하는 가장 간단하고 효과적인 공식은 ‘위험=위협×취약성×비용(risk=threat×vulnerability×cost)’이다. 즉 정보보안에서 우리가 하고자 하는 모든 것의 기본이라고 말할 수 있다.

위협은 잠재적으로 악의의 사건이 발생할 수 있는 빈도다. 위협은 빈도로 정의하기 때문에 항상 측정 가능한 요소며 그 자체가 위험하거나 해로운 것은 아니다. 다만 이런 위협에 대해 고려할 때 중심이 되는 개념은 해당 조직이 어떤 위협에 노출돼 있느냐를 결정하는 것이다.

취약성은 어느 조직에 대응하는 특정한 위협 요소들의 성공 가능성이라고 말할 수 있다. 그러나 같은 소프트웨어(SW)와 하드웨어(HW)·데이터를 갖고 있는 플랫폼이라 할지라도 라우터 룰, 방화벽 구성, 프록시 세팅, NAT, 운용체계 방식, 샘플 코드·파일의 존재 유무 등에 따라 상이한 취약성들을 가질 수 있으므로 반드시 전문가의 분석이 필수적이다.

비용은 취약성을 지닌 자산이 특정한 위협의 영향으로부터 받는 손실의 총액을 의미한다. 이는 다시 HW·SW의 직접적 손실과 이를 통한 사업적 기회 손실, 신뢰성 상실 등의 간접적 손실로 나눌 수 있으며 이를 합친 비용을 보안 위험에 대한 복구 비용으로 산정할 수 있다.

그러나 위험을 구성하고 있는 요소들인 위협·취약성·비용 등은 그 자체가 커다란 의미를 갖지 못한다. 위험은 적어도 어느 정도의 위협 요소와 취약성, 그리고 손실비용을 갖고 있어야 한다. 이것은 이중 어느 하나라도 0이 된다면 위험은 0이 된다는 의미기도 하다.

세 가지 요소 중 위협이나 손실비용은 통제 가능한 요소라기보다 존재하는 사실(fact)이므로 취약성을 가장 먼저 다뤄야 할 요소로 본다. 취약성의 대부분은 조직의 통제 하에 완화 가능하기 때문이다.

어느 기업에서 보안 관리자가 기업 매출과 직접 관련된 프로젝트와 보안비용에 대해 논쟁을 벌이게 되고, 대부분이 논쟁으로부터 패배하는 데 익숙하다면 기업의 위험을 제대로 이해하고 있는지 한 번쯤 고민해 봐야 할 것이다.

주문정기자 mjjoo@etnews.co.kr