[회고] 2023년 마무리

2023년 마무리

2023년 4분기 마무리 겸 2023년 마무리이다.

---

업무

 

업무 1

재직 3년차를 지나 4년차로 접어든다. 기술 보안이건, 관리 진단이건 보안 컨설팅을 하면서 기업마다 보안을 대하는 시각에 차이를 느낀다.

모의해킹을 할 때엔 결국 해커들이 침투하는 공격 표면의 노출을 최소화하는 것이 보안이라고 생각했다면, 관리진단도 맥락은 비슷하지만, 좀더 다양한 영역(인적, 물리적, 정책적)에서 공격 표면의 노출을 최소화한다. 쓰고 나니 같은말

국내에서는 보안의 근간이 되는 것이 지금도 끊임없이 제개정되고 있는 정통법, 개인정보호법 등 관련 법률 조항이다. 법으로 제정되는 것은 가장 최소한의 요건이지만, 요건을 지키는 것이 어렵기도 하고 기업 본연의 업무에 집중하면서 이런 부분들까지 챙겨가기엔 너무 자주 바뀐다.

예를 들면, 인증심사 기준에서는 사내 규정을 제정하고 매년 정보보호 최고책임자의 검토, 승인을 받아야 하지만 여기에는 당시 변경되는 법, 규칙, 조항 등 컴플라이언스 요건을 준수하도록 개정해야한다. 여기에서 변경되는 내용이 문서로만 변경하면 되는 것이면 신구대조표 작성하고 제개정 기안 올리면 끝이겠지만, 물리보안, 개인정보 생명주기, 개인정보 위수탁시 준수사항 등 다양한 영역으로 얽혀있기 때문에 현업의 협조도 필요하고 조치가 불가능한 사항 발생 시 조치계획 수립하고 장기적으로 추적(follow up)할 필요가 있다.

이것들을 잘 준수하고 있는지 확인하기 위해 다양한 심사제도(ISMS, ISO-27001 등)가 존재하고, 기업이 스스로 수행하기 어렵기 때문에 외부자의 시각으로 정보보안 컨설팅을 받는 것이다. 필자는 다년간 컨설턴트 업무를 수행하며, 다양한 기업이 어떻게 보안을 대하는지 읽어왔다.

같은 인증심사를 준비하는 기업이지만 원하는걸 경청하다보면, 담당자가 컨설팅을 원하는 것 너머에 경영진이 보안에 얼마나 진심이며, 그 진심이 투자로 나타나는지도 보인다.

정보시스템이 존재하는 이상 완벽한 보안은 없다는 입장이지만, 그에 상응하는 치밀한 보안을 위해 많은 노력이 필요하다는 것에도 동의한다. 구성원들의 생각과 아이디어가 적극 수용되어 체계 개선, 솔루션 도입 등 많은 변화가 실시간으로 이루어지는 곳도 있었고, 보안 부서이지만 겸직하고 있는 것이 많아 본연의 업무가 무엇인지 경계가 모호한 곳도 있었다.

그래도 R&R의 구분을 명확히 해야한다는 적극적인 목소리를 내주셨고 함께 일할 선배님들께서 조금이나마 더 나은 환경을 후배들에게 마련해주기 위해 고군분투하는 것이라고 생각이 들었다.

일반 기업 입장에서는 보안 조직은 돈을 버는 집단이 아니니, 투자가 꺼려지는 것도 사실이다. 투자가 줄어들면 보안조직의 사내 파워도 약해진다. 주요 사업으로 개발을 완료한 웹페이지나, 앱을 출시하는 데 사전에 보안성 검토를 받아야 한다며 취약점 진단 및 이행조치에 약 1개월간 시간을 더 연기된다고 한다. 신제품 기획 부서와 보안 부서간 충돌이 발생하고 양 부서간 임원보고(escalation)가 되었을 때 당신이 임원이라면 어떤 선택을 할까.

기 출시된 제품의 IoT 단말에서 개인정보를 다루고 있는데 root권한을 획득할 수 있는 취약점을 진단 중 발견하여 긴급 패치를 요청했으나 이미 출고된 장비에 대해서 패치 적용이 어렵다고 한다면, 또 어떤 선택을 할 수 있을까.

기업의 임직원도 마찬가지이다. 보안은 사용자 편의와 이해상충관계(trade-off)에 있기 때문에 편리한 보안은 존재하기 어렵다. 중요 서버 접속 시 2차 인증 적용(2FA), 해킹메일 훈련 등 결국 백오피스 시스템을 사용하는 임직원에게 영향을 끼치지 않을 수가 없기 때문에 '보안은 귀찮은 것'이라는 인식이 쌓이고 '아무개 전무님께는 해킹메일 발송 명단에서 제외해주세요', '취약점 너무 많아요 몇개 빼주세요' 라는 말을 할 수밖에 없는 상황에 놓이는 것이다.

일을 처음 시작할 때에는 내가 가진 지식 기술로 세상을 조금이나마 안전하게 하고 그 속에서 나도 안전해질 수 있겠다는 생각이었다. 하지만 금새 희망은 크나큰 현실의 벽에 막혔고 나는 최소한으로 마련된 안전망에서 버티고 있었던 것이었다는 것을 느낀다.

보안은 '소 잃고 외양간 고친다'라는 속담이 가장 잘 맞는 업계가 아닐까.

국내 데이터센터(IDC) 화재로 'K' 메신저가 한나절 넘게 먹통이 된 사건이 있었다. 국내 최대 메신저 서버를 운영하면서 재해복구체계(DR)가 마련되어 있지 않았나 할 정도로 긴 시간동안 작동하지 않았고, 조치 이후 사과문과 함께 장기적으로 DR 체계를 구축하였다. 뿐만 아니라 정보시스템을 운영하는 다른 많은 기업에서도 DR 체계에 대한 점검이 이루어졌고, 한동안 인증심사 주안점이 복구목표시점을 잘 준수하는지, 재해복구훈련을 주기적으로 하고 있는지 등을 점검하는 것이 되었다.

랜섬웨어, APT 공격 등 굵직한 보안 사고가 발생할 때마다 다양한 기업에서 보안 관련 채용 공고가 올라온다.

그럼에도 함께 일하는 사람들은 모두 좋았다. 기술 보안을 하시는 분들은 모두 한 분야에 미쳐봤던 경험이 있어본 분들이었고, 새로운 기술에도 거부감 없이 거침없이 나아가는 모습이 좋았다. 관리진단을 함께한 분들은 사람을 대상으로 한 취약점 진단이 어떤 것인지 보여주었다. 원하는 답을 얻기 위한 질문을 하는 방법과 가장 기본적인 사람을 대하는 태도를 배우는 데 큰 도움이 되었다.
절대적인 이분법으로 나누는 것은 아니지만 분위기의 차이는 분명 존재한다. 둘 다 경험할 수 있음에 감사하고 많은 사람을 만날 수 있는 직업으로 일하는 것이 큰 행복이라고 생각한다.

---

업무 2

긴 호흡 글쓰기는 80% 정도 작성이 완료되었다. 내년 초쯤 작성이 완료되어 다음 단계로 진행될 것 같다.

---

업무 3

기분 좋은 인연이 닿아 앱을 분석하고 자유도가 높은 레포팅을 하는 작업을 하고 있다. 취약점을 찾는 것이 아닌 실행 흐름대로 분석하는 것이기 때문에 부담감이 크지 않다.

---

마치며

올해의 마무리와 2024년의 시작에 걸쳐 휴식 겸 여행을 다녀올 예정이다.

---

1년을 돌아보면, 많은 일이 있었고 지나치다 싶을 만큼 모든 것에 열중했었다. 많은 사람을 만났고, 많은 사람이 지나갔다. 그 속에서 많이 달라졌을 내 모습이 있을 것이다. 멀리서 숲을 보듯, 시간이 지나면 더 잘 보이지 않을까. 그게 무언가였건 누군가였건.

---

바쁜건 내가 선택한 일이라는 것을 머리로는 아는데 가끔은 내가 불쌍하기도 하고, 바쁜건 축복이라고 하는 데 이 말의 뜻을 알 것 같다가도 잘 모르겠다.