대부분의 기업들은 자산보호를 위해 자의적으로 보안솔루션을 구축하는 경우가 많다. 물론 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)이나 개인정보보호법 등과 같은 법적인 이슈를 해소하고자 보안솔루션을 도입하는 경우도 심심치않게 발견할 수 있다.

공공기관의 경우는 대체로 법적인 이슈를 해소하고자 보안솔루션을 도입하는 경우가 많다. 치안을 위해 폐쇄회로티브이(CCTV)를 자발적으로 도입하는 사례는 있지만, 개인정보보호만을 위해 보안솔루션을 도입하는 사례는 찾아보기 힘들다.

상황이 이렇다보니 타의에 의해 구축된 보안솔루션이 제대로 운영되지 않고 있다는 제보가 지속적으로 들리고 있다. 공공기관 정보보호관리체계(G-ISMS, 올해 ISMS와 통합) 인증에 필요한 보안솔루션을 보유하고 있으나, 이를 제대로 운영하지 않거나 아예 전원을 내려버리는 경우도 흔한 것으로 알려졌다.

익명을 요구한 ISMS 심사원은 “웹방화벽, 침입방지시스템(IPS)과 같은 보안솔루션이 구축돼 있으나, 실 시스템과 연결이 안돼 있는 황당한 사례를 종종 발견한다”며 “이는 보안업체가 보안솔루션을 제대로 구축하지 않았거나, 기관 내부에 이를 관리할 인력이 부족한 것이 주요 요인으로 분석된다”고 전했다.

공공기관 보안솔루션 구축 사업의 경우 실제 운영환경에 크게 구애받지 않고 도입조건과 가격만 충족하면 낙찰이 가능하기 때문에 이런 상황이 발생한다.

기업들의 상황은 양호한 편이다. 기업들은 비즈니스 안정성과 연속성을 위해 기존 시스템과의 연동과 성능 등을 고려하기 때문에 애써 도입한 장비를 운영하지 않는 경우는 없다. 하지만 보안솔루션이 낼 수 있는 모든 기능과 성능을 사용하는 곳은 많지 않다는 것이 맹점 중 하나다.

전문가들은 보안솔루션 도입 전 시스템의 규모(사이즈)와 환경, 장애발생 요건 등을 미리 인지하고 있어야 제대로 된 구축이 가능하다고 지적하고 있다.

보안솔루션을 구축하기 전 보안담당자는 기존 시스템과 자산을 제일 먼저 분석해야 한다. 신규로 도입될 보안솔루션이 시스템이 미칠 영향과 이를 통해 어떤 자산을 보호해야할지를 설정해야 되기 때문이다.

가령 엔드포인트에 백신을 비롯해 다양한 에이전트가 설치돼 있다고 가정하자. 이미 다수의 에이전트로 사용자PC의 성능은 많이 떨어져 있는 상황이다. 여기에 또 다시 에이전트 방식의 보안솔루션을 설치하는 것은 업무효율성을 떨어뜨릴 수 있다.

이 때문에 보안솔루션들도 다양한 구축방식을 제공한다. 보안담당자는 보안솔루션이 지원하는 여러 구축방식 중 적합한 하나의 구축방식 또는 두 가지 이상을 혼용하는 것이 필요하다. 사전에 보안컨설팅을 통해 최적의 구축방식을 정하는 것도 포인트다.

보안솔루션의 종류나 구성에 따라 장애 발생 시 서비스에 문제가 생길 수도 있다. 이런 경우 서비스의 중요도에 따라서는 우회(Bypass)할 수 있는 시스템에 대한 구축검토도 필요하다.

전체 시스템에 영향을 최소화하는 것도 중요하므로 구축 기간이나 안정화 기간이 너무 많이 소요되지 않도록 구축 범위를 조정하거나 단계별로 적용하는 것도 핵심요소도. 안정화 기간을 줄이려면 보안 정책에 대한 사전 검토 및 검증을 충분히 하는 것이 중요하나, 정책설정이 간단하고 인지하기 쉬운 솔루션을 선택하는 것도 영향이 있다.

아울러 현재의 구축 범위와 향후 보안 대상의 확장을 감안하여 관련 리소스에 대한 사이징 검토가 필요하다. 구축 과정 또는 구축 완료 후 얼마되지 않아 리소스가 부족해 보안대상의 범위를 축소하거나 계획하지 않았던 증설이 발생하지 않도록 해야 한다.

가장 중요한 부분은 보안솔루션을 운영하는 기준인 보안정책의 수립과 지속적인 관리다. 기업의 비즈니스 환경은 하루가 멀다하고 진화하고 있다. 여기에 발맞춰 보안정책을 수정해 나가는 것이 제대로 된 보안솔루션 운영에 일조한다.

보안솔루션은 구축하는 것도 중요하지만 이를 관리하고 운영하는 것이 더욱 중요하다. 너무 강력한 보안규정은 업무효율을 떨어뜨릴 뿐더러 임직원들의 일탈로 이어질 수 있다.

반대로 업무편의성에 초점을 잡고 느슨한 보안규정을 운영한다면 보안에 허점이 생길 수 밖에 없다. 업무편의성을 해치지 않으면서 보안을 유지할 수 있는 적정한 수준을 찾는 것이 필요하다.

더불어 임직원들을 대상으로 보안솔루션에 대한 이해도를 높이고 보안인식을 고취시키는 것도 안정적인 보안체계의 기반을 다지는데 도움을 줄 것이다.

<이민형 기자>kiku@ddaily.co.kr