보안 기술
보안 기술
흔한 오해와는 달리 보안은 특정 기능 구현 작업이 아닙니다. 프로그램 작성 목록에 포함해 며칠 만에 뚝딱 만들어 집어넣을 수 있는 것이 아니라는 뜻입니다.
기밀성, 무결성, 가용성 등 보안의 요소는 종합적으로 그리고 총체적으로 발생합니다.
중요 설계의 일부로서 항시 고려해야 하며 끝없는 노력을 기울여야 합니다.
개발이 끝나 설치되고 운영될 때에도 보안 이슈는 끝난 것이 아닙니다. 기획 단계에서부터 시스템 오용 가능성과 공격자가 노릴 만한 정보의 가치 등을 다각도로 검토하고,
문제 발생 가능성을 최소화하기 위한 방식으로 계획하고 설계해야 합니다. 시스템의 가용성에 미치는 영향을 최소화하며 보안성을 최고조로 끌어올리는 설계와 구현,
보안은 단독 기능이 아니라 시스템 설계와 운영, 나아가 기업의 문화 그 자체입니다.
보안 관련 이슈를 결정하는 근본적 원리는 인간의 심리입니다.
평범한 일반인은 남의 금고 속 돈을 훔치지 않습니다. 그러나 현금과 마찬가지 재화적 가치를 가진 정보는 훔쳐도 된다고 생각하는 사람이 많습니다.
오히려 그런 행위가 마치 미덕인 것처럼 자랑스러워 하고 서로 권하기까지 합니다. 정보가 추상적 가치로서만 존재하는 한 그런 식의 사고는 아마 사라지지 않을 것입니다.
이는 공격자뿐 아니라 방어자도 마찬가지입니다.
실재하는 재화를 지키는 자는 가상적으로 존재하는 재화를 지키는 자보다 더 굳건한 마음으로 무장합니다.
법적 규제 등 강력한 조치를 통해 절대 일어나서는 안 될 일인 것처럼 몰아가는 태도는 분명 한계가 있습니다.
보안 사고는 절대 일어나서는 안 될 일이 아니라, 결국 일어나고야 마는 일입니다. 그리고 보안의 기술, 창과 방패는 경쟁적으로 진화합니다.
보안 기술의 본질 그리고 핵심은 안전한 IT 시스템입니다.
안전한 IT 시스템
모든 IT 시스템은 애플리케이션 – 시스템 – 네트워크, 3개의 계층으로 구성되어 있습니다.
데이터를 다루는 애플리케이션은 시스템 상에 존재하고, 시스템은 네트워크로 연결됩니다.
안전한 IT 시스템이란 위 모든 계층에 보안의 필수요소가 모두 구현된 시스템입니다.
이를 위해 모든 보안 컴포넌트를 각 계층에서 적절히 구현해야 하고,
각 요소가 상호 운영되는 경우에는 말단으로부터 말단까지 End-to-End 서비스가 보장되도록 설계해야 합니다.
안전한 IT 시스템의 설계 및 구축은 보안 기술의 본질이자 핵심입니다.
즉, 완벽한 보안을 위해서는 IT 시스템에 대한 총체적 이해를 바탕에 두고 있어야 한다는 뜻입니다.
정보 보안은 통합 Integration 을 회피할 수 없습니다. 통합은 보안의 뗄래야 뗄 수 없는 불가분의 관계입니다.
IT 시스템을 이루는 요소들의 통합 능력이야말로 보안 전문기업의 역량이라 할 수 있습니다.
시스템 보안과 데이터 보안
IT 시스템은 시스템과 데이터로 구성됩니다. 따라서 정보 보안의 대상 또한 시스템과 데이터로 나눌 수 있습니다.
시스템 보안은 컴퓨터와 네트워크 등 시스템 자체를 보호합니다. 데이터 보안은 각종 보안 사고의 목표인 데이터의 자산적 가치를 보호합니다.
시스템 보안은 크래커의 공격을 막기 위한 침입 방지입니다. 멀웨어를 탐지하고 제거하고, 네트워크 내부 이상행동을 탐지하고 차단합니다.
데이터 보안은 데이터를 암호화함으로써 위협의 목적을 원천적으로 파괴합니다.
철저한 시스템 보안을 통해 최선을 다해 시스템을 보호하고, 만약의 경우 데이터가 유출되는 경우 데이터 내용의 노출을 막기 위해 암호화함으로써, 완벽한 보안성을 달성할 수 있습니다.
보안 침해 공격은 일정한 전개 패턴과 목적성을 가집니다. 시스템 보안 도구는 공격의 전개를 막고, 데이터 보안 도구는 목적성을 파괴합니다.
크래커는 시스템 침입을 노리고, 시스템 보안 도구들은 침입을 막습니다. 침입 목적은 데이터입니다. 데이터 암호화는 데이터 내용을 감춤으로써 침입 목적을 무의미하게 만듭니다.
시스템 보안은 문제 발생을 억제하려는 노력입니다. 데이터 보안은 문제 발생의 원인인 범행 동기를 원천적으로 제거하는 방법입니다.