[특별기고-국가 사이버안보④] "외양간을 고쳐도 소는 도망간다"

▲ 필 자 : 이민재 티큐엠에스 대표 → 사이버안보연구소 겸임 대표 연구위원으로서 미국 로체스터대학(Rochester Institute of Technology)에서 응용수학을 전공했다. 미국 뉴욕대(New York University)에서 전산감리학 석사학위를 받았으며, 숭실대에서 CMMI에 대한 연구로 소프트웨어공학 박사학위를 취득했다. 그 동안 국내 다수 기업에 대한 프로세스 개선 컨설팅 및 CMMI 인증심사 수행 경험을 바탕으로 현재는 국가 사이버안보 역량 강화를 위한 사이버보안 프로세스 연구에 매진하고 있다.

[아이티비즈] 어느 날, 외양간에서 소 한마리가 없어지자 주인은 외양간 울타리가 허술하다 생각하여 보다 튼튼하게 고쳤다. 얼마 후, 소 한마리가 또 없어지자 주인은 이상하다 생각하며 울타리를 다시 고쳤다. 며칠 뒤 햇볕이 따사로운 오후, 외양간을 도망친 소들이 한가롭게 이야기를 나눴다. “네가 보기에 우리 주인이 언제까지 울타리를 고칠거 같니?” 질문을 받은 다른 소가 이렇게 대답했다. “뭐, 아마도 자기가 문 잠그는 것을 계속 까먹는다면야 그렇겠지.”

지난 5월 29일, 임시국회에서 본회의를 통과한 '정보보호산업의 진흥에 관한 법률안'이 6월 22일에 제정 법률로 공포됐다. 이번 조치는 국내 정보보호 시장 확대와 보안산업의 융합 촉진에 크게 기여할 것으로 기대된다. 다만, 관련업계나 학계에서는 정보보호 솔루션 개발이나 전문인력 양성과 같이 흔히 말하는 돈이 되거나 권한을 행사할 수 있는 분야에만 관심을 갖지 않았으면 한다. 사이버안보 역량을 확보하기 위한 원천기술과 프로세스 연구와 같은 장기 투자를 필요로 하는 분야에도 관심을 가져주길 바란다.

실제로 다수의 침해사고는 기술보다는 인력관리 및 프로세스 부재로 발생하고 있기 때문이다. 미 국방부(DOD)는 지난 87년 국방백서를 통해 ‘조직에서 발견되는 문제의 90%는 프로세스에 기인한다.’고 했다.

사이버안보에 국가적 역량을 집결하고 있는 미국은 이미 사이버보안 프로세스의 중요성을 인식하고 작년 2월에 사이버보안 역량 성숙도 모델(Cybersecurity Capability Maturity Model, C2M2)을 발표했다. 백악관 지시 하에 사이버보안 주무 부처인 국토안보부(DHS)와 에너지국(DOE)이 조직의 사이버보안 역량을 강화하는데 필요한 지침을 제공하기 위해 개발한 것으로 4개의 성숙도 단계(Maturity Indicator Level, MIL)에 10개 영역(domain)으로 구성돼 있다.

영국 또한 작년 12월에 사이버보안 역량 성숙도 모델(Cyber Security Capability Maturity Model, CMM)의 파일럿 버전을 발표했다. 옥스포드대학 글로벌 사이버보안 역량센터에서 정부와 유관기관의 사이버역량을 강화하는데 필요한 지침을 제공하기 위해 개발한 것으로 5개 성숙도 단계(Maturity Level, ML)에 5개 차원(dimension)으로 구성돼 있다.

이처럼 사이버안보에 선제적으로 대응하고 있는 미국과 영국이 사이버보안 프로세스 관련 모델을 개발하여 활용하고 있다는 점은 시사하는 바가 크다. 프로세스는 사람이나 기술에 초점을 맞추는 것보다 발전적이고 효과적인 추진 방향을 제공하기 때문이다. 아무리 우수한 인력도 적합한 프로세스 없이는 최선의 성과를 내기가 어렵고 로드맵이 없는 기술의 적용은 중복투자를 초래할 수 있다.

물론 국내에서도 『정보통신망이용촉진 및 정보보호 등에 관한 법률』 제47조에 근거하여 정보보호관리체계(ISMS) 인증제도를 운영하고 있다. 정보보호관리체계는 5단계 12개 통제항목으로 구성된 정보보호관리과정과 13개 분야 92개 통제항목으로 구성된 정보보호대책으로 이뤄져 있다. 그러나 사이버역량의 핵심인 공격, 방어, 기반시설 중, 공격과 방어 활동을 지원하는 기반시설에만 초점을 맞추고 있다.

따라서, 우리도 사이버안보 강국인 미국과 영국처럼 공격, 방어, 기반시설 세 분야의 사이버역량을 체계적으로 성숙(成熟)시켜 나가기 위한 사이버보안 프로세스 성숙도 모델(Maturity Model)을 개발ㆍ적용해 나갈 필요가 있다. 프로세스 성숙은 조직의 역량을 성과에 반영시킬 뿐만 아니라, 프로세스 역량을 성장시킬 수 있는 조직의 잠재력을 의미한다. 조직의 사이버보안 프로세스가 성숙하게 되면 사이버역량도 향상되고 수행성과가 좋아지는 방식으로 조직은 발전한다.

고대 중국의 위나라 왕이 전설적인 명의 편작(扁鵲)에게 물었다. “그대의 형제들은 모두 의술에 정통하다고 들었소. 세 분 형제 중 의술이 가장 뛰어난 분이 누구인지 말씀해 주시겠소?” 편작이 대답했다. “큰형이 으뜸이고 다음이 둘째 형이며 저의 의술은 형편없습니다.” 위나라 왕은 놀라 물었다. “두 분 형님의 의술이 그토록 뛰어나다면 왜 이름이 알려지지 않았소?”

“큰형은 아예 병이 나지 않게 예방하는 의사입니다. 어떤 사람이 병에 걸릴 듯하면 증상이 나타나기 전에 손을 써서 병의 근본 원인까지 뿌리 뽑습니다. 아무도 그가 병에 걸릴 뻔했다는 사실을 모릅니다. 둘째 형은 병의 증상이 나타나는 초기에 치료합니다. 약을 한 번 써서 바로 낫게 하지요. 그대로 두었으면 목숨을 앗아갈 수 있었다는 사실을 다들 눈치 채지 못합니다. 저는 생명이 위급에 처했을 때에야 다급하게 병을 치료하다 보니 세상에 널리 알려진 것뿐입니다.”

변화무쌍한 사이버공격에 완벽하게 대처하기란 불가능하다. 간파하지 못한 실수를 하더라도 피해를 최소화하고 다른 방법을 찾아 같은 실수를 되풀이하지 않으면 된다. 언제부턴가 적당히 잘하는 것으로 생존을 보장받았던 과거와는 전혀 다른 시대로 접어들었다. 디지털 명의(名醫)들은 디지털 기술의 특성상 조금 모자라는 것이 많이 모자라는 것과 마찬가지라는 사실을 잘 알고 있다. 그래서 이들에겐 오늘 혹은 내일이 아니라 ‘언제나’만 있을 뿐이다.

국가 사이버안보 특별기고 마지막 회인 5회에서는 국가 사이버안보를 위해 우리가 간과하지 말고 준비해야 할 사항들을 제언한다.

◆ 국가 사이버안보 특별기획 연재 순서◆

☞ 국가 사이버안보① 기획의 배경

☞ 국가 사이버안보② 제5의 공간, 사이버

☞ 국가 사이버안보③ 사이버戰, 창과 방패의 끝없는 싸움

☞ 국가 사이버안보④ 외양간을 고쳐도 소는 도망간다

☞ 국가 사이버안보⑤국가 사이버안보를 위한 제언