이달 초 미국에서 열린 네트워크 행사인 ‘인터롭 컨퍼런스’에서 IBM/ISS의 보안전략 책임자인 조슈아 코만이 보안 산업을 둘러싼 오해와 절반의 진실(misconceptions and half-truths)에 대해 설명해 집중적인 관심을 받았다.

IDG뉴스서비스에 따르면 조슈아 코만(Joshua Corman)은 기업 IT임원들은 비즈니스 네트워크의 안전성을 훼손할 수 있는 7가지 ‘더러운 비밀들(dirty secrets)’을 깨달아야 할 필요가 있다고 주장했다

다음은 그가 밝힌 7가지 추악한 비밀들을 요약한 것이다. 이중엔 이미 업계에 알려진 것도 있고, 새로운 것들도 있다.

◇ 보안 업체들은 기업들이 사용하고 있는 다양한 소프트웨어의 취약점(버그) 등의 취약점을 찾고 이를 자사 제품들이 보호할 수 있다는 주장을 편다.

그러나 소프트웨어 취약점이 보안의 모든 문제를 대표하지 않는다. 패스워드 관리 소홀, 부실한 디바이스 구성(디폴드 컨피규레이션 등), 보안 허점을 갖고 있는 직원 등을 기업 보안에선 더 비중 있는 문제로 다뤄야 한다.

기업이 버그가 전혀 없는 완벽한 소프트웨어를 보유하고 있어도, 소프트웨어의 취약성과 관계없는 바이러스 혹은 트로이안 등의 위협에 여전히 노출될 수 있다.

◇ 최근 급속히 늘어나고 있는 각종 컴플라이언스들이 기업 보안을 위협하고 있다. 물론 컴플라이언스는 그 자체로 나쁜 것은 아니다.

그러나 정부 혹은 산업계가 만드는 컴플라이언스가 기업의 보안 기준과 상치되는 문제가 종종 발생한다.

즉 컴플라이언스가 요구하는 것과 기업의 네트워크, 혹은 네트워크 관리자들이 요구하는 것 사이에 충돌 현상이 발생할 수 있다.

이에 따라 컴플라이언스에 전적인 기준을 맞춰 기업 보안을 수행하면 잠재적인 공격자의 위협에 노출될 수 있다.

◇ 보안업체들은 스톰 웜의 위험성을 간과하는 경향, 혹은 이를 인정하는 경향이 있다. 기업 보안의 사명 중 하나는 네트워크에 물려 있는 디바이스의 다양한 행위를 점검하는 것이다.

이를 통해 범죄용 네트워크로 사용되는 보트 네트워크(bot network)의해서 디바이스가 점유 당하는 것을 막아야 한다.

그러나 스톰으로부터 기업 내트워크를 보호할 수 있는 완전한 대책이 나와 있지 않다.

엔드포인트를 보호하기 위한 ‘행위 기반 백신’ 혹은 ‘비정상행위탐지시스템(anomaly detection system) 등과 같은 제품이 나와 있지만, 개인들이 보유하고 있는 디바이스를 보호하지 못한다.

스톰은 안티바이러스의 맹점을 인식하고 이를 악용, 사용자들에게 위협을 가한다.

◇보안업체들은 고객들의 비즈니스 편리성을 추구한다. 이에 따라 보안 정책은 복잡해지고, 이 때문에 고객들은 제품 도입으로 충분히 보호될 수 없다.

비즈니스가 요구하는 보안항목들은 너무 개인적인 것들이 많아 단순히 제품을 선택하는 것으로 이런 요구를 수용할 수 없다.

즉 좋은 툴만 가지고 사용자들의 다양한 보안 요구를 충족시킬 수 없다. 이에 따라 기업의 보안 관리자들은 개별적인 환경에 적합한 보안 구성을 추구해야 한다.

이를 위해선 보안 관리자 단독으로 정책을 만들고 실행하는 것보다는 IT스텝과 함께 상의해 올바른 대안을 창출하는 것이 필요하다.