내가 종사해온 ‘보안관제’라는 분야는, ‘관제’라는 단어의 어감에서 알 수 있듯이, 주로 모니터링, 그러니까 컴퓨터 로그를 지켜보는 일이 주 업무이다.
물론 마냥 지켜보기만 하는 건 아니다. 읽고, 이해하려고 노력하는데, 문제는 로그가 너무 많아서(..)
망치 든 사람에겐 모든 게 못으로 보인다고, ‘기업, 기관의 모니터링 시스템 구축 시 생각해볼 점’이란 글을 본 순간, ‘오옷~ 보안관제?’ 이러면서 클릭했다. 주요 내용을 살펴보면,
1. 범위: 모든 보이스를 커버하는 것은 사실상 불가능
“모든 범위 커버하면야 좋겠지만… 아시다시피 자원은 한정적입니다.”
2. 시기와 주기: 그러니까 다 먹고 살자고 하는거..
“범위와 마찬가지로 시시각각으로 해주면 뭐 좋죠. 근데 해보시면 알겠지만, 이거 사람 미치는 일입니다(…)”
3. 정리와 평가: 모니터링 해봤자 티도 안 나잖아요
” 이슈를 방지하면 이슈가 아닌 게 되고, 이슈가 이슈가 되면 이슈관리에 실패”
4. 전파와 관리: 이게 포인트
“이슈를 어떻게 관리하느냐는 요체”
5. 그리고: 투비컨디뉴드
“모니터링 시스템은 …(중략)… 지속해서 개선되고 단순히 ‘시스템’이 아니라, 유기적으로 기능하는 체계가 되어야”
읽어보신 분은 알겠지만 미디어 이슈 관리 방법론에 관한 글이다. 깜박 속음.
하지만 읽는 내내 보안관제 분야랑 상황이 너무 흡사해서 신기했다. 과연 차이점은 없을까?
1. 커버 범위
보안관제 역시 모든 범위를 커버…하면 좋지만 시간, 돈, 결정적으로 사람이 부족하기 때문에 주로 주요 길목인 네트워크에서 알려진 위협을 우선 모니터링한다.
문제는 그럼 네트워크는 모두 커버하느냐인데, 전에 비슷한 얘기를 했었지만 네트워크 보안 장비의 룰은 보통 수천 개, 모니터링 하는 범위는 수백 개(..)
2. 시기와 주기
24시간 365일 교대근무가 기본.
3. 평가
해킹을 막으면 해킹이 아니기 때문에 하는 일이 없어 보이는 이 분야 특성상, 사고 발생 시 몇 분 내 대응, 몇 시간 내 보고서 작성 완료 등이 주가 되는 SLA(Service Level Agreement)가 체결된다.
모니터링 범위에 대한 평가는 아예 논외. 누구 책임이라고 말하기도 어렵다. 십여 년 넘게 잘못 꿴 첫 단추가 유지되고 있을 뿐. 우리만 그런 것도 아니고(..)
4. 관리
‘알려진 악재는 더 이상 악재가 아니다’란 증권가 격언이 있다. 정보보안도 마찬가지. 알려진 위협은 위협이 아니다. 하우투를 결정할 수 있고, 관리할 수 있기 때문. 하지만 모니터링 하지 않고 있는 범위에서 발생하는, 그래서 알려지지 않은 위협은 관리할 수 없다.
5. 그리고
미디어 이슈 관리 분야처럼 ‘지속 개선되는 시스템’이 필요하지만, 현실은 미국발 최신기술 찬양에서 끝나는 경우가 많다. 왜 그럴까? IT 기술 발전의 역효과를 뜻하는 ‘생산성 역설’이란 용어가 있다.
‘생산성 역설’이 나타나는 이유는 무엇일까?
시스템이 인력과 조직에 내재화되고, 기본 프로세스가 되기까지 시간이 필요하며, 비싼 시스템의 뽕을 뽑으려면 인력과 조직에 대한 지원이 뒤따라야 한다는, 쌀로 밥 짓는 얘기.
차이점을 찾아볼까 했지만 실패했다. 로그가 발생할 때마다 위협의 진위를 확인해야 하는 보안관제 업무의 특성에서 차이가 나지 않을까 했지만, 미디어 이슈 관리 분야도 발생한 이슈의 진위 확인이 필요할 것 같고.
IMF 여파가 지속되던 1999년, 하드디스크 백업 사업(?)을 하다 혼쭐이 난 후, 운 좋게 논문을 이북으로 만드는 ‘정보화 공공근로사업’에 참여한 적이 있다. 입력팀이 키보드를 두드려가며 논문을 입력하면, 검수팀이 오타 등을 검수하는 방식.
입력팀의 노력 여부와 관계없이 입력된 모든 논문을 눈이 빠져라 전수조사 해야 하는 검수팀의 신경은 항상 날카로웠고, 내심 미안하면서도 검수팀이 아님에 안도했던 기억이 난다. 분야를 떠나 모니터링이란 게 티도 안 나는 주제에 사람 참 피곤하게 만드는 일인 듯하다.