보안 컨설턴트에게 질문한다면 어떨까요? 아마 ISO 27001 기준을 이야기할 가능성이 높습니다. ISO 27001은 조직이나 시스템을 평가하는 항목 14개로 각 항목에서 평가자가 1단계부터 5단계까지 등급을 매깁니다. 보안 컨설턴트는 이 기준을 근거로 보통 정보보호 수준을 평가합니다. ISO 27001은 안전한 시스템보다는 ‘안전한 경영과 조직’에 더 초점을 둡니다. 항목 14개 중에서 기술적인 내용은 네 개(통신 보안, 운영 보안, 암호화, 접근 제어)뿐입니다. 그러다 보니 실제로 보안을 적용하는 관점에서 ISO 27001을 기준으로 안전한 시스템을 설명하기는 다소 부족합니다.

예를 들어 ISO 27001을 기준으로 높은 평가를 받았다고 해서 실제로도 안전한 시스템일까요? 낮은 평가를 받은 취약한 부분을 보강한다고 전체적으로 안전한 시스템이라고 할 수 있을까요? 아닙니다. 심지어 높은 평가를 받은 부분에서도 얼마든지 정보 유출이 일어날 수 있습니다. ISO 27001은 중요한 평가 기준이지만, 안전한 시스템이 무엇인지 설명하거나 시스템의 안전성을 보증하지는 못합니다.

실제로 시스템을 운영하는 실무자도 ‘안전한 시스템이 무엇이냐’는 질문에 명쾌하게 대답하지 못합니다. 운영자 대부분은 기업 규모나 보안 수준에 따라 각종 보안 제품과 보안 솔루션을 시스템에 추가하며, 안전한 IT 시스템을 구축하려고 노력합니다. 이것은 보안을 유지하는 현실적이고 쉬운 방편일 뿐이지 바람직한 접근 방식은 아닙니다. 전체적으로 안전한 시스템을 구현한다기보다는 구멍 난 부분을 하나씩 메우는 셈이지요.

과연 안전한 IT 시스템이란 무엇일까요? 안전한 IT 시스템은 처음 만들 때부터 안전하게 만든 시스템입니다. 여기서 안전성이란 ‘시스템을 구성하는 계층마다 보안에 필요한 요소를 빠짐없이 구현하여 동작하는 것’입니다. 따라서 기존 시스템에 보안책을 적용할 때도 전체 시스템 구조를 파악하고 시스템 계층마다 보안 핵심 요소를 모두 적용해야 안전성을 확보할 수 있습니다. 당연해 보이지만, 그만큼 중요한 이야기입니다. 지금부터 시스템의 각 계층과 보안의 핵심 요소를 좀 더 자세히 살펴봅니다.