2013년 6월 21일 금요일

제2계. 보안 수준이 가장 낮은 부분부터 그 약점을 보안하라!!

위위구조(圍魏救趙).

병법 36계 중 제 2계인 위위구조는 글자 그대로 해석하자면,
위를 포위해 조를 구하다란 뜻이다.

위위구조라는 제 2계가 나오기까지의 배경을 보면,
중국 전국시대 위나라가 조나라를 공격하자, 조나라는 이웃 제나라에게
도움을 요청하게 된다.
이때 제나라 지원군의 대장인 손빈은 조나라를 구하러 가지 않고,
그 대신 위나라를 공격해 갔다.

위나라의 수도까지 제나라의 포위되었다는 소식을 듣자,
조나라를 공격하던 위나라 군대는 공격을 멈추고 위나라로 돌아가게 된다.
이때 제나라 군대는 위나라 군대가 퇴각하는 길목을 지키다가
사기가 떨어질대로 떨어진 위나라 군사를 공격하여 크게 이기게 된다.

이로써 상대방의 강한 부분을 정면으로 공격하지 않고,
상대방의 약점을 노려 적은 노력으로 큰 승리를 취한다는 의미이다.

이 부분은 보안에 있어서 공격자 관점에서도 그대로 적용된다.
굳이 수십겹 쌓여 있는 정문을 공략하기 보다는
미쳐 생각하지 못한 취약한 우회 경로를 찾아서 공략하는 것이 더
경제적이다.

현재 보안에 있어서 취약한 부분은 어디일까?
기술보다는 프로세스가, 프로세스 보다는 사람이 더 취약하지 않을까?
소셜 엔지니어링 기반의 공격이 효과적인 것도,
네트워크의 방화벽을 두드리기 보다는 스피어 피싱을 통해 사용자 PC를
공략하려고 하는 것이 더 나음은 현실에서도 증명되는 바이다.

이런 관점에서 본다면, 보안은 새로운 기술이나 프로세스를 도입하려고 하거나,
사건이나 이벤트 중심으로 그때그때 대응하기 보다는
전체적인 관점에서 어디가 제일 약한지, 그 약한 부분부터 점차 제거해 가면서,
전반적인 수준을 높여가는 것이 오히려 보다 강한 보안 체계가 아닐까.

누가 그랬던가. 조직의 전체 보안 수준은 그 조직의 가장 낮은 수준의 보안으로
평가될 수 있다고,

물론 그렇게 하자면, 내가 갖고 있는 자산이 무엇이며,
그 안의 취약점과 위협이 무엇이며, 그에 따른 우선 순위가 어떤 것인지,
즉 가장 약한 부분이 무엇인지를 알고 결정하는 것이 필요하다.

정말 제대로 된 정보보안 관리체계와 위험 평가 시스템이 필요한 이유이기도 하다.

전체적인 관점에서 보안을 바라보고 취약점을 없애 나가는 것.
이것이 보다 튼튼한 보안 체계를 구축하기 위한 정도이자 가장 빠른 길이다.