“모든 것이 웹을 통하는 웹 시대, 웹 보안이 가장 중요하다!” 열심히 떠들다가 곰곰이 생각해 봤다. 요즘은 세상 모든 일이 인터넷, 즉 웹을 통해 이루어지기 때문에 만약 웹이 마비되면 그 피해가 어마어마한데도 왜들 그리 웹 보안을 하찮게 여기고 아무렇게나 막 방치하는 걸까? 안타깝게도 답은 이미 알고 있다. ‘안전한 인터넷’이 도대체 뭔지 그 기준이 영 모호하기 때문이다.

“안전한 인터넷이란 무엇인가?”

따로 말하기 새삼스러울 정도로 완연한 IT 세상이다. 그러니 IT 보안이 중요하다는 것쯤은 누구나 다 안다. 그런데도 그 중요한 일을 “중요하지, 중요하고 말고. 자, 그럼 다음 문제!” 그러고 넘긴다. 사실 뭘 어떻게 조치해야 할지 모르기 때문. 그런데 IT 보안이란 게 정말 그렇게나 심각한 문제라면, 그 문제를 어떻게든 해결할 방법과 기준을 따로 마련해 두지 않았을까? 이 세상은 언뜻 보면 아무 법칙도 없이 그냥 막 굴러가는 카오스 세계 같지만, 찬찬히 들여다보면 그 혼돈 안에 참으로 복잡하고 정교한 시스템들이 얽히고설킨 채 어떻게든 이 세계를 최대한 효율적으로 그리고 합리적으로 굴러가게끔 돕고 있다. 그러니 일견 막연해 보이는 IT 보안에도 분명 뭔가 방법과 기준 뭐 그런 것들이 있을 것이다.

IT 보안은 지구에 사는 모든 개인과 집단의 아주 큰 고민거리다. 그 심각하고 진지한 고민을 모두 모아 종합하고 통찰하여 거의(!) 완벽하게 정리해 낸 ‘국제표준’들이 있다. '영국 브리티시 스탠다즈 인스티튜트(BSI, British Standards Institute)'가 제정한 'BS 7799'를 기반으로 구성된 보안 인증이자 프레임워크 ‘ISO 27001′이 개중 대표적인 기준이다. 그보다 경영 중심적인 ‘정보 보안 경영 시스템(ISMS, Information Security Management System)’ 또한 매우 중요한 기준이고. 이러한 프레임워크를 참조하여 그 사양에 따라 기업의 보안 시스템을 구축하면 제법 안전한 IT 보안 정책과 체계를 수립하고 구축할 수 있다.

흔히들 IT 보안이라 하면 장비나 기술부터 떠올린다. 하지만 실은 조직 전체와 그에 속한 각 개인이 그 안에서 삶을 영위하는 ‘문화’ 그리고 ‘환경’의 뜻이 더욱 중하다. 따라서 어떤 인증을 획득했다고 해서 100% 완벽하게 안전해졌다고 볼 수는 없지만, '대체로' 안전해졌다고 볼 수는 있다.

그럼, 안전한 인터넷의 기준이 될 만한 국제표준은 따로 있을까? 표준이라고 볼 정도는 아니지만 권고되는 기준과 방법론은 있다.

온라인 신뢰도 우수(OTHR, Online Trust Honor Roll) 2016

‘온라인 트러스트 얼라이언스(OTA, Online Trust Alliance)’는 인터넷 비즈니스 회사가 얼마나 보안, 개인정보 보호, 고객정보 보호에 대해 신경 쓰고 있는지, IT 보안 방법론은 얼마나 인지하고 있는지, 기술적으로는 얼마나 준비가 되어있는지 등을 평가하는 국제적 비영리 NGO 단체다. 애매하게 추상적이지 않고 딱딱 구체적인 기준을 가지고 유명 웹사이트들의 보안성을 점검해 안전한 인터넷을 위해 선도적 노력을 펼친 웹사이트들을 고른다.

OTA는 정부, 언론, 금융, SNS 등 다양한 분야의 약 1,000개의 유명 웹사이트들을 평가해 개중 가장 높은 점수를 기록한 ‘온라인 신뢰도 우수(OTHR, Online Trust Honor Roll)’ 업체를 선정한다. 올해로 8년째를 맞은 OTHR 각 부문 1위는 리테일 부문의 '갭(Gap)', 은행 부문의 '이베리아 은행(IBERIABANK)', 소비자 서비스 부문의 '트위터(Twitter)', 미디어 부문의 '구글뉴스(Google News)'가 선정되었다.

'Online Trust Alliance'에 등재된 웹사이트 순위

위 그림을 보면, 산업 부문을 가리지 않고 가장 높은 점수를 받은 웹사이트는 몇몇 정부기관을 제외하곤 모두 소비자 서비스(B2C) 회사들이다. 해당 분야는 해를 거듭할수록 보안성 점수가 가장 빠르게 증가하고 있기도 하다. 사이버 공격을 당해 고객정보가 유출되면 사업에 돌이킬 수 없는 악영향을 미치기 때문에, 일반 민간 고객을 상대하는 서비스 기업들은 다른 어떤 분야보다도 만반의 태세를 갖추고 IT 보안 전쟁에 임하고 있다.

OTA 안전성 평가 기준, WAF 가산점 부여의 의미

그럼 OTA의 안전성 평가 과정과 그 기준을 살펴보자. OTA는 소비자 관점에서 즉 클라이언트 입장에서 웹사이트 전체의 이메일 인증 방식, 인터넷프로토콜 버전, 도메인네임 시스템 등을 살핀다. 그리고 웹사이트 및 서버 인프라 단의 보안 실태를 점검하고, 개인정보를 어떻게 취급하는지를 관찰해 이를 평가해 점수를 매긴다.

그 기준에서 특히 눈여겨볼 점은, OTA는 2015년부터 ‘웹 방화벽(WAF, Web Application Firewall) 사용 여부’를 인프라 항목 평가에 있어 주요 가산점 항목으로 지정했다. 가산점을 받아 ‘안전’ 등급을 받게 된 업체도 2014년 30%에서 2015년 44%, 2016년 50%로 늘었다.

OTA의 웹 방화벽 가산점 부여 조치는 당연한 일이다. 웹 방화벽은 웹 보안에 있어 가장 중요한 '웹 애플리케이션 보안'에 특화되어 개발된 장비다. 외부공격을 사전에 차단하고, 악성코드 등 유해물이 서버에 들어오는 걸 방지하고, 보안취약점이 외부에 노출되지 않게 하는 등, 웹 보안 전반에 걸쳐 가장 중요한 여러 기능을 동시에 수행하기 때문에 웹사이트 전체 안전성에 미치는 영향이 다른 어떤 보안 장치들보다 훨씬 더 크다. OTA는 웹 방화벽이 XSS(cross site scripting) 공격과 SQL(Structured Query Language) 인젝션 공격을 막고 말웨어와 봇 차단 효과 증대 추세에 따라서 WAF 사용 가산점을 더욱 높일 계획이라고 밝혔다.

"그럼 스타트업도 WAF 쓰면 되는 거야?"

세상에 그 많은 솔루션 중에 어떤 솔루션을 골라 도입할지 그리고 이를 어떻게 운영할지 의사결정은 기업의 성장과 발전 나아가 사활이 걸린 매우 중차대한 일이다. 특히, 비용 문제가 결정적 변수로 작용하는 신생 스타트업 기업엔 더더욱 치명적인 문제다. 세상엔 화려하고 좋은 물건들이 참 많아서 모두 다 갖고 싶지만 모두 다 가질 수 없으니 그저 안타까울 뿐. 웹 방화벽도 그러하다. 기능과 효과를 생각하면 비싼 물건은 아니지만 그렇다고 아주 싸지도 않다. 그런데 누가 좋다고 말한다고 해서 일단 막 사고 볼 수는 없는 일 아닌가.

그래서 우선 클라우드 웹 방화벽 서비스 이용을 권한다. 간단한 조치를 통해 대기업 데이터센터 서버에 으리으리한 하드웨어 웹 방화벽 설치한 것과 똑같은 효과를 거둘 수 있다. 마우스 클릭 몇 번만으로 최근 일어난 보안사고 전체의 무려 90%를 차지하는 웹 해킹 공격을 막아낼 수 있다. 클라우드 서비스 형태로 제공되므로 장비 유지보수 비용이 발생하지 않을 뿐 아니라 서비스 이용 초기에는 서비스 자체가 아예 공짜다. 트래픽이 일정량에 이르면, 즉 사업이 본궤도로 오르면 그때부터 소정의 사용료를 지불하면 된다. 만약 아마존웹서비스(AWS, Amazon Web Service)를 사용하고 있다면, AWS 마켓 플레이스에 가 보면 정보보안 전문기업들이 준비해놓은 부가 서비스들이 마련되어 있으니 선택해 이용할 수 있다.

웹 시대, 점점 더 많은 것들이 웹 환경에서 개발되고 운용되고 있다. 이런 풍토에서 웹 보안을 소홀히 여기면 모든 것을 잃을 수 있다. 정말 모든 것을! 특히 인터넷 비즈니스 스타트업 기업이 웹 보안, 특히 WAF를 사용하지 않는다는 건 마치 한겨울 혹독한 한파에 벌거벗고 외출하는 것만큼이나 무모한 행동이다. 단지 위험 회피뿐만이 아니다. 안전한 인터넷 구현을 통해 당신의 기업이 믿을 수 있는 브랜드라는 평판을 얻게 된다면 지금보다 더 많은 고객을 유치할 수도 있다.