057. 보완 통제 (Compensating Controls)

⚠️ 이 문서는 조직이 권장되는 기본 보안 통제(Primary Controls)를 비즈니스적, 기술적, 재정적 이유로 적용할 수 없을 때, 이를 대체하여 동등한 보안 수준을 제공하기 위해 임시 또는 영구적으로 도입하는 '보완 통제'를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 보완 통제(Compensating Controls)는 정규 보안 정책이나 규제(예: PCI-DSS, ISMS)가 요구하는 표준적인 예방/탐지 통제를 그대로 적용할 수 없을 때, 다른 대체 수단을 조합하여 원본 통제와 동등한(Equivalent) 리스크 감소 효과를 내는 보안 메커니즘이다.
  2. 가치: 오래된 레거시 시스템, 특수 목적의 산업용 기기(OT/ICS), 또는 예산의 한계 앞에서 "보안 규정 위반이므로 무조건 시스템을 꺼라"라는 극단적 대립을 피하고, 보안과 비즈니스 연속성 사이의 합리적인 합의점(Trade-off)을 도출한다.
  3. 융합: 단일 기술이 아니라 여러 통제(네트워크 분리, 강화된 로깅, 물리적 잠금 등)의 융합으로 구성되며, 외부 감사관(Auditor)에게 "왜 원래 규칙을 못 지켰으며, 이 대안이 어떻게 똑같이 안전한지"를 문서로 증명해야만 인정받을 수 있다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

보안 교과서나 규제(컴플라이언스)는 보통 이상적이고 획일화된 기준을 제시한다. "모든 서버는 최신 백신을 깔아라", "모든 시스템은 비밀번호를 암호화해서 저장해라" 같은 것들이다.

하지만 현실의 데이터 센터에는 **절대 백신을 깔 수 없는 20년 된 공장 제어용 PC(Windows XP)**나, 다단계 인증(MFA)을 지원하지 않는 자체 개발 레거시 프로그램이 반드시 존재한다. 규정대로라면 이런 시스템은 당장 폐기해야 하지만, 그 시스템이 하루 수십억 원어치의 제품을 찍어내는 핵심 장비라면 끌 수가 없다.

이 딜레마를 해결하기 위해 등장한 개념이 **보완 통제(Compensating Controls)**다. 정문(기본 통제)을 최신 자물쇠로 바꿀 수 없다면, 정문으로 가는 골목에 cctv를 달고 경비원을 세워서(대체 수단 조합) '최신 자물쇠와 똑같은 방어력'을 입증하는 것이다.

📢 섹션 요약 비유: 규정상 오토바이를 탈 때는 반드시 '오토바이 전용 헬멧(기본 통제)'을 써야 합니다. 그런데 머리 둘레가 너무 커서 헬멧이 들어가지 않는다면, '자전거 헬멧을 쓰고 + 속도를 30km 이하로 제한하고 + 에어백 조끼를 입는 것(보완 통제)'으로 대체하여 경찰(감사관)에게 허락을 받는 것과 같습니다.

Ⅱ. 보완 통제의 성립 조건 (감사관 인정 기준)

보안 담당자가 "안 되니까 그냥 대충 넘어가자"고 하는 것은 보완 통제가 아니다. 규제 기관(PCI-DSS 심사원 등)에서 보완 통제를 정당한 예외로 인정받으려면 다음 4가지 요건을 반드시 충족해야 한다.

  1. 정당한 제약(Legitimate Constraint): 왜 기본 통제를 적용할 수 없는지 비즈니스적/기술적/물리적 이유가 명확해야 한다. (예: 장비 스펙 부족, 벤더 지원 종료). 단순한 '귀찮음'은 사유가 되지 않는다.
  2. 동등한 위험 감소(Equivalent Risk Reduction): 기본 통제를 적용했을 때 줄어드는 리스크 수준과 보완 통제를 적용했을 때 줄어드는 리스크 수준이 동일(또는 그 이상)해야 한다.
  3. 원본 통제의 의도 충족(Intent of Original Control): "비밀번호 주기적 변경"이라는 원래 통제의 의도가 '계정 탈취 방지'라면, 보완 통제도 반드시 '계정 탈취'를 막는 방향으로 작동해야 한다.
  4. 추가적 리스크 유발 금지: 보완 통제를 적용하느라 다른 시스템의 성능이 마비되거나 새로운 보안 취약점이 생기면 안 된다.
┌───────────────────────────────────────────────────────────────────────────────┐
│           기본 통제 실패 시 보완 통제(Compensating) 적용 시나리오             │
├───────────────────────────────────────────────────────────────────────────────┤
│                                                                               │
│  [ 상황: 망분리 규정 (모든 내부망 PC는 인터넷 차단 필수) ]                    │
│                                                                               │
│  [ 기본 통제 (Primary Control) 적용 불가 ]                                    │
│    - 대상: 글로벌 주식 트레이딩 부서 PC 10대                                  │
│    - 사유: 업무 특성상 해외 거래소 웹사이트 실시간 접속이 필수적임.           │
│    - 결과: "인터넷 차단" 규정(Compliance) 위반!                               │
│                                                                               │
│  [ 보완 통제 (Compensating Controls) 설계 및 적용 ]                           │
│    대체 수단 1: 해당 PC들을 별도의 VLAN으로 완전 격리 (네트워크 통제)         │
│    대체 수단 2: 해외 거래소 IP 외의 모든 접근 100% 차단 (프록시 통제)         │
│    대체 수단 3: 해당 PC의 USB 포트 물리적 봉인 및 화면 캡처 방지 (DLP 통제)   │
│                                                                               │
│  * 결론: 인터넷을 끊는 것(기본 통제)과 동일하게 "내부 정보의 외부 유출 방지"  │
│         라는 규제의 본질(위험 감소)을 완벽히 달성하였으므로 예외 인정!        │
└───────────────────────────────────────────────────────────────────────────────┘

[다이어그램 해설] 하나의 강력한 예방 통제(인터넷 차단)를 할 수 없을 때는, 네트워크 격리 + 프록시 필터링 + DLP라는 세 개의 탐지/예방 통제를 겹겹이 묶어서 보완 통제망을 구축한다. 이를 통해 감사관에게 "우리는 원본 규정과 똑같이 100% 안전합니다"라고 서류(문서화)로 증명해 낸다.

  • 📢 섹션 요약 비유: 수영장에 "어린이 구명조끼 필수(기본 통제)"라는 규칙이 있는데, 체형상 맞는 조끼가 없는 아이가 왔습니다. 이때 조끼를 안 입히는 대신 "수심이 얕은 유아풀에서만 놀게 하고 + 전담 수상안전요원 1명을 무조건 옆에 붙여두는 것(보완 통제)"으로 규칙의 목적(안전)을 달성하는 것입니다.

Ⅲ. 실무 적용 시나리오

  1. 레거시 운영체제 (Windows 7 / XP) 패치 불가:

    • 기본 통제 규정: "모든 시스템은 최신 보안 패치를 30일 이내에 적용하라."
    • 제약 사유: 반도체 생산 라인의 제어 기계가 Windows XP에서만 도는 구형 소프트웨어라 패치(업데이트)를 하면 기계가 멈춤.
    • 보완 통제: 해당 기계를 공장 내부망에서도 완벽히 단절된 Air-gapped(폐쇄망) 공간에 두고, 네트워크 연결선을 물리적으로 뽑아버린다. 또한 담당자가 USB를 꽂을 때마다 바이러스 백신 키오스크에서 사전 검사를 받도록 물리적 절차를 강제한다.

  2. 암호화가 불가능한 레거시 DB:

    • 기본 통제 규정: "주민등록번호 등 개인정보는 저장 시 암호화(Encryption at Rest)하라."
    • 제약 사유: DB 구조가 너무 오래되어 암호화 솔루션을 얹으면 쿼리 속도가 100배 느려져 서비스가 마비됨.
    • 보완 통제: 저장된 암호화(At Rest)를 포기하는 대신, DB 서버 앞단에 강력한 **접근 제어 솔루션(DB 방화벽)**을 설치하여 비정상적인 대량 조회(Select) 시 즉시 세션을 끊어버리고, DB가 있는 스토리지 룸의 물리적 출입 통제를 이중 지문 인식으로 강화한다. (암호화가 주는 '유출 방지' 효과를 접근 원천 차단으로 대신함)

Ⅳ. 한계점 및 주의사항 (Anti-patterns)

  • 비용의 역전: 보완 통제는 보통 2~3개의 대체 솔루션을 엮어야 하므로, 차라리 원래 레거시 시스템을 최신으로 업그레이드하는 것보다 개발비와 유지보수 비용이 더 비싸지는 경우가 많다. 따라서 보완 통제는 **시한부(Temporary)**로 운영하고 장기적인 시스템 마이그레이션 계획을 세워야 한다.
  • 거짓 보완 (False Compensation): 비밀번호를 12자리로 길게 만들라는 규정을 못 지키겠으니, "대신 비밀번호 변경 주기를 30일로 짧게 할게요"라고 퉁치는 행위. (길이를 늘려 무차별 대입 공격을 막는 것과 주기를 짧게 하는 것은 방어하는 위협의 본질이 달라서 감사관에게 거절당한다.)

Ⅴ. 결론

보안(Security)은 비즈니스(Business)를 이길 수 없다. 비즈니스를 멈추면서까지 완벽한 보안 규정을 지키는 것은 꼬리가 개를 흔드는 격이다. **보완 통제(Compensating Controls)**는 보안 담당자가 교과서적인 원칙주의자에서 벗어나, 현실의 기술적 제약을 껴안고 유연한 조합의 마법을 부려 '안전과 비즈니스 수익' 두 마리 토끼를 모두 살려내는 아키텍트의 최고급 기술이다.

📌 관련 개념 맵

  • 분류 체계: 기능적 보안 통제 (Functional Security Controls)
  • 대비 개념: 예방 통제(Preventive), 탐지 통제(Detective)
  • 주요 적용 대상: 레거시 시스템, OT/ICS 망, 컴플라이언스(PCI-DSS, ISMS) 예외 처리
  • 관련 철학: 비즈니스 연속성(Business Continuity), 방어의 깊이(Defense in Depth)

👶 어린이를 위한 3줄 비유 설명

  1. 학교에서 "모든 학생은 비 오는 날 노란 우산을 써야 한다"는 안전 규칙(기본 통제)을 만들었어요.
  2. 그런데 노란 우산이 다 팔려서 못 산 친구가 있었죠. 그래서 선생님은 우산 대신 "노란 우비를 입고, 밝은 야광 장화를 신는 것(보완 통제)"을 특별히 허락해 주셨어요.
  3. 방법은 다르지만 '비에 젖지 않고 차 조심을 한다'는 목적은 완벽하게 똑같이 지켜냈기 때문이에요!