당장 코 앞에 닥친 보안 현실도 녹록치 않은데 미래의 보안위협을 논하는 것은 좀 한가해 보이기도 한다. 관심이 있다 하더라도 ‘지적 호기심’에 가까울 수도 있다. 우리가 미래의 보안을 생각할 때는 다음 2가지 경우가 있다. 우선 새로운 사업을 고려하고 있을 때다. 예를 들어 사물인터넷 관련 사업을 추진하려고 한다면 자연히 해당 단말기나 서비스의 보안 위협과 취약점, 그에 따른 위험을 살펴보게 된다. 클라우드 기반의 서비스를 하기 위해 클라우드 서비스의 보안 점검 포인트나 해당 클라우드 서비스 제공자(CSP, Cloud Service Provider)가 제공하는 보안 서비스 종류를 들여다 본다. 다른 하나는 트렌드와 연관된 보안위협이다. 이러한 위협은 당장 우리 회사와 관련이 없어 보이더라도 어느 순간 우리가 그 환경에 포함될 수 있으므로 봐 둘 필요가 있다. 어떤 것들은 조직에서의 ‘나’가 아닌 개인과 가정에서의 ‘나’와 연관될 수도 있다. 여기에서는 주요 IT 트렌드인 클라우드, 빅데이터, 사물인터넷과 그것의 주요 보안 이슈, 그에 대한 대응 방안을 검토하려고 한다.
1. 클라우드 서비스와 클라우드 보안
우리는 어느새 클라우드의 시대에 살고 있다. 개인으로 보면 휴대폰, 태블릿, 컴퓨터의 데이터를 구글 드라이브나 네이버 N드라이브에 올려 놓는 게 자연스러워졌고, 문서 편집은 아예 구글 문서도구(google docs)나 드롭박스에 하는 경우도 많다, 내가 의식하지 못한 사이에 아이폰이나 아이패드의 사진이 아이클라우드(i-cloud)로 올라가는 것이 이제 낯설지 않다. 기업 측면에서는, 게임 개발을 하는 소규모 업체들이 클라우드의 원조 격인 아마존의 AWS를 사용하면서 개발 및 운영 비용을 크게 줄였고, 글로벌 서비스를 제공하는 업체들 역시 클라우드를 적극적으로 활용하고 있다.
사실 클라우드 서비스는 초기부터 보안 이슈를 많이 다뤘다. 내 데이터를 남에게 맡긴다는 개념 자체가 데이터 열람, 위·변조, 유출 같은 정보보호의 가장 기본적인 이슈를 제기할 만한 환경이었기 때문이다. 우리가 흔히 ‘클라우드 보안’이라고 하는 말에는 크게 (1) CSP 측면의 보안 (2) 클라우드 서비스 사용자(CSC, Cloud Service Customer) 측면의 보안 (3) 클라우드를 활용한 보안 서비스가 포함되어 있다.
첫째, CSP 측면의 보안문제를 보면, CSP가 IT 서비스(IaaS, PaaS, SaaS)를 제공하므로 일반적인 기밀성, 무결성, 가용성의 문제가 모두 발생할 수 있다. 실제로 클라우드 서비스에는 크고 작은 보안사고가 있었다. CSP의 운영 미숙으로 고객의 데이터가 손실되거나 몇 시간씩 서비스 장애가 발생한 경우도 있었고, 해킹을 통해 고객의 데이터가 유출되는 사고도 발생했다. 그것도 이름 없는 CSP가 아니라 아마존, 구글, 드롭박스, 에버노트, 애플 등 손꼽는 글로벌 업체에서 발생한 사고들이어서 클라우드의 보안성 확보가 그리 단순한 일이 아님을 알게 해 줬다. 이후 각 CSP들은 보안성 강화에 공을 많이 들이고 있다.
또 다른 서비스와 달리 클라우드 서비스에서는 CSC에게 신뢰를 주는 일이 특히 중요하다. 아무래도 내 데이터를 내가 갖고 있지 못하니 CSC 입장에서는 뭔가 불안한 게 당연하다. CSP는 데이터가 어디에 어떤 방식으로 저장, 관리되고 있는지 알 수 있도록 해 주고 사용자와 소통해 나감으로써 투명성과 가시성을 제공할 수 있어야 한다. 기술적으로 보면, 클라우드는 가상화를 기반으로 구축되어 있는데 최근 가상화의 취약점이 이따금 발견되고 있어서 이에 대응하는 것 역시 CSP의 작지 않은 과제다.
국제 표준에서도 클라우드 서비스의 보안 중요성을 크게 강조하고 있다. ISO에서는 ISO 27002(Code of practice for information security controls)를 기반으로 클라우드 보안에 필요한 보안통제와 구현 지침을 추가하여 별도의 표준인 ISO 27017을 만들었고, ISO 27018에서는 공용(Public) 클라우드에서의 개인정보 보호를 다뤘다. 또 국제단체인 클라우드보안협회(CSA, Cloud Security Alliance)에서 클라우드 통제 매트릭스(CCM, Cloud Control Matrix)를 내는 등 클라우드 서비스의 보안성과 신뢰성을 높이기 위한 노력을 경주하고 있다.
둘째, CSC 입장에서의 보안성이 있다. 공용 클라우드를 고려하는 기업들에게는 클라우드에 저장된 데이터가 의도적, 또는 비의도적으로 타사에 유출되지 않을까 하는 것이 가장 큰 고민이다. CSP에서 보안을 충분히 잘 해서 외부에서의 침입을 막는다 하더라도 CSP가 (잠재적) 경쟁자일 때 회사 차원에서 의도적으로 데이터를 유출할 수 있지 않을까 의심한다. 정당한 권한을 가진 CSP 관리자가 돈을 받고 데이터를 유출할 수도 있다. 혹시 기술적 또는 관리적 문제로 가상 환경에 저장된 우리 기업의 데이터 공간을 다른 업체에서 접근할 수 있는 상황이 (일시적이라도) 발생할 수 있지 않을까 하는 염려도 있다. 국내 굴지의 재벌그룹인 S그룹과 C그룹 오너들 사이에 분쟁이 있을 때에 C그룹이 물리보안 회사를 S그룹 계열사에서 다른 회사로 바꾼 것은 단지 물리보안에 해당하는 문제만은 아니다.
이런 고민으로 인해 일부 그룹사들은 아예 계열사용 사설(Private) 클라우드를 구축하여 사용하기도 하지만, 그런 규모가 되지 않는 회사들은 아예 모든 공용 클라우드를 차단하거나 그리로 나가는 모든 길목을 모니터링하고 그에 대한 통제 정책을 적용하여 내부 정보 유출을 막고자 한다. 기존의 접근통제 솔루션도 있지만, 공용 클라우드 서비스가 워낙 많기 때문에 아예 공용 클라우드에 대한 접근, 관리, 통제를 전담하는 솔루션도 나와 있다.
공용 클라우드를 선택할 때 CSC는 CSP의 서비스가 우리나라의 법과 규제를 충족하는지, 자신의 정보보호 정책과 지침에 CSP의 서비스가 적합한지 살펴봐야 한다. 또 실질적인 보안 수준을 갖추기 위해 각 CSP가 제공하는 보안서비스를 세밀하게 검토하여 적합한 CSP를 선택해야 한다. CSP가 제공하지 않는 보안서비스가 필요한 경우에는 어떤 식으로 적용할 수 있을지 CSP와 협의할 필요가 있다.
기업의 일부 서비스나 백엔드 시스템을 클라우드에 놓는다 하더라도 웬만한 회사들은 기업 내부에 존재하는 중요한 레거시 시스템이 많이 있다. 이 때에 기업 내부 시스템과 클라우드에 있는 시스템을 어떻게 잘 연동하는지가 중요하게 된다. 인터페이스와 커뮤니케이션에서 인증과 암호화가 잘 되고, 불필요한 정보가 오가지 않도록 살펴야 한다. 또 통신이 많아지는 만큼 장애 지점이 늘어난다는 점도 염두에 둬야 한다. 네트워크 장비나 인증서, DNS 등 하찮게 생각하는 문제로 가용성의 문제가 크게 불거질 수 있다.
국제 표준에서는 앞서 언급한 ISO 27017에서 CSC의 보안 쪽을 다루고 있는데, 이것과 함께 볼 수 있는 표준이 ISO 27036 파트4이다. ISO 27036은 ‘공급자 관계를 위한 정보보호’를 다룬 표준인데, 대부분의 IT 인프라를 외부에서 공급받는 IT 환경에서 일부 네트워크 장비에서 백도어가 발견되었다거나 심지어 암호 라이브러리에도 백도어가 있었다는 사실은, 인프라의 도입과 운영 과정에서 필연적으로 발생하는 공급자 관계에서도 보안성을 유지하기 위한 조치가 있어야 한다는 것을 뜻한다. 특히 이 표준의 파트4에서는 별도로 ‘클라우드 서비스 보안 가이드라인’을 다루고 있는데, 이것은 클라우드 서비스가 매우 중요한 공급자 중의 하나이고, IT인프라를 책임진다는 점에서 다른 공급자보다 보안 이슈가 더욱 크다는 점을 반영한 것으로 보인다. 이러한 표준들을 참고하면, 꼭 거기에서 정의한 기준이나 프로세스를 따르지 않더라도 지금 내가 하고 있는 방식에서 혹시 빠진 게 없는지 살펴 볼 수 있고, 새롭게 구축해야 한다면 필요한 전체를 조망하고 나의 환경에 맞는 것은 갖다 쓸 수 있다.
셋째, 클라우드 기반의 보안 서비스(SECurity as a Service)를 활용하는 일이다. 즉 SECaaS는 다른 SaaS와 마찬가지로 노드 수나 사용량에 따라 비용을 지불하므로 비용을 크게 절감할 수 있고, 해당 솔루션의 내부 운영 인력이 필요 없다는 장점이 있다. 특히 기존 제품을 SaaS로 변환한 수준이 아니라 클라우드의 컴퓨팅 능력을 충분히 활용한 보안솔루션이 있다면 탁월한 성능을 이용할 수 있다. 이런 서비스를 개발, 제공하는 것은 온전히 보안업체의 몫이지만 말이다. 시장에 나와 있는 클라우드 기반의 SECaaS로는 안티바이러스, 안티스팸, 이메일 보안, 암호화, 웹 방화벽, 디도스 방어 등이 있다.
2. 빅데이터 분석과 빅데이터 보안
또 하나의 큰 IT 트렌드는 빅데이터다. 국내에서는 빅데이터라는 말이 회자되는 만큼 실질적으로 활용되는 경우는 많지 않아 보인다. 빅데이터라고 부를 때 ‘빅’에 지나치게 집착해서 그런 게 아닌가 싶다. 글로벌 기업들은 빠른 속도로 수집되는 비정형 데이터의 ‘분석’에 초점을 맞추고 있다. 그래서 해외의 빅데이터 관련 기사에서는 데이터 분석(Data Analytics)이라는 용어가 자주 나온다. 최근 보안 분야의 핫이슈인 ‘보안 인텔리전스’ 역시 이 데이터 분석에 기초하고 있다는 점은 주지의 사실이기도 하다.
빅데이터를 보안의 측면에서 보면 (1) 빅데이터 산업 발전에서의 개인정보 보호 (2) 기업에서 발생하는 빅데이터(주로 로그)에 포함된 개인정보 대응 (3) 기업 보안을 위한 빅데이터 활용의 문제로 나뉜다.
첫째, 빅데이터 산업이 발전하는 데 개인정보 수집·제공에 대한 사전 동의(Opt-in) 기반으로 구성된 우리나라 법규 체계가 장애물이라는 지적이 제기되어 왔다. 최근 개인정보의 보호 일변도로 입법, 행정 활동이 집중되다가 빅데이터 때문에 다시 개인정보의 활용 부분을 강조하려 보니 사회적으로 엇박자가 나는 것이 사실이다. 빅데이터를 추진하는 업계 및 이를 지원하려는 정부 부처와 개인정보 보호를 강조하는 시민단체의 의견이 첨예하게 부딪히는 형국이다. 특히 최근에는 금융위원회에서 비식별화(De-identification)된 개인(신용)정보는 개인(신용)정보가 아닌 것으로 규정하여 산업적으로 폭넓게 활용할 수 있도록 신용정보법 시행령을 개정하려고 한 것에 대해 시민단체에서는 ‘비식별화된 정보’의 재식별화(Re-identification) 사례를 들면서 이것이 결국 개인정보의 (대량) 유출을 허용하는 꼴이라며 이를 강력히 반대하였다. 결국 금융위에서도 9월 시행령에 포함시키지는 않기로 해서 이 전선은 당분간 소강상태가 될 것으로 보인다.
방송통신위원회에서 작년 12월에 “개인정보의 오·남용을 방지하면서, 빅데이터 산업의 활성화”를 이루기 위해 제정한 ‘빅데이터 개인정보보호 가이드라인’을 통해 “개인정보가 포함된 공개된 정보 및 이용내역정보는 비식별화 조치를 취한 후 수집·저장·조합·분석 및 제3자 제공이 가능하도록 하였다. 방통위 가이드라인에서 규정한 비식별화는 ‘공개된 정보’와 ‘이용내역정보’만을 대상으로 한다는 점에서 금융위원회 추진안과 차이가 있다.
둘째, 기업 내 로그에서의 개인정보 문제는 이미 많은 회사에서 한번쯤 고민하고 걸렀을 문제이나 새롭게 나타날 수도 있고 아직 처리하지 못한 기업도 있을 수 있겠다. 애플리케이션, 미들웨어, 서버 등 기업의 IT인프라 여러 계층에서 로그가 생성된다. 자체 개발한 애플리케이션에서 쌓는 로그라면 쉽게 발견하여 기획 목적에 따라 제거, 마스킹, 대체, 암호화 등의 다양한 개인정보 제거 방법을 강구하면 되겠지만, 간혹 개발자가 디버깅을 위해 만든 로그라면 발견하기 어려울 수도 있다. 개발 단계에서 한번 정도는 코드 리뷰나 테스트를 통해 로깅에 대해 전반적으로 점감할 필요가 있다. 웹서버나 웹애플리케이션 서버 등에서 나오는 로그는 놓치기 쉽다. 여기에 개인정보가 포함되어 있는지도 점검해야 한다.
셋째, 빅데이터를 보안에 활용하는 것으로서 여기에서는 방화벽, 웹 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹 서버 등 보안 및 IT시스템에서 빠르게 쌓이는 많은 양의 데이터를 얼마나 신속하고 정확하게 분석하여 보안이상 징후를 찾아 내고 그에 대응할 수 있는지가 핵심 문제다. 정보보호 장비와 웹 서버의 로그를 수집, 분석하는 보안 정보 및 이벤트 관리(SIEM, Security Information & Event Management)가 기업 내 빅데이터를 일부 활용하고 있는데, 아직 초보적인 수준에 머물고 있기 때문에 앞으로 이를 활용한 보안 제품이 지속적으로 나오지 않을까 생각된다. 금융권에서 많이 구축한 이상거래 탐지시스템(FDS) 역시 로그를 보안에 활용하는 예다. 아직 자체 운용하는 애플리케이션 데이터를 활용하는 데 한정되고 있지만 보안시스템이나 IT시스템에 쌓이는 로그, 네트워크 트래픽, 나아가 외부의 데이터까지 활용한다면 큰 효과를 발휘할 수 있지 않을까 싶다.
3. 사물인터넷과 사물인터넷 보안
사물인터넷은 IT가 포함된 스마트 기기가 인터넷을 통해 연결되는 것(Smart, Connected device)이므로, 기존 IT 단말과 서버, 네트워크에서 나타난 다양한 보안취약점이 발생한다. 게다가 스마트 기기는 일반 컴퓨터나 스마트폰보다 컴퓨팅 능력이 떨어지기 때문에 기존 IT 인프라에서 사용하던 암호 알고리즘과 프로토콜, 보안솔루션을 사용하기 어렵다는 단점이 있다. 지난 6월에 발생한 금융회사들에 대한 디도스 공격은 이러한 우려를 현실화시켰다.
더 큰 문제는 이렇게 스마트 기기들에서 취약점이 발견되었다 하더라도 보완(패치)되기가 어렵다는 점이다. 대부분의 스마트 기기들이 패치 체계가 잘 구축되지 않았을 뿐 아니라 사용자들이 패치를 잘 하지 않기 때문이다. 스마트폰만 하더라도 새로운 운영체제가 나왔을 때 하던 일을 멈추고 오래 걸리는 업데이트를 시작하는 사람은 많지 않다. 보안 업데이트가 포함되었다 하더라도 상황이 얼마나 나아질지 장담하기 어렵다. 게다가 산업용이나 개인·가정용 스마트 기기들은 화면이 매우 작거나 없는 경우가 많아 악성코드 감염 같은 보안 문제가 발생한다 하더라도 사용자가 그것을 인지하여 조치를 취하지 못할 가능성이 매우 높다.
사물인터넷에서 산업인터넷(Industrial Internet)도 빼 놓을 수 없는 분야다. GE는 GE소프트웨어를 중심으로 에너지, 항공엔진, 운송 등 자신이 강점이 있던 분야에서 사물인터넷을 주도하고 있는데, 여기에서 보안은 핵심적인 부분을 차지한다. 우리나라에서도 겪었던 에너지기업의 보안 사태를 돌아보면 산업인터넷에서 보안의 중요성을 쉽게 알 수 있다.
전력, 의료, 항공, 열차, 선박 등 인터넷으로 연결된 다양한 산업인터넷 기기가 보안공격에 의해 오작동하거나 위·변조된 데이터를 전달한다면 그 영향은 막대할 것이다.
개인과 가정에 들어온 사물인터넷은 프라이버시 문제를 일으킬 수 있다. 우리 곁에 있는 TV, 노트북, 휴대폰에 있는 카메라가 우리를 실시간 감시하는 도구가 되고, 스마트 온도계, 스마트 체중계 등 우리를 둘러싸고 있는 각종 스마트 기기들이 내가 집에 있는지, 내가 과체중인지, 내 건강에 문제가 있는지 등 내가 외부에 밝히고 싶지 않거나 밝혀지면 나한테 불이익이 생길 수 있는 정보의 유출 경로가 될 수 있다. 동영상, 오디오, 이미지, 텍스트 등 그 어떤 형태로든 말이다.
지난 3월 아마존닷컴의 한 무선인터넷 자동보일러 상품에 관한 고객 의견 페이지에 앱을 통해 원격에서 보일러의 온도를 조절함으로써 ‘복수’했다는 리뷰를 읽다 보면 스마트 기기에 대한 조작이 전처를 골탕먹이기 위한 수준을 넘어설 경우 사람의 안전에도 영향을 미칠 수 있지 않을까 하는 생각에 이르게 된다. 게다가 자율주행 자동차 같은 스마트 기기에서의 보안은 사람의 생명과 직결된다. 즉 사이버세계에서 실제 세계 사이의 ‘다리’ 역할을 하는 사물인터넷에서 보안 문제는 바로 사람의 안전 문제와 깊이 연관된다. 잘못하면 생명과 건강의 문제로 번질 수 있는 것이다.
사물인터넷의 취약점이 전통적인 보안취약점에서 시작하듯, 사물인터넷 보안 역시 전통적인 보안방법에서 출발한다. 가장 좋은 것은 사물인터넷의 표준에 보안을 위한 레이어나 아키텍처가 포함되는 것이다. 처음부터 완전하지는 않더라도 보안에 관한 내용이 들어가면서 계속 업그레이드 될 수 있기 때문이다. 하지만 지금은 아직 사물인터넷 분야의 국제 표준이나 시장 독과점에 따른 사실상 표준(de facto standard)이 정해지지 않은 상태에서 보안에 취약한 제품들이 많이 생산되고 있다. 설계 단계부터 보안을 고려하고 시큐어 코딩(Secure Coding)을 하라는 다소 원론적인 수준의 얘기들이 주로 나오는 이유다.
어쨌든 사물인터넷 기기에 들어가는 부품을 포함하여 스마트 기기와 이들이 인터넷에 연결되는 경로에 보안취약점이 없도록 하는 것이 문제 해결의 출발점인 것은 분명하다. 이를 위해 낮은 전력과 계산능력 환경에서도 잘 작동하는 암호모듈 등 보안 기제를 연구·개발하는 일이 중요한 축이겠지만, 사물인터넷의 보안취약점을 인지하면서도 이를 사용하는 기업들은 여전히 이들과 연결된 내부 네트워크를 보호해야 한다. 기업에서 사물인터넷 기기를 활용하지 않더라도 기기는 내부 직원이나 방문자를 통해 회사 내부로 들어온다. 기업에서는 개인소유 기기(BYOD, Bring Your Own Device)의 통제 경험이 있다. 예를 들어 스마트폰을 완전히 통제해야 하는 회사에서는 스마트폰의 카메라에 스티커를 붙이고, MDM(Mobile Device Management) 소프트웨어를 설치하거나 내부망에 접속할 수 있는 기기를 맥 주소 통제, 가상사설망 사용, 사용자 인증을 통해 통제하고, 사용 시 스트리밍 방식으로 데이터가 스마트폰에 남지 않도록 하는 등 내부망을 보호하였다.
하지만 내부망에 연결되어 있는 IT시스템 역시 다양한 무선 통신을 지원하는 만큼 BYOD에서 제공하는 다양한 통신 방식을 통제하는 것 역시 쉬운 일이 아니다. 스마트 기기를 내부망에서 모두 차단하려 한다면 모든 무선통신을 식별하여 차단하는 것이 관건이다. 만일 구글 글래스 같이 카메라, 녹화, 녹음이 자연스러운 웨어러블 기기가 있다면 기존 BYOD보다 훨씬 작은 기기를 물리적으로 차단하기란 쉽지 않을 것이다. 물론 인증된 스마트 기기가 내부망에 접속한다면 계정 및 권한 관리를 통해 그에 대한 통제 역시 제대로 이뤄져야 한다.
개인·가정 사물인터넷 분야에서는 정부의 역할이 중요하다. 정부에서는 스마트 기기 보안이 개인의 생명과 재산, 평판, 사회생활에 영향을 미칠 수 있는 상황이라는 것을 인식하고 제품이 갖춰야 할 보안 요건을 제정해야 할 것이다. 공산품에 관한 KS 품질 규격에 적절한 보안 요건을 추가하고, 소비자들은 스마트 제품 구매 시 그러한 보안 요건을 갖추고 인증을 획득한 제품을 구매하는 등의 선순환이 이뤄지는 것이 바람직하다. 또 제품 생산자들은 사용자의 정보를 불필요하게 감지, 수집, 저장, 전송하는 등 사용자의 프라이버시를 침해하거나 사용자에게 해를 미칠 수 있는 기능들은 사용자가 손쉽게 끌 수 있도록 설정 기능을 만들고, 보안 수준이 적절하게 유지되도록 기본 설정을 제공함으로써 사용자들의 프라이버시가 침해되거나 보안 문제가 발생하지 않도록 해야 할 것이다.
4. 차세대 보안위협 대응전략
끝으로 IT 트렌드에 따른 차세대 보안 위협 대응 전략에서 다음 2가지를 제안하고 싶다.
우선 기업이 내부망을 좀더 깊이 이해하고 모니터링 할 필요가 있다는 점이다. 일정 규모 이상의 기업은 내부 네트워크에 연결된 단말이 많고, 마케팅 이벤트 같이 정식 프로세스를 거치지 않고 네트워크에 연결되는 서버도 종종 생긴다. 외부인이 들어와 노트북을 연결하거나 스마트폰, 각종 스마트 기기가 접속하면 네트워크는 더욱 복잡해 진다. 하지만 내부망의 아키텍처를 정확하게 그리고 있는 회사도 많지 않고, 변화무쌍한 내부망을 늘 현행화하기는 어려운 일이다. 일정 수준까지 현행화하고, 다른 부분은 다른 방법으로 파악하는 것이 현실적이다. 어쨌든 이렇게 변화무쌍한 내부망을 정확하게 알고 모니터링하여 보안이상 징후가 발생하면 실시간 또는 일정 시간 이내 탐지가 가능한 체제를 갖출 필요가 있다. 물론 이런 이상징후를 탐지한 뒤의 대응 프로세스도 잘 수립하고 지속적으로 업데이트해야 한다. 이렇게 해 놓으면 IT 인프라의 경계 방어선을 뚫은 보안공격이나 스마트 기기, BYOD, USB 메모리 등이 사람을 통해 경계 방어선을 넘어 기업 내부로 들어온다 하더라도 이를 탐지, 대응할 수 있다. 물론 계정 및 권한관리를 모든 보안통제의 기반이 된다는 점은 아무리 강조해도 결코 지나치지 않다.
다른 한 가지는 보안 사고는 예방이 최선이긴 하지만, 사고가 발생했을 때를 대비할 필요가 있다는 점이다. 예를 들어 핀테크로 우리나라에 많이 알려진 페이팔(PayPal)은 금융사고를 처리하는 전문인력을 다수 확보하고 사고 발생시 자체 조사를 통해 문제가 확인되면 신속하게 보상해 주는 것으로 잘 알려져 있다. 결국 회사의 수익 범위 내에서 처리하는 것이다. 우리나라 공인인증서 시스템보다 보안성은 떨어지지만 소비자 만족도는 더 높다.
보안 투자를 통해 예방할 수 있는 보안위험이 전체의 80-90%라고 하면, 나머지 10-20%는 보험이나 보상으로 처리할 수 있다. 보험은 아직 대중화되어 있지는 않으나 금융권을 중심으로 개인정보유출 같은 정보보안 사고를 다룬 보험이 조금씩 확산되는 것 역시 주시할 필요가 있다.
이밖에 정보보안 사고가 발생할 때를 대비해 대응 조직과 프로세스를 구축하고 훈련하여 대비하는 것 역시 중요하다. 아무 준비 없이 사고를 당하고 경찰의 수사, 규제기관의 조사, 언론과 인터넷의 비난 등이 동시에 발생한다고 생각해 보면 그 차이를 손쉽게 이해할 수 있다. 또 사고에 대한 대비와 훈련은 그것에 대한 경각심을 높여서 사고 자체를 줄일 수 있는 효과도 있다. 예방 중심의 전략에서 예방과 대응 양쪽을 균형 있게 준비할 필요가 있다.
이상으로 최근 핵심 IT트렌드인 클라우드, 빅데이터, 사물인터넷과 함께 그와 관련된 보안 이슈들을 살펴 보고, 그에 대한 기업의 대응 방안을 살펴 보았다. 워낙 주제가 넓다 보니 한정된 지면에서 깊이 있게 다루기 어려운 측면이 있다. 독자들이 핵심 포인트를 챙겨 보시면 좋겠다. 각 분야와 개별 기술에 관한 보안위협이나 대응방안은 다른 자리를 기약해야 할 것 같다.
*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. dl-ciokorea@foundryco.com
