Home > 전체기사

이상 기후로 인한 환경 문제가 대두되는 때, 보안은 어떻게 달라지는가?

  |  입력 : 2021-11-22 19:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
환경 문제는 UN이나 일부 환경 과학자들만의 문제가 아니다. 사이버 보안에도 영향을 지대하게 끼칠 수 있는 문제다. 그러므로 보안 업계도 이미 우리의 삶 속에 들어와 있는 각종 재앙을 보안의 범주 안에 넣어야 한다.

[보안뉴스 문가용 기자] 지구의 기온이 20세기 동안 섭씨 1.1도 올랐고, 그로 인한 재앙의 맛보기를 인류는 올 한 해 계속해서 겪어왔다. 온도는 계속해서 올라 20년 안에 1.5도까지 상승할 수 있을 것으로 보인다. 사이버 보안과 사건 대응 분야에서도 이런 부분을 간과할 수 없다. 친환경적이고 지구의 평균 기온을 떨어트리는 방법을 고민해야 한다.

[이미지 = utoimage]


지구온난화로 인한 재앙이 보안의 문제가 아닐 수 없다. 이미 적잖은 인프라가 세계 곳곳의 산불로 망가졌다. 앞으로 더 많은 산불이 일어날 텐데, 그럴 경우 우리가 믿고 있는 고도의 케이블 네트워크와 슈퍼컴퓨터도 속절없이 망가질 수 있다. 기근과 혹서는 어떤가? 데이터센터의 과열을 불러일으키고, 이는 성능 저하 혹은 마비로 이어질 수 있다. 허리케인, 홍수 등과 같은 자연 재해도 언제 무슨 보안 사고를 일으킬지 모른다.

그렇기 때문에 여태까지 우리가 잘 사용해 왔던 대규모 데이터센터라는 것이 새로운 기후의 시대를 맞아 안전한 것인지 고민할 필요가 있다. 데이터센터가 꼭 필요하다면 어디에 어떤 방식으로 지어야 하는지도 처음부터 새롭게 생각해야 한다. 휴스턴대학의 크리스 브롱크(Chris Bronk) 교수는 “답을 구하는 게 절대 쉽지 않을 것”이라고 내다보고 있다.

“너무 많은 요인들이 인간의 예측을 벗어난 영향력을 발휘하기 때문이죠. 예를 들어 날씨를 보고 시원한 지역을 골랐는데 에너지가 자주 끊기는 지역이라든지, 연료비가 싼 지역을 골랐더니 홍수나 태풍이 자주 오는 지역일 수 있습니다.”

심지어 환경 문제 등을 이유로 데이터센터 유치를 반대하는 지역민들도 생겨나고 있다. 데이터센터를 유지하는 데 많은 에너지와 물이 필요하다는 걸 알기 때문이다. 기근이 자주 생겨왔거나, 앞으로 기후 변화 때문에 기근이 자주 찾아올 지역의 주민들이라면 민감해질 수밖에 없는 사안이다.

보안 업체 GEC 리스크 어드바이저리(GEC Risk Advisory)의 CEO 안드리아 보님블랑크(Andrea Bonime-Blanc)는 “기후 변화와 사이버 방어력 사이에는 복잡하고 긴밀한 연관 관계가 있다”고 말한다. “특히 특정 지역에 대한 의존도가 높은 상태로 비즈니스를 유지하고 있다는 건 예측할 수 없는 기후 변화로 인한 리스크가 높다는 뜻이 될 겁니다. 예를 들어 자연 재해로 보안 관제 센터가 마비되거나 하면 사용자 기업들의 보안이 크게 약화됩니다.”

직접적인 영향 외에 기후 변화가 일으킬 각종 사회적, 정치적, 외교적 부작용도 고려해야 한다. 사회 정치적 혼란이 가중되고, 나라와 나라들 간 사이가 벌어지면 사이버전 활동이 증가할 수밖에 없다. PwC의 사이버 보안 전문가인 조 노세라(Joe Nocera)는 “기후 변화 때문에 기업들은 더욱 예측하기 힘든 상황에 직면하게 될 것”이라고 말한다. “혼란이 가중되면 보안에 빈틈이 생겨 공격자들에게 더 많은 기회가 돌아간다는 건 우리가 수차례 경험해 온 것입니다.”

그렇다면 보안 업계는 어떤 식으로 기후 변화에 따른 보안 문제를 대비해야 할까? 노세라는 “기후 변화가 미래의 문제가 아니라 지금 당장의 문제라는 걸 이해하는 것부터 시작해야 한다”고 강조한다. 그러면서 “여태까지 보안 강화를 위해 해왔던 것이 기후 변화 대응에도 도움이 될 수 있으니 아는 것부터 시작하는 것이 좋다”고 설명한다. “결국 기후 변화라는 것도 리스크의 일종이고, 사이버 보안은 최근 몇 년 사이 리스크 관리와 밀접한 관련이 있는 분야로 변모했죠.”

노세라는 “기부 변화라는 중대 사안을 기업의 리스크 관리라는 측면에서 이해해야 한다”고 설명한다. “환경, 사회, 나라, 세계라는 커다란 맥락들 안에서 우리 기업의 위치를 평가하고 설정할 수 있어야 합니다. 그러면서 기업 활동의 물리적 영역과 논리적 영역(가상의 영역)이 어디서부터 어디까지인지, 앞으로 어디로 더 진출할 수 있는지도 가늠해야 합니다. 예를 들어 클라우드 서비스를 이용한다면, 우리 기업의 데이터가 물리적으로 어디에 있는지도 파악하는 것이 중요하겠죠. 또한 서드파티 내에 우리 기업의 데이터가 얼마나, 어떤 이유로 들어가는지, 그것에 대한 의존도가 얼마나 되는지도 파악해야 하고요.”

노세라는 “데이터를 예로 들어서 그런데, 시실 기업의 모든 영역에서 이러한 계산과 고려가 시작되어야 한다”고 강조한다. “예를 들어 태양광 패널과 배터리 전력 스토리지를 기반으로 한 건물을 찾아 데이터센터를 구축한다든가, 전력 차단 시 금방 회복될 만한 대체 에너지 활용 기법에 미리미리 투자하는 것이 장기적으로는 도움이 될 겁니다. 결국 기후 변화에도 사업과 생산이 무리 없이 이어가도록 하는 방법을 찾아야 한다는 것이죠.”

비슷한 맥락에서 중요해지는 건 백업이다. 클라우드나 데이터센터만 믿어서는 안 된다는 것이다. “특별한 물리 공간에 파일을 저장해서 만일을 대비하는 것도 해야 하고, 한 사무소가 문을 닫아야 하는 경우를 위해 클라우드 서비스를 활용하는 것도 해야 합니다. 이제 이 모든 걸 종합적으로 고려해서 준비를 하는 게 중요합니다.”

보님블랑크는 “진짜 상황이 어찌될지 모르니 디지털 기술을 기반으로 하지 않은, 전통적 방법을 검토하는 것도 필요한 일”이라고 말한다. “전화 연락망을 조직원들 사이에 공유하고, 진짜 중요한 정보들은 종이 문서로 남기는 것도 이상 기후 시대에는 필요한 일입니다. 대규모 정전이 발생했을 때에도 정보에 접근할 수 있게 되니까요.”

보님블랑크는 “기후 변화라는 우리의 현실에 대해 모두가 능동적으로 대처하고 창의적으로 생각할 수 있어야 한다”고 말한다. “우리는 새로운 시대로 들어가고 있습니다. 누구도 기후 변화로 인해 어떤 일이 발생할지 모릅니다. 인간에게는 예측이 불가능한 영역이라는 거죠. 그렇기 때문에 모두가 머리를 모아서 새로운 리스크 시나리오를 생각하고, 그에 대한 대처법을 강구해야 합니다.”

또 하나 생각해야 할 건 환경 변화에 대처하기 위해 등장하는 새로운 기술들 자체에 사이버 보안 위협 요소들이 있을 수 있다는 것이다. “대체 에너지 그리드, 스마트 팩토리, 커넥티드 카 등과 같은 기술들이 벌써부터 쏟아져 들어오고 있고, 해킹 가능성은 이미 대두되고 있지요. 새 기술은 늘 새로운 위협이 된다는 걸 잊지 말아야 합니다.” 노세라의 설명이다.

“세상의 모든 상품과 서비스, 그걸 기획하고 제공하는 조직들에는 고유한 탄소발자국과 공급망이 있습니다. 내가 다니고 있는 회사가 어떤 공급망을 통해 시장에서 소비자들을 만나며, 그 과정에서 어떤 탄소발자국을 남기는지 파악한다는 건 네트워크 내 가시성을 확보하는 것과 같습니다. 정말로 이제는 우리의 ‘공해 가시성’을 염두에 두어야 하는 시대입니다.”

3줄 요약
1. 환경 변화와 이상 기후도 이제 보안의 고민.
2. 데이터센터가 물에 잠기면? 갑자기 대 정전 사태가 발생하면? 건물이 지진 때문에 붕괴된다면?
3. 보안이 리스크 관리의 측면에서 고려되듯, 기후 변화도 그렇게 되어야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)