[주말판] 사이버의 미래 : 오늘을 단단히 결속시키고 내일에 집중하라

사이버 보안 공격자들이 오래된 방법과 새로운 방법을 골고루 혼합하여 공격을 가하는 것처럼 방어하는 입장에서도 여러 가지 변수를 고루 고려할 수 있어야 한다. 미래의 사이버 보안에 다가가려면 오늘을 충실하게 품는 것이 무엇보다 중요하다.

[보안뉴스 문정후 기자] 지정학적 갈등과 충돌, 각종 의료 보건 분야의 상황, 기후 변화와 숨가쁜 기술 발전 등 지난 3년 인류는 거대한 변화 속에서 몸을 제대로 가누지 못하고 이리 저리 휩쓸리다 넘어지기를 반복했다. 그러면서 한 가지 분명해 진 것은 공급망을 보존하고, 보안을 강화하는 것이 미래 대비의 필수 요소로 인식되기 시작했다는 것이다. 그럼에도 사이버 공간에 노출된 서드파티 요소들을 실시간으로 모니터링 하는 기업은 23%밖에 되지 않는다고 가트너는 얼마 전 발표했다.

[이미지 = utoimage]

물론 보안 강화라는 게 말처럼 쉬운 일이 절대 아니다. 솔루션 몇 가지 산다고 되는 것도 아니고, 담당자 몇 명 추가로 뽑는다고 되는 것도 아니다. 보안 강화를 위한 각종 기초를 탄탄히 굳혀야 하고(즉 오래된 보안 수칙들이 잘 지켜지도록 해야 하고), 계속해서 변하는 사이버 범죄자들의 방식보다 늘 한 단계 앞서야 한다(즉 새로운 보안 기술들을 잘 적용해야 한다). 잘 안 지켜지는 걸로 유명한 것을 붙잡고 늘어져 지켜지게 만드는 와중에 새로운 것들도 끊임없이 받아들여야 하니, 쉬울 리가 없고 사실 잘 될 리가 없다.

기초에 집중하기
그렇다면 어떻게 해야 기초적인 부분을 강화할 수 있을까? 먼저는 기업의 사이버 리스크를 평가하는 것부터 시작해야 한다. 사이버 보험을 가입할 때 보험 업체와 기업의 현 상황을 평가하는 것과 비슷하다고 생각하면 편하다. 우리가 흔히 아는 보안 통제 장치들인 꼼꼼한 인증 시스템 도입과, 불필요한 데이터 제거, 중요 데이터의 암호화 등을 하나하나 점검하고 적용하는 것이 조직을 단단하게 만들어준다.

이러한 기본 절차들을 건너뛰고 다음 단계를 진행해 봐야 큰 효력을 거두기 힘들다. 공격자들보다 한 발 앞서기 위해 하는 모든 일들이 부질 없는 것이 되기 십상이다. ‘기본이 중요하다’는 말이 여러 분야에서 통용되지만 보안 만큼 기본기가 중요한 분야를 찾는 것도 힘들다. 보안에서 ‘미래 다지기’란, 항상 기본기에서부터 시작한다.

늘 민첩하고 유연한 상태로
기본기가 중요한 것이 사실인 만큼 보안 업계의 상황이 하루가 다르게 변하는 것도 사실이다. 2021년 후반기에 발생한 로그4j(Logj4) 사태만 보더라도 하루아침에 이뤄진 단 하나의 발견이 업계 전체를 얼마나 크게 뒤흔들 수 있는지를 알 수 있다. 이 사태로 서드파티 요소 혹은 오픈소스 요소가 보안에 차지하는 비중이 얼마나 큰지 전 세계가 확인할 수 있었다.

게다가 팬데믹으로 인해 보안의 판도 역시 순식간에 바뀌었다. 기업의 네트워크는 그 형태에서 이전과 완전히 달라졌다. 직원들은 정해진 회사 책상에서가 아니라 매일 다른 곳에서 근무하기 시작했고, 그러므로 매일 다른 망을 통해 회사 네트워크와 DB에 접속해야만 했다. 곳곳의 보안 담당자들이 번아웃을 호소했고, 그럼에도 대체자를 찾기가 힘들어 보안 업계는 아직도 사람이 부족한 채 질질 상황에 끌려가고 있다.

앞으로도 기업들은 수많은 예측 불허의 변수들을 마주할 것이다. 팬데믹 때 경험했던 당혹스러움과 급박함, 그리고 번아웃은 앞으로 더 잦아지고 심해질 가능성이 높다. 로그4j 사태에 준하는, 혹은 그보다 더한 상황이 닥칠 가능성도 결코 낮지 않다. 그러므로 늘 유연성을 발휘할 준비를 하고 있어야 한다. 그렇다는 실시간으로 기업이 보유하고 있는 데이터와 디지털 자산이 무엇인지 파악하고, 어디에 어떤 자원이 왜, 누구에 의해 활용되고 처리되는지도 파악할 수 있어야 한다. 현황에 대한 꼼꼼한 파악이 유연성의 첫 걸음이다.

새로운 기술 활용하기
사이버 리스크를 평가하고, 리스크와 관련하여 가장 최신화 된 정보를 갖추기 위해서 기업들은 설문지를 주로 이용한다. 그것도 매우 긴 설문지일 경우가 많다. 영향력이 있고 많은 서드파티를 거느린 기업이라면 이 설문지를 모든 벤더사와 파트너사들에 돌려 답안 작성을 요구하기도 한다. 그렇게 함으로써 현존하는 리스크들을 한 눈에 파악하고자 하는 것인데, 이는 작성자들이 모든 질문에 성심성의껏 임한다는 전제 하에 가능한 방법이다. 게다가 답안지를 다 거둔 후 이를 취합하고 분석하는 일도 매우 고될 경우가 많다. 실수가 없어야 함은 물론이다.

신기술을 사용한다면 보다 빠르고 효과적으로, 그리고 투명하게 리스크를 평가할 수 있게 된다. 어떤 리스크를 어떤 범위로 평가할 것이냐에 따라 사용할 수 있는 기술이 달라질 수 있어 하나를 꼽기가 어렵지만, 사이버 리스크 평가 절차가 너무나 지난하고 길어진다면 새로운 기술을 연구하고 시험 적용해 볼 것을 권한다. 리스크라는 것은 매순간 바뀌는 건데, 평가를 수주에 걸쳐 한다면 정확한 리스크 평가가 되지 않는다. 이미 지나간 결론만 내릴 뿐이고, 따라서 상황에 가장 정확히 들어맞는 대처를 할 수 없게 된다.

점진적 발전으로 미래 대비하기
기업이 기본기부터 다져가며 온갖 사이버 공격과 위험으로부터 안전해져 가는 것으로는 충분하지 않다. 정말 안전하려면 산업 전체가 같이 움직여야 한다. 사이버 보안 인재의 육성도 이제 산업 전체가 고민해야 하고, 각종 공격 기술 역시 서로 공유하는 것이 낫다. 이런 전체적인 향상 없이 ‘나 혼자 잘 하면 된다’는 식의 보안에는 한계가 있다.

이미 사이버 보안 인재는 수년 째 모자란 상황이다. 이 분야로 들어오려는 청년들은 부족한데, 이 분야에서 잔뼈가 굵었던 윗세대들은 속속 은퇴하고 있다. 지식과 경험이 전파되기는커녕 단절되고 있으며, 그러므로 산업 전체가 잃는 게 많다. 미래의 보안을 떠올릴 때 산업 전체가 첫 손에 꼽고 가장 활발히 투자해야 할 것은 보안 인재 육성이다.

보안 분야로 많은 인재들을 불러 모으려면 어린 학생들이 대학에 진학하기 전부터 이미 보안 분야를 경험하게 해야 한다. 즉 늦어도 고등학교, 이르면 초등학교에서부터 과학이나 기술 교과 과정에 보안을 포함시켜야 한다는 것이다. 산업 전체가 교육 분야를 계속해서 푸시해야 가능한 일이다. 기업 하나 둘 모인다고 교육 분야가 꿈쩍하지는 않을 것이다.

우리 앞에 펼쳐진 미래는 ‘리스크’로 가득하다. 물리 세계도 그렇지만 사이버 공간도 마찬가지다. 리스크가 가득하다는 건 보안이 앞으로 해야 할 일이 많다는 뜻이다. 팬데믹 때 바빴던 것은 바쁜 것 축에도 못 낄 만한 상황이 예상된다.

글 : 클루인 맥퍼슨(Clewin McPherson), CISO, Exiger
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)