Home > 전체기사 > 인터뷰

[글로벌 인터뷰] 탈레스 아태지역 기술영업 총괄 숀 첸 “데이터 보안의 핵심은 ‘HYOK’”

  |  입력 : 2023-05-15 11:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
아태지역 최신 보안 트렌드 ‘개인정보보호 규제 강화’와 ‘클라우드 기반 데이터 보호’
한국은 보안 중심 국가, 지정학적 측면·보안 규정 등 고유의 특성 갖고 있어
탈레스만의 암호화·토큰화 기술 핵심, ‘중앙 집중식 키 관리’


[보안뉴스 이소미 기자] 최근 전 산업 분야는 디지털 대전환이 급속히 이루어지면서 데이터 확산과 범국가적인 개인정보보호 규제 강화, 클라우드 채택이 증가하는 반면, 지속적으로 고도화되는 사이버 공격으로 인해 데이터 중심 보안의 중요성이 더욱 커지고 있다. 특히, 조직 내에서는 기밀 정보 및 다량의 민감 데이터를 다루고, 업무와 직원 간의 커뮤니케이션이 주로 공용 네트워크망을 통해 이루어지기 때문에 민감 데이터 보호는 모든 기업의 우선순위가 되고 있다.

특히, 사이버 공격은 경계 방어를 뚫는 것을 목표로 한다. 실제 기업 데이터가 클라우드 방어 경계 외부에 있는 경우가 대부분이므로 조직 내 ‘데이터 중심 보안전략’ 수립은 더 이상 선택이 아닌 필수가 됐다. 만약 사이버 공격으로 인해 경계 네트워크 통제나 엔드포인트 보안 체제가 무너진다면 저장 데이터 보호만이 최후의 방어선으로 남게 된다.

▲탈레스(THALES) 아태지역 엔지니어팀 책임자 숀 첸(Shaun Chen)[사진=탈레스]


이에 <보안뉴스>는 사이버 보안 영역 가운데 ‘데이터 보호 전략’을 위한 핵심 솔루션을 보유한 다국적 기업 탈레스(THALES)의 아태지역 기술영업 총괄 숀 첸(Shaun Chen)을 만나 ‘데이터 보안’의 현주소와 나아가야 할 방향을 들어봤다.

방산 산업 넘어 디지털 보안 산업으로 급격한 성장세 거둬
탈레스 그룹은 프랑스에 본사를 두고 있는 다국적 기업으로 60여 개국에서 영업 활동을 하고 있으며 임직원 수는 7만 5천 명에 달한다. 특히, 한국에서는 방산 분야 장비 지원과 국가안보 및 일상 교통에 필수적인 위성신호 관련 서비스를 제공하고 있다.

“탈레스는 기존 방산 분야의 장비 계약 규모가 수억 달러에 달할 정도로 물리 보안 비중이 상당히 높은 편입니다. 하지만 제가 속해 있는 디지털 보안 부문이 현재 탈레스 그룹 내에서 가장 가파른 속도로 성장하고 있습니다.”

숀 첸은 이전에 데이터 분석, AI, 데이터 보안과 관련된 빅데이터 업무를 주로 담당했다. 그와 탈레스와의 인연은 그가 있던 스타트업에서 탈레스와 인수합병을 진행하면서부터 시작됐다고 한다. 그는 현재 아태지역 책임자로 글로벌 관점에서 한국의 사이버 보안 문제를 바라보고 있었다. 그러면서 그는 한국에서의 보안은 국가 인프라 보호를 위한 규정을 잘 수립하고 체계적으로 정비하는 것이 매우 중요한 과제로 여겨진다고 말했다. 하지만 이 문제는 비단 한국에 국한된 것이 아닌 전 세계적인 과제라는 설명이다.

한국은 지정학적 특성상 물리적·사이버 위협에 노출된 국가
“한국은 지정학적 특성상 북한·러시아·중국과 같이 도전적인 국가들과 인접해 있다는 게 가장 큰 위협이라고 봅니다. 그런 상황에서 한국은 국가적 차원의 물리적·사이버 위협에 대한 보안을 상시적으로 인지하고 이에 따른 보안 안보 규정이 잘 확립되어 있는 선도국가라고 생각합니다.”

그는 이어 한국은 국가안보 차원에서 발생할 수 있는 사이버 위협 요소들을 고려해 적절하게 조치하고 있는 것으로 보여지며, 적정 수준의 경계를 갖추고 있는 것이 한국 보안산업의 핵심인 것 같다고 설명했다. 또한, 한국이 데이터 보호 및 보안 신기술 도입에 있어 적절한 균형점을 찾는 것도 매우 중요하다고 덧붙였다. 예를 들면, 싱가포르의 경우 클라우드·데이터보호·금융보안 부문에서 적극적으로 신기술을 도입하는 선도국 중 하나라고 밝혔다. 이와 마찬가지로 한국도 신기술 수용에 있어 평가나 지침 마련의 적정성 등 균형점이 잘 갖춰질 수 있도록 의사결정권자들의 역할이 중요하다고 강조했다. 그러면서 AI, 챗GPT 등의 최신 기술을 과도하게 제한할 경우 해당 기술들을 활용해 성장의 기틀을 마련해야 할 사업체들의 발전이 늦춰질 수 있다는 점도 제기했다.

“그렇다고 맹목적으로 솔루션 도입을 주장하는 것은 결코 아닙니다. 대표적으로 챗GPT 이슈를 둘러싼 논란이나 보안 측면에서의 주의사항 등을 열린 마음으로 평가하고 규정·지침·조치 등에 대한 적정성 평가를 잘해야 한다고 생각합니다. 그런 의미에서 기업들이 보안 침해 없이 기술을 적극 수용하고 원활하게 이용할 수 있도록 조력해 나가는 것이 우리의 역할입니다.”

아태 지역, 보안 트렌드는 개인정보보호 규제 강화로 인한 클라우드 기반의 데이터 보호
“글로벌 관점에서 클라우드 도입의 선도국가로 호주를 꼽을 수 있습니다. 특히, 호주 금융권의 경우 50~60% 정도가 클라우드를 도입해 도입률이 상당히 높은 편입니다.”

이어 싱가포르는 중간 정도의 수준으로 정부·금융권은 물론 대기업의 약 50%가 클라우드를 도입하고 있다고 밝혔다. 그에 반해 한국과 일본의 경우 국가안보 차원의 경계와 클라우드 활용 위험도 평가 측면에서의 인식 차이로 인해 타 국가에 대비 클라우드 도입률은 상대적으로 낮은 수준이라고 전했다.

“한국은 여전히 클라우드보다는 기존의 온프레미스 호스팅을 선호하는 경향이 있습니다. 다만, 온라인 쇼핑 분야와 카카오, 네이버와 같이 클라우드를 기반으로 운영하는 굴지의 대기업들이 존재하기 때문에 향후 폭발적인 성장세를 예상하고 있습니다. 또한, 한국은 개인정보보호법에 있어서 초기 단계부터 강력하게 도입하고, 실제 집행까지 추진한 국가예요. 개인정보보호 부문의 선도국이라고 볼 수 있죠”

그 외 싱가포르와 홍콩이 금융계 허브로서 개인정보보호 규제에 대한 성숙도가 높다고 말했다. 여기서 말하는 ‘성숙도’는 금융권이 개방형 기술들을 적극 수용하면서 적정한 규제까지 잘 마련된 것을 의미한다는 게 숀 첸 총괄의 설명이다. 이처럼 개인정보보호 규제 강화와 클라우드 보안 체제의 중요성이 부각되면서 이에 따른 보안 솔루션 도입이 주요한 트렌드로 자리잡았다.

탈레스의 데이터 중심 보안 아키텍처 ‘사이퍼트러스트 데이터 시큐리티 플랫폼’
탈레스는 모든 조직의 민감 데이터 보호를 위한 핵심 요소로 ‘검출-보호-통제’ 시스템을 구현했다. 해당 솔루션을 통해 데이터 검출 및 분류, 암호화, 고급 키 관리, 토큰화, 인증 및 접근 관리를 통해 기업이 데이터와 신원, 지적재산을 보호하고 이를 관리하는 데 필요한 모든 것을 제공한다.

기존에 전통적인 레거시 데이터 보안 아키텍처의 한계점은 온프레미스 환경에 국한돼 현재의 데이터 중심 환경에서는 대응이 어렵다는 것이다. 이는 공격자로부터 데이터 유출 위협에서 안전할 수 없다는 것을 의미한다. 그러나 ‘데이터 중심 보안 아키텍처’는 클라우드 스토리지 및 앱을 통해 데이터 자체를 보호하기 때문에 안전성이 뛰어나다. 또한, 데이터 보안의 큰 장벽이던 ‘운영 복잡성’도 해결했다.

▲CipherTrust Data Security Platform[이미지=탈레스]

사이퍼트러스트 데이터 시큐리티 플랫폼의 핵심은 크게 세 가지로 나눌 수 있다. 첫째, 데이터와 데이터 리스크에 대한 명확한 이해를 통한 ‘민감 데이터의 검출 및 분류’다. 강점은 온프레미스·클라우드 어떤 환경에서든 민감 데이터를 검출하고 분류할 수 있다는 것이다. 이는 데이터 저장 위치와 상관없이 전사적으로 데이터를 찾아낸 뒤, 내부 정책과 외부 규정에 따라 민감도와 중요성을 분류해낸다.

둘째, ‘암호화·토큰화를 통한 민감 데이터 보호’다. 이는 도난·유출 사고 발생 시 데이터를 읽을 수 없게 만드는 작업이다. ‘탈레스의 암호화’는 두 가지 방법으로 특정 알고리즘을 사용해 데이터를 변환하는 것이 암호화라면, 민감 데이터를 민감하지 않은 데이터로 대체함으로써 보호하는 것이 토큰화 방법이다. 토큰화는 인식 불가한 데이터 형식을 생성하며, 원본 데이터와 동일한 크기·형식으로도 저장 가능하다.

셋째, ‘암호키의 통제’로 저장 데이터 암호화 방식을 기반으로 다양한 암호화 선택지를 제공한다. 중앙 집중식 키 관리, 키 수명주기 관리, 통합 키 관리 및 암호화 정책을 들 수 있다. 키에는 수명주기가 있어 생성되고 유용하게 이용되다가 폐기된다. 키 수명주기 관리에는 △키 생성 △사용 △저장 △배포 △보관 △삭제가 포함된다.

탈레스 솔루션의 핵심, ‘중앙 집중식 키 관리(HYOK)’
“탈레스는 암호화 관련 다양한 방식이 있는데, 암호화 역할의 소프트웨어들을 통칭해 ‘커넥터’라고 부릅니다. 그 가운데 ‘파일 레벨에서 암호화하는 커넥터’ 수요가 가장 많고, 다음으로 ‘API 통한 애플리케이션 방식’이 있는데요. 이 방식은 최근에는 클라우드 상에서 많이 사용하고 있지만 특정 암호화 제품은 사용할 수 없다는 한계가 있습니다. 이러한 경우, 서비스 사업자가 제공하는 암호화 방식으로 데이터 디지털 주권을 지키는 방법이 있습니다. 바로 ‘Hold Your Own Key(HYOK)’로, 암호키를 고객이 직접 관리하는 방식입니다. 중요한 데이터를 성공적으로 보호하려면 암호키 자체를 타사나 클라우드 제공업체가 아닌 고객사에서 직접 보호, 관리하고 제어해야 합니다.”

그는 ‘Hold Your Own Key’이라는 콘셉트는 지난해 12월 AWS에서 최초로 도입했을 정도로 상대적으로 신선한 개념이라고 설명했다. 탈레스는 해당 분야에서 클라우드 벤더가 이러한 협업을 기반으로 관련 보안기술을 잘 흡수해 우수한 수준의 보안을 확립할 수 있도록 조력하는 협력 리더로서 고객사와 함께하고 있다고 강조했다.

그는 이외에도 다양한 방식들을 소개했다. 전통 스토리지 기반의 방식부터 클라우드에 이르기까지 혼합형으로 할 수 있는 방식도 있으며, 단일 기반의 중앙화된 관리를 할 수 있는 컨테이너 방식도 제공하고 있다.

“탈레스가 제공하는 서비스의 핵심은 이와 같이 견고한 암호화와 키 관리의 분리입니다.”

그가 보안업무에 임하는 자세 ‘Stay Open, Stay Hungry’
“보안산업은 굉장히 복합적이고 다양한 페인 포인트(Pain Point)가 있는 민감한 분야입니다. 일단 해당 지식을 한번 확립했다면 이 분야는 폭발적인 수요가 예상되기 때문에 그만큼 지식 수준도 업그레이드하는 것이 중요하다고 생각합니다.”

현재까지도 다크웹에서 수익을 노리고 최신 기술을 악용하는 해커들이 많은 것이 현실이다. IT·보안이 정적인 영역이 아닌 급격히 진화하는 역동적인 영역이므로 지속적인 연구와 함께 퀀텀(Quantum, 양자)을 비롯한 다양한 보안 요소들에 대한 지식을 확립해 나가는 것이 중요하다고 말했다.

“사실 많은 고객사들이 AI를 적극 활용하고 싶어하는데 이때 수반되는 보안 이슈에 대해서는 제대로 알고 있지 못한 경우가 상당수예요. 탈레스는 합리적인 비용으로 고객사의 민감 데이터가 잘 보호될 수 있도록 파트너로서 함께하고 있습니다. 저는 이런 순간들이 참 뿌듯하고 큰 자긍심을 갖게 됩니다. ‘Stay Open, Stay Hungry’ 제 신조이기도 합니다.”

탈레스의 공식 슬로건은 ‘모두가 신뢰하는 미래를 구축하자’는 것이다. 탈레스는 창조적인 혁신 기술을 바탕으로 조직 내 보안체제 확립을 위해 ‘결단이 필요한 순간, 결정적인 솔루션을 제시할 수 있는 기업’으로 쉬지 않고 나아가고 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)