회원가입 후 이용 가능한 서비스입니다.
삼일회계법인 감사부문 대표
자본시장연구원 연구위원
[2022 사이버보안콘퍼런스]
입력 2022.06.16 17:02
조선비즈가 주최하고, 과학기술정보통신부가 후원하는 ‘2022 사이버보안콘퍼런스(CSC)’가 성황리에 막을 내렸다. 코로나19 이후 빨라진 디지털 전환 시대에 있어 가장 중요한 사이버 보안에 대한 흐름을 제대로 짚어 냈다는 평가를 받는다.
16일 ‘조용한 전쟁: 사이버보안’이라는 주제로 열린 2022 사이버보안콘퍼런스는 국내 최고 보안기업인 안랩을 창업한 안철수 국민의힘 국회의원과 사이버보안 분야에서 가장 두각을 나타내는 국가인 이스라엘의 아키바 토르 주한이스라엘대사의 축사로 시작됐다. 기조연설은 이스라엘 최고 수준의 정보부대 유닛 8200 사령관 출신인 나다브 자프리르 팀8 공동창립자가 맡았다.
온라인 중계 없이 서울 중구 웨스틴조선 호텔 현장에서 펼쳐진 이번 콘퍼런스에는 300명 이상이 강연장을 찾았다. 콘퍼런스 관람객들은 “막연했던 사이버보안에 대해 잘 알 수 있는 계기가 됐다”, “사이버보안에 대한 관심이 높아지는 이 시점에 가장 유익한 콘퍼런스가 아닐까 싶다”, “현장뿐 아니라 온라인 중계도 이뤄졌음 좋겠다” 등의 반응을 보였다.
♢ 100% 완벽한 사이버보안은 없어…언제든 해킹 발생할 수 있다고 직시해야
기조연설에서 나다브 자프리르 팀8 대표는 “운영기술(OT), 사물인터넷(IoT), ‘xIoT’ 등 모든 것이 연결된 만물 인터넷으로 인류가 위대한 일을 할 수 있게 됐지만 동시에 우린 더 취약해졌다”라며 “경제적 목적으로 공격하는 해커들은 대부분 잘 준비된 조직범죄단으로, 돈을 요구하는데, 랜섬웨어가 대표적이다”라고 했다.
자프리르 CEO는 “사이버 공격자들은 역동적이고 민첩하며 규칙도 없고, 사이버보안에는 정보의 비대칭성이 존재한다”라며 “사이버 공격보다 방어가 더 어려우며 개별 주체가 완벽하게 방어를 하는 것은 어렵다”라고 했다. 그러면서 “기업은 내게도 해킹이 일어날 수 있음을 직시해야 한다”라며 “공격을 받고 외부에 알리지 않는 기업도 있고 랜섬웨어에 돈을 주고도 공표하지 않는 경우도 있는데, 이는 기술적인 문제가 아니라 리더십의 문제다”라고 했다.
마지막으로 자프리르 CEO는 “생산성과 가능성을 중심으로 균형 잡힌 프로그램을 만들어 사이버보안을 준비해야 한다”라며 “사이버 리스크도 다른 리스크와 동등한 체계로 관리한다면 새로운 시대에서 성공할 수 있을 것이다”라고 했다.
이어 등장한 김래환 SK쉴더스 EQST사업그룹 EQST담당 팀장은 “해커의 단순한 취미에서 시작된 사이버 위협이 조직적으로 진화하면서 우리의 안보를 위협하고 있다”라고 했다. 김 팀장은 “랜섬웨어(몸값과 악성코드 합성어)도 구독 형태로 발전하는 등 누구나 돈만 있으면 해킹 공격을 할 수 있는 상황이 됐다”라며 “해커는 돈이 있는 곳에 몰리게 돼 있고, 보안이 취약한 곳을 집중적으로 공격하고 있다”라고 했다. 이어 “과거부터 연구한 기업 자료나 개인의 민감한 정보를 탈취해 돈을 요구하는 사이버 공격이 더욱 활발해질 것으로 예상한다”라고 덧붙였다.
국내 사이버안보 권위자인 임종인 고려대학교 정보보호대학원 석좌교수는 “코로나19로 인한 비대면 디지털 전환 가속화 등으로 사이버 보안의 중요성이 강조되고 있어, 체계적이고 범국가 차원의 국제협력이 필요하다”고 했다. 임 교수는 “새로운 국제협력에서 사이버안보는 중심 주제로 부각되고 있어, 사이버안보에 대한 국가 정책 수립이 필요하다”라며 “미국, 일본 등 동맹국과 주변국 외에도 여러 생각이 비슷한 국가들과의 지역간, 양자간 협력 등 사이버안보 국제 공조체계를 확립해야 한다”고 했다.
임 교수는 “국가안보실에 신설되는 ‘국가사이버안보위원회’가 실효성을 갖고 쟁점 사항들을 해결할 수 있게 권한과 역할을 부여하는 동시에 인력도 구성돼야 한다”라며 “대통령이 국가 사이버안보의 최고 책임자임을 인식하고 사이버안보의 비전과 우선순위 등을 제시할 필요가 있다”라고 했다.
♢ 늘어나는 클라우드 사이버 위협…단계별 보안의 중요성
최상명 NSHC 데이터&AI팀 매니저는 “올해 초 랩서스(LAPSUS)라는 해커 조직이 국내외 빅테크 기업의 내부 자료를 유출하는 사건이 발생했다. 이들은 다크웹에서 구매한 임직원 계정 정보를 통해 해당 기업의 내부에 침투하는 데 성공할 수 있었다”라며 “이미 다크웹에 유출된 계정 정보는 VPN을 통해 탈취된 경우가 많다”라고 했다.
최 매니저는 “이렇게 유출된 계정 정보는 전 세계적으로 약 400억건에 달한다”며 “한국 기업과 공공기관도 적잖은 피해를 입고 있다”라며 “공공기관 중에는 1만건 이상의 계정 정보가 유출된 곳이 10곳, 1000건 이상의 계정 정보가 유출된 곳이 100여곳 있는 것으로 파악됐다”고 했다.
최 매니저는 “우리 기업이 털린 게 아니라고 나몰라라 하면 안 된다”라며 “우리와 협업하는 파트너사, 기관이 해킹당하면 우리의 정보까지 유출될 수 있다”라고 했다. 그는 이어 “남들이 해킹당할 때 어느 해커 조직이, 어떤 방식으로, 무슨 정보를 유출했는지를 다크웹 인텔리전스 플랫폼을 통해 파악해야 한다”고 전했다.
천준호 삼성SDS 클라우드보안서비스 그룹장은 클라우드 전환에 있어 단계적 보안에 대해 강연했다. 천 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의)몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”라며 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어려워 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
박성원 한드림넷 전략기획부 마케팅팀 선임 부장은 “초연결사회가 현실화하면서 보안 위협이 커지고 있다”라며 “현실적인 대처 방안이 중요하다”고 했다. 박 부장은 “기술의 발전으로 단말기 종류가 늘어나는 데다, 코로나19 팬데믹(대유행) 이후 원격으로 수업을 듣거나 근무를 하는 환경이 뉴노멀로 자리잡으면서 네트워크 환경이 급변하고 있다”라며 “이런 가운데 발전소, 전력소 등 사회 기반 시설은 그에 발맞춘 새로운 보안 체계를 도입하는 게 말처럼 쉽지 않다”라고 했다.
박 부장은 “네트워크도 화이트리스트를 바탕으로 구성해야 한다”라며 “쉽게 말해 총무팀 직원은 총무와 관련된 서버에만 접속할 수 있고, 고객관리 서버에는 접속할 수 없게 만드는 것이다”라고 했다. 그러면서 “실제로 그간의 정보 유출 사례를 살펴 보면 내부 직원의 실수에 의한 것이 많다”며 “집에서 쓰던 USB를 회사에 가져와 사용하는 것만으로도 설비들은 악성 코드에 감염될 수 있다”고 했다.
♢ 보안의 미래, 양자 보안…절대 뚫리지 않는 방패는 가능한가
양자역학에 대한 책 ‘퀀텀(양자)의 세계’를 쓴 이순칠 카이스트 물리학과 교수는 “양자정보기술이 미래 보안을 바꿀 것이다”라며 “양자통신은 이미 상용화됐으며 양자컴퓨터도 10~20년 후 상용화돼 여러 영역에서 혁신을 가져올 것이다”라고 했다.
이 교수는 “암호를 많이 쓰는 국방·안보 분야, 비밀열쇠암호를 활용하는 금융거래 분야, 공개열쇠암호를 쓰는 디지털자산 분야에서 양자컴퓨터가 미래에 큰 영향을 줄 것이다”라며 “4차산업혁명의 특징이 초연결성과 초지능성인데, 양자컴퓨터가 초지능성에서 ‘퀀텀 점프’를 이뤄낼 것이다”라고 했다.
이 교수는 “IBM, 구글 등 종합서비스를 하는 하드웨어 회사뿐 아니라 아마존, 마이크로소프트 등 클라우드 서비스를 제공하는 회사까지 다양한 회사가 양자컴퓨터에 주목하고 있다”라고 했다. 그러면서 “비트 수 증가에 따라 필요한 게이트연산 수가 기하급수적으로 늘어난다는 점, 그리고 나노기술의 한계로 인해 개발이 병목 현상을 겪고 있다는 점 등 어려움도 있다”라며 “그러나 이론적으로 양자컴퓨터에 있어서 불가능한 요소는 존재하지 않으며, 양자통신은 이미 상용화됐으며 양자컴퓨터 역시 10~20년 후 상용화될 수 있다”라고 했다.
김형수 KT 융합기술원 퀀텀(Quantum) 팀장은 “선진국 수준인 반도체, 디스플레이, 6G 기술과 달리, 한국의 양자 기술은 신흥 기술 수준으로, 글로벌 차원의 경쟁력을 갖추는 게 시급한 상황이다”라며 “선진국의 양자기술 수준이 100이라고 할 때, 한국의 양자기술 수준은 85.2점 수준으로 기술 추격자 수준에 불과하지만, 정부가 양자기술에 대한 중요성을 인지하고 본격적인 투자를 집행하기 시작한 상태로, 빠른 기술 성장이 예상된다”라고 했다.
김 팀장은 “양자 기술은 각 국가의 첨단 경쟁으로 도입이나 협업이 어렵다”며 “아날로그 시대에서 디지털 시대로 전환됐고, 향후에는 양자 시대가 오고 있다. 변화를 빠르게 인식하고 적극적인 기술 개발과 규범 설정을 위한 글로벌 논의 참여가 시급하다”고 했다.
강봉호 ICTK홀딩스 기술부문 총괄은 “양자내성암호(PQC)는 미래 보안을 보장할 유일한 알고리즘이다”라며 “양자컴퓨터는 앞으로 10년 이내에 상용화될 것으로 예상된다”라고 했다.
강 총괄은 “공개키 암호를 해독한 쇼어 알고리즘과 대칭키 암호 분석을 향상한 그로버 알고리즘으로 양자컴퓨터의 불안전성이 입증됐고, 이에 대한 해결책으로 떠오른 게 새로운 수학적 난제를 활용한 PQC다”라며 “또 다른 양자암호통신기술인 양자키분배(QKD)의 경우 확실한 보안성을 제공하지만 별도의 장치와 안정적인 채널을 필요로 해 확장성이 떨어진다”고 했다. 그러면서 “미국 국가안보국(NSA)과 영국 사이버보안센터(NCSC)도 공공서비스에 QKD 대신 PQC를 사용할 것을 권고한다”고 덧붙였다.
“양자내성암호(PQC)는 미래 보안을 보장할 유일한 알고리즘이다.”
강봉호 ICTK홀딩스 기술부문 총괄은 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “양자컴퓨터는 앞으로 10년 이내에 상용화될 것으로 예상된다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
강 총괄은 ‘더욱 강력한 퍼프(PUF) 신뢰점(ROT) 보안과 PQC의 사이버보안 적용 방안’이라는 주제의 강연에서 “공개키 암호를 해독한 쇼어 알고리즘과 대칭키 암호 분석을 향상한 그로버 알고리즘으로 양자컴퓨터의 불안전성이 입증됐다. 이에 대한 해결책으로 떠오른 게 새로운 수학적 난제를 활용한 PQC다”라고 했다.
그는 “또 다른 양자암호통신기술인 양자키분배(QKD)의 경우 확실한 보안성을 제공하지만 별도의 장치와 안정적인 채널을 필요로 해 확장성이 떨어진다”며 “미국 국가안보국(NSA)과 영국 사이버보안센터(NCSC)도 공공서비스에 QKD 대신 PQC를 사용할 것을 권고한다”고 덧붙였다.
강 총괄은 “미국에서는 당장 PQC 도입을 시작하지 않으면 국가안보가 위협 받는 사태가 올 것이란 위기감이 조성된 상태다. 조 바이든 대통령도 최근 공개적으로 PQC의 중요성을 강조한 바 있다”며 “미 국립표준기술연구소(NIST)는 현재 PQC와 관련한 표준을 만들고 있다. 이제까지 총 7개 알고리즘이 공개됐는데, 내년 초에 첫 번째 발표가 나올 것으로 보인다”고 했다.
양자컴퓨터는 중첩에 의한 병렬처리 덕분에 고전 컴퓨터보다 속도가 유의미하게 빠르다. 안보, 금융거래, 암호화폐, 대체불가능토큰(NFT) 등 전 영역의 보안에서 양자컴퓨터가 혁신을 가져올 것이다.
이순칠 카이스트 물리학과 교수는 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스’에서 “양자정보기술이 미래 보안을 바꿀 것이다”라며 “양자통신은 이미 상용화됐으며 양자컴퓨터도 10~20년 후 상용화돼 여러 영역에서 혁신을 가져올 것이다”라고 했다.
이 교수는 이날 양자물리의 기본 원리를 소개하며 “양자 세상에서는 물체가 중첩된다”라는 원리를 강조했다. 이 교수는 “세상 모든 것은 입자이면서 동시에 파동이며, 특히 파동이 가진 반사·굴절·에돌이·간섭 등의 성질은 모두 ‘중첩이라는 특성으로 설명할 수 있다”라고 했다. 이어 “각각의 소리 도·미·솔이 한꺼번에 하나의 화음을 만들며 중첩되듯이, 양자 세계에선 왼쪽과 오른쪽으로 돌고 있는 두 상태가 중첩된다”라고 했다.
이 교수는 이러한 양자물리의 원리가 양자암호통신에 적용될 수 있다고 설명했다. 이 교수는 “기존에는 두 사람이 비밀리에 통신할 때 누군가 도청을 하게 되면 자신이 도청당했다는 사실을 바로 알아차리는 구조였다”라며 “이를 방지하기 위해 도청자가 신호를 가로채 갔다가 읽고 되돌리지 못하게 하는 기술이 바로 양자암호통신이다”라고 했다.
이 교수는 고전 컴퓨터와 양자컴퓨터를 비교하며 “병렬 처리를 잘하는 양자컴퓨터가 더 빠르다”라고 강조했다. 이어 “양자 병렬처리의 경우 물리적 조작이 각 상태에 동시에 가해지기 때문에, 양자컴퓨터는 동시에 여러 가지 일을 한꺼번에 나눠서 처리할 수 있다”라고 했다. 또 “병렬처리가 효율적인 양자 알고리즘은 검색 알고리즘, 소인수분해 알고리즘 등에 활용될 수 있다”라고 했다.
이 교수는 “암호를 많이 쓰는 국방·안보 분야, 비밀열쇠암호를 활용하는 금융거래 분야, 공개열쇠암호를 쓰는 디지털자산 분야에서 양자컴퓨터가 미래에 큰 영향을 줄 것이다”라며 “4차산업혁명의 특징이 초연결성과 초지능성인데, 양자컴퓨터가 초지능성에서 ‘퀀텀 점프’를 이뤄낼 것이다”라고 했다.
이어 “SK텔레콤이 양자암호 기업 IDQ를 인수했고, 스마트폰에도 난수발생기가 탑재되는 등 양자정보기술이 보안 관련 중요한 역할을 할 수 있을 것으로 보인다”라고 했다.
이 교수는 “IBM, 구글 등 종합서비스를 하는 하드웨어 회사뿐 아니라 아마존, 마이크로소프트 등 클라우드 서비스를 제공하는 회사까지 다양한 회사가 양자컴퓨터에 주목하고 있다”라고 했다. 이 교수는 “비트 수 증가에 따라 필요한 게이트연산 수가 기하급수적으로 늘어난다는 점, 그리고 나노기술의 한계로 인해 개발이 병목 현상을 겪고 있다는 점 등 어려움도 있다”라며 “그러나 이론적으로 양자컴퓨터에 있어서 불가능한 요소는 존재하지 않으며, 양자통신은 이미 상용화됐으며 양자컴퓨터 역시 10~20년 후 상용화될 수 있다”라고 했다.
김형수 KT 융합기술원 퀀텀(Quantum) 팀장은 16일 “선진국 수준인 반도체, 디스플레이, 6G 기술과 달리, 한국의 양자 기술은 신흥 기술 수준으로, 글로벌 차원의 경쟁력을 갖추는 게 시급한 상황이다”고 했다.
김 팀장은 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 한국의 양자 기술력에 대해 이같이 평가했다.
김 팀장은 “선진국의 양자기술 수준이 100이라고 할 때, 한국의 양자기술 수준은 85.2점 수준으로 기술 추격자 수준에 불과하다”면서도 “하지만 정부가 양자기술에 대한 중요성을 인지하고 본격적인 투자를 집행하기 시작한 상태로, 빠른 기술 성장이 예상된다”고 했다.
실제 정부는 지난해 12월 10대 국가 필수전략기술로 양자 기술을 선정했다. 이를 위해 정부는 약 3조3000억원 연구개발(R&D) 투자를 집행한다는 계획이다.
양자암호통신은 빛의 가장 작은 단위인 광자에 정보를 담아 암호화하여 전송하는 차세대 통신 기술이다. 송신자와 수신자만 해독할 수 있어 양자컴퓨터의 공격을 막아낼 만큼 보안성이 뛰어난 것으로 평가받는다. 현재 글로벌 기술 패권 경쟁에서 가장 중요한 기술 중 하나로 꼽힌다.
김 팀장은 양자 기술의 국산화를 강조했다. 양자 기술은 국가 간 기술 경쟁과 안보 이슈로 인해, 해외 기술을 도입하기 어렵기 때문이다.
실제 2018년 미국은 수출통제개혁법(ECRA)을 제·개정해, 양자 소재 부품의 수·출입을 통제하기 시작했다. 지난해에는 중국 기업에 대한 양자컴퓨팅·양자암호 기술 수출을 금지했다. 또 올해는 우크라이나 사태를 대응하는 과정에서 러시아 제재에 양자 기관을 포함하기도 했다.
김 팀장은 “양자 기술은 각 국가의 첨단 경쟁으로 도입이나 협업이 어렵다”며 “아날로그 시대에서 디지털 시대로 전환됐고, 향후에는 양자 시대가 오고 있다. 변화를 빠르게 인식하고 적극적인 기술 개발과 규범 설정을 위한 글로벌 논의 참여가 시급하다”고 했다.
KT는 모든 장비를 국산화하는 것에도 큰 의의를 두고 있다. KT가 상용화한 모듈형 양자암호키분배(QKD) 장비와 소프트웨어는 모두 국내 기업이 개발한 것이다. 장비가 국산일 경우 장애가 생기거나, 업데이트를 할 때 곧장 대응이 가능하다.
또 KT는 이번 한강 동작대교 북단에서 남단까지 1㎞ 구간에서 무선 양자암호 전송에 성공했다. 이 밖에도 KT는 공공 분야에서 강원도청부터 2군단 사령부까지 17㎞ 구간, 제주도청과 제주안전체험관 사이 35㎞ 구간에 양자암호통신 네트워크를 설계하고 전송망 등 양자암호통신 시범 인프라를 구축한 바 있다.
“무엇보다 보유하고 있는 네트워크를 잘 알아야 한다. 그러기 위해선 독자적인 인증 체계를 구축해 연결된 단말기를 통합 모니터링해야 한다. 허가 받은 사용자도 권한에 따라 접근 가능한 영역을 나눠 위험에 노출될 가능성을 최소한으로 줄여야 한다.”
박성원 한드림넷 전략기획부 마케팅팀 선임 부장은 16일 서울 중구 웨스틴조선호텔에서 열린 ‘2022 사이버보안콘퍼런스(CSC)’에서 “초연결사회가 현실화하면서 보안 위협이 커지고 있다. 현실적인 대처 방안이 중요하다”며 이렇게 말했다.
CSC는 사이버 보안 분야 지식 공유 플랫폼으로, 올해 첫 회를 맞았다. 조선미디어그룹의 경제전문매체 조선비즈가 주최하고 과학기술정보통신부가 후원한다. 이날은 ‘조용한 전쟁, 사이버 보안’이라는 주제로 세계 지정학적 대립 구도 강화와 함께 고도화되는 사이버 공격을 분석하고, 디지털 전환을 준비 중인 기업들이 꼭 알아야 할 업계 최신 트렌드와 대응 방안을 살펴본다.
박 부장은 ‘산업제어시스템, 핵심 기반시설의 사이버 보안 위협 대응을 위한 화이트리스트 기반 네트워크 구성의 현실적 대응방안 제시’라는 주제의 강연에서 “기술의 발전으로 단말기 종류가 늘어나는 데다, 코로나19 팬데믹(대유행) 이후 원격으로 수업을 듣거나 근무를 하는 환경이 뉴노멀로 자리잡으면서 네트워크 환경이 급변하고 있다”며 “이런 가운데 발전소, 전력소 등 사회 기반 시설은 그에 발맞춘 새로운 보안 체계를 도입하는 게 말처럼 쉽지 않다”고 말했다.
박 부장은 “이는 대부분의 경우 별도의 폐쇄망을 이미 구축했다는 안도감으로 방심해서다”라며 “비용 문제도 크다. 산업용 설비는 전용 운영 체계가 있는데, 이 때문에 한 번 설치하면 최대 20년은 쓰는 게 일반적이다”라고 설명했다.
박 부장은 이어 “그렇다면 이런 조건 속에서 네트워크 보안을 어떻게 보완할 것인가. 먼저 갖고 있는 데이터에 뭐가 있는지를 알아야 한다”고 강조했다. 그는 “어떤 장비가 어디에 있는지, 어떤 사용자가 현재 무슨 단말기로 연결돼 있는지를 모르는 상태에서는 아무 것도 할 수 없다. 뭐가 문제인지조차 파악이 어렵기 때문이다”라며 “네트워크를 정확히 이해한 뒤에는 정해진 단말기만 연결이 가능하도록 하는 인증 체계를 마련해야 한다. 이는 문제 발생 시 빠른 대응을 가능케 한다”고 했다.
박 부장은 또 “네트워크도 화이트리스트를 바탕으로 구성해야 한다”고 했다. 그는 “이는 쉽게 말해 총무팀 직원은 총무와 관련된 서버에만 접속할 수 있고, 고객관리 서버에는 접속할 수 없게 만드는 것이다”라며 “이를 통해 네트워크 흐름을 한 눈에 볼 수 있는 가시성도 확보할 수 있다”고 했다.
박 부장은 “실제로 그간의 정보 유출 사례를 살펴 보면 내부 직원의 실수에 의한 것이 많다”며 “집에서 쓰던 USB를 회사에 가져와 사용하는 것만으로도 설비들은 악성 코드에 감염될 수 있다”고 했다.
배선규 메타넷티플랫폼 클라우드 보안 관제 컨설팅 리더
배선규 메타넷티플랫폼 클라우드 보안 관제 및 컨설팅 리더. /조선비즈DB
“클라우드 전환 또는 개발 시 철저한 보안 설정과 관리를 통한 체계적인 보안 강화의 필요성이 대두되고 있다.”
배선규 메타넷티플랫폼 클라우드 보안 관제 및 컨설팅 리더는 16일 서울 중구 위스틴조선호텔에서 열린 조선비즈 2022 사이버보안콘퍼런스에서 이렇게 말했다.
배 리더는 미국 대형 금융지주회사인 캐피털원과 테슬라에서의 클라우드 해킹 사례를 들며 “최근 발생한 클라우드 보안 사고는 대부분 오픈소스를 사용한 보안 설정, 보안 패치, 클라우드 자원을 악용해 발생했다”라고 했다.
클라우드 보안 서비스는 보안 컴플라이언스(법규준수・준법감시)로 시작해 클라우드 보안관리 체계 수립, 클라우드 보안 서비스 구현, 클라우드 보안설정 및 관리로 구분된다. 배 리더는 “각 단계가 완전히 갖춰지면 다음 단계로 넘어가며 유기적으로 체계적으로 클라우드 보안 보호대책을 수립하고, 관리 방안을 적용해야 한다”라고 했다.
디지털 전환에 맞춰 다양한 기업이 클라우드 전환을 꾀하고 있으나, 보안 체계나 관리 방안을 알지 못해 난관에 부딪히는 경우가 많다. 배 리더는 이럴 때 가장 필요한 것이 클라우드 보안 컨설팅이라고 설명한다. 배 리더는 “클라우드 보안 컨설팅을 통해 시스템 보안, 네트워크 보안, 보안 컴플라이언스 기반 개인정보 등 중요 정보 관리방안 등에 대한 우선순위 정보보호 로드맵을 수립하고, 통합적인 정보보호 대책 및 방안을 제시한다”고 했다.
클라우드에 대한 보안 위협은 클라우드 적용 확대만큼 늘어나고 있어 클라우드 시스템을 감시하고, 문제가 생기면 해결할 보안 관제의 필요성도 높아지는 중이다. 배 리더는 “클라우드 보안관제에 대한 필쇼어이 점점 대두되고 있다”라며 “컨설팅은 보안관제에 대한 공공과 금융 분야 보안 컴플라이언스 주요 항목들에 대한 가이드라인을 제시하여야 한다”라고 했다.
천준호 삼성SDS 클라우드보안서비스 그룹장은 “클라우드 환경의 라이프사이클이 (기존 서버의) 몇 년 단위에서 몇 주, 몇 시간 단위로 짧아지고 업무 구조도 완전히 달라질 수 있다”고 했다.
천 그룹장은 이날 서울 중구 웨스틴조선호텔에서 열린 ‘사이버안보콘퍼런스2022′에 참석해 “클라우드는 마우스 클릭 한번으로 엄청난 규모의 작업이 가능하기 때문에, 연간 보안 점검 만으로는 보안 체계를 유지하기 어렵다. 이에 클라우드 전환을 단계 별로 나눠 구체적인 보안 정책을 운용할 필요가 있다”고 했다.
천 그룹장은 클라우드 전환에 따른 보안 강화를 ▲초창기 ▲과도기 ▲완성기 등 총 3단계로 제시했다. 초창기는 소규모의 워크로드를 시범적으로 전환되는 시기를 말한다.
아마존 웹서비스(AWS), 마이크로소프트(MS), 오라클, IBM, 구글 등은 각 사업자마다 사용자와 운영자의 ‘공동책임모델’을 구성하고 있다. 클라우드 전환 초창기 시기일 수록 사용자의 보안이 중요하다는 의미다.
천 그룹장은 “사용자는 자기만 쓰는 영역에 대한 보안을 강화해야 하고, 사업자는 공용의 영역의 안정성을 확보해야 한다”며 “초창기 전환 시기에는 보통 적합성 검토, 업체 선정, 책임식별, 폐기절차, 침해대응, 취약점 진단 등 최소 6개 단계 이상의 보안 정책을 운영해야 한다”고 했다.
과도기 단계에는 보안 자동화 솔루션을 도입하는 것이 필수다. 천 그룹장은 “기업이 커질 수록 내부의 인적 요소에 대한 보안이 중요해진다”며 “직원 한 명의 사소한 실수나 고의적인 변화만으로 엄청난 보안 사고로 이어질 수 있기 때문에, 보안 자동화 솔루션을 통해 취약범을 미리 탐지해 보안 사고를 방지해야 한다”고 했다.
정착기에는 다양한 써드파트들의 보안 솔루션을 사용할 필요가 있다. 최근 클라우드 보안은 클라우드 서비스 제공업체)CSP가 자체적으로 제공하는 보안 상품과 서비스를 최대한 활용하면서 ▲보안형상관리(CSPM) ▲클라우드 워크로드 보호 플랫폼(CWPP) ▲클라우드 접근 보안 중개 서비스(CASB), 등 다양한 클라우드 전용 보안 솔루션을 적용하는 게 트렌드다.
삼성SDS는 국내 최초의 클라우드 보안 서비스 상용화와 AWS 보안 컴피턴시(Security Competency)를 획득했다. 또 시장조사업체 IDC의 마켓스케이프(Marketscape) 등재와 AWS 네이티브(Native) 보안관제 개시 등 클라우드 보안 시장을 개척해왔다.
천 그룹장은 “클라우드 시장의 규모가 커지면서 클라우드 보안에 대한 위협이 높아지고 있다”며 “기업들이 클라우드 도입을 꺼려하는 이유도 사용자 데이터 보호 등 보안 이슈가 많기 때문이다”고 했다. 이어 “앞으로 클라우드 전환의 각 단계별로 어떤 보안 과제가 나올 지 모르겠지만, 기업들이 각 단계별로 보안을 대응할 필요가 있다”고 덧붙였다.
= 박성우 기자