Offcanvas

How To / 보안

인터뷰 | "보안 패러다임이 변해야 한다" 제록스 CISO

2017.08.23 Michael Nadeau  |  CSO
보안 위협의 변화 속도는 점점 빨라지고 있다. 변화에 대처하고 적에게 승리를 거두기 위해서 제록스(Xerox) 최고정보보안책임자(CISO) 앨리사 존슨 박사는 보안 업계가 위협을 예상하고 이에 대처하는 방식을 재고해야 한다고 믿고 있다. 또한 정보를 공유하는 방식에서도 보다 개방적이고 효과적이어야 한다.

민간 업계와 공공 부문을 모두 경험한 존슨은 이를 바탕으로 보안 지형에 대한 독특한 시각을 갖게 됐다. 존슨 박사는 미국 NSA의 인증을 받은 암호학 엔지니어 출신으로, 오바마 행정부에서 3년간 CIO보로 재직하면서 백악관 기술과 대통령 전용 별장 및 전용기 기술 일부를 담당했다.

이 밖에도 록히드 마틴(Lockheed Martin) CTO보와 노스럽 그러먼(Northrop Grumman) 수석 네트워크 보안 엔지니어를 역임했다.

본지에서는 최근 존슨과의 인터뷰를 통해 향후 위협에 기업이 어떻게 대비해야 할지에 대한 의견을 들어볼 기회가 있었다. 또한 웹에 연결된 문서 이미징 장치 판매 업체인 제록스의 사물인터넷(IoT) 관련 보안 문제 대처 방식에 대해서도 이야기를 나눴다.

Q. 보안 위협 지형의 변화를 어떻게 보는가?
앨리사 존슨(이하 존슨) : 기술이 변함에 따라 보안 역시 변할 것이다. 기업의 디지털화가 심화되고 있다. 기업의 IT 전략은 더 이상 IT 전략이 아니다. 데이터 전략이자 디지털 전략이다. 모든 단계에 걸쳐 응집력이 있고 포괄적이어야 한다. 기업은 이러한 것이 어떻게 변화하는 지에 대해, 그리고 보안 통제와 이런 변화가 보안에 미치는 영향에 대해 고민하지만 나는 인지적 접근 방식(cognitive approach)에 대해 고민한다.

Q. 인지적 접근 방식이란 무슨 의미인가?
존슨 : 인공지능과 머신러닝, 그리고 그것이 기술이 지향점이라는 생각에 제대로 파고드는 것이다. 시리(Siri)가 있고 구글 보이스(Google Voice) 애플리케이션이 있다. 클라우드와 소통하는 알렉사(Alexa)도 있다. 이런 것들을 보안 관점에서 생각해 보면 전혀 다른 것이 된다. 이런 종류의 기능에 대한 보안 통제 이야기에서 그치는 것이 아니라 그런 기능이 보안 기능 자체이기도 하다는 이야기하는 것이다.

인공지능을 활용하려면 보안 공간 내에서의 인공지능을 활용해야 한다. 인재 부족 현상과 이는 해결될 수 없다는 사실을 생각해 보라. 인재 부족은 어떻게 해결하는가? 대안은 무엇인가? 인공지능, 로봇, 스마트 학습 등을 참여시키면 된다. 업체들에게 이런 주문을 해야 한다. 분석을 수행해 주는 플랫폼도 좋지만 단순한 분석 수행 보다는 실제로 무언가를 해 주는 것이 필요하다.

더이상 진전이 없고 분석에서 멈춘다. 데이터로 뭔가를 실제로 할 사람들로 구성된 팀에게 기댄다. 우리는 보안 일을 하는 똑똑한 사람들이니까 속 편하게 기계에게 맡겨도 무방한 보안 관련 업무 목록을 뽑아서 제시해 줄 수만 있다면 더할 나위 없이 좋을 것이다. 예를 들면 정책 설정, 방화벽 포트 끄기, 지난 두 달 동안 사용되지 않은 시스템의 포트 끄기 등이 될 수 있다.

만일 우리가 이런 기본적인 이해를 하게 된다면 나에게는 진전이다. 내가 정책을 직접 설정하겠다고 할 때까지 시스템이 가만히 있지 않을 것이기 때문이다. 이런 내용의 이메일이나 경고를 보낼지도 모른다. '이봐, 지난 두 달 동안 이 포트에서 전송된 것이 아무것도 없어. 폐쇄할 거야. 폐쇄한다고 알려주는 거야.' 내가 볼 때 그것이 진전이고 인지적 보안이다.

이제 소프트웨어가 내 시스템과 인프라, 네트워크에 대해 학습과 분석을 하고 있다. 이를 기반으로 나를 위해 뭔가를 실행하고 있다. 앞으로도 이런 학습, 분석, 실행의 주기가 무한히 반복될 것이다. 그것이 바로 내가 말하는 인지적 보안의 의미다.

Q. 신기술을 도입하는 회사는 새로운 보안 위협에 직면하는 경우가 많다. 주요 사례는 바로 IoT이다. IoT의 최전선에 있는 제록스와 같은 회사는 어떻게 IoT 기기에 대한 안전한 접속을 확보하는지 소개해줄 수 있는가?
존슨 : 보안 관련해 우리가 제안하는 가치는 예방, 보호, 탐지, 외부 협력관계 등 4가지 분야다. 이 가운데에서 개인적으로 정말 중요하다고 느끼는 것은 외부 협력관계다. 

우리의 목표는 단순히 안전한 기기나 서비스를 판매하는 것이 아니다. 그런 것보다는 진정한 협력관계를 구축하는 것이 기본 목적이다. 고객에게 안전한 기기와 서비스 뿐만이 아닌 지속적인 협력관계를 제공하는 것이다. 우리 업계의 문제 가운데 하나는 한번이면 끝이라는 태도다. 이번 영업을 마쳤고 이 고객을 확보했으니 됐고 다음으로 넘어가자는 식이다. 당사의 모델은 그렇지 않다. 우리는 협력관계를 지속한다.

우리는 맥아피(McAfee)와 협력관계를 확고히 구축했다. 제록스 기기나 서비스를 구매하는 고객을 위해 이를 활용한다. 다단계에 걸친 예방과 보호책이 마련되어 있다. 무슨 일이 발생하면 탐지하기도 한다. 가령 프린터 설정이 변경된다든가 정상처럼 보이지 않고 기준에서 벗어나는 일이 발생하면 알아낼 수 있다.

무슨 소리가 들리면 탐지해서 기기나 서비스를 통해 당사나 고객에게 경보가 발송된다. 화이트리스트(whitelist)를 작성해 시스템에 침입을 시도하는 악성 소프트웨어를 잡아낼 수 있다. 이 모든 작업이 맥아피와의 협력관계를 통해 이루어진다.

내가 보는 관점은 이렇다. 제록스에서 나를 CISO로 채용했을 때 단순히 앨리사 개인을 채용한 것이 아니다. 나의 모든 인맥을 채용한 것이나 마찬가지다. 나는 다른 CISO들도 많이 알고 있고 업계 내 여러 분야에서 종사하면서 도움을 줄 친구들도 많다. 나는 이들과 주기적으로 만나고 이야기를 나눈다. 업체들도 똑같은 자세로 대한다. '단지 당신뿐만 아니라 당신의 협력업체들도 원한다'라고 밝히는 것이다.

나는 협력을 좋아한다. 협력만이 이길 수 있는 길이다. 협력만이 상대방을 이길 수 있는 길이라는 것이 단순히 '이런 안전한 기기와 이러한 보안 통제 장치를 구입할 것이고 이건 여기서 산 다음에 직접 고쳐보려고 노력할 것'이라고 하는 차원이 아니다. 협력관계를 활용해야 한다. 그것이 바로 제록스가 구체적으로 하는 일 가운데 하나다.

우리가 구축하는 이런 종류의 협력관계, 그것이 바로 향후의 지향점이기도 하다. 우리는 쉬지 않고 협력관계를 구축하고 있다. "기준을 어떻게 계속 높일까?"를 끊임없이 고민한다. 보안은 언제나 제록스의 일부를 차지하고 있다. 우리는 언제나 진화해 왔으며 해마다 뭔가 다른 것, 뭔가 나은 것을 하고 기준점을 높이려고 노력해 왔다.

Q. 고객을 위해 많은 수의 기기를 내놓을 때면 고객과 긴밀한 협조를 통해 그들이 원하는 보안 설정 방식을 알아내야만 한다. 이런 과정은 어떻게 이루어지는가?
존슨 : 우리는 협력을 많이 한다. 단순히 네트워크에 연결 가능한 제품을 제공하는 것에 그치는 것이 아니다. 통합이 가능할 뿐만 아니라 잘 되어야 한다. IoT가 급속히 발전 중이고 새롭기 때문에 당사의 서비스가 네트워크 내부로 연결되는 통로가 될 위험은 없다. 적이 프린터 안에 있는 것을 손에 넣거나 문서를 찾을 목적으로 프린터를 노리거나 프린터 내부로 침입하려 들지는 않을 것이다. 만일 그렇게 한다면 "이를 통해 네트워크에 침입해 다른 것들을 손에 넣는 것이 목적"일 것이다.

우리는 고객 네트워크를 아주 깊숙이 제대로 통합하는 것이 목표다. "꼭 필요한 방화벽 규칙 목록이 여기에 있습니다. 사용하지 않는 포트는 반드시 닫으시기 바랍니다"라는 식으로 권장 사항을 이야기해준다.

그리고 돌아와서 확인하고 평가한다. 이러한 사항들은 반드시 확실히 하는 것이 매우 중요하다. 우리는 고객들의 데이터 및 기기 보호에 도움을 줄 뿐만 아니라 탄탄한 협력관계도 계속 구축한다. 그냥 다 내려놓고 계속 갈 수는 없다. 협력업체들과 계속 협력하면서 이런 식으로 이야기해야 한다. "당사 기기에는 구체적으로 이러한 보안 통제 장치가 있어야 합니다. 당사의 권고 사항은 이렇습니다."

Q. 제록스의 채널 협력업체 가운데 많은 수가 보안 서비스도 제공하고 있다. 채널 협력업체가 여기에 핵심인 것 같다.
존슨 : 그렇다. 우리의 채널 협력업체가 핵심이다. 앞서 말한 외부 협력관계의 일환이다. 일이 잘 안 될 때, 밤중에 호출을 받을 때, 채널 협력업체만 곤란한 것이 아니다. 제록스도 곤란하다.

우리는 이런 관계가 탄탄하게 유지되도록 신경 쓴다. 왜냐하면 우리의 모든 채널 협력업체들이 우리를 호출해 주기를 바라기 때문이다. 우리를 호출해서 이렇게 이야기 해주기를 바란다. "이봐, 뭔가 문제가 있어. 이유는 알아낼 수 없을 것 같아. 앨리사, 그 쪽 팀이 좀 알아봐 줄래? 아니면 같이 할까?" 우리는 함께 나서서 문제를 해결한다.

Q. 제록스 프린터를 통해 보안 사건이 발생하면 어떻게 대응하는가?
존슨 : 매우 확고한 대응 프로그램이 갖춰져 있다. 매우 성숙한 사고 대응 프로그램이다. 당사는 NIST 사이버보안 프레임워크와 ISO 27001을 준수한다. 이를 중심으로 이 프로그램을 구축하거나 새로운 프로그램을 짰다. 새로운 프로그램이라고 말하는 이유는 회사가 올해 초에 분리되어 현재 새로운 제록스를 구상하고 있기 때문이다.

그러한 관점에서 생각해 보면, 새로운 제록스가 어떤 모습일지, 사고를 어떤 방식으로 처리할지 문서 기술의 시각에서는 매우 다르다. 제록스는 누구나 갖고 있는 일반적인 사고 대응 절차가 있다. 당사의 절차와 관련해 도움을 청하는 협력업체들이 있다. 다양한 업체들에게 의뢰를 하고 있으며 매우 성숙한 절차를 갖추고 있다.

또한 제록스 보안 페이지를 활발하게 운영 중이다. 모든 패치가 그 곳에서 유지된다. 어떤 패치를 업데이트 해야 하는지 최신 릴리스는 어떤 것이 있는지 등을 고객들이 반드시 인지하도록 조치한다.

보안 게시판 역시 그 페이지에서 운영한다. 최신 해커나 뭔가가 등장하면 보안 게시판에 다음과 같은 내용을 올린다. "여러분, 제록스 기기나 제록스 서비스를 보호하려면 이렇게 하면 됩니다. 우리가 여기 있다는 것을 잊지 말고 언제든지 전화 주십시오."

Q. 새로운 위협은 늘 등장한다. 이번 주만 해도 서버 업체 넷사랑(NetSarang)의 제품이 자체 공급망을 통해 해킹 당했다. 이러한 새로운 위협에 대처하기 위해 보안 업계가 다른 방식으로 해야 할 것은 어떤 것이 있을까?
존슨 : 자꾸 외부 협력업체를 강조하는 것 같아서 좀 그렇지만 개인적으로는 그만한 것이 없다고 판단한다. 적이 어떻게 승리하는지 생각해 본다면 적이 이기는 것은 그들의 협력관계 덕분이기 때문이다.

그래서 다크웹(dark web)이 존재한다. "이봐, 이 코드를 직접 작성할 필요가 없어. 2.99달러에 사거나 다른 사이트로 가면 돼. 아마 공짜일 거야." 해커들은 심지어 코드 작성 방법을 몰라도 된다. 사실 아무것도 몰라도 된다. 다크웹에 다 있기 때문이다.

그것이 바로 합법적인 분야에서 제록스가 차별화되는 부분이다. 왜냐하면 당사는 공유를 제한하기 때문이다. 최근 미국 국방 정보국(DIA)에서 연설을 했는데 이때 한 말 가운데 하나가 당사는 업체 간에 공유를 제한한다는 것이다. 제품 공급업체 간에도 그렇고 정부 기관에서 다음 정부 기관 사이에도 마찬가지다.

공유를 한답시고 "아 맞아, 그 취약점에 대해 들어 봤어"라는 식으로 말하는 것으로 머물면 안된다. "이런 문제가 있는데 너라면 어떻게 해결 할래? 내가 해결해 줄게, 도와 줄게"라는 식으로 말할 수 있어야 한다.

그러한 협력은 일어나지 않는 경우가 많다. 당사는 고위급에서 협력하려고 노력한다. 무슨 일이 발생하지 매우 두렵기 때문이다. 무언가가 유출될까 봐, 규제 또는 재무 관련 영향이 있을까 봐 매우 두렵기 때문이다.

이런 우려에 대해 개인적으로는 이해하지만, 우리는 그러한 우려를 풀 수 있는 보안 공간에서 협력 관계를 구축해야 한다. 그러면 제대로 공유가 가능하고 핵심을 찌를 수 있다. 개인적으로 볼 때 그렇지 못하기 때문에 적에게 지고 마는 경우가 많다. 해커라고 해서 더 똑똑하다고 생각하지 않는다. 우리는 다 보통 사람이고 다 똑똑한 사람들이다. 그들의 방식은 우리의 소통 방식과 다르다.

Q. 앞으로의 위협 상황을 전망할 때 기업들이 집중해야 할 것은 무엇인가? 어떤 종류의 데이터가 필요하며 어떤 종류의 트렌드를 따라야 할까?
존슨 : 민간 분야와 공공 분야에 종사하면서 직접 확인한 것은 적들이 노리는 것은 조금씩 다르지만 그들의 방식은 같다는 것이다.

제록스라고 해서 심오하고 장대한 보안의 비밀을 갖고 있는 것은 아니다. 단, 적들은 내가 백악관에 근무하던 시절 백악관 네트워크에 침투하기 위해 사용하려 했던 것과 똑같은 도구를 사용하고 있다. 민간 업계에 대해서도 똑같은 도구를 사용하고 있다. 이런 관점에서 생각해 보면 우리는 "가만 있자, 새로운 위협 방향은 어떻게 될까? 이 위협이 어떻게 모습을 드러낼까?"라는 것에 집중할 때가 많다. 어떤 사람은 그들이 정부를 노린다고 생각할 지 모른다. 그러나 그들은 제품 제조업체도 노린다. 제품을 제 가격보다 낮게 팔거나 가격을 낮출 수 있는 모든 것, 그런 것들이 모두 한 몫을 한다.

우리는 위협 지형에 집중하지만 보안 기준을 높이는 데에도 항상 집중해야 한다. 보안 지형의 변화로 인해 기준이 높아질 때까지 손 놓고 있어서는 안된다. 우리는 "모든 일이 순조롭다"라기보다는 "맙소사, 무슨 일이 생겼어. 한번 살펴 볼게"라는 식의 위험한 상황에 처하곤 한다.

이것이 바로 제록스에서 하고 있는 일 가운데 한 가지다. 우리는 기준을 살펴보고 "2018년에 대비가 되어 있어", "좋아, 이제 기준을 어떻게 올리면 되지?"라는 식으로 말한다. 보안 뿐만이 아니라 기술에서도 마찬가지다. 기술이 계속해서 진화한다면 보안 역시 계속해서 진화해야 한다.

2017년과 그 이후에 대한 준비를 어떻게 할까? 보안 기준을 계속해서 올려야 한다. 2년에 한 번 할 수는 없다. 보안 전략이 4년짜리 전략일 수는 없다. 2년짜리 전략을 생각할 때면 2년이 너무 길게 느껴질 때가 많다. 계속해서 재검토해야 하고 모든 단계에 걸쳐 보호가 이루어져야 한다. 데이터, 애플리케이션, 프로세스, 인프라 등을 망라해야 한다. 응집력이 있어야 한다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.