칼럼 | 차세대 보안위협과 대응전략

지난 3월 아마존닷컴의 한 무선인터넷 자동보일러 상품에 관한 고객 의견 페이지에 앱을 통해 원격에서 보일러의 온도를 조절함으로써 ‘복수’했다는 리뷰를 읽다 보면 스마트 기기에 대한 조작이 전처를 골탕먹이기 위한 수준을 넘어설 경우 사람의 안전에도 영향을 미칠 수 있지 않을까 하는 생각에 이르게 된다. 게다가 자율주행 자동차 같은 스마트 기기에서의 보안은 사람의 생명과 직결된다. 즉 사이버세계에서 실제 세계 사이의 ‘다리’ 역할을 하는 사물인터넷에서 보안 문제는 바로 사람의 안전 문제와 깊이 연관된다. 잘못하면 생명과 건강의 문제로 번질 수 있는 것이다.

사물인터넷의 취약점이 전통적인 보안취약점에서 시작하듯, 사물인터넷 보안 역시 전통적인 보안방법에서 출발한다. 가장 좋은 것은 사물인터넷의 표준에 보안을 위한 레이어나 아키텍처가 포함되는 것이다. 처음부터 완전하지는 않더라도 보안에 관한 내용이 들어가면서 계속 업그레이드 될 수 있기 때문이다. 하지만 지금은 아직 사물인터넷 분야의 국제 표준이나 시장 독과점에 따른 사실상 표준(de facto standard)이 정해지지 않은 상태에서 보안에 취약한 제품들이 많이 생산되고 있다. 설계 단계부터 보안을 고려하고 시큐어 코딩(Secure Coding)을 하라는 다소 원론적인 수준의 얘기들이 주로 나오는 이유다.

어쨌든 사물인터넷 기기에 들어가는 부품을 포함하여 스마트 기기와 이들이 인터넷에 연결되는 경로에 보안취약점이 없도록 하는 것이 문제 해결의 출발점인 것은 분명하다. 이를 위해 낮은 전력과 계산능력 환경에서도 잘 작동하는 암호모듈 등 보안 기제를 연구·개발하는 일이 중요한 축이겠지만, 사물인터넷의 보안취약점을 인지하면서도 이를 사용하는 기업들은 여전히 이들과 연결된 내부 네트워크를 보호해야 한다. 기업에서 사물인터넷 기기를 활용하지 않더라도 기기는 내부 직원이나 방문자를 통해 회사 내부로 들어온다. 기업에서는 개인소유 기기(BYOD, Bring Your Own Device)의 통제 경험이 있다. 예를 들어 스마트폰을 완전히 통제해야 하는 회사에서는 스마트폰의 카메라에 스티커를 붙이고, MDM(Mobile Device Management) 소프트웨어를 설치하거나 내부망에 접속할 수 있는 기기를 맥 주소 통제, 가상사설망 사용, 사용자 인증을 통해 통제하고, 사용 시 스트리밍 방식으로 데이터가 스마트폰에 남지 않도록 하는 등 내부망을 보호하였다.

하지만 내부망에 연결되어 있는 IT시스템 역시 다양한 무선 통신을 지원하는 만큼 BYOD에서 제공하는 다양한 통신 방식을 통제하는 것 역시 쉬운 일이 아니다. 스마트 기기를 내부망에서 모두 차단하려 한다면 모든 무선통신을 식별하여 차단하는 것이 관건이다. 만일 구글 글래스 같이 카메라, 녹화, 녹음이 자연스러운 웨어러블 기기가 있다면 기존 BYOD보다 훨씬 작은 기기를 물리적으로 차단하기란 쉽지 않을 것이다. 물론 인증된 스마트 기기가 내부망에 접속한다면 계정 및 권한 관리를 통해 그에 대한 통제 역시 제대로 이뤄져야 한다.

개인·가정 사물인터넷 분야에서는 정부의 역할이 중요하다. 정부에서는 스마트 기기 보안이 개인의 생명과 재산, 평판, 사회생활에 영향을 미칠 수 있는 상황이라는 것을 인식하고 제품이 갖춰야 할 보안 요건을 제정해야 할 것이다. 공산품에 관한 KS 품질 규격에 적절한 보안 요건을 추가하고, 소비자들은 스마트 제품 구매 시 그러한 보안 요건을 갖추고 인증을 획득한 제품을 구매하는 등의 선순환이 이뤄지는 것이 바람직하다. 또 제품 생산자들은 사용자의 정보를 불필요하게 감지, 수집, 저장, 전송하는 등 사용자의 프라이버시를 침해하거나 사용자에게 해를 미칠 수 있는 기능들은 사용자가 손쉽게 끌 수 있도록 설정 기능을 만들고, 보안 수준이 적절하게 유지되도록 기본 설정을 제공함으로써 사용자들의 프라이버시가 침해되거나 보안 문제가 발생하지 않도록 해야 할 것이다.

4. 차세대 보안위협 대응전략
끝으로 IT 트렌드에 따른 차세대 보안 위협 대응 전략에서 다음 2가지를 제안하고 싶다.

우선 기업이 내부망을 좀더 깊이 이해하고 모니터링 할 필요가 있다는 점이다. 일정 규모 이상의 기업은 내부 네트워크에 연결된 단말이 많고, 마케팅 이벤트 같이 정식 프로세스를 거치지 않고 네트워크에 연결되는 서버도 종종 생긴다. 외부인이 들어와 노트북을 연결하거나 스마트폰, 각종 스마트 기기가 접속하면 네트워크는 더욱 복잡해 진다. 하지만 내부망의 아키텍처를 정확하게 그리고 있는 회사도 많지 않고, 변화무쌍한 내부망을 늘 현행화하기는 어려운 일이다. 일정 수준까지 현행화하고, 다른 부분은 다른 방법으로 파악하는 것이 현실적이다. 어쨌든 이렇게 변화무쌍한 내부망을 정확하게 알고 모니터링하여 보안이상 징후가 발생하면 실시간 또는 일정 시간 이내 탐지가 가능한 체제를 갖출 필요가 있다. 물론 이런 이상징후를 탐지한 뒤의 대응 프로세스도 잘 수립하고 지속적으로 업데이트해야 한다. 이렇게 해 놓으면 IT 인프라의 경계 방어선을 뚫은 보안공격이나 스마트 기기, BYOD, USB 메모리 등이 사람을 통해 경계 방어선을 넘어 기업 내부로 들어온다 하더라도 이를 탐지, 대응할 수 있다. 물론 계정 및 권한관리를 모든 보안통제의 기반이 된다는 점은 아무리 강조해도 결코 지나치지 않다.

다른 한 가지는 보안 사고는 예방이 최선이긴 하지만, 사고가 발생했을 때를 대비할 필요가 있다는 점이다. 예를 들어 핀테크로 우리나라에 많이 알려진 페이팔(PayPal)은 금융사고를 처리하는 전문인력을 다수 확보하고 사고 발생시 자체 조사를 통해 문제가 확인되면 신속하게 보상해 주는 것으로 잘 알려져 있다. 결국 회사의 수익 범위 내에서 처리하는 것이다. 우리나라 공인인증서 시스템보다 보안성은 떨어지지만 소비자 만족도는 더 높다.

보안 투자를 통해 예방할 수 있는 보안위험이 전체의 80-90%라고 하면, 나머지 10-20%는 보험이나 보상으로 처리할 수 있다. 보험은 아직 대중화되어 있지는 않으나 금융권을 중심으로 개인정보유출 같은 정보보안 사고를 다룬 보험이 조금씩 확산되는 것 역시 주시할 필요가 있다.

이밖에 정보보안 사고가 발생할 때를 대비해 대응 조직과 프로세스를 구축하고 훈련하여 대비하는 것 역시 중요하다. 아무 준비 없이 사고를 당하고 경찰의 수사, 규제기관의 조사, 언론과 인터넷의 비난 등이 동시에 발생한다고 생각해 보면 그 차이를 손쉽게 이해할 수 있다. 또 사고에 대한 대비와 훈련은 그것에 대한 경각심을 높여서 사고 자체를 줄일 수 있는 효과도 있다. 예방 중심의 전략에서 예방과 대응 양쪽을 균형 있게 준비할 필요가 있다.

이상으로 최근 핵심 IT트렌드인 클라우드, 빅데이터, 사물인터넷과 함께 그와 관련된 보안 이슈들을 살펴 보고, 그에 대한 기업의 대응 방안을 살펴 보았다. 워낙 주제가 넓다 보니 한정된 지면에서 깊이 있게 다루기 어려운 측면이 있다. 독자들이 핵심 포인트를 챙겨 보시면 좋겠다. 각 분야와 개별 기술에 관한 보안위협이나 대응방안은 다른 자리를 기약해야 할 것 같다.

 

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다.