지난 3월 아마존닷컴의 한 무선인터넷 자동보일러 상품에 관한 고객 의견 페이지에 앱을 통해 원격에서 보일러의 온도를 조절함으로써 ‘복수’했다는 리뷰를 읽다 보면 스마트 기기에 대한 조작이 전처를 골탕먹이기 위한 수준을 넘어설 경우 사람의 안전에도 영향을 미칠 수 있지 않을까 하는 생각에 이르게 된다. 게다가 자율주행 자동차 같은 스마트 기기에서의 보안은 사람의 생명과 직결된다. 즉 사이버세계에서 실제 세계 사이의 ‘다리’ 역할을 하는 사물인터넷에서 보안 문제는 바로 사람의 안전 문제와 깊이 연관된다. 잘못하면 생명과 건강의 문제로 번질 수 있는 것이다.
사물인터넷의 취약점이 전통적인 보안취약점에서 시작하듯, 사물인터넷 보안 역시 전통적인 보안방법에서 출발한다. 가장 좋은 것은 사물인터넷의 표준에 보안을 위한 레이어나 아키텍처가 포함되는 것이다. 처음부터 완전하지는 않더라도 보안에 관한 내용이 들어가면서 계속 업그레이드 될 수 있기 때문이다. 하지만 지금은 아직 사물인터넷 분야의 국제 표준이나 시장 독과점에 따른 사실상 표준(de facto standard)이 정해지지 않은 상태에서 보안에 취약한 제품들이 많이 생산되고 있다. 설계 단계부터 보안을 고려하고 시큐어 코딩(Secure Coding)을 하라는 다소 원론적인 수준의 얘기들이 주로 나오는 이유다.
어쨌든 사물인터넷 기기에 들어가는 부품을 포함하여 스마트 기기와 이들이 인터넷에 연결되는 경로에 보안취약점이 없도록 하는 것이 문제 해결의 출발점인 것은 분명하다. 이를 위해 낮은 전력과 계산능력 환경에서도 잘 작동하는 암호모듈 등 보안 기제를 연구·개발하는 일이 중요한 축이겠지만, 사물인터넷의 보안취약점을 인지하면서도 이를 사용하는 기업들은 여전히 이들과 연결된 내부 네트워크를 보호해야 한다. 기업에서 사물인터넷 기기를 활용하지 않더라도 기기는 내부 직원이나 방문자를 통해 회사 내부로 들어온다. 기업에서는 개인소유 기기(BYOD, Bring Your Own Device)의 통제 경험이 있다. 예를 들어 스마트폰을 완전히 통제해야 하는 회사에서는 스마트폰의 카메라에 스티커를 붙이고, MDM(Mobile Device Management) 소프트웨어를 설치하거나 내부망에 접속할 수 있는 기기를 맥 주소 통제, 가상사설망 사용, 사용자 인증을 통해 통제하고, 사용 시 스트리밍 방식으로 데이터가 스마트폰에 남지 않도록 하는 등 내부망을 보호하였다.
하지만 내부망에 연결되어 있는 IT시스템 역시 다양한 무선 통신을 지원하는 만큼 BYOD에서 제공하는 다양한 통신 방식을 통제하는 것 역시 쉬운 일이 아니다. 스마트 기기를 내부망에서 모두 차단하려 한다면 모든 무선통신을 식별하여 차단하는 것이 관건이다. 만일 구글 글래스 같이 카메라, 녹화, 녹음이 자연스러운 웨어러블 기기가 있다면 기존 BYOD보다 훨씬 작은 기기를 물리적으로 차단하기란 쉽지 않을 것이다. 물론 인증된 스마트 기기가 내부망에 접속한다면 계정 및 권한 관리를 통해 그에 대한 통제 역시 제대로 이뤄져야 한다.
개인·가정 사물인터넷 분야에서는 정부의 역할이 중요하다. 정부에서는 스마트 기기 보안이 개인의 생명과 재산, 평판, 사회생활에 영향을 미칠 수 있는 상황이라는 것을 인식하고 제품이 갖춰야 할 보안 요건을 제정해야 할 것이다. 공산품에 관한 KS 품질 규격에 적절한 보안 요건을 추가하고, 소비자들은 스마트 제품 구매 시 그러한 보안 요건을 갖추고 인증을 획득한 제품을 구매하는 등의 선순환이 이뤄지는 것이 바람직하다. 또 제품 생산자들은 사용자의 정보를 불필요하게 감지, 수집, 저장, 전송하는 등 사용자의 프라이버시를 침해하거나 사용자에게 해를 미칠 수 있는 기능들은 사용자가 손쉽게 끌 수 있도록 설정 기능을 만들고, 보안 수준이 적절하게 유지되도록 기본 설정을 제공함으로써 사용자들의 프라이버시가 침해되거나 보안 문제가 발생하지 않도록 해야 할 것이다.
4. 차세대 보안위협 대응전략
끝으로 IT 트렌드에 따른 차세대 보안 위협 대응 전략에서 다음 2가지를 제안하고 싶다.
우선 기업이 내부망을 좀더 깊이 이해하고 모니터링 할 필요가 있다는 점이다. 일정 규모 이상의 기업은 내부 네트워크에 연결된 단말이 많고, 마케팅 이벤트 같이 정식 프로세스를 거치지 않고 네트워크에 연결되는 서버도 종종 생긴다. 외부인이 들어와 노트북을 연결하거나 스마트폰, 각종 스마트 기기가 접속하면 네트워크는 더욱 복잡해 진다. 하지만 내부망의 아키텍처를 정확하게 그리고 있는 회사도 많지 않고, 변화무쌍한 내부망을 늘 현행화하기는 어려운 일이다. 일정 수준까지 현행화하고, 다른 부분은 다른 방법으로 파악하는 것이 현실적이다. 어쨌든 이렇게 변화무쌍한 내부망을 정확하게 알고 모니터링하여 보안이상 징후가 발생하면 실시간 또는 일정 시간 이내 탐지가 가능한 체제를 갖출 필요가 있다. 물론 이런 이상징후를 탐지한 뒤의 대응 프로세스도 잘 수립하고 지속적으로 업데이트해야 한다. 이렇게 해 놓으면 IT 인프라의 경계 방어선을 뚫은 보안공격이나 스마트 기기, BYOD, USB 메모리 등이 사람을 통해 경계 방어선을 넘어 기업 내부로 들어온다 하더라도 이를 탐지, 대응할 수 있다. 물론 계정 및 권한관리를 모든 보안통제의 기반이 된다는 점은 아무리 강조해도 결코 지나치지 않다.
다른 한 가지는 보안 사고는 예방이 최선이긴 하지만, 사고가 발생했을 때를 대비할 필요가 있다는 점이다. 예를 들어 핀테크로 우리나라에 많이 알려진 페이팔(PayPal)은 금융사고를 처리하는 전문인력을 다수 확보하고 사고 발생시 자체 조사를 통해 문제가 확인되면 신속하게 보상해 주는 것으로 잘 알려져 있다. 결국 회사의 수익 범위 내에서 처리하는 것이다. 우리나라 공인인증서 시스템보다 보안성은 떨어지지만 소비자 만족도는 더 높다.
보안 투자를 통해 예방할 수 있는 보안위험이 전체의 80-90%라고 하면, 나머지 10-20%는 보험이나 보상으로 처리할 수 있다. 보험은 아직 대중화되어 있지는 않으나 금융권을 중심으로 개인정보유출 같은 정보보안 사고를 다룬 보험이 조금씩 확산되는 것 역시 주시할 필요가 있다.
이밖에 정보보안 사고가 발생할 때를 대비해 대응 조직과 프로세스를 구축하고 훈련하여 대비하는 것 역시 중요하다. 아무 준비 없이 사고를 당하고 경찰의 수사, 규제기관의 조사, 언론과 인터넷의 비난 등이 동시에 발생한다고 생각해 보면 그 차이를 손쉽게 이해할 수 있다. 또 사고에 대한 대비와 훈련은 그것에 대한 경각심을 높여서 사고 자체를 줄일 수 있는 효과도 있다. 예방 중심의 전략에서 예방과 대응 양쪽을 균형 있게 준비할 필요가 있다.
이상으로 최근 핵심 IT트렌드인 클라우드, 빅데이터, 사물인터넷과 함께 그와 관련된 보안 이슈들을 살펴 보고, 그에 대한 기업의 대응 방안을 살펴 보았다. 워낙 주제가 넓다 보니 한정된 지면에서 깊이 있게 다루기 어려운 측면이 있다. 독자들이 핵심 포인트를 챙겨 보시면 좋겠다. 각 분야와 개별 기술에 관한 보안위협이나 대응방안은 다른 자리를 기약해야 할 것 같다.
Surfshark
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.