Offcanvas

CSO / HR / 랜섬웨어 / 보안 / 비즈니스|경제 / 악성코드 / 이직|채용 / 자기계발

강은성의 보안 아키텍트ㅣ기업 보안 vs. 제품 보안 (1)

2022.12.19 강은성  |  CIO KR
학생들의 진로에 관해 상담을 하다 보면, OO을 못 하는데 보안을 할 수 있냐는 질문을 종종 받는다. 프로그래밍이나 모의해킹, 보안 기술을 잘 모르는데 보안 분야에서 일할 수 있느냐는 질문이다. 당연히 일할 수 있다. 인생은 자신이 못 하는 것이 아니라 잘하는 두세 가지를 가지고 살아가는 것이라는 (잔소리성) 조언과 함께 15개 정도의 주요 보안 직무와 그 직무를 뽑는 회사 분류를 설명해 주면 대부분의 학생들이 ‘자신감'과 희망을 갖고 상담을 마친다.

학생들만 그 직무를 알기 어려운 게 아니다. 보안 분야가 워낙 넓게 펼쳐져 있어서, 보안 분야에 종사하는 분들 관련 정책을 펴는 분들도 전반적인 보안 직무의 특성, 필요 역량, 교육 커리큘럼, 인력 수요처를 충분히 이해하지 못하는 경우도 종종 있다. 

보안 분야는 크게 기업 보안(Corporate security)과 제품 보안(Product security)으로 나눌 수 있다. 
 

기업 보안과 제품 보안의 핵심적 차이는 보호 대상에 있다. 전자가 기업이 자신의 통제 권한 범위 내에 있는 자산을 보호하는 데 비해 후자는 개발사가 자신의 통제 범위를 벗어나 이용자의 통제 권한 범위 내에 있는 자산을 보호한다. 따라서 제품 보안에서는 제품 개발 단계에서 제품의 전체 라이프사이클을 고려하여 보안 취약점을 최소화하고, 출시 이후에도 보안 취약점을 신속하게 탐지·패치하는 것이 중요하다. 제품 이용자가 공격자이거나 악의적인 사용자일 가능성도 염두에 둬야 한다.

국내에서는 흔히 SaaS(Software as a Service)와 같은 서비스는 ‘제품’의 범위에 포함하지 않는 경우가 많으나, Product은 제품과 서비스 등 개발사가 Produce한 결과물을 포괄한다. 서비스는 보호 대상 측면에서는 일부 이용자의 통제 권한 범위에 포함되나 주로 개발사의 통제 권한 범위 안에 있고, 기술적으로는 주로 제품 보안 측면이 강하기 때문에 제품 보안과 기업 보안의 특성을 갖고 있다.

기업 보안의 신뢰 근거(Root of trust)는 기업 보안 거버넌스이다. 기업 보안은 보안 정책, 기술, 인력, 법규 준수 등 여러 분야에 걸친 보안 요소의 ‘종합 예술’이어서 이를 경영적 관점에서 이사회와 최고경영진이 총괄하고 책임져야 하기 때문이다. 제품 보안에서는 안전한 키 관리 등 보안 체계의 근간이 되는 정보를 안전하게 관리할 수 있는 하드웨어 보안모듈(HSM)이나 트러스트존(TZ) 같은 안전한 저장소가 신뢰 근거가 된다. 또한 공개키 기반구조(PKI) 기술을 사용한다면 인증서를 발급해 준 인증기관의 신뢰성이 신뢰 근거가 된다.

기업 보안과 제품 보안의 분류가 중요한 것은 이 둘에 필요한 스킬셋과 기술 역량이 많이 달라서다. 우리나라의 정보보안 분야의 대다수 인력은 주로 기업 보안 분야에서 일해왔다. 지식과 경험, 스킬셋이 모두 기업 보안 분야에 편중되어 있다. 인터넷 검색을 해 보면 우리나라에서는 제품 보안이란 말 자체를 별로 쓰지 않는다. 영문으로 Product security를 찾은 결과와 차이가 크다. 

제품 보안 기술은 상당 부분 제품 개발 기술과 연관되어 있다. 기업 보안 인력이 제품 보안을 하기 어려운 이유다. (소프트웨어) 제품 개발 회사에서는 기업 보안팀과 별개로 제품 보안팀을 시급하게 꾸리고, 제품 보안 인력 확보(양성)에 힘을 쏟아야 한다. 특히 개발자에게 제품 보안 관련 지식과 경험을 쌓게 해 주는 것이 중요하다. 개발자가 제품 보안 기술을 배우면 제품 보안 수준을 높이는 데 큰 도움이 된다.

지난 칼럼에서 다룬 글로벌 보안 규제 역시 제품 보안의 영역인데, 안타깝게도 국내에서 제품 보안의 기술과 규제, 정책을 다루는 인력이 별로 없다. 글로벌 보안 규제를 준수하려면, 보안 규제에서 제품의 스펙을 뽑아낼 수 있어야 하는데, 제품 보안을 잘 알고, 제품 개발(기술)을 좀 아는 인력이 글로벌 규제를 공부해야 잘할 수 있는 일이다.

제품 보안의 상당 부분은 소프트웨어 보안에 포함되지만, 하드웨어와 펌웨어를 다룬다는 점에서 차이가 있다. 예를 들어 제품 보안을 위해 트러스트존이 필요하다면 하드웨어 설계 단계에서 이를 지원하는 칩셋을 채택해야 하고, 개발자는 TZ이나 TEE을 활용하여 개발할 수 있어야 한다. 또한 제품에 반드시 필요하지 않은 디버깅 포트가 있다면 이를 없애서 공격 가능 영역(Attack surface)을 줄이는 것 역시 제품 보안이 할 일이다. 소프트웨어 보안을 넘어서는 부분이다.

무엇보다 기업에서 제품 보안 프로세스가 제대로 작동하려면 제품 개발 프로세스에 녹아 들어가야 한다(강은성, "소프트웨어 보안과 보안 개발프로세스(2)", 2016.3.17). 보안 엔지니어링의 위협 분석과 위험 평가, 보안 요구사항 정의, 보안 설계(완화 방안 수립) 활동은 주로 제품 개발 프로세스의 설계 단계에서 이뤄진다. 그런데 위협 분석과 위험 평가의 결과물로 “OO는 암호화해야 한다”, “암호화 알고리즘은 OOO을 사용해야 한다” 등 (제품) 보안 정책서에 포함될 만한 추상적이고 포괄적인 보안 요구사항을 종종 본다. 주로 기업 보안을 위해 도입할 보안 솔루션의 RFP에 이러한 보안 요구사항을 사용해 와서 그런 게 아닐까 싶다. 

제품 개발의 설계 단계에서 이뤄지는 제품 보안 활동이 제품 개발 프로세스와 잘 결합하려면, 그 결과물이 상세 설계 수준의 구체성과 상세도를 갖춰야 한다. 그래야 구현 단계의 입력으로 활용될 수 있다. 따라서 설계 단계 제품 보안 활동의 최종 결과물은 보안 설계(상세 설계 수준의 완화 방안 수립)가 되는 것이 바람직하다(2편으로 이어집니다).

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.