사이버 세상이 갈수록 복잡해지고 있다. 그리고 이를 지켜봐야 할 파수꾼인 보안 전문가들은 갈수록 줄어들고 있다. 그래서 차세대 보안 전략이 필요하다는 말이 자꾸만 나온다. ISEC 2022에서도 세 명의 보안 리더들이 나와 이러한 주제로 이야기를 나눴다. 결론은 생각보다 소박하고, 생각보다 날카롭다.

[보안뉴스 문가용 기자] 서울 코엑스에서 18일부터 19일까지 열리는 ISEC 2022의 첫 날, 기조 연설 무대에 세 명의 보안 전문가가 동시에 올랐다. IBM 시큐리티(IBM Security)의 크리스 맥커디(Chris McCurdy) 부사장, 두산의 오명환 부사장, 사이버리즌(Cybereason)의 에릭 네이글(Eric Nagel) 아태 지역 총괄이었다. 셋은 빠르게 변하는 시대에 맞는 보안 전략에 대하여 토론을 하기 위해 같이 무대에 올랐고, 네이글이 좌장을 맡았다. 세 회사는 최근 파트너십을 구축하기도 했다.


네이글 : 디지털 전환이 빠른 속도로 이뤄지는 중이고, 이는 삶의 모든 면을 바꾸고 있다. 동시에 공격자들에게도 더 많은 기회가 되는 것 같다. 지금 상황이 어떤가?
맥커디 : 공격 표면, 즉 공격이 들어올 수 있는 경로가 기하급수적으로 증가하고 있다. 클라우드, 사물인터넷, 각종 서드파티 소프트웨어들이 모든 기업들의 네트워크에 계속해서 구축되는 중이고, 이런 신기술과 새로운 환경을 통해 하루에도 수억 개의 이벤트가 만들어진다. 그런데다가 새로운 장비들이 쉴새 없이 만들어지고, 네트워크에 편입된다. 이 모든 것들이 공격 경로로서 작용한다. 사이버 공간이라는 것 자체가 늘어나고 있는 것과 마찬가지이다.

하지만 안타깝게도 지금 보안 전문가가 너무나 모자란 상황이다. 전 세계적으로 300만 명이 넘는 인력이 부족하다는 통계들이 있다. 사이버 공간은 빠르게 커져가는데, 그것을 지켜볼 전문 인력이 없으니 어떻겠는가. 걷잡을 수가 없고, 그래서 공격은 갈수록 성행하고 있다. 지금 있는 보안 전문가들에게 힘을 실어줘야 한다. 그들이 효과적으로 활동할 수 있는 장비들을 마련하여 손에 쥐어주는 것이 중요하다. 지금 그들은 사막에서 바늘 찾기를 하고 있다. 신기술 없이는 할 수 없는 일을 하고 있다.

사막에서 바늘 찾기 하는 상황에 있다 보면 포기하고 싶어진다. 실제로 많이 포기한다. 그런데 그 마음이 마냥 틀리지만은 않는다. 왜냐하면 지금 상황에서 보안 담당자들의 마인드셋은 ‘침해가 이미 일어났다’는 걸 상정하는 것이기 때문이다. 즉 100% 완전무결한 방어는 포기해도 된다. 다만 그 보안 자체를 포기하지는 말아야 하겠다. 침해를 가정하고 보안을 계속하는 것, 그걸 요즘은 제로 트러스트라고도 한다.

네이글 : 크리스(맥커디)가 말한 상황 속에서 네트워크의 경계선이라는 것이 참 어려워졌다. 로버트(오명환), 당신의 의견은 어떤가? 아직도 보안이 네트워크의 경계선에 집착해야 하는가?
오명환 : 디지털 전환의 흐름도 그렇고, 코로나 팬데믹 때문에 오히려 더 네트워크의 경계선에 집중해야 하는 상황이 됐다고 본다. 다만 우리가 아는 그 네트워크 경계선이 더 이상 아니라는 게 문제다. 예전에는 회사와 조직의 물리적 공간에 의해 네트워크의 경계선이 정의됐었다. 이제는 아니다. 아니, 회사의 물리적 공간을 뚫고 사람들이 나가기 시작했다. 그러니 네트워크 경계선이 확장되고 분산됐다. 각 사용자들이 사용하고 있는 모든 엔드포인트와, 그 엔드포인트에 있는 애플리케이션들과, 그 애플리케이션들을 사용하는 사용자들이 경계선이다.

그러니 회사 건물을 가지고 네트워크 경계선을 말하던 시대의 솔루션들은 본연의 목적을 달성하지 못하게 되었다. 의미를 못 갖게 된 것이다. 적군이 넘어오는 경계선은 철조망으로 방어하면 되지만, 물이 넘어오는 곳에 철조망으로 막을 수 없지 않은가. 그렇다고 그 경계선이 사라졌다고 하기도 힘들다. 새로운 유형의 네트워크 경계 보안에 어울리는 기술과 전략이 있어야 한다. 그러니 보안 업계는 더더욱 경계선이라는 것에 집착해야 한다.

맥커디 : 나도 원래는 방화벽 엔지니어였다. 당시에는 원격 근무자들의 트래픽을 관리하고 보호하는 게 일도 아니었다. 단순한 업무였고, 효과적으로 수행할 수 있었다. 심지어 그 때는 원격 근무자라는 게 거의 없기도 했었으니까. 지금은 어떤가? 셀 수 없는 수많은 엔드포인트들이 경계선 그 자체가 되었다. 그런데 그 엔드포인트 하나하나가 해커들이 공략할 가치가 충분한 데이터 저장소이자 처리 장비다. 하나하나가 접근 방법이 다르고 맥락이 다르다. 경계‘선’이 아니라 선을 이루는 점 하나하나를 보호해야 하는데, 그러려면 그 모든 접근 방법론과 맥락을 이해하고 관리해야 한다. 실시간 모니터링과 분석이 중요해지고 있는 이유다.

네이글 : 결국 리스크 관리라는 걸 말하는 게 아닌가 싶다. 현재 두산에서는 어떻게 리스크를 관리하고 있는가?
오명환 : 현재 조직적으로 디지털 전환이 이뤄지고 있다. 여기서 우리 보안 팀은 회사 전 구성원이 “차세대 보안(즉, 이전까지와는 다른 보안)이 없이는 디지털 전환이라는 것에 아무런 의미가 없다”는 걸 이해시키려 노력하고 있다. 정말로 그렇다. 디지털 전환이라는 건 이전에 없던 새로운 기능과 함께 새로운 리스크 또한 네트워크 내로 들인다는 것과 똑같은 말이다. 새로운 기능과 편의성, 효율성에만 집중하는 디지털 전환은 아무리 잘해봐야 반쪽짜리일 뿐이다. 나머지 반인 보안을 간과한다면 애써 얻어낸 좋은 점들도 다 무효가 된다. 보안 인지도를 높여 참여를 이끌어내는 것이 리스크 관리의 핵심이다.

또한, IT 보안의 강화 역시 우리의 중요한 임무라고 보고 있다. 이는 위의 설명과 비슷한데, 계속해서 분포되며 확산하고 있는 엔드포인트라는 리스크들을 모니터링하고 관리하는 것을 말한다. 하이브리드 근무 체제에서 엔드포인트 보안을 말하지 않을 수 없다. 비슷한 맥락에서 OT 보안 역시 어마어마하게 중요하다. 특히, 생산 기지를 여럿 가지고 있는 두산이기에, 이런 중요한 사업적 자산들을 보호하는 것 역시 리스크 관리에 있어 높은 비율을 차지한다. 그리고 이런 IT와 OT의 중간 영역 혹은 융합된 영역에 대한 관심도 필요하다.

디지털 전환, IT 보안, OT 보안, 융합 보안 혹은 하이브리드 보안을 중요한 목적이라고 규정한 뒤 예산 확보를 실시했고, 가장 위의 경영진부터 보안에 대한 인식을 바꾸는 ‘탑다운’ 식의 문화 변혁도 꾀하고 있다. 직원들도 바뀌어야 하지만, 임원들도 변해야 한다. 그리고 임원들이 변하면 조직 문화가 더 빨리, 효과적으로 바뀐다.

네이글 : 신기술 또한 리스크 요인이 되고 있다. 보안과 신기술의 관계는 늘 복잡한데, 이 부분에 대하여 설명해 달라
맥커디 : 그 둘의 관계에서 보안의 역할은 신기술이 안전하고 빠르게 도입되도록 돕는 것이다. 자동주행과 5G 등 우리의 생활을 보다 편리하게 바꿔주고 사업적 효과를 높여줄 기술들이 이미 도입되기를 기다리는 중이다. 물론 기술 자체의 성숙도가 조금 떨어진다는 문제도 남아 있는 게 맞다. 하지만 기술이 성숙해져 가는 과정에 보안이 개입할 여지가 더 많다. 신기술들의 보안에 문제가 없다고 우리가 확인을 해줘야 기업들이 안심하고 기술들을 도입한다.

신기술 얘기가 나왔으니 한 가지를 짚고 넘어가고자 한다. 현재 사이버 공격자들이 가장 활발히 노리는 표적이 어느 사업일 것 같은가? 전통적으로 금융 산업이 늘 1위였다. 지금은 제조업이다. 통계에 따라 조금씩 달라질 수는 있지만 제조업이 현재 금융업 만큼의 관심을 해커들로부터 받고 있는 것이다. 재미있는 건 이 생산 기지들에 신기술들이 상상 이상으로 많이 도입된다는 점이다. 특히, 사물인터넷 기술은 이미 제대로 자리를 잡았고, OT/IT 융합이 가장 활발히 일어나는 곳이다. 사업적 필요에 의해 신기술들이 구축되고 있지만 보안은 늘 뒷전이다. 신기술이 더 빠르고 안전하게 도입되도록 한다는 보안 담당자들의 역할이 수행되고 있지 않은 것이라고 말할 수도 있는 상황이다.

이는 아시아 시장에서 특히 중요한 문제다. 아시아는 세계의 생산 기지와 같은 대륙이기 때문이다. 실제 아시아에서는 이 제조업에 대한 사이버 공격이 다른 대륙에 비해 가장 많이 일어나고 있다. 신기술과 보안의 관계를 정립해 선순환을 만들어낸다는 건 적어도 아시아에서는 생산 기지들을 보호하는 것과 같은 의미가 된다. 반대로 생산 기지의 보호라는 것이 보안과 신기술 간의 관계성 정립과 같은 문제이기도 하다.


오명환 : 물리 공간과 사이버 공간은 계속해서 겹치고 있다. 둘의 접점은 이제 셀 수 없을 정도로 많다. 이는 보안에 있어 어떤 의미인가? 사이버 보안의 개념을 물리 영역으로도 확장시켜야 한다는 뜻이다. 우리가 먼저 이런 변화 속에서 어떻게 엔드포인트와 네트워크와 더 나아가 생태계 전체를 보호해야 하는지를 정하고, 그것을 가지고 일반인들에게 다가가 보안을 알려야 한다. 이게 개념의 확장이다. 회사라면 아까 말했던 탑다운 접근법이 효과적일 것이지만, 조직의 상황에 따라 다를 수도 있다. 적어도 보안의 관점에서 신기술의 문제는 오히려 사람의 문제라고 생각한다.

맥커디 : 100% 동의한다. 그리고 그런 맥락에서 내가 늘 강조하는 말이 있다. 사이버 보안은 집에서부터 시작한다는 것이다. 우리 집에 있는 부모님들도 보안을 알아야 하고, 어린 자녀들도 보안을 알아야 한다. 거기서부터 보안 교육이 시작되고, 인식 제고가 실현된다. 어르신들을 노린 사이버 사기꾼들이 얼마나 많은지 생각해보면, 가정에서 보안을 교육한다는 게 비단 큰 그림에서만 중요한 일이 아니라는 걸 알 수 있다. 아이들의 보안 인식을 꾸준히 강화하다 보면, 그들이 언젠가 커서 사회 생활을 시작했을 때 보안 문화를 형성하는 게 훨씬 수월하고 효과적이게 될 것이다. 이제 가정에서 보안을 가르치는 건 각종 안전 수칙을 반복해서 알려주고 또 알려주는 것과 다름이 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>