사이버 보안 업계에서 문제라고 지적하는 것들만 모아 보면, 보안 업계의 존재 이유에서부터 회의감이 들 정도다. 상황이 이렇게나 좋지 않은데, 우리는 무엇을 바라고 매일 씨름하고 있는가? 하지만 그 가운데서 긍정적인 신호들을 찾아내는 사람들도 있다. 그들의 이야기를 들어보았다.

[보안뉴스 문정후 기자] 사이버 보안에는 절망적인 뉴스가 넘쳐나고 있다. 아무리 애를 써도 데이터 침해 사고는 매일처럼 일어나고, 위협적인 첨단 랜섬웨어가 매일처럼 등장하며, 일할 사람도 없고 예산도 없다. 지금이야 해커들에게 당하지 않으려고 애쓰지만, 늘 이런 식이라면 언제 사이버 공간 전체가 먹힌다 하더라도 이상하지 않을 정도다. 하지만 아직 절망하기에는 이르다. 희망감을 주는 신호들도 분명 존재하기 때문이다.


프린시펄파이낸셜그룹(Principal Financial Group)의 CISO인 멕 앤더슨(Meg Anderson)은 “사람, 프로세스, 기술 이 세 가지 요소를 통해 사이버 보안 업계의 긍정적인 신호를 발견할 수 있다”고 말한다. “사이버 보안 업계를 발전시키려 하는 사람들이 아직 수없이 많고, 위협에 대처하기 위한 프로세스들은 계속해서 개발되고 있고, 방어력을 높이기 위한 새로운 기술들도 끊임없이 나오고 있습니다. 소리 소문 없는 노력들이 희망을 계속해서 살리고 있는 겁니다.” 앤더슨 외에도 여러 보안 전문가들은 희망을 노래하고 있는데, 그 이유들을 취합해 보았다.

1. 보안을 깨닫고 있는 리더십
불과 몇 년 전만 해도 정보 보안에 돈을 쓸 정도로 보안의 중요성을 아는 경영진은 흔치 않았다. 보안은 IT 부서 내부에 있는 하위 그룹이었고, 경영진이 알 필요가 없는 것이었다. 그렇기 때문에 보안이 힘을 발휘하려면 보안이 왜 중요한지부터 설명하고 설득해야만 했다. 예산 쥐꼬리만큼 올려달라고 부탁하려는데 보안의 저 먼 기원부터 설명해야 하는 상황이 자꾸만 반복됐던 것이다.

하지만 이제는 다르다. 구글 클라우드(Google Cloud)의 CISO인 필 베너블즈(Phil Venables)는 “정보 보안의 중요성을 모르는 경영진은 이제 경영을 하지 않는다고 여겨질 정도로 보안에 대한 인지도가 올라갔다”고 말한다. “경영진들이 보안에 대해 진지하게 고민하기 시작했다는 건 그들과 이야기를 조금만 해봐도 알 수 있습니다. 진지한 고민을 바탕으로 한 질문들이 나오고 있거든요. 실질적인 영향력을 가진 그들이 이렇게 신경을 쓴다는 건 매우 희망적인 신호입니다.”

2. 보안을 깨닫는 개개인
임직원들이 보안을 깨닫는 것보다 더 긍정적인 신호는, 일반 개개인들 역시 보안에 대한 이해도를 높이고 있다는 것이다. 여기서 말하는 일반 개개인들은 기업 입장에서 ‘소비자’라고 부르는 이들이다. 기업에 돈을 쓰는 장본인들이라는 뜻이다. 앤더슨은 “소비자들이 보안을 요구하기 시작하면 기업들은 움직일 수밖에 없다”며 “가장 강력한 강제력”이라고 설명한다.

또한 이 개개인들은 기업의 직원들이 되기도 한다. 직원 한 사람 한 사람의 보안 인지 수준이 높아지면 보안 관련 사고가 발생할 확률이 낮아진다. 현재까지 기업들에서 발생하는 각종 보안 사고의 가장 큰 원인 중 하나는 내부 직원들의 실수나 해이인데, 개개인의 보안 이해도가 높아지면 이 부분이 조금씩 해결될 가능성이 높다는 뜻이 될 수 있다. 누구나 지켜야 하는 기본 보안 실천 사항도 개개인의 인지 향상에 따라 준수되거나 무시된다.

보안 업체 이그나이트(Egnyte)의 보안 전문가 네일 존스(Neil Jones)는 “일반 임직원이 사이버 보안에 참여하고, 보안 실천 사항을 지킬 수 있도록 인센티브를 회사가 제공하는 것도 좋은 방법”이라고 권한다. “예를 들어 피싱 메일을 신고하면 기프트카드를 준다고 했을 때 사람들의 학습 능력은 크게 증가합니다. 사용자를 우리 편으로 만드는 게 보안에 있어서는 매우 중요한 과제입니다.”

3. 사이버 보안 교육
사이버 보안 인지 제고를 위한 교육과 훈련 코스의 종류가 크게 늘어났다. 교육의 기회가 지난 몇 년 동안 눈에 띄게 증가했다는 건데, 이 역시 긍정적인 신호다. “제가 2008년에 ‘보안 분야에서 일한다’고 말하면 다들 경호원이나 경비를 떠올렸어요. 하지만 지금은 전혀 그렇지 않습니다. 제가 가진 자격증에 대해서도 보안 비전문가들과 이야기를 어느 정도 나눌 수 있을 정도로 일반인들의 이해도가 올라왔어요.” 존스의 설명이다.

앤더슨은 대학 교육 기관에서 보안 관련 코스가 증가했다는 점을 짚는다. “보안 관련 학위들이 많아졌고, 많아지고 있습니다. 보안에 관심을 두고 지원하는 학생들도 증가하고 있고요. 지금의 인력난 문제도 조금 지나면 해결될 수 있을 것으로 보입니다.” 사이프로(XYPRO)의 CISO인 스티브 처치언(Steve Tcherchian)도 “교육과 자격증에 대한 기업들의 지속적인 투자가 더 많은 사람들을 보안이라는 분야로 끌어들이고 있다”고 설명을 덧붙인다.

4. 민관 협조
베너블즈는 “바이든 행정부가 최근 새롭게 발표한 국가 사이버 보안 전략 때문에 민관 협조에 대한 보안 업계 및 정부 기관의 관심이 높아지고 있다”고 말한다. “매우 중요한 지점입니다. 사이버 위협이나 사건에 대한 정보가 투명하게 공개 및 공유되면 될수록 사회 전체의 보안은 강화되거든요. 민관의 협조가 없으면 불가능한 이야기입니다. 민관 협조 체계가 강력해지면 질수록 사회 전체가 보다 효과적인 보안 강화의 혜택을 보게 될 겁니다.”

앤더슨도 “민관 협조 체계가 활성화 됨에 따라 사이버 보안 분야로 들어오는 지원자들이 많아질 것”이라고 예측하면서 “이는 인력 확보라는 중대한 과제에 대한 해결책이 될 수 있다”고 말한다. “뿐만 아니라 민관 협조 체계의 강화 덕분에 보안 업계에서 필요하다고 느끼는 각종 표준이나 규정들이 좀 더 속도감 있게 마련될 수도 있어 보입니다. 그 외에도 여러 가지 긍정적인 효과들이 파생될 거라고 믿습니다.”

5. 정보 공유
베너블즈는 사이버 보안에 관하여 오랜 시간 긍정적인 시각을 가지고 있던 인물인데, 그 이유 중 하나는 위협 행위들을 적발하는 능력이 전체적으로 강화되었기 때문이다. “현재 사이버 보안 사고가 계속해서 증가하고 있습니다. 아니, 그런 것처럼 보입니다. 숫자가 계속해서 커지고 있으니까요. 하지만 범죄가 늘어나고 방어력은 약화되는, 그런 맥락의 현상이라고 볼 수 없습니다. 그 동안 몰랐던 것이 드러나는 중이라고 보는 게 맞습니다. 즉 우리는 더 많은 악성 행위들을 찾아낼 수 있게 된 것입니다.”

앤더슨 역시 비슷한 시각을 가지고 있다. “보안 사고가 더 많이 보고된다는 건, 사고 소식을 공유하는 사람들이 많아졌다는 뜻이 됩니다. 예전처럼 쉬쉬 감추고 있다가 수사 기관이 억지로 찾아내야 보도되는, 그런 행태가 이어졌다면 보안 사고가 예전 수준으로 유지되는 것처럼 보이는 통계 자료들이 그득했을 겁니다. 감추고 싶은 일들을 드러내는 기업들이 실제로 많아지고 있고, 그것을 통해 얻는 공공의 이익들이 있습니다.”

킨드릴(Kyndryl)의 기업 보안 책임자인 크리스 러브조이(Kris Lovejoy)는 “사이버 위협과 공격이라는 것에 보다 현실적인 대처를 하는 경우들이 늘어나고 있다”고 설명한다. “그리고 그 현실적인 대처 안에는 ‘정보 공유’라는 게 포함되어 있습니다. 우리 회사에서 일어난 사고를 빠르게 알리는 게 보다 실질적인 방어 효과를 낸다는 걸 깨닫는 사람들이 늘어나고 있습니다.”

6. 안전한 제품들
각종 IT 상품을 개발하는 회사들이 처음부터 안전한 제품을 기획하고 제작하기 시작했다. 위에서 언급한 보안 인지 향상과도 관련이 있는 현상이다. 소테로(Sotero)의 CEO인 푸란다 다스(Purandar Das)는 “시장도 이제 안전한 제품을 요구하고 있다”며 “보안을 담보로 혁신을 추구한다거나, 위험을 감수해도 괜찮으니 안전 문제를 잠깐 뒤로 미루자는 생각은 이제 매우 낡고 촌스러운 것으로 여겨진다”고 지적한다. “그러니 이전보다 훨씬 안전한 제품들이 시장에 나오고 있습니다.”

물론 그런 안전한 제품이 보편적으로 시장을 장악하고 있는 건 아니다. “하지만 점점 많아지고 있지요. 소비자들의 개인정보를 기업들이 지금은 최대한 덜 가져가려 하는 것도 눈에 띄는 현상이고요. 이런 제품이나 서비스들이 시장에서 주류를 차지하게 된다면 상황은 지금과 많이 달라져 있을 겁니다.”

7. 강력해지는 보안 솔루션
처치언은 “일반적인 IT 제품들만 강력해지는 게 아니라, 보안 솔루션 자체도 강력해지고 있다”고 말한다. “보안 솔루션도 어차피 하나의 창작물이자 소프트웨어입니다. 다른 소프트웨어와 마찬가지로 나름의 취약점들을 내포하고 있고, 그러므로 100% 완전하지 않습니다. 다른 소프트웨어들이 점점 보안을 고려하는 생산 방식을 통해 튼튼해지고 있는 것처럼 보안 솔루션들도 비슷한 이유로 강력해지고 있습니다. 스스로 취약하지 않으면서 리스크를 실질적으로 줄이는 솔루션이 되어간다는 뜻이죠.”

존스 역시 이 점에 동의하며 “보안이 당연한 것이 되면서 보안 솔루션을 개발하는 사람들도 좀 더 획기적이며 통합적인 솔루션들을 시장에 내놓을 수 있게 됐다”고 설명한다. “물론 강력한 보안 솔루션들이라 하더라도 해커들의 집요한 연구에 의해 언젠가 뚫릴 수밖에 없습니다. 하지만 보안 솔루션이 강력해지면 그 연구 시간이 길어지고, 비용도 많이 들어가게 됩니다. 공격자들의 기초가 흔들릴 수밖에 없습니다. 긍정적인 흐름이 만들어지고 있다는 뜻입니다.”

긍정적인 마음 유지하기
제아무리 암울한 상황에 있는 사이버 보안 분야라고 하지만, 위의 전문가들이 하나하나 짚은 것처럼 긍정적인 신호도 충분히 많다. 다만 사람이라는 것이 본능적으로 부정적인 것을 더 크게 느끼기 때문에 문제가 부각되는 것이다. 부정적인 소식들 가운데서도 긍정적인 마음을 유지하는 건 산업 전체의 생명력과 활기를 유지하는 데 반드시 필요하기 때문에 보안 분야 종사자들 모두가 부정적 소식들이 기죽지 않는 게 중요하다. 그러나 어떻게 그럴 수 있을까?

베너블즈는 “보안 종사자로서 가지고 있는 책임과 역할에 집중하는 것이 비결”이라고 말한다. “우리는 단순히 바이러스나 위협 탐지 솔루션 돌려서 문제를 찾아내는 사람이 아닙니다. 사람의 목숨과 생활 기반, 더 나아가 데이터와 자본의 흐름을 유지시킴으로써 사회를 떠받치는 사람들입니다. 우리가 떠받치고 있기에 인류는 진보할 수 있는 겁니다. 이런 막중한 역할을 맡고 있다는 걸 받아들이면, 앞으로 있을 일들에 대해 긍정적으로 생각하고 싶어질 겁니다. 그러면서 좋은 신호들이 눈에 띄게 될 것입니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>