[Interview] 체스터 숭, 홍콩 시큐리티컨설팅 매니징 디렉터

“정보보호, 기술이나 관리 통제에만 의존해서는 안돼”

“경기 침체 불구, 공공기관에서는 IT 보안 예산 유지 돼야”

홍콩의 시큐리티 컨설팅 서비스(Security Consulting Services Ltd)사의 매니징 디렉터 체스터 숭(Chester Soong, 宋德嘉)과의 이메일 인터뷰를 통해 2008년의 정보보호 이슈와 2009년을 전망에 대해 들어봤다. 그는 아시아 최초의 CISSP로 2002년부터 2005년까지 (ISC)² 인증 서비스 디렉터로 활동했으며 현재는 (ISC)² CBK 및 아시아 자문 위원회 회원으로 활동하고 있다. 이에 앞서 1994년에는 ISP 회사를 운영하기도 했으며 이에 앞서 씨티뱅크(Citibank N/A)의 PO(Project Officer)를 역임하기도 했다.

-지난 2008년 최대의 정보보호 이슈는 무엇이었나?

가장 주목을 끌었던 이슈는 정보유출이다. 이에 동의하지 않는 사람은 거의 없을 것이라고 생각한다. 영국 정부는 수천 명의 납세자 기록을 분실했으며 홍콩 정부의 여러 부서에서도 수차례의 정보 유출 사건이 있었다. 그러나 이것은 최종 결과일 뿐, 우리는 이러한 사건들의 근본 원인을 이해해야만 한다. 이러한 사건들은 여러 다양한 이슈가 원인이었겠지만 분명한 것은 대부분 기술과 관련된 것이 원인은 아니었다는 것이다. 일부는 관리 주의 부족의 결과이거나 관련 직원들의 보안 인식 수준이 낮았기 때문이다.

따라서 이를 해결하기 위한 단일한 솔루션은 있을 수 없다. 많은 조직들은 기술적인(즉, 보다 많은 소프트웨어나 하드웨어를 구매한다거나), 또는 관리적인(즉, 수많은 보안 정책, 가이드라인, 절차를 발표한다거나) 단일한 솔루션으로 이 문제를 해결하기 위해 노력했지만 실패했다. 그것은 서로를 보완해주어야만 한다. 비전 또한 전략적으로 구축되어야만 한다.

-지난해와 비교해 2009년에 더 중점을 두고 강화해야할 정보보호 분야는?

앞서 언급한 이유로 관리 교육을 강화할 필요가 있다. 인간은 망각의 존재이며 상위 경영진들 역시 예외는 아니다. 수년 전만해도 어떠한 경영진도 IT 보안에 관심 갖지 않으려 했다. 리소스 분배는 말할 것도 없거니와 그들은 심지어 ‘보안’이란 IT 부서가 단독으로 책임져야만 하는 순수한 기술적인 문제라고 생각했다. 그러나 이제 입법부의 변화와 Basel-II, SOX 등과 같은 규제 요건 사항들 때문에 경영진은 도망칠 곳이 없게 됐다. 그런데도 현재 그들은 또다시 망각하고 있는 것으로 보인다. 지난해 7월 (ISC)²의 SecureHongKong 컨퍼런스에서의 발표에서 언급했던 내용이지만 이를 해결하기 위해서는 3개의 축(three-pillar)을 통한 솔루션이 필요하다. 즉, 관리 실제Management Practices), 기술(Technology), 그리고 비즈니스 운영 지원(Business Operation Support) 등 세 개의 주요 구성 부분의 응집이 요구된다는 뜻이다.

-지난해와 비교해 2009년 정보보호 산업분야의 성장·발전 규모를 전망한다면?

정보보호는 기업 및 정부의 훌륭한 IT 관리를 위한 필수 사항이 되었다. 그러한 위치는 2009년에도 유지될 것이다. 그러나 금융 위기와 경기 침체로 IT 보안 예산은 이미 어려움을 겪고 있다. IT 보안 예산과 관련해 민영 부문에서의 성장은 크지 않을 것으로 보이지만 정부 부문에서는 최소한 인터넷 기술과 사이버 범죄의 복잡성과 발전 때문에라도 지난해와 동일한 수준의 예산이 유지되어야만 한다고 생각한다.

-2009년에 정보보호 최대 이슈가 될 것으로 생각하는 것이 있다면?

2008년의 트렌드와 상황을 미루어 예측해보면 애플리케이션 보안이 2009년의 최대 이슈가 될 것이라고 답이 나온다. 그러나 지난 2, 3년 동안 수없이 들어왔던 애플리케이션 보안과는 다르다. 즉, 안전한 프로그램 코드 개발에서의 보안이 될 것이라는 의미다. 애플리케이션은 더욱 더 복잡해지고 있지만 개발 프로세스는 여전히 보다 단순해지고 있다. 이것은 개발자들이나 프로그래머들을 나태하게하며 보안 통제와 개발 툴이 제공하는 기능에만 의존하게 만들 뿐이다. 그러므로 만일 그 툴이 결점이나 보안 취약점을 가지고 있다면 최종 제품 역시 보안 문제를 갖게 될 것이다.

따라서 개발자와 프로그래머들에게 안전한 코딩 방법과 질적으로 보증된 기술을 교육하는 것뿐만 아니라 코드 레벨 보안에서 보안 감사를 수행하는 개발자와 QA 전문가들을 보조하는 툴을 최우선으로 놓는 것이 중요하다.

-올해에는 어떤 보안 솔루션이 부상할 것이라고 예측하는가?

앞서 언급한바와 마찬가지로 차세대 솔루션은 여전히 애플리케이션 보안 영역에 해당하는 것일 수밖에 없다. 그러나 현재 기업 보안 담당자와 IT 보안 감사원이 애플리케이션의 기능적 보안 요건을 검토하는데 이용할만한 솔루션이 없다. 현재의 기술은 단지 프로그래밍 에러나 취약성, 또는 애플리케이션 레벨(XML, 필드 입력 등)의 보안 취약성을 검토하고 체크할 수 있을 뿐이다. 애플리케이션의 기능적 디자인 측면에서의 보안 요건사항은 아직 처리하지 못 하고 있다. 그러나 이는 내부자에 의해 의도적, 또는 우연히 발생하는 보안 사건만큼이나 중요한 사안이다. 빌트인 로지컬 보안 통제는 이러한 종류의 위험을 방지하는데 가장 효과적인 수단이라 할 수 있을 것이다.

-개인적으로 보안에 있어 가장 중요하다고 생각하는 것이 있다면?

정보보호에 있어 가장 중요한 것은 정보보호의 중요성에 대한 모든 이들의 인식일 것이다. 여기에서 중요한 부분은 정보보호는 모든 이들의 역할이자 책임이라는 것이다. 실제로 정보보호와 완전히 관계되지 않거나 영향 받지 않는 사람은 없다. 우리는 최근의 보안 위협을 통해 트렌드와 이슈뿐만 아니라 우리 자신의 역할과 책임을 배워야만 한다. 아울러 조직에 필요한, 또는 이상적인 보안 수준을 달성하기 위해는 이러한 역할과 책임이 분업으로 이루어져서는 안 된다.  정보보호를 수많은 작은 조각으로 나눠 여러 그룹의 사람들에게 할당해서는 안 된다. (정보보호 노력의) 효과를 보기위해서는 본질적인 협력이 필요하다.

-그 외에 하고 싶은 말이 있다면?

앞서 언급한 바와 같이 단지 기술이나 관리 통제에만 의존해서는 안 된다. 장기적인 관점에서 다방면의 협력이어야 한다. 수많은 사람들이 정보보호에 관해 기술적 측면과 관리 측면에서의 솔루션 구현이 요구되는 다면적인 접근을 오랫동안 거론해왔다. 지금까지 이것은 분업으로 이루어져왔다. 정보보호는 더 이상 공장의 생산라인이 아니다. 이제 우리에게 필요한 것은 ‘양(quantity)’이 아니라 ‘질(quality)’이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>