• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[인터뷰] 김홍선 안랩 대표, 올해 보안 트렌드는 ‘보안위협 융·복합’ 2011.02.09

보안문제는 비IT분야에서 더 크게 드러날 것


[보안뉴스 오병민] 김홍선 안철수연구소 대표는 올해 주목될 보안트렌드로 융·복합을 꼽았다. 스마트기기와 SNS 그리고 클라우드 환경의 융·복합화와 같이 보안이슈도 서로 융·복합화 하는 성격을 가질 것이라는 이야기다.

 

그리고 김 대표는 보안위협이 점차 구체화되면서 비(非)IT 분야에 대한 보안문제가 대두될 것으로 예상했다. ‘올해 보안트렌드’와 ‘올해 보안기업 이슈’에 대한 김홍선 대표의 이야기를 들어보자.


보안 트렌드는 ‘융·복합’ 될 것

작년부터 가장 많이 제기된 트렌드가 스마트폰이었다. 스마트폰과 태블릿 기기 등의 등장은 기기들이 사람과 함께 움직여, IT기술이 기술 중심적 관점에서 사람 중심적인 관점으로 옮겨가고 있다는 특징을 나타내고 있다. 이런 트렌드는 개인이 파워풀한 기기와 융합해 사회적 관점의 새로운 서비스를 만들고 이런 서비스는 클라우드 기반의 웹 기술을 통해 생활화됨을 의미한다.


이런 트렌드는 보안에서도 나타난다. 보안위협도 융·복합되기 때문이다. 네트워크가 악성코드와 융합돼 봇넷을 만들어내고 여기에 인간관계나 법의 허점을 이용하는 사회공학적 기법이 더해져 위협도 융·복합화 되고 진화하고 있다.


사고가 없다 해서 위협이 없는 것은 아니다

융·복합화 된 보안위협의 대상은 누가될까? 그 대상은 누구라도 될 수 있다. 사회에서는 큰 사건이 나타나지 않으면 보안위협이 없는 것으로 착각하곤 한다. 그러나 지금도 끊임없이 보안위협은 우리를 노리고 있다. 지금 이 시간에도 끊임없이 보안위협이 나타나고 있으며, 알게 모르게 많은 사람들에게 피해를 입히고 있다. 특히 이런 위협은 최근 들어 더욱더 글로벌화 되고 조직적으로 나타나고 있다.


개인정보보호법 통과는 IT적인 이슈보다는 관리적 이슈될 것

개인정보보호법 통과로 인해 개인정보에 대한 보안강화가 예상되기도 하지만 한편으로는 혼란스러울 수도 있을 것 같다. 보통 개인정보를 IT보안 이슈라고 보지만 섬세하게 살펴보면 IT문제라기 보다는 IT외적인 관리적 문제라고 볼 수 있다. IT부서에서만 고객정보를 이용하는 것이 아니기 때문에 기업들이 관점이 바꿔야할 필요가 있다.


보안문제는 IT만의 문제가 아니다.

스턱스넷 이슈는 스카다 시스템에서 보안 위협이 어떻게 다가올 수 있는 지를 잘 보여준 예이다. 사실 기업 내에서 보안이 필요한 곳은 오히려 IT 사각지대인 비(非)IT 쪽이라고 볼 수 있다. 예를 들어 공장의 생산부서나 재고관리 부서 등은 IT와 관련된 부서보다 오히려 보안에 취약할 수 있다. 특히 이런 부서들은 IT 보안위협을 잘 모르는 환경이기 때문에 더욱 큰 위협이 나타날 수 있다.


따라서 IT부서에서 보안을 일부 보안제품으로 해결할 수 있는 상황이 아니라는 것이다. 이제는 보안문제는 보안사고가 나타난 후 보안제품을 구입해서 될 것이 아니라 미리 준비하고 설계할 수 있는 서비스 관점으로 접근해야 한다.


따라서 기업 전반적으로 보안설계를 위한 보안SI와 컨설팅 그리고 보안관제 분야가 점차 중요해질 것으로 보인다. IT부서에서 보안을 관리하는 데는 한계가 있기 때문이다.


IT부서 아래에 보안부서가 있다는 것도 문제.

현재 우리 IT환경에서 가장 큰 위협은 IT부서 아래에 보안이 있다는 것이라고 볼 수 있다. 보안에 대한 책임은 CEO나 CFO 등 최고 결정권자가 져야한다. 해외의 글로벌 기업들은 CFO들이 비용을 줄이고 생산성을 높이는 관점에서 보안을 다룬다. 비용을 줄이고 생산성을 높이는 것은 차근차근 이뤄질 수 있지만 큰 보안 사고가 나면 이런 노력이 한순간에 물거품처럼 사라지기 때문이다. 그러나 우리 기업들은 이런 고려가 부족한 편이다.


이런 관점에서 본다면 사고가 난 것에 설레발칠 필요는 없다. 우리나라는 사고가 나타나야만 보안에 관심을 가지고 사고를 처리하는데 많은 노력을 기울인다. 그러다보니 보안의 근본적인 문제를 해결하기 보다는 은폐하는데 급급하다. 중요한 것은 결국, 사고가 난 것 자체가 아니라 사고에 대한 관리가 중요하다는 이야기다. 숨기기보다는 사고에 대한 부분을 명확하게 밝히는 것이 중요하고, 더 나아가서는 사고가 나타나지 않도록 꾸준한 관리가 필요하다. 결국 보안이 IT부서 아래의 임무라고 생각한다면 이런 문제를 해결할 수 없다.


보안기업들은 R&D에 집중해야한다.

우리나라의 보안 기업들은 R&D에 많은 투자가 필요하다. 제품을 공급하는데 급급할 게 아니라 보안 문제의 연관관계를 분석하고 해결해나가도록 해야 한다. 즉 보안 제품 공급 차원에서 보안SI 관점으로 보안을 제공해야 한다. 이를 위해서는 분석력과 알고리즘을 스스로 만들어 낼 수 있도록 자체적인 R&D 능력이 요구된다.


해외진출의 진짜 애로사항은 잘 모른다.

많은 보안 기업들은 해외진출에 대한 진짜 애로사항을 모른다. 가장 큰 문제는 우리나라 환경이 글로벌 표준이아니라는 것이다. 게다가 우리나라에서 고려하지 않았던 여러 가지 문제점에 대해서도 준비가 필요하다. 예를 들면 외국에서는 V3백신이 장애인도 쓸 수 있도록 음성지원을 하는 등 사회제도에서 정하는 기준에 대해 고려해야할 부분이 많다. 게다가 제품 구현이나 기술적인 부분을 기술한 문서들도 많이 요구된다. 이런 준비가 없다면 해외 수출에 많은 어려움이 따를 수 있다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>