[보안뉴스=조규곤 KISIA 회장·파수닷컴 대표] 새로운 기술들이 나올 때마다 보안정책 담당자들은 새로운 딜레마에 놓이게 된다. 새로운 기술을 적용하다 보면 전에 없던 새로운 보안 위험성에 회사의 시스템들이 노출되기 때문이다.

보안을 염려하여 첨단기술 적용을 늦추다 보면 사용자 불만이 높아질 뿐만 아니라 회사 전체의 생산성이 상대적으로 하락될 수도 있다. 그렇다고 마땅한 보안대책 없이 신기술의 사용을 허용하기에는 많은 리스크가 수반된다.

최근에도 몇 가지 딜레마가 있다. 그 첫째는 개인용 퍼블릭 클라우드의 기업 내 사용을 어떻게 할 것인가이다. 개인용 퍼블릭 클라우드를 기업 내에서 허용하게 되면 당장 내부기밀 자료의 유출이 너무 쉬워지고, 외부로부터의 악성코드 감염 위험이 높아 질 수밖에 없다.

처음에는 서울대 등 일부 국립대만 서비스 이용을 금지시켰으나 지난 2월부터는 전 공무원들의 퍼블릭 클라우드 서비스 이용이 금지됐다. 사용이 금지된 퍼블릭 클라우드 서비스에는 T클라우드, U클라우드, N드라이브 등 국내 서비스를 비롯하여 슈가싱크, 오피스365 등 해외 클라우드 서비스까지 총 50여개에 달한다. 사실상 대부분의 퍼블릭 클라우드 서비스가 해당된다. 이런 서비스들이 업무 생산성 향상에는 큰 도움이 될 수 있음에도 말이다.

또 다른 이슈는 이른바 BYOD(Bring Your Own Device) 즉, 태블릿 PC, 스마트폰 등 개인소유의 기기를 통해 기업 정보 시스템의 접근을 허용할 것인지 여부이다. 어떤 기업들은 제한적인 접근 및 파일의 다운로드 불허 정책을 시행하고 있으며, 정부를 포함하여 어떤 기업들은 접근을 아예 허용하지 않는 곳도 있다. 모바일 기기를 업무에 활용하면 좀 더 혁신적이고 편리한 서비스를 창출할 수도 있는데, 보안문제 때문에 시도하지 못하는 경우가 많은 것이다.

클라우드, 모바일 컴퓨팅은 ‘제2의 디지털 혁명’으로 일컬어지고 있다. 시장 및 투자규모 그리고 성장속도를 감안할 때 거스를 수 없는 대세가 될 것이라는 점은 누구도 부인할 수 없는 사실이다. 그렇다면 퍼블릭 클라우드 서비스를 금지하거나 BYOD을 제한하는 것도 일시적인 보안정책일 수밖에는 없을 것이다. 많은 보안담당자들은 아직 시장에 쓸 만한 보안 솔루션이 없어서라는 이유를 댄다. 사실일 수도 있으나 거기에서 생각을 멈춰서는 안 된다.

보안정책 담당자는 클라우드 컴퓨팅이나 모바일 컴퓨팅 같은 새로운 기술을 적극 수용하되, 어떤 보안기준을 만족시켜야 리스크를 줄일 수 있는지 고민하고 보안정책을 수립해야 한다. 앞서 가는 기업이라면 새로운 보안기준을 설정함으로써 보안업체들이 그 기준에 맞는 보안 솔루션을 만들도록 유도할 수 있는 것이다.

물론 보안업체들도 좀더 멀리 보고 새로운 환경에 맞는 솔루션을 미리 만들 수도 있을 것이며 그렇게 하도록 노력해야 한다. 그러나 보안정책 담당자들의 적극적인 참여 없이 공급자 주도의 보안 솔루션들이 제대로 발전해가기는 쉽지 않을 것이다.

큰 흐름을 역행하지 않는 합리적이고 균형 잡힌 보안정책이 곧 산업 전체의 경쟁력이 될 수 있다. 기업 입장에서는 리스크를 적정 수준으로 관리하면서 신기술을 적극 활용하여 그 이점을 최대한 살릴 수 있을 것이다. 신기술관련 시장도 좀 더 빨리 커질 수 있고, 새로운 보안 솔루션도 활성화될 수 있을 것이다.

인터넷 활성화를 다른 나라보다 빨리 진척시켜 우리 경제가 많은 기회를 누렸듯이, 클라우드 컴퓨팅, 모바일 컴퓨팅 시대를 선도할 수 있다면 더 많은 기회를 잡을 수 있을 것이다. 보안이 더 이상 클라우드 컴퓨팅, 모바일 컴퓨팅의 확산에 걸림돌이 되지 않도록 업계와 정부, 그리고 관련 학회 및 협회 등이 머리를 맞대 합리적인 보안정책 수립을 수립하고, 관련 기술개발에 힘쓸 때라고 본다. 

[글_ 조 규 곤 한국지식정보보안산업협회(KISIA) 회장·파수닷컴 대표이사]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>