• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

차세대 보안리더가 되려면? 이래야 한다! 2013.11.14

휴 톰슨 RSA 컨퍼런스 회장, BOB 교육생 대상으로 특강
“사람들의 보안의식 정확히 측정하고 어떻게 대응할지 고민해야”

[보안뉴스 김경애] ‘사람들이 어떻게 하면 각종 위험으로부터 자유로울 수 있을까?’ ‘갈수록 지능화되고 교묘해지는 사이버보안 위협에 대해 보안전문가로써 어떻게 대처해야 할까?’ ‘미래의 보안전문가가 나아가야 할 방향은 무엇일까?’


보안전문가라면 한 번쯤 고민하는 사항이다. 이와 관련 한국정보기술연구원(이하 KITRI 원장 유준상) 산하의 BOB(Best Of Best) 센터에서는 지난 13일 제2기 차세대 보안리더인 BOB 교육생을 대상으로 한 특별강연이 마련돼 눈길을 끌었다.

 ▲ 블루코트 수석부사장이자 RSA 컨퍼런스 회장인 휴 톰슨(Hugh Thomson)이 지난 13일 BOB(Best Of Best)센터에서 제2기 차세대 보안리더인 BOB 교육생을 대상으로 한 멘토링 프로그램의 하나로 현 보안이슈와 보안전문가가 고려해야 할 사항에 대해 강연하고 있다.


특별강연의 주인공은 보안전문업체인 블루코트 수석부사장이자 RSA 컨퍼런스 회장인 휴 톰슨(Hugh Thomson)으로 ‘Securing the Human: Our Industry‘s Greatest Challenge’라는 주제를 가지고, 현 보안이슈와 보안전문가가 고려해야 할 사항에 대해 제시했다.


휴 톰슨은 하루도 빠짐없이 언론에 소개되듯 사이버보안 문제, 온라인 범죄 등 여러 문제가 끊이지 않고 있으며, IT 역사상 지금처럼 공격이 많았던 적은 없었다고 밝혔다. 그만큼 사람들이 많은 공포를 느끼고 있다며 현재 보안이슈에 대해 설명했다.


휴 톰슨은 보안전문가로써 가장 우선적으로 고려할 사항에 대해 “사람들이 보안에 대해 어떤 자세를 갖고 있는지 정확하게 측정해야 하고, 이에 대해 보안전문가가 어떻게 대응해야 할지 가장 먼저 생각해야 한다”고 말했다.


두 번째로는 기술이 발달하면서 많은 사람들이 각자 자신만의 디바이스를 사용하게 됐고, 드롭박스 등과 같이 무료서비스를 많이 이용하면서 보안위협은 더욱 커졌다는 점을 지적했다.


이와 관련 그는 첫 번째로 ‘사람들이 어떻게 위험으로부터 자유로울 수 있는가’에 대해 생각해야 하고, 둘째로는 ‘정보+비즈니스가 어떻게 하면 성장할 수 있는지, 이를 바탕으로 보안업계가 어떻게 성장할 수 있는가’에 대해 생각해야 한다고 강조했다.


세 번째로는 생년월일, 학력 등 쉽게 찾을 수 있는 오픈된 정보 환경에 해커들도 쉽게 접근할 수 있고, 공격 또한 갈수록 개인화되고 있다는 점을 지적했다. 더욱이 불과 몇 년 전만 해도 보안번호를 리셋할 때 예전엔 비밀번호를 잃어버리면 생년월일이 무엇인지, 선생님 이름이 무엇인지에 대해 답을 하는 방식으로 이뤄졌지만 요새는 구글링 검색을 통해 쉽게 알아낼 수 있게 됐다는 것. 그만큼 문제가 심각해졌다는 얘기다.


이러한 환경은 기업보안 측면에서 볼 때 과연 어떻게 사람들의 보안의식을 높일 수 있는가에 대해 항상 신경써야 한다는 것. 즉, 사람들의 행동 자체를 어떻게 보안체제에 올려놓을 수 있는지 항상 고민해야 한다는 얘기다.


네 번째로 그는 구글 등 대형 인터넷사이트에 대한 보안인식 부재를 지적했다. 많은 사람들은 어떤 정보를 찾을 때 구글 검색을 통해 정보를 얻는다. 특히, 실제 정보자간에 정확한 정보를 주고받는 것이 아닌 구글과 같은 제3의 정보를 신뢰하고, 이를 통해 너무 많은 정보를 그대로 받아들인다는 것. 그러나 문제는 얻은 정보가 과연 안전한 정보인지는 생각하지 않으며, 공격자가 이러한 점을 더 잘 알고, 악용한다는 것이다. 


이를테면 기존에는 공격자가 이메일을 통해 링크를 걸어두는 공격수단을 이용했지만 이제는 이메일 본문에 ‘링크를 클릭하면 위험하오니 저희 회사 이름을 구글에서 검색한 후, 홈페이지를 방문해 파일을 다운로드 받으면 된다’라는 문구를 넣는 등 지능화된 공격이 이뤄진다는 설명이다.


이와 관련 휴 톰슨은 기업보안 측면에 있어서도 특정 기업을 타깃 공격하기 위해 SNS, 구글 등을 통해 기업의 내부환경, 보안관리자 등의 정보를 찾아내고, 이를 바탕으로 공격이 이루어지고 있다고 우려했다.


다섯 번째로는 IT의 트렌드가 기업형에서 개인화로 바뀌면서 개인에 대한 공격 가능성이 높아지고, 공격자도 다양해짐으로써 보안위협은 더 커지고 있다는 점을 제시했다. 이와 관련 휴 톰슨은 “예전에는 특정공격 기술에 대해 어떻게 막을까 고민했었다면 이제는 어떻게 하면 좀더 빠르고, 안전하게 받아들일까 하는 의식전환이 필요한 때”라고 말했다.


그렇다면 어떻게 해야 사람들이 보안에 대한 의식전환을 할 수 있을까? 이와 관련 휴 톰슨은 기존에는 정보보안을 정량적으로 측정하기 어려웠으나 앞으로는 정량적으로 측정이 가능해질 것이라고 밝혔다. 또한, 정보보안 역시 데이터 캡쳐링을 통해 정량적으로 측정하는 방향으로 가고 있는 중간단계라고 덧붙였다. 따라서 비전문가이든 전문가이든 사람들은 개개인마다 보호하는 방식이 다르기 때문에 맞춤형 보안이 이뤄져야 한다는 것이다.


이와 관련 휴톰슨은 “보안전문가는 리스크 때문에 기업의 비즈니스에 제한을 두는 것보단 기업의 잠재력을 살릴 수 있는 방안으로 접근해야 한다”며 “이를테면 기업에서 개인 디바이스를 쓸 수 있도록 한다면 추가 장비를 살 필요가 없다. 그러나 기업은 보안문제 때문에 그렇게 하지 못한다. 바로 그런 측면에서 보안전문가가 창의적인 솔루션을 고민해 기업에게 혜택을 주는 방향으로 접근해야 하고, 리스크에 대해서는 정확한 데이터 기반의 정량 분석이 필요하다”고 설명했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>