보안의 기본 개념부터 “새 포도주는 새 부대에 넣어야”

생활 속으로 들어간 보안, 역동성 부여받아

[보안뉴스 문가용] 얼마 전 자동차로부터 메일을 받았다. 서비스가 필요하다는 내용이었다. 보안인으로서 놀랍다기보다 조금 불편했다. 그렇다, 불편했다. 자동차가 나랑 똑같은 인터넷을 사용해? 이는 과연 우리들에게 어떤 의미일까?

랩톱, 태블릿, 스마트폰의 갑작스러운 대중화로 기업들은 리스크를 떠안게 되었고, 이는 곧 보안담당자들의 과제가 되고 있다. 그리고 이는 다만 ‘모바일 기기에 관한’ 문제가 아니라 ‘보안이란 과연 무엇인가?’라는 본질에 대한 탐구로 이어지고 있다.

이런 말이다. 이런 트렌드를 모바일 기기에 관한 보안문제라고만 인식했을 때 우리는 저 직원 손에 있는 핸드폰에 시야가 갇히고, 컴퓨팅이란 개념이 인간의 삶에 깊숙이 개입했다는 중요한 사실에는 생각이 미치지 않는다는 것이다. 좁은 시야로는 ‘저걸 어떻게 통제하는가?’에만 집착하게 되지 ‘결국 업무와 개인의 삶에 활용되는 기기를 분리할 수 없다’는 전제를 인식 속에 깔 수 없게 된다. 컴퓨팅과 통신의 발달로 ‘회사’라는 경계가 흐려지고 있다는 걸 놓친다. 보안은 이제 이 생각으로부터 시작해야 하는데도 말이다.

미래를 그려보려면 가장 최근의 과거를 살펴야 한다. 그리고 이 시점에서 가장 최근 과거를 한 단어로 요약하면 ‘스마트폰’이다. 그 성능 좋은 기계가 사무실 책상마다에 놓이기 시작했고 BYOD란 트렌드가 자연스럽게 형성됐다.

이런 트렌드에 가장 빠르게 적응한 것은 범죄집단이다. PC 멀웨어가 이제 모바일 멀웨어로 둔갑해서 돌아다니고 있고, 멀웨어의 가장 주된 무대가 이미 스마트폰으로 옮겨간 지 꽤 되었다는 전문가들의 목소리도 적지 않다. 실제 2012년 4분기에서부터 2013년 4분기까지 모바일 멀웨어의 성장률은 197%에 달했다.

엔드포인트 보안의 종말? 아직은...

스마트폰 및 모바일 기기가 대중화된다는 건 컴퓨팅 세계에서 엔드포인트가 늘어난다는 의미다. 그렇다면 PC라는 엔드포인트가 여태껏 겪었던 일들이 이제 모바일 기기에게 닥칠 거라는 건 자연스러운 추론이다. 그게 무엇이든 공격자들에게 엔드포인트는 항상 맛 좋은 먹을거리다.

그렇다면 물을 수밖에 없다. 결국 엔드포인트의 보안이란 건 무용지물 아니냐고. 네트워크 중심부에서 가장 멀리 있기 때문에 가장 약한 부분이었고, 지금도 그러하며 앞으로도 그럴 것이며 게다가 실수 많은 ‘사람’과 직접 맞닿아 있는 부분인데 말이다. 게다가 그렇게 약한 부분이 계속해서 증식하고 있다면, 그것 자체로 이미 보안의 큰 문제가 아닐 수 없다.

하지만 여기서 ‘엔드포인트 보안은 끝났다’고 결론을 내버리면 그건 기업들이 당장 마주하고 있는 문제의 심각성을 과도하게 축약하고 있는 것이나 다름없다. 엔드포인트 자체는 영원히 없어지지 않을 것이고, 이런 상황이니 오히려 엔드포인트에 대한 보안이 더 강화되어야 하고 갈수록 복잡해지는 보안문제 및 정보보호에 노력을 기울여야 한다.

다양한 층위에서의 방어, 다각도에서의 방어

보안 소프트웨어 개발자나 전문 회사 측에서 뭐라고 설명을 하든 확실한 건 하나, 개인정보이건 회사정보이건 간단하고 쉽게 보호할 수 있는 방법은 없다는 것이다. 여태껏 기업들은 여러 층위에서 정보를 보호해왔다. 막내 사원이 보호해야 할 정보가 있었고 사장이 보호해야 할 정보가 있었다는 것이다.

그리고 그런 정보의 차이에 따라 보호 개념과 방법도 달라졌다. 하지만 보안 환경이 나날이 복잡해지고 있는 요즘에는 이런 ‘층위’ 개념을 넘어 ‘다각도’로 보안을 들여다보는 게 중요해지고 있다. 즉 보호해야 할 정보와 관련된 사람, 인프라, 애플리케이션 등을 전부 고려해야 한다는 것이다.

사람 : 개인 활동과 업무 활동의 경계가 흐려지고 있다. 기업은 보안방침을 세울 때 이 점을 꼭 염두에 두어야 한다. 경계가 흐려진다는 건 사람들이 구분하기 힘들어한다는 말이다. 그래서 그 경계를 그들이 직접 구분하게 하지 말고 보안담당자가 그 구분의 절차를 쉽고 간편하게 만들어줘야 한다.

인프라 : 기업들은 데스크톱이나 랩톱, 서버의 보안에 있어서는 이미 이골이 나있다. 문제는 데스크톱, 랩톱, 서버라는 오래된 매체에 어울리는 보안정책이나 개념을 신문물에 적용하려 한다는 것이다. 새 포도주는 새 포도주 자루에 넣어야 한다. 보안 역시 더 스마트해지고 다양해져야 한다. 또한 그러면서도 더 종합적이고 수용적이어야 한다.

정보 : 컴퓨팅이 삶에 깊숙이 개입하면 할수록 정보는 유목민이 된다. 네트워크의 경계가 흐려지니 유목민들이 돌아다닐 반경이 넓어진다. 그러니 적당한 테두리를 정의해줘야 한다. 접근 권한 설정이나 인증서만으로는 정보를 온전히 통제할 수 없다. 또한 정보가 어느 경로로 돌아다니고 있는지도 관찰해야 한다. 그러면서 놓치지 말아야 할 것은 사람들의 생산성이다. 너무 심한 통제는 생산성을 낮춘다.

애플리케이션 : 애플리케이션 개발에 있어 보안이란 것을 최종 단계에나 점검의 개념으로 넣어서는 안 된다. 아무리 시간이 부족해도, 시장선점이 아무리 중요해도, 애플리케이션 개발은 항상 보안과 처음부터 끝까지 함께해야 한다. 그렇게 할 때에야 모든 부분에서 취약점이 발생하지 않을 수 있다. 보안이 대두되는 시대에 취약점이 좀처럼 나오지 않는 애플리케이션은 또 다른 강점이 된다.

보안, 이제 삶의 일부

정보 통신 분야, 혹은 컴퓨터 공학에서만 ‘보안’을 이야기하는 시대가 지나가고 있다. 컴퓨팅 자체가 삶 여기저기에 들어와 있다는 게 이를 증명한다. 두 살짜리 아이도 터치스크린을 자연스럽게 조작하는 때인 만큼 우리는 생활 속에서 우리가 얼마나 컴퓨팅을 하고 있는지도 인식 못하고 있다. 그렇다면 보안을 특정 분야에 국한해서 생각한다는 건 미련하기까지 한 일이다. 시대는 더 광범위한 보안 설계를 요구하고 있다. 그래야 우리 삶의 방식과 조화를 이룰 수 있는 것이다.

그래서 보안 분야는 지금 그 어느 때보다 역동성이 넘치고 있다. 답이 없어 보이는 만큼 오히려 많은 답들이 가능성을 가지고 있는 때다. 이런 춘추전국시대에 누가 키플레이어가 될 것인가 지켜보는 것도 흥미롭다. 또한 우리의 컴퓨팅 환경은 인간의 생활 속에서 어떻게 증식하고 번져나갈지도 궁금하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>