메리 앤 데이비슨 “기업내 CSO 의견과 목소리에 귀 기울여라”
기업 CISO·CSO는 산업분야에 따라 각각 중요한 역할 맡고 있어 

[보안뉴스 김태형] 메리 앤 데이비슨(Mary Ann Davidson) 오라클 최고보안책임자(Chief Security Officer)가 지난 12일 한국오라클 고객 세미나에서 ‘Redefining IT Security: Securing The New Digital Economy’라는 주제로 기조연설을 진행했다.

이 자리에서 메리 씨는 “현대 사회는 IT 보안담당자로서 흥미로운 시절이다. 그만큼 굉장히 많은 일이 일어나고 있다. 각 기업의 CSO, CISO가 각 기업이나 산업분야에 따라서 서로 다른 역할을 하고 있다. 하지만 그 역할들은 매우 중요해지고 있다는 점은 동일하다”고 말했다.

오라클도 IT 인프라에 대한 고민을 강화하고 있는 점은 다른 기업들과 비슷하다. 메리는 오라클 CSO로서 제품의 보안 확보에 관한 일에 집중하고 있다. 특히 클라우드 등 오라클 제품을 고객들이 보다 안전하게 사용할 수 있도록 지원하고 있다.

이는 단순히 별도의 보안제품을 개발하고 판매하는 것이 아니라 모든 오라클 제품의 보안을 확보하는 것이 오라클 CSO의 역할이다. 또 임원들에게 이러한 내용을 전달하고 이해시키는 것도 CSO의 업무다.

메리는 “오라클도 오라클 제품을 사용하고 있기 때문에 오라클 제품을 통해 오라클과 오라클의 고객들이 피해를 보지 않도록 하기 위해 풀 스택에 걸쳐 보안 기능을 통합하고 보안을 확보하고 있다”고 덧붙였다.

많은 양의 데이터 활용하고 있지만 디지털 파괴도 등장
또한 그는 현재의 IT 동향에 대해서도 언급했다. 그에 따르면, 예전에는 IT 보안에 관한 관심이 그리 높지 않았지만, 이젠 모든 회사 및 모든 산업 분야에서 IT에 연결되어 있기 때문에 보안에도 관심이 높아졌으며 보안 솔루션을 사용하고 있다. 점차 많은 데이터가 발생하고 더 많은 기업에서 고객 만족도를 높이기 위해 보다 많은 양의 데이터를 쉽게 활용하고 있다.

이와 동시에 디지털 파괴라는 새로운 기술도 등장하고 있다고 말했다. 이 때문에 IT 기술을 제대로 사용하지 못하는 기업과 정부기관도 있다. 현재 교육 분야에서도 IT 기술을 폭넓게 사용하고 있으며, 정부 공공서비스 및 3D 프린팅 등과 같은 디지털 매커니즘이 사회전반적으로 활용되고 있는 상황에서 IT 보안을 확보하는 것이 매우 중요해졌다는 것이 그의 주장이다.

메리 CSO는 앞으로 디바이스의 수가 폭발적으로 늘어날 것으로 예상했다. 예를 들어 팔목에 착용 가능한 건강 팔찌 등 건강과 스포츠 분야에서뿐만 아니라 농업 및 축산 분야에서도 다양한 센서 기술을 이용해 디바이스와 연결하고 있다. 이와 더불어 IoT가 많은 가정에 전파되고 있어 이에 따른 보위협도 증가하고 있다고 말했다.

이러한 디지털 시대, 보안의 관점에서 보면 다양한 새로운 도전과제들이 있다. △클라우드 서비스의 확대로 인한 데이터 보안 △ 즉각적인 커뮤니케이션이 가능해 보안이 어려운 소셜 애플리케이션 보안 △개인 디바이스의 활용 증가로 인한 모바일 보안 △데이터를 누가, 어떻게 사용하는지 모르는 데이터 프라이버시 △제품의 개발·구축에 보안을 적용하는 소프트웨어 보장 등이 새로운 도전 과제들이다.

이에 대해 메리는 “특히 고객들은 더 좋은 제품을 요구해야 한다고 생각한다. 오라클은 고객들에게 더 안전한 제품을 제공하기 위해 노력하고 있다. 오라클은 제품을 출시하기 전에 취약성을 찾는 업무를 전문으로 하는 해커들을 고용해 제품의 취약성을 파악하고 이를 보완하기 위해서 많은 노력을 하고 있다. 예를 들면, 취약성을 파악한 후 점수를 매겨 우선순위에 따라 취약성을 보완해 나가고 있다”고 말했다.

기업 CSO의 역할 점차 중요해져
이어서 그는 “CSO·CISO의 역할이 점차 중요해지고 있다. 각 기업경영진들이 사내 IT 보안에 대한 관심이 높아지고 있지만, 동시에 모든 기업이 이와 관련해 응당 해야 할 대응책을 마련하고 있지 않다”면서 “기업에서 CSO를 고용하지 않는 것도 큰 문제지만, 기업 내에서 CSO의 목소리와 의견을 제대로 듣지 않고 있는 것 또한 문제”라고 지적했다.

최근 미국의 타겟과 홈디포의 정보유츌 사고사례와 같이 항상 기업 내부에서 누군가는 정보를 노리고 있다는 것을 잊지 말아야 할 것이라고 그는 강조했다.

실제로 어느 기업에서는 CSO의 의견을 무시해 보안사고가 발생했고 이로 인해 규제 당국의 규제를 받은 일도 있었다. 그러나 사고 후에도 CSO의 조언대로 기업 보안 인프라를 강화하지 않아 더 큰 우려를 낳고 있다.

메리는 “내가 CSO로 임명될 당시, 그 이유가 궁금했다. 당시 CEO에게 들은 내가 CSO로 지목된 이유는 바로 다른 사람들에게 큰 목소리를 내고, 화를 낼 수 있기 때문이었다”고 전했다.

다양한 보안위협 중에서 해킹이 가장 큰 위협

디지털 시대의 다양한 보안위협 중에서도 해킹이 가장 큰 위협으로 손꼽히고 있다. 버라이존 리포트에 따르면, 해킹 및 멀웨어로 인한 범죄가 1600% 증가했으며, 이제 은행강도 등 물리적으로 도난하지 않더라도 범죄가 가능해진 세상이 된 것이다. 은행 등 실제로 돈이 있는 현실공간이 아니더라도 애플리케이션 서버 및 네트워크가 범죄의 타깃이 되고 있다.

이러한 상황에서 각 기업 및 정부는 외부 공격에 대비해 내부의 시스템을 더욱 공고히 해야 할 필요가 있다. 오라클은 이에 대한 방향성을 갖고 많은 변화를 수행하고 있다.

메리 CSO는 “그동안 오라클은 20년 넘게 보안을 강화해 왔다. 데이터베이스를 보더라도 보안성을 더욱 강화됐다. 또한 이러한 보안이 데이터베이스뿐만 아니라, 하드웨어 및 소프트웨어 단까지 포함하는 오라클 전체 제품을 아우르는 풀스택에 통합해 제공하고 있다”고 강조했다.

예를 들면 오라클은 애플리케이션 단에서는 더욱 미세한 코드 단위까지 고려한 보안 매커니즘을 제공하고 있다. 미들웨어 측면에서는 계정관리를 통해 누가 어떤 데이터에 접근했는지를 파악하고 관리할 수 있다. 또 데이터베이스에서는 접근제어를 보다 미세한 단위로 분류할 수 있도록 솔루션을 제공하고 있어 한 DBA가 너무 많은 권한을 갖지 않도록 제어할 수 있도록 하고 있다.

이어서 그는 “암호화를 제대로 하는 것이 어려운데 이것은 키 관리 및 성능저하 때문이다. 이러한 이유로 과거에는 한 컬럼만을 암호화하기도 했는데, 이제는 데이터베이스를 통째로 암호화할 수 있는 기술을 제공하는 동시에 성능 저하는 최소화 될 수 있도록 지원하고 있다”면서 “이와 더불어 칩 단위 자체에서 제어가 가능해졌다. 기존에 칩 내부에 저장된 것과 같이 정해진 접근이 아닌 경우, 또 코드가 잘못 입력된 경우, 칩 단위 자체에서 해당 접근을 차단할 수 있게 된 것”이라고 강조했다.

이외에도 오라클은 클라우드와 컨설팅에도 보안을 제공하고 있으며 모바일 시큐리티 및 싱글 사인온 등 전체 풀스택 영역에서 보안 솔루션을 제공하고 있다.

메리 CSO는 “보안은 제1 업무이다. 더 적극적으로 강조하고 보안에 대한 집중이 중요하다. 모든 측면에서 보안을 강화하는 건 불가능하지만 합리적 관리를 통해 핵심적인 부분에 보안을 강화하면 최대한의 효과를 얻을 수 있다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>