변화속도가 빨라 유연성이 핵심인 보안업종이 보수의 상징
“이제 아무 일도 일어나지 않게 하는 것만이 정답은 아냐”

[보안뉴스 주소형] 유명해지고 싶어 안달이 난 사람이 있다면 너무 유명해져서 문제인 사람도 있다. 혹은 유명해지기 싫은 사람도 있다. 사람 뿐만 아니라 기업도 마찬가지다. 유명해지고 싶은 곳이 있는가하면 외부나 언론에 이름이 오르는 게 마이너스인 곳도 있다. ‘보안’과 얽히면 다들 후자가 된다. 드롭박스(Dropbox)의 CISO인 패트릭 하임(Patrick Heim)은 보안업무의 특성이 아무 일도 일어나지 않게 하는 게 잘하는 것이라고 말했다. 튀면 안 된다고도 덧붙였다.


물론 이 공식이 항상 맞다는 것은 아니다. 보안기술에 있어 능력자로 꼽히면서 유명하기까지 한 사람도 있기 때문이다. 대표적인 인물이 바로 에드워드 스노든(Edward Snowden). 그는 반대로 자신이 보유한 보안기술 등을 통해 일을 만들어가고 있다.

하지만 스노든과 같은 예외를 제외하고는 보안업무를 요란스럽게 하는 경우는 잘 없다. 대체적으로 보안은 조용해야 잘 하는 것이라는 논리가 들어맞기 때문이다. 그런데 이러한 조용조용한 보안인들의 특성 탓에 보안 분야가 크게 어필되지 않고 있다는 점이 문제가 되고 있다.

자동차 해킹 범죄 등 우리가 가정하고 우려하던 일들이 정말 빠르게 현실화되고 있다. 이렇게 빠르게 변하고 있는 분야인 만큼 새로운 인력이 절실한데 젊은 층들이 보안에 관심이 없다는 것. 그들의 대부분이 보안업무가 뭔지도 모른다고 한다. 따라서 보안업계 세대교체의 속도도 더뎌 가장 진보적이어야 하는 보안업종이 보수적인 업종의 상징이 되어가고 있다.

애플과 마이크로소프트의 관계도 이와 마찬가지다. 폐쇄적인 개발환경으로 상대적으로 보안성이 높다는 평가를 받는 대신 업데이트에 불편한 구조를 가진 애플과 개방된 환경으로 상대적으로 보안성은 떨어지지만 업데이트에 상당히 유연한 구조를 가진 마이크로소프트. 때문에 보안과 ‘유명세’는 이들의 관계와 비슷하다는 생각이다.

이제 보안은 아무 일도 일어나지 않게 하는 것만 잘해서는 안 된다. 그 이상이 필요하다. 따라서 보안에서의 유명세는 어떤 면에서는 반드시 필요한 과제인 듯하다.

실제로 보안 분야에서 능력 있으면서도 유명해 조용하고 보수적인 보안 분야의 예외로 꼽히는 스노든도 금주 한국의 IT 및 보안기자들과의 화상 인터뷰에서 자신과 같은 일을 하려는 일명 동지 보안인들이 늘어나고 있다고 말했다.

1. “정보보안의 업무가 가진 특징은 일이 끊임없이 돌아가며, 성공과 승리가 눈에 띄지 않는다는 것이다. 아무 일도 일어나지 않는 게 잘하는 것이기 때문이다. 반대로 무슨 일이 터지기 시작하면 온 이목이 보안팀에게로 집중된다. 이런 상황에서 팀원들이 충분한 승리감을 맛볼 수 있도록 자축을 한다거나 독려를 하는 시스템을 마련해야 한다. 리스크나 공격 방식들도 진화하고 있는데, 우리도 근본적으로 변화를 꾀해야 한다.”
- 드롭박스(Dropbox)의 CISO인 패트릭 하임(Patrick Heim)

2. “현재 사이버보안 업계가 전 세계적으로 인력난을 겪으며 인력 부족 문제를 해결하기 위해서는 좀 더 나아가 왜 부족하게 되었는지에 대한 고민을 먼저 할 필요가 있다. 여성과 젊은 세대 사람들이 도대체 왜 사이버보안업계에 발을 내딛을 수 없는지 파악해야 한다.”
- 레이시언의 발레시아 맥린(Valecia Maclin) 사이버보안 프로그램 책임자

3. “사이버보안 정보 공유법(CISA)과 프라이버시는 크게 상관이 없을 거라고 본다. 이번엔 정부가 ‘첩보 공유하는 게 불법 아닌 걸로 해줄 테니 마음껏 공유하라’고 장을 열어준 것 뿐이다. 프라이버시가 침해되느냐 아니냐는 이 법을 활용하는 사람들이 어떻게 하느냐에 달려 있다.”
- 前 백악관 사이버보안 고문관이자 위협 첩보 공유 전문기업인 트러스타(TruSTAR)의 CEO인 폴 커츠(Paul Kurtz)

4. “지금 위협 첩보 시장은 이미 활성화되어 있다. 그럼에도 해결이 어려워 보이는 장애물이 있는데 그건 바로 공유하려는 정보에 얽힌 사람들 간의 협의를 도출하기가 어렵다는 것이다. CISA가 통과되었다고 이 문제가 해결될 것인가, 라고 묻는다면 난 아니라고 답할 것이다. 첩보를 공유한다는 건 ‘법’으로 해결할 게 아니라 관계자들 사이의 협의에 의해 활성화되어야 하기 때문이다.”
- 로그리듬(LogRhythm)의 CTO인 크리스 피터슨(Chris Petersen)

5. “조만간 많은 기업들이 백신에 투자하는 걸 멈출 것이며 공짜나 시험 버전을 활용하는 쪽으로 방향을 틀 것이다.”
- 포리스터 리서치(Forrester Research)의 크리스 셔먼(Chris Sherman)

6. “대부분의 전문가들이 애플의 폐쇄된 개발환경을 긍정적인 요소로 평가하고 있다. 이로 인해 공격자들에게 타깃이 되는 경우가 윈도우에 비해 적다는 분석 때문이다. 물론 그렇다고해서 애플이 안전하다고 할 수는 없다. 반면 마이크로소프트 프로그램들은 유출 위험관리 대상에 상대적으로 빠져 있었다. 패치를 적용하는 방법이 비교적 용이하다는 것이 주요요인이다.”
- 시큐니아 리서치(Secunia Research)
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>