\r\n\r\n\r\n\r\n| \r\n 
|
\r\n
비크 만코티아 CA 부사장과 마크 앤드류 블루코트 부사장 대담
\r\n
‘정보보안’ 아니라 ‘안전’ 논해야 vs. 이전 것의 보완도 중요
\r\n
반응형 보안보다 주도형 보안이 지금은 더 필요한 때
\r\n
\r\n
[시큐리티월드 : 문가용] 20년. 예전 우리들의 할아버지 할머니 시대의 체감 속도로도 강과 산이란 견고한 지형지물이 무려 두 번이나 변하는 시간이며 변화무쌍한 인터넷, IT라는 물렁물렁한 세계에서라면 대여섯 번은 지각변동이 일어날 수 있는 시간이다.
\r\n
\r\n
그 시간만큼 정보보안 업계에 있었던 비크 만코티아(Vic Mankotia) CA 부사장과 마크 앤드류(Marc Andrews) 블루코트 부사장이 처음 이 계통에 입문했을 무렵엔 멀웨어나 바이러스가 이론상으로만 존재하는 것이었다고 하니, 이 두 대선배의 입장에서 20년은 지각변동 이상, 천지창조에 준하는 사건이 일어나도 전혀 이상하지 않은 기간일 게다.
\r\n
\r\n
그런 기간을 외도 없이 관통해 와서 그런지 가만히 앉아 있었으나 두 사람이 방안을 채우는 분위기는 묵직했다. 그럼에도 차이가 없지는 않았다. 한 사람은 앞으로 몸을 기울여 책상에 바짝 기댔고, 한 사람은 기울임 없이 꼿꼿했다. 한 사람은 이야기를 들려주었고, 한 사람은 질문을 들어주었다. 자세만큼, 이들의 표현법은 차이를 보였다.
\r\n
\r\n
1. 비크의 보안 3원칙 vs. 마크의 보안 3원칙
\r\n
어려서 물리를 착실히 공부했던 것 때문인지 무슨 이야기든 ‘정의’에서부터 시작해야 마음이 편한 기자는 지금 이 시점에서 보안이 갖고 있는 의미를 물었는데, 둘은 똑같이 손가락 세 개를 펴들었다. 비크 만코티아 CA 부사장의 답이 보다 간단명료했다. “올바른 사람, 올바른 정보, 올바른 기기(right person, right information, right device)라고 봅니다. 올바른 사람에게 올바른 기기를 통해 올바른 정보를 전달해주는 게 바로 보안이라는 것이죠. 단순히 뭔가를 지켜낸다는 개념에서부터 한 발 더 나아간 것입니다.”
\r\n
\r\n
이에 대해 마크 앤드류 블루코트 부사장은 조금 더 기업의 입장에서 보는 보안에 대해 말하며 손가락을 하나하나 접었다. “이제 보안은 깊이와 탁월함을 요구하는 분야가 되어가고 있습니다. 또한 모두에게 활짝 열려있는 걸 지향해야 하고요, 마지막으로 확장성이 주요 요소가 되어가고 있습니다. 위협과 공격이 갈수록 다양해지고 있기 때문에 어설퍼서는 보안이 성립이 되지 않습니다. 위협에 대한 정보, 즉 첩보에 대한 내용과 대처법도 서로서로 공유하지 않고서, 즉 각개전투로도 보안이 성립이 되지 않고요. 초연결시대라고 하는 지금, 이전보다 훨씬 많은 사람과 조직을 아울러야 하는 것도 자연스러운 결론입니다.” 한 마디로 깊으면서도 넓게 파야한다는 것.
\r\n
\r\n
2. No to Know vs. GIN
\r\n
\r\n\r\n\r\n\r\n| \r\n 
|
\r\n\r\n| \r\n ▲ 비크 만코티아 CA 부사장 |
비크 만코티아는 둘의 관점이 결국 크게 보면 같은 소리라고 정리했다. “제가 보기에 둘의 세 가지 원칙이라는 것은 결국 ‘No to Know’라는 관점에서 같은 맥락에 있다고 봅니다. ‘지킨다’는 개념의 정보보안이 결국 사용자에게 하는 소리라고는 ‘No’였습니다. 이 USB 사용하면 안 돼, 저기에 접속하면 안 돼, 카페에서 회사 클라우드에 들어오면 안 돼, 안 돼, 안 돼, 안 돼. 잔소리였던 것이죠. 그러니 사람들이 무시하기 시작한 겁니다.”
\r\n
\r\n
사용자의 이런 심리도 그렇고 요즘 시대 벌어지는 각종 공격의 지형도 그렇고 이제는 ‘제한하고 막아서는’ 것보다 ‘알아가는(know)’ 노력이 선행되어야 하는 게 보안의 핵심과제라고 비크 만코티아는 강조했다. “이 사람이 이러한 정도의 권한을 갖기에 알맞은 사람인가, 물어보며 사람을 알아야 하고 이게 맞는 정보인가 물으며 정보의 성질에 대해서도 알아야 합니다. 그러면서 요즘 사용되는 기기의 안전도는 어떠한지, 또 어떤 기기가 사내에 돌아다니고 있는지도 알아야 합니다. 즉, 보안은 이제 끊임없이 배우고 알아가야 하는 업무가 된 것이입니다. 그게 No to Know입니다.”
\r\n
\r\n
마크 앤드류 역시 ‘알아가야 하는 것’의 중요성에 고개를 끄덕였다. 그렇기 때문에 산업별로 첩보를 공유하는 움직임이 계속해서 일어나고 있다는 것이다. “이미 금융권이나 주요 산업에서는 CISO 등이 오래 전부터 만나서 위협 정보를 나눠왔었습니다. 그리고 저희 같은 보안 업체들 역시 세계의 첩보 지형을 수집하고 모아서 고객들에게 제공하고 있고요. 블루코트에선 이를 GIN(Global Intelligence Network)이라고 하는데, 이게 사실 저희의 주요 셀링 포인트이기도 합니다. 이 역시 ‘알기 위해 애쓰는 보안’과 일맥상통합니다.”
\r\n
\r\n
그러면서 마크 앤드류는 해외 벤더들이 한국 시장에서 더 빠르게 성장하는 이유 중 하나가 여기에 있다고 짚었다. “한국 시장은 꽤나 폐쇄적이었습니다. 국산 벤더들이 상당히 선호받았죠. 하지만 요즘은 저희 같은 외산 업체들이 더 빠르게 성장하고 있습니다. 소비자들이 한국 바깥에서 일어나는 세계의 첩보를 궁금해 한다는 겁니다. 더 알고 싶어하는 것이죠. 그걸 현재는 해외 기업들이 더 잘 충족시켜 주는 것이고요. 앞으로 한국도 그렇지만 어느 시장에서나 보안 업체가 살아남으려면 최소한 세계의 첩보를 수집해서 공유할 수 있어야 할 겁니다.” 이는 아까 마크 앤드류 자신이 말한 세 가지 원칙이 나온 배경이기도 하다.
\r\n
\r\n
3. 더 이상 안 되는 것 vs. 전체를 아울러야
\r\n
이렇게 보안의 큰 틀이 바뀐다는 건 접근 방식이나 개념의 변화도 수반하게 되어 있다. 비크 만코티아는 보안을 더 이상 ‘덧대기(build-on) 할 수 없는 것’이라고 표현했다. 이전까지는 프로그램이나 시스템을 완성하고 나서 나중에 보안 장치를 덧붙이기 일쑤였는데, 이제는 그렇게 해서는 도저히 현대의 정보보안 개념을 쫓아갈 수 없다는 것이다. “설계 단계에서부터 보안을 생각해야 합니다. 예를 들어 요즘에 공짜 앱, 공짜 서비스가 많아졌지만 이게 생각해보면 공짜가 아니에요. 어느 정도의 ‘개인정보’라는 것을 지불하고 받는 것이죠. 그러니 이런 서비스나 소프트웨어를 기획하고 있다면 소비자의 개인정보를 보호할 수 있는 방법을 아예 처음부터 고려해야 한다는 것이죠.”
\r\n
\r\n\r\n\r\n\r\n| \r\n 
|
\r\n\r\n| \r\n ▲ 마크 앤드류 블루코트 부사장 |
마크 앤드류 역시 비슷한 표현을 했는데 키워드는 ‘라이프 사이클’ 즉 생애주기였다. 정보의 생성부터 소멸까지를 파악하고 관리해야 온전한 보안을 할 수 있다는 것. 이는 6월 30일 서울 코엑스에서 열리는 PIS FAIR 2015의 테마와 정확히 일치한다. “블루코트에서 특히 중요하게 보는 부분은 게이트웨이입니다. 게이트웨이가 가장 기초적인 빌딩 블록(building block)이라고 보는 것이죠. 여기에서 통신의 속도, 로그, 트래픽 등이 제어되기 때문입니다.” 기초 빌딩 블록인 게이트웨이를 중시한다는 것이나 아예 설계 단계부터 보안을 고려해야 한다는 건 결국 같은 말로 들렸다.
\r\n
\r\n
“맞죠. 저는 심지어 ‘정보보안’이라는 단어도 더 이상 사용하지 말아야 한다고 생각합니다.” 다소 파격적인 비크 만코티아의 발언이었다. “정보보안이라고 하면 IT 기술자들만의 일이라는 느낌이 강하게 풍겨나옵니다만, 정말 그런가요? 요즘 시대에도 정보보안이 정말 기술자들만의 일인가요? 아니죠. 이젠 이게 정보보안 문제가 아니라 ‘안전 문제’입니다. 저는 그래서 정보보안이란 말보다 안전(safety)이라는 말을 더 즐겨 씁니다. 보안사고가 아니라 안전사고입니다. 지금 시대에서는요.”
\r\n
\r\n
마크 앤드류는 변화의 선두에 서있는 것도 중요하지만 “여태까지 해왔던 걸 더 잘하려고 노력하는 것도 중요하다”고 강조했다. “역사 없이는 미래를 예측할 수 없습니다. 아니, 잘 복기하지 않은 과거 없이는 그저 같은 미래만 반복할 뿐이라는 것이죠. 사건이 터지면 되돌아가 누가 어떤 의도로 어떤 방법을 통해 일을 저질렀는지 최대한 꼼꼼하게 파악하고 그걸 여러 사람과 공유해 피해 확산을 막는 것, 이런 노력 자체는 계속되어야 할 것입니다. 물론 지금보다 더 잘해야겠지만요.”
\r\n
\r\n
4. 보다 더 낮춰서 다가가기 : 교육 vs. 서비스
\r\n
비크 만코티아가 고개를 끄덕인다. “결국 불안전한 시스템이란 관리를 안 한 시스템이거든요. 저는 저희 아이들의 모바일 기기 설정을 꼼꼼하게 해주고 관리합니다. 이는 결국 기기나 시스템뿐 아니라 사람의 교육에까지 연결이 됩니다. 학교에서 안전교육을 할 때 정보보안도 들어가야 한다고 생각합니다.” 그래서 이렇게 정보보안이 그의 말대로 ‘안전’이라는, 보다 광범위한 범위의 개념으로 자리 잡히게 되었을 때 “정보보안이야말로 (성공하는 기업과 그렇지 않은 기업의) 가장 중요한 판독기가 될 것”이라고 말했다. 지금 보안 투자율이 갈수록 늘고 있어 이런 미래 전망은 더더욱 확실해 보인다는 게 그의 설명이다.
\r\n
\r\n
아직은 세계 5000대 기업 등 대기업 및 기관을 주로 상대하는 블루코트지만, 그럼에도 중소기업이나 개별 사용자를 무시하고 있지는 않다는 점에서 마크 앤드류도 할 말이 있었다. “아무리 기업을 단단한 방어막으로 보호한다고 해도 결국 어느 순간엔 개인에 다다르게 되어 있습니다. 아직 중소기업이나 그런 개인 사용자를 위한 제품 라인업을 갖추고 있지는 않지만 예를 들어 작년 미국에서 AT&T에 보안 인터넷 클라우드 서비스를 제공하는 등 간접적으로 개인 사용자들을 보호하려고 하고 있습니다. 한국에서도 SK브로드밴드와 비슷한 파트너십을 맺고 있고요. 분명 개인과 중소기업은 보안업계의 중요한 관심사일 수밖에 없습니다.”
\r\n
\r\n
5. Proactive vs. Reactive
\r\n
최근 정보보안, 혹은 새 개념의 안전에 접근하는 태도는 크게 두 가지로 볼 수 있는데 하나는 주도형 보안(proactive security)이고 다른 하나는 반응형 보안(reactive security)이다. 물론 어느 하나가 다른 하나에 비해 완전히 앞서는 고급개념이라고 볼 수는 없다. 미리 공격을 예상하고 방어하는 주도형 보안은 피해를 최소화 할 수 있으며, 이미 일어난 사건의 철저한 분석으로 같은 실수를 반복하지 않으려는 반응형 보안 역시 요즘처럼 100% 방어가 보장되지 않는 때에 절대로 무시할 수 없기 때문이다.
\r\n
\r\n
하지만 두 선배 모두 ‘요즘은 주도형 보안’이 더 중요하다는 데에 목소리를 맞추었다. 알아가는 보안, 세계 모든 위협 첩보를 공유하는 보안 모두 주도형 보안의 일부라고 했다. 설계부터 보안을 생각하는 것도, 게이트웨이부터 보안을 강화하는 것도 모두 이 주도형 보안의 모습이라는 것이다.
\r\n
\r\n
“모든 것을 다 막을 수는 없습니다. 하지만 확산을 최소화할 수는 있습니다. 누군가의 반응형 보안이 누군가의 주도형 보안으로서 작용할 수 있다면, 즉 누군가 미리 당한 사고에 대한 소식이 빨리빨리 공유돼서 더 큰 사건을 예방할 수 있는 것, 그리고 그걸 꼼꼼하게 잘 하는 것, 그것이 현대 보안의 할 일입니다. 그것을 정보보안의 테두리를 넘어 일반적인 안전의 개념에까지 가져가는 게 과제고요. 여기에 기업이나 조직뿐 아니라 개인 단위의 참여가 반드시 이루어질 것이라는 건 현대 보안의 책임입니다.”
\r\n
\r\n
* 본 기사는 스승의날 기획 아래 개별 인터뷰로 진행된 것을 대담 형식으로 묶은 것임을 알려드립니다.
\r\n
\r\n
\r\n
[사진, 글 : 시큐리티월드 문가용 기자]
\r\n
\r\n
[월간 시큐리티월드 통권 220호 (sw@infothe.com)]
\r\n
\r\n
<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
