2019.08.29

"보안 신뢰성을 확보하라" 4차산업혁명위원회 김승주 교수, 제5회 시큐리티 월드 성료

이대영 기자 | ITWorld
"장애없는 초연결 사회 실현을 위해 신뢰성(Trustworthiness)을 확보하라." 

4차산업혁명위원회 위원이자 고려대학교 김승주 교수는 한국IDG가 개최하고 300여 명의 보안 관계자들이 참석한 제 5회 시큐리티 월드 컨퍼런스 기조연설에서 '4차산업혁명 시대의 보안 패러다임의 변화'에 대해 설파했다. 



김승주 교수는 "세상은 전세계 인구의 52%인 41억 명이 인터넷을 사용하고 인터넷과 연결된 기기의 수가 403억 개로 증가하는 초연결 사회로 진화한다. 4차산업혁명시대에서 디지털 시스템에 대한 해킹이나 장애는 국가적으로 매우 중차대한 일이기 때문에 정보보호에서 사이버보안/사이버안보로 패러다임이 변화한다"고 말했다. 문제는 기존의 여러 보안 대책들이 더이상 통용되지 않는다는 것이다.   

김승주 교수는 "우리나라는 그동안 신뢰성보다 주로 보안성만을 위주로 하는 정책을 수립하고 시행해왔다"면서 "4차산업혁명위원회에서는 보안정책 비전을 '신뢰할 수 있는 초연결 사회'로 제시하고 도메인 중심의 보안정책에서 데이터 중심으로, 보호 수준을 보안성에서 신뢰성으로, 보호 주체를 폐쇄형에서 개방형으로 전환할 것을 대통령에게 제안하고자 한다"고 밝혔다. 

도메인 중심의 보안 정책은 일정부분 보안에 도움이 되는 것은 사실이지만, 모든 것이 네트워크에 연결되어 있고, 데이터는 활발하게 공유, 활용되어야 한다는 4차산업혁명의 기본 철학과 상충된다. 기존 보안 정책은 인공지능, 빅데이터 등 4차산업혁명 시대와 관련한 산업 육성에 심각한 걸림돌이 될 수 있으며, 보안 산업 자체로 망 분리 솔루션과 망 연계 솔루션이 동시에 잘 팔리는 모순된 시장을 형성하게 된다. 

특히 4차산업혁명 시대에서는 5G 통신망과 이와 연동한 IoT 기기의 끊김없는 안정적 운영은 필수불가결한 요소다. 그러나 심장박동기와 같은 소형 IoT 기기의 경우, 보안을 포함하 여러 기능이 제한된 크기의 기기에서 서로 간섭하거나 방해를 일으킬 가능성이 높다. 

또한 출시 후 보안 문제가 발생했을 경우, PC처럼 신속하게 업데이트하거나 리부팅하는 것이 쉽지 않다. 따라서 민간, 정부, 군에서 도입되는 통신망이나 첨단 기기는 단순히 보안성만 중요시해서는 안되며, 신뢰성 관점에서 개발, 관리되어야 한다. 

김승주 교수는 "신뢰성을 확보하기 위해서는 보안 내재화(Security by Design)를 이뤄야 하는데, 일부 대기업이나 정부기관조차도 단순히 시큐어 코딩(Secure Coding)으로 잘못 이해하고 있는 것이 우리나라의 현주소다"고 토로했다.  

김 교수는 "신뢰성을 확보한다는 것은 쉽지 않은 일이며, 제품 설계에서부터 가용성(Availability), 신뢰성(Reliablity), 안정성(Safety), 보안성(Security) 등 4가지를 고려해 제품의 복잡도와 사후 업데이트를 최소화하라"고 주문했다. 또한 "단순 시큐어 코딩 위주의 정책에서 벗어나 전체 단계에 걸친 보안을 추구해야 한다"고 말했다. 

SDL(Security Development Lifecycle)은 보안 내재화를 구현한 것인데, 마이크로소프트는 이미 2002년부터 준비해 2004년에는 모든 제품군에 SDL을 적용하기로 결정한 바 있다. 

기업의 보안 활성화에 대한 물음에 김승주 교수는 "우리나라에서 가장 필요한 것은 기술적인 요소가 아니다. 조직이 무엇이 필요한지 스스로 도출해야 하는데, 우리나라는 지금까지 이런 역량을 키워오지 못했다. 일단 사전점검이든 무엇이든 스스로 진단할 수 있도록 능력을 키우는 수밖에 없다"고 설명했다. 


"문화 해커가 되자", 크리스틴 아이주에커

이어 두번째 키노트로 나선 유나이티드 항공(United Airlines) 글로벌 시큐리티 스트레티지 & 어웨어니스 시니어 매니저 크리스틴 아이주에커는 "사이버보안 문화의 중요성과 핵심 포인트"라는 주제로 조직의 사이버보안 문화를 높이기 위한 다양한 방법을 제시했다.  

크리스틴 아이주에커는 "사이버보안 위반의 90%는 인간의 오류다. 인간이야말로 가장 약한 고리라고 얘기하는 것은 게으른 사람의 핑게에 불과하다"고 비판했다. 

아이주에커는 "사람에게 집중해 보안에 대한 교육 훈련을 제대로 한다면 약한 고리가 아닐 수 있다. 유나이티드 항공 또한 처음에는 보안에 대해 관심을 두거나 적극적으로 교육과 훈련에 참여하는 사람은 아무도 없었다"고 말하면서 자신이 10년동안 조직문화를 교육하고 훈련하는 데 실행해 온 다양한 방법들을 소개했다.   

특히 아이주에커는 보안 훈련과 교육 또한 해커와 같은 방법론을 사용할 수 있다고 설파했다. 

해커들의 공격 프로세스는 일반적으로 정찰(Reconnaissance), 무기화 및 전달(Weaponization and delivery), 악용과 설치(Exploitation and Installation), 명령과 제어(Command & Control), 탈출(Exfiltration) 등의 과정이다. 

이에 아이주에커는 보안 문화 해커의 활동을 정찰, 무기화, 전달, 참여(Engage), 설치(Installation), 명령과 제어, 행동(Action)으로 분류하고 각 단계별로 활동 사항에 대해 설명했다. 

아이주에커는 "문화 해커(Culture Hacker)는 공격자와 같은 방법론을 사용하되 훔치는 것이 조직마다 각기 형성되어 있는 나쁜 문화다. 유나이티드 항공의 경우, 전직원들의 인식조사 결과, 보안에 대한 '두려움'을 갖고 있는 것으로 나타났다"고 말했다. 

아이주에커는 "사람마다 두려움에 대한 반응이 공통적이고 이를 통제하고 대응하는 기능이 있다. 이를 대응하는 방법으로 탐색하고, 인식하고, 받아들이고, 대응하는 방법을 찾는 과정을 거치는데 보안 프로세스에서는 인식과 받아들이는 프로세스를 뛰어넘은 경우가 많았다. 문제의 발생은 중간 프로세스를 생략한 것에서부터 비롯된다는 점이다"고 설명했다.  

따라서 유나이티드 항공에서는 '두려움'을 훔치는 문화 해커가 되고자 목표를 설정했다. 

이후 무기화다. 문화 해커로서 자신만의 무기를 만드는 과정에서 일단 전략, 브랜드, 사람에게 집중하고 기술과 프로세스를 접목하는 것이다. 아이주에커는 "브랜드는 현실적으로 달성할 수 있는 것이어야 하며, 임직원들의 공감대를 형성하는 것이 중요하다"고 말했다. 그리고 사이버보안을 현실에 적용할 수 있도록 사람을 바꾸는 일인데, 각 직원이 자신들의 역할이 얼마나 중요하고, 무슨 일을 하는지 정확히 인지시키는 것에서부터 시작한다. 또한 임직원들에게 위험은 실존하는 것이며 직장 이외에 집이나 다른 곳에서도 위험이 있다는 점을 인지시켜야 한다고 말했다.  

아이주에커는 "모든 임직원이 보안 전문가가 될 필요는 없다. 다만 의심스러운 이메일이나 위협이 있었다면 이를 보안 부서에 바로 연락을 하는 것이 중요하다"고 강조했다. 

하지만 이런 보안 전략을 전사적으로 적용하기 위해서는 보안인재를 확보해야 하는데, 현실적으로 어려움이 있다. 아이주에커는 "내부적으로 최종 사용자에 대한 보안 교육도 중요하지만 이와 동시에 인턴십, 내부 직원에게 보안 업무를 해볼 수 있도록 하는 로테이션 프로그램, 스스로 보안 기술을 공부한 이들을 보안 업무에 투입하는 등 아주 다양하고 창의적인 방법을 동원해서라도 인재를 확보해야 한다"고 말했다.   

이렇게 무기를 확보했다면 이를 전달하고 직원들의 참여를 이끌어내는 것인데, 이에는 4단계에 걸쳐 일관된 메시지를 전달하는 것이 중요하다. 사이버보안의 내재화를 의미하는 것으로 사람, 브랜드가 정기적으로 일관된 내용으로 소통해야 한다는 것이다. 

이후 단계는 사이버보안의 중요성을 인지하고 보안직원이 없는 상황에서도 보안문화를 이끌어갈 수 있는 옹호자를 확보하는 단계다. 유나이티드 항공에서는 엠베서더 프로그램을 진행해 자신의 부서에서 보안 홍보를 할 수 있도록 적극적으로 돕고 있다. 

이를 통해 유나이티드 항공은 목표였던 조직 내에 있던 보안에 대한 '두려움'을 없애는 것을 달성할 수 있었다. 

아이주에커는 각 단계별로 많은 계획과 실행, 프로그램이 필요한데, 무엇보다 중요한 것은 조직마다 갖고 있는 문화가 무엇인지 파악하는 것이며, 이를 달성하기 위해서는 해커와 같은 '창의적인' 생각이 무엇보다 필요하다고 말했다. 
 

300여 명의 보안 담당자 참석, 열띈 강연 

기가몬 코리아의 권혁인 이사는 "디지털 경제에서의 안전 상태에서 빠르게 나아가고 혁신하기(Run Fast, Stay Secure, and Innovate in the Digital Economy)"라는 주제로 강연했다. 

뒤이어 팔로알토 네트웍스 APAC CE 팀 김민석 이사는 "클라우드 환경의 지능형 보안 전략"이라는 주제로 클라우드 보안에서의 시장 현황과 멀티 클라우드 환경에서 기업의 보안 및 운영 전략에 대해 설명했다. 

한국IBM의 조가원 실장은 "클라우드 환경을 위한 기업 보안 고려사항"이라는 주제로 클라우드 기반의 디지털 혁신 전략에 맞는 보안 프레임워크와 클라우드 보호를 위한 지속가능한 보안 전략, 그리고 성공 사례를 소개했다. 

다크트레이스 코리아의 이재현 수석은 "기계학습을 통한 보안 위협 및 알려지지 않은 위협 대응"이라는 주제로 강연을 이어갔다. 

롯데렌탈 정보전략팀의 이상환 팀장은 "보안관리자의 360도 커뮤니케이션 방법"에서 경영진과 내부직원, 파트너사, 보안부서는 보안에 대해 모두 제각기 다른 생각을 갖고 있는데, 보안관리자는 각기 방향에 맞는 커뮤니케이션 활동을 통해 이들 모두를 조화롭게 이끌어가야 한다고 설파했다.  

우버(Uber) 시니어 시큐리티 엔지니어인 쉬레야스 쿠마는 "퍼블릭 클라우드 액세스 관리 베스트 프랙티스"라는 주제로 열띈 강의를 이어갔으며, 링크드인(LinkedIn) 스태프 인포메이션 시큐리티 엔지니어인 무쿨 쿨러는 "클라우드 보안 베스트 프랙티스 – AWS, Azure 중심으로"라는 주제로 이번 보안 컨퍼런스를 마무리했다. 

한국IDG IT월드 박재곤 편집장은 "새로운 기술이 등장하면 이로 인해 창출될 새로운 비즈니스 기회가 주목받음과 동시에 새로운 보안 위협도 뒤따른다. 4차산업혁명, 초연결 시대에는 보안 패러다임에 대한 새로운 모색이 필요하다"면서 "이번 컨퍼런스는 사람과 문화에 대한 새로운 보안 접근법과 클라우드 보안에 대한 베스트 프랙티스, 여러 기업의 최신 사례와 경험을 통해 새로운 인사이트를 얻는 자리가 되길 바란다"고 말했다. editor@itworld.co.kr 


2019.08.29

"보안 신뢰성을 확보하라" 4차산업혁명위원회 김승주 교수, 제5회 시큐리티 월드 성료

이대영 기자 | ITWorld
"장애없는 초연결 사회 실현을 위해 신뢰성(Trustworthiness)을 확보하라." 

4차산업혁명위원회 위원이자 고려대학교 김승주 교수는 한국IDG가 개최하고 300여 명의 보안 관계자들이 참석한 제 5회 시큐리티 월드 컨퍼런스 기조연설에서 '4차산업혁명 시대의 보안 패러다임의 변화'에 대해 설파했다. 



김승주 교수는 "세상은 전세계 인구의 52%인 41억 명이 인터넷을 사용하고 인터넷과 연결된 기기의 수가 403억 개로 증가하는 초연결 사회로 진화한다. 4차산업혁명시대에서 디지털 시스템에 대한 해킹이나 장애는 국가적으로 매우 중차대한 일이기 때문에 정보보호에서 사이버보안/사이버안보로 패러다임이 변화한다"고 말했다. 문제는 기존의 여러 보안 대책들이 더이상 통용되지 않는다는 것이다.   

김승주 교수는 "우리나라는 그동안 신뢰성보다 주로 보안성만을 위주로 하는 정책을 수립하고 시행해왔다"면서 "4차산업혁명위원회에서는 보안정책 비전을 '신뢰할 수 있는 초연결 사회'로 제시하고 도메인 중심의 보안정책에서 데이터 중심으로, 보호 수준을 보안성에서 신뢰성으로, 보호 주체를 폐쇄형에서 개방형으로 전환할 것을 대통령에게 제안하고자 한다"고 밝혔다. 

도메인 중심의 보안 정책은 일정부분 보안에 도움이 되는 것은 사실이지만, 모든 것이 네트워크에 연결되어 있고, 데이터는 활발하게 공유, 활용되어야 한다는 4차산업혁명의 기본 철학과 상충된다. 기존 보안 정책은 인공지능, 빅데이터 등 4차산업혁명 시대와 관련한 산업 육성에 심각한 걸림돌이 될 수 있으며, 보안 산업 자체로 망 분리 솔루션과 망 연계 솔루션이 동시에 잘 팔리는 모순된 시장을 형성하게 된다. 

특히 4차산업혁명 시대에서는 5G 통신망과 이와 연동한 IoT 기기의 끊김없는 안정적 운영은 필수불가결한 요소다. 그러나 심장박동기와 같은 소형 IoT 기기의 경우, 보안을 포함하 여러 기능이 제한된 크기의 기기에서 서로 간섭하거나 방해를 일으킬 가능성이 높다. 

또한 출시 후 보안 문제가 발생했을 경우, PC처럼 신속하게 업데이트하거나 리부팅하는 것이 쉽지 않다. 따라서 민간, 정부, 군에서 도입되는 통신망이나 첨단 기기는 단순히 보안성만 중요시해서는 안되며, 신뢰성 관점에서 개발, 관리되어야 한다. 

김승주 교수는 "신뢰성을 확보하기 위해서는 보안 내재화(Security by Design)를 이뤄야 하는데, 일부 대기업이나 정부기관조차도 단순히 시큐어 코딩(Secure Coding)으로 잘못 이해하고 있는 것이 우리나라의 현주소다"고 토로했다.  

김 교수는 "신뢰성을 확보한다는 것은 쉽지 않은 일이며, 제품 설계에서부터 가용성(Availability), 신뢰성(Reliablity), 안정성(Safety), 보안성(Security) 등 4가지를 고려해 제품의 복잡도와 사후 업데이트를 최소화하라"고 주문했다. 또한 "단순 시큐어 코딩 위주의 정책에서 벗어나 전체 단계에 걸친 보안을 추구해야 한다"고 말했다. 

SDL(Security Development Lifecycle)은 보안 내재화를 구현한 것인데, 마이크로소프트는 이미 2002년부터 준비해 2004년에는 모든 제품군에 SDL을 적용하기로 결정한 바 있다. 

기업의 보안 활성화에 대한 물음에 김승주 교수는 "우리나라에서 가장 필요한 것은 기술적인 요소가 아니다. 조직이 무엇이 필요한지 스스로 도출해야 하는데, 우리나라는 지금까지 이런 역량을 키워오지 못했다. 일단 사전점검이든 무엇이든 스스로 진단할 수 있도록 능력을 키우는 수밖에 없다"고 설명했다. 


"문화 해커가 되자", 크리스틴 아이주에커

이어 두번째 키노트로 나선 유나이티드 항공(United Airlines) 글로벌 시큐리티 스트레티지 & 어웨어니스 시니어 매니저 크리스틴 아이주에커는 "사이버보안 문화의 중요성과 핵심 포인트"라는 주제로 조직의 사이버보안 문화를 높이기 위한 다양한 방법을 제시했다.  

크리스틴 아이주에커는 "사이버보안 위반의 90%는 인간의 오류다. 인간이야말로 가장 약한 고리라고 얘기하는 것은 게으른 사람의 핑게에 불과하다"고 비판했다. 

아이주에커는 "사람에게 집중해 보안에 대한 교육 훈련을 제대로 한다면 약한 고리가 아닐 수 있다. 유나이티드 항공 또한 처음에는 보안에 대해 관심을 두거나 적극적으로 교육과 훈련에 참여하는 사람은 아무도 없었다"고 말하면서 자신이 10년동안 조직문화를 교육하고 훈련하는 데 실행해 온 다양한 방법들을 소개했다.   

특히 아이주에커는 보안 훈련과 교육 또한 해커와 같은 방법론을 사용할 수 있다고 설파했다. 

해커들의 공격 프로세스는 일반적으로 정찰(Reconnaissance), 무기화 및 전달(Weaponization and delivery), 악용과 설치(Exploitation and Installation), 명령과 제어(Command & Control), 탈출(Exfiltration) 등의 과정이다. 

이에 아이주에커는 보안 문화 해커의 활동을 정찰, 무기화, 전달, 참여(Engage), 설치(Installation), 명령과 제어, 행동(Action)으로 분류하고 각 단계별로 활동 사항에 대해 설명했다. 

아이주에커는 "문화 해커(Culture Hacker)는 공격자와 같은 방법론을 사용하되 훔치는 것이 조직마다 각기 형성되어 있는 나쁜 문화다. 유나이티드 항공의 경우, 전직원들의 인식조사 결과, 보안에 대한 '두려움'을 갖고 있는 것으로 나타났다"고 말했다. 

아이주에커는 "사람마다 두려움에 대한 반응이 공통적이고 이를 통제하고 대응하는 기능이 있다. 이를 대응하는 방법으로 탐색하고, 인식하고, 받아들이고, 대응하는 방법을 찾는 과정을 거치는데 보안 프로세스에서는 인식과 받아들이는 프로세스를 뛰어넘은 경우가 많았다. 문제의 발생은 중간 프로세스를 생략한 것에서부터 비롯된다는 점이다"고 설명했다.  

따라서 유나이티드 항공에서는 '두려움'을 훔치는 문화 해커가 되고자 목표를 설정했다. 

이후 무기화다. 문화 해커로서 자신만의 무기를 만드는 과정에서 일단 전략, 브랜드, 사람에게 집중하고 기술과 프로세스를 접목하는 것이다. 아이주에커는 "브랜드는 현실적으로 달성할 수 있는 것이어야 하며, 임직원들의 공감대를 형성하는 것이 중요하다"고 말했다. 그리고 사이버보안을 현실에 적용할 수 있도록 사람을 바꾸는 일인데, 각 직원이 자신들의 역할이 얼마나 중요하고, 무슨 일을 하는지 정확히 인지시키는 것에서부터 시작한다. 또한 임직원들에게 위험은 실존하는 것이며 직장 이외에 집이나 다른 곳에서도 위험이 있다는 점을 인지시켜야 한다고 말했다.  

아이주에커는 "모든 임직원이 보안 전문가가 될 필요는 없다. 다만 의심스러운 이메일이나 위협이 있었다면 이를 보안 부서에 바로 연락을 하는 것이 중요하다"고 강조했다. 

하지만 이런 보안 전략을 전사적으로 적용하기 위해서는 보안인재를 확보해야 하는데, 현실적으로 어려움이 있다. 아이주에커는 "내부적으로 최종 사용자에 대한 보안 교육도 중요하지만 이와 동시에 인턴십, 내부 직원에게 보안 업무를 해볼 수 있도록 하는 로테이션 프로그램, 스스로 보안 기술을 공부한 이들을 보안 업무에 투입하는 등 아주 다양하고 창의적인 방법을 동원해서라도 인재를 확보해야 한다"고 말했다.   

이렇게 무기를 확보했다면 이를 전달하고 직원들의 참여를 이끌어내는 것인데, 이에는 4단계에 걸쳐 일관된 메시지를 전달하는 것이 중요하다. 사이버보안의 내재화를 의미하는 것으로 사람, 브랜드가 정기적으로 일관된 내용으로 소통해야 한다는 것이다. 

이후 단계는 사이버보안의 중요성을 인지하고 보안직원이 없는 상황에서도 보안문화를 이끌어갈 수 있는 옹호자를 확보하는 단계다. 유나이티드 항공에서는 엠베서더 프로그램을 진행해 자신의 부서에서 보안 홍보를 할 수 있도록 적극적으로 돕고 있다. 

이를 통해 유나이티드 항공은 목표였던 조직 내에 있던 보안에 대한 '두려움'을 없애는 것을 달성할 수 있었다. 

아이주에커는 각 단계별로 많은 계획과 실행, 프로그램이 필요한데, 무엇보다 중요한 것은 조직마다 갖고 있는 문화가 무엇인지 파악하는 것이며, 이를 달성하기 위해서는 해커와 같은 '창의적인' 생각이 무엇보다 필요하다고 말했다. 
 

300여 명의 보안 담당자 참석, 열띈 강연 

기가몬 코리아의 권혁인 이사는 "디지털 경제에서의 안전 상태에서 빠르게 나아가고 혁신하기(Run Fast, Stay Secure, and Innovate in the Digital Economy)"라는 주제로 강연했다. 

뒤이어 팔로알토 네트웍스 APAC CE 팀 김민석 이사는 "클라우드 환경의 지능형 보안 전략"이라는 주제로 클라우드 보안에서의 시장 현황과 멀티 클라우드 환경에서 기업의 보안 및 운영 전략에 대해 설명했다. 

한국IBM의 조가원 실장은 "클라우드 환경을 위한 기업 보안 고려사항"이라는 주제로 클라우드 기반의 디지털 혁신 전략에 맞는 보안 프레임워크와 클라우드 보호를 위한 지속가능한 보안 전략, 그리고 성공 사례를 소개했다. 

다크트레이스 코리아의 이재현 수석은 "기계학습을 통한 보안 위협 및 알려지지 않은 위협 대응"이라는 주제로 강연을 이어갔다. 

롯데렌탈 정보전략팀의 이상환 팀장은 "보안관리자의 360도 커뮤니케이션 방법"에서 경영진과 내부직원, 파트너사, 보안부서는 보안에 대해 모두 제각기 다른 생각을 갖고 있는데, 보안관리자는 각기 방향에 맞는 커뮤니케이션 활동을 통해 이들 모두를 조화롭게 이끌어가야 한다고 설파했다.  

우버(Uber) 시니어 시큐리티 엔지니어인 쉬레야스 쿠마는 "퍼블릭 클라우드 액세스 관리 베스트 프랙티스"라는 주제로 열띈 강의를 이어갔으며, 링크드인(LinkedIn) 스태프 인포메이션 시큐리티 엔지니어인 무쿨 쿨러는 "클라우드 보안 베스트 프랙티스 – AWS, Azure 중심으로"라는 주제로 이번 보안 컨퍼런스를 마무리했다. 

한국IDG IT월드 박재곤 편집장은 "새로운 기술이 등장하면 이로 인해 창출될 새로운 비즈니스 기회가 주목받음과 동시에 새로운 보안 위협도 뒤따른다. 4차산업혁명, 초연결 시대에는 보안 패러다임에 대한 새로운 모색이 필요하다"면서 "이번 컨퍼런스는 사람과 문화에 대한 새로운 보안 접근법과 클라우드 보안에 대한 베스트 프랙티스, 여러 기업의 최신 사례와 경험을 통해 새로운 인사이트를 얻는 자리가 되길 바란다"고 말했다. editor@itworld.co.kr 


X