정보 보안 위협 지형은 계속 진화하고 있다. 소속 회원들을 대신해 보안 및 위험 관리 문제를 평가하는 비영리 단체인 인터넷 시큐리티 포럼(Internet Security Forum, ISF)은 앞으로 2년 동안 직면할 가장 큰 보안 위협에 대한 정보가 담긴 ‘위협 지평(Threat Horizon)’이라는 보고서를 발간하고 있다. 다음은 2016년까지 기업과 단체들이 불안에 빠트릴지 모르는 가장 큰 위협 10가지와 ISF의 글로벌 부대표인 스티브 더빈의 조언을 정리했다. ciokr@idg.co.kr
수면 위로 부상하는 각국 정부 주도의 스파이 활동
최근까지도 정부 주도의 스파이 활동 대다수는 암암리에 이뤄졌다. 그러나 지난 몇 년간 이런 활동 중 상당수가 공개되고 말았다. 인터넷 시큐리티 포럼(ISF)의 스티브 더빈 글로벌 부대표는 이런 스파이 활동 공개가 다른 국가들로 하여금 스파이 활동에 뛰어들도록 만드는 경향이 있다고 지적했다.
더빈은 "중국과 북한 같은 공산주의 국가만 정부 주도로 스파이 활동을 하는 게 아니다. 이제 민주주의 국가들까지 가세했다. 많은 사람들이 충격을 받았을 것으로 생각한다. 그리고 이런 추세가 보안 지형을 크게 바꾸고 있다"고 말했다.
ISF는 기업과 단체들이 위협 정보를 나누는 포럼에 참석하고, 산업 전반에 걸쳐 관계를 쌓아나가야 한다고 권고했다. 또 전사적으로 적절히 보안 지식과 인식을 구축하고 재고해야 한다. Credit: Thinkstock
비즈니스를 복잡하게 만드는 분열된 인터넷
각국 정부들은 자유로운 인터넷에 제동을 걸기 위해 탐탁치 않은 콘텐츠에 일반인들이 접근하지 못하도록 검열(필터링)을 사용하기 시작했다. 또 자국 네트워크와 외국 스파이와의 커뮤니케이션을 고립시키는 방법을 조사하기 시작했다. 이런 로컬 기반의 인터넷 거버넌스를 통해 인터넷에 국경을 긋고 싶어하는 것이다.
더빈은 "이런 로컬 또는 폐쇄된 인터넷을 포장하는 미사어구들은 흥미롭다. 그러나 나는 이런 분열된 인터넷에는 장점이 없다고 판단한다"고 밝혔다.
ISF는 사이버 복원성을 높이기 위해 산업 전반에 걸쳐 파트너십을 조율하고 유지해 정보를 공유하고, 정보 공유를 위해 외부의 여러 거버넌스 프로세스에 참가할 것을 권고하고 있다. Credit: Thinkstock
국가 개입이 초래한 예기치 못한 결과
정부가 인터넷을 통제하면서 많은 기업들이 부수적인 피해를 입을 수 있다. NSA의 스파이 프로그램이 자세히 공개되면서 미국의 많은 서비스 공급자들의 평판에 피해가 간 것을 단적인 예로 들 수 있다.
더빈은 미국 법무부가 2012년 저작권 위반 등 불법 활동을 이유로 폐쇄 조치한 파일 공유 사이트인 메가업로드(Megaupload) 사례를 예로 들었다. 이 조치로 1,100만 개의 적법한 파일도 공유가 차단됐기 때문이다.
ISF는 이런 위협에 대한 복원력을 갖추고, 적절한 보안 대책을 마련해 이행할 것을 권고했다. 또 고객들을 대상으로 하는 메시지를 준비해둬야 한다고 강조했다. 예를 들어, 구글은 최근 미국 정부로부터 영장을 받았을 때 사용자의 개인정보와 보안을 어떻게 보호하는지 자세히 설명한 동영상을 발표했다. Credit: Thinkstock
주요 취약점으로 지목된 서비스 업체
서비스 공급업체들은 사이버 범죄자들이 간접적으로 기업이나 단체의 취약점을 공격할 때 악용할 수 있는 공급망의 중요 취약점이 되고 있다.
더빈은 "현대의 기업들은 써드파티 공급업체 및 다른 공급망과 데이터를 공유한다. 따라서 공급망의 무결성, 공급망이 자신들을 대신해 데이터를 수집하는 방법을 파악하고 감시해야 한다. 누군가 침입해 데이터를 변경했다고 가정해보자. 경쟁자가 시장에 진출하기 전에 먼저 정보를 얻거나, 경쟁자의 시장 진입 속도를 늦출 수 있도록 하는 또다른 시장이 형성돼 있다"고 지적했다.
ISF는 서비스 공급업체와의 관계를 튼튼히 발전시켜 나가야 한다고 권고했다. 파트너 관계로 발전을 시키는 데 목적이 있다. 또 소속 조직의 정보를 지배하는 법과 규정을 확실히 이해해야 한다. Credit: Thinkstock
빅데이터='빅(큰)' 문제
데이터 분석은 적절히 활용하면 기업이나 조직에 큰 이득을 가져다 준다. 그러나 사용해서는 안 되는 데이터 및 불완전한 데이터를 사용하는, 잘못된 전략적 결정을 내리면 재앙이 초래될 위험이 있다.
더빈은 "사용할 정보의 출처를 정확히 판단해야 한다. 그러나 여기에는 도전이 따르곤 한다. 여러 형태의 데이터를 사용해 결과를 검증할 수 있는 적절한 역량을 갖춰야 한다"고 강조했다.
또 빅데이터 분석에 필요한 역량도 필요하다. ISF는 여기에 더해, 정보보안 문제에 빅 데이터 분석을 적용할 때의 프로세스를 수립할 것을 권고했다. Credit: Thinkstock
주요 감염 경로로 부상한 모바일 앱
모바일은 현재 기술 지형에 가장 큰 영향을 미치는 트렌드 중 하나다. 그러나 빠른 개발 주기와 모바일 앱의 미흡한 보안으로 사이버 범죄자와 해커들이 기업에 침입하기 위해 악용하는 주요 표적이 되고 있다.
더빈은 "스마트폰 등 모바일 기기에서 기업용 서비스를 이용하는 사례가 증가하고 있다. 이런 기기들은 그다지 안전하지 않다. 누구나 알고 있는 사실이다. 사이버 범죄자들 또한 이를 이용했을 때 더 쉽게 기업에 침입할 경로를 찾는다. 향후 이 부분의 감염이 증가할 것으로 전망된다"고 말했다.
ISF는 사용자 장치에도 기존의 접근 관리 기준을 적용할 것을 권고했다. 또 새로운 방법으로 BYOx(Bring Your Own Anything)와 관련된 위험을 교육하고, 인식을 높여야 한다. Credit: Thinkstock
암호화의 실패
암호화는 인터넷 상호작용의 기본 보안 통제책이 됐다. 그러나 컴퓨터 성능이 증가하고 소프트웨어의 백도어가 여전한 실정이기 때문에 암호화만으로는 보안에 만전을 기할 수 없게 됐다. 더빈은 100% 확실한 보안이란 없다고 강조했다. 암호화는 보안 계획의 한 요소일 뿐 전부가 되지는 못한다는 것이다.
더빈은 "암호화는 절대적인 해결책이 아니다. 도입해 사용하고 있는 암호화 기술과 기법을 조사해, 다른 보호 대책이 필요한지 판단을 내릴 필요가 있다"고 말했다.
ISF는 중요한 기밀 자산이 위치한 장소를 파악하기 위해 정보를 분류하고, 현재 활용하고 있는 암호화 솔루션을 분석해, 취약점을 개선할 수 있는 전략을 판단할 것을 권고했다. Credit: Alessia Pierdomenico/Reuters
높아진 CEO의 인식··· 이제는 실행에 옮길 때
오랜 기간 CISO와 다른 보안 전문가들만 보안에 대해 목소리를 높였다. 그러나 이 부분이 변하기 시작했다. CEO와 다른 C레벨 경영진들도 보안 필요를 인식하기 시작한 것이다.
더빈은 "타겟(Target)의 사고에 감사해야 한다. 보안의 중요성에 대한 인식을 높였기 때문이다. 앞으로 6~18개월 동안 많은 경영진들이 보안의 중요성을 더 크게 인식할 전망이다. 이제 보안을 실천해야 할 때다. 기업을 안전하게 만들기 위해 필요한 사항들에 대해 목소리를 높여야 한다. CISO들에게 도전은 변화에 계속 대응하는 것이다"고 말했다.
ISF는 보안을 CoE(Center of Excellence)의 중심에 위치시켜 신뢰도를 구축하고, 보안 기능을 조직의 위험 관리 방법에 일치시킬 것을 권고했다. Credit: Thinkstock
균열을 초래하고 있는 기술 격차
기업들이 보안 전문가 확보에 나서면서, 필요한 역량을 구비한 인재들이 점차 희소해지고 있는 실정이다.
더빈은 "정보보안 부서가 성숙해가는 동시에 사이버 공격 기술도 정교해지기 시작했다. 기업과 조직은 필요한 역량을 구비한 인재를 찾아 유지하면서, 이들이 자신의 책임을 다하도록 동기를 부여해야 한다. 과거에는 방화벽 등 특정 보안 기능에 정통한 사람들이 필요했다. 그러나 지금은 전사적인 도전에 보안 역량을 적용하는 방법을 알고 있는 인재가 필요하다"고 말했다.
ISF는 내부 멘토링 프로그램과 외부 코칭 프로그램을 구축하고, 내부에서 인재들을 찾아 승진시킬 것을 권고했다. 또 새로운 인재 개발에 목표를 두고 있는 외부 이니셔티브를 지원하라고 덧붙였다. Credit: Thinkstock
신세대를 설득하지 못한 정보보안
디지털 시대에 성장한 밀레니엄 세대는 보안과 개인정보 보호에 대해선 앞선 세대와는 다른 시각을 가지고 있다.
더빈은 "밀레니엄 세대는 '전자적'인(electronically) 협력에 익숙한 세대다. 이들은 학교 교육을 통해 터득한 혁신적인 업무 방식을 제공하고 있다. 그러나 정보보안과 개인정보 보호에 대해서는, 이런 방식 중 일부가 많은 기업에서 활용하고 있는 기존 프로세스와 맞지 않는다는 문제가 있다. 사이버 공간에서 협력을 해야 한다고 배운 밀레니엄 세대에게 '그렇게 할 수 없다'고 말하는 것은 비현실적이다. 기업이 새로운 세대에 적응할 방법을 찾아야 한다"고 말했다.
ISF는 신세대의 업무 방식, 사회화 방식, 개인 생활을 이해하기 위해 노력할 것을 권고했다. 그리고 이들 신세대가 참여를 하도록 정책과 절차를 조정해야 한다. Credit: Thinkstock