"완벽한 보안은 없다. 이를 인정하고 보안을 돌아보라"...한국 IDG 시큐리티 월드 2015

"공격 당한후 공격을 인지할 때까지 걸리는 시간 209일", "절반 이상이 공격당한 사실조차 몰랐다", "100% 완벽한 보안은 없다", "공격자들이 우리보다 강력하다는 것을 인정하자", "국내 초대형 데이터 유출 사고의 대부분은 사람 문제다"

8월 27일 한국IDG가 개최한 시큐리티 월드 2015에서 강연을 한 보안 전문가들의 발언이다. 참으로 암울하고 어려운 현실이 아닐 수 없다. 하지만 이런 현실을 직시하는 것부터 보안의 시작이며, 현실의 문제를 아는 것이 보안의 절반이다.

갈수록 고도화, 지능화되는 사이버 보안 위협에 대응하기 위해 국내외 보안전문가들이 자신의 경험과 노하우, 지식들을 공유하기 위해 모인 이 컨퍼런스에서는 기존의 보안 통제 방법이 아닌 새로운 보안 전략과 접근법이 제시됐다.

기조 연설을 맡은 짐 넴스 메이요 클리닉 CISO는 "공격자들이 우리보다 힘이 쎄다. 우리는 이런 불리한 환경에서도 자사의 비즈니스를 유지할 수 있도록 전략을 수립해야 한다"며, '우리 스스로가 우리 운명을 제어하지 않으면 누군가 우리를 제어할 것이다'는 잭 웰치의 말을 빌어 정보 관리의 중요성을 강조하면서 21세기 정보 보안 전략에 대해 설파했다.

특히 짐 넴스는 "이제 정보보안 리스크는 IT나 보안상의 문제가 아니라 기업 비즈니스 문제이며, 기업 전체가 이 리스크를 줄이는 데 주력해야 한다. 이를 위해 인식(perception)보다는 증거(evidence)에 기반을 두고, '다르게 생각(Think differently)'하고 '비판적 사고(Critical Thinking)'을 가질 것을 주문했다.

또한 "주변 환경을 보호하기 위해 더 강한 방어벽은 필수적이다. 무엇보다 아웃풋(output)보다는 아웃컴(outcome)이, 위험 가능성보다 위험 확률이, 지표 데이터가 아닌 리스크 분석이, 그리고 컴플라이언스보다 리스크 관리가 더 중요하다. 매일 보고서가 나오더라도 이를 의사결정에 활용하지 못하면 아무 소용이 없다"고 덧붙였다.

이준호 네이버 CISO는 "현실에서의 대부분 보안 사고는 최첨단 공격이 아닌 사람에 의해 발생한다"며, "보안 위협은 처음부터 끝까지 완벽하게 막을 수 없음을 인지해야 한다"고 말했다.

또한 "기업의 보안 수준은 해당 기업 임직원들의 보안 의식 수준이다"며, "자발적으로 보안 규정을 준수하도록 만드는 기업 문화가 가장 좋은 것인데, 보안 규정만으로는 임직원들의 보안의식 수준을 높일 수 없다. 이를 위해 보안 부서는 눈높이 설득 방법을 찾아야 하며 임직원들의 보안 실수들을 징계하는 것이 아니라 경고하고 조언하며, 도와주는 길잡이 역할을 해야 한다"고 주장했다.

애드리안 루드윅 구글 안드로이드 보안 책임자는 이번 컨퍼런스에서 "모바일 퍼스트월드, 안전하게 섭렵하기'라는 주제로 안드로이드 보안을 설명하고 이것이 기업 보안과 어떤 관계를 갖고 있는지에 대해 설명했다.

특히 애드리안 루드윅은 보안을 생물학적으로 생태계와 비교해서 설명했다. "사실 보안은 생물학적으로 생각하는 것이 좋다. 보안은 공포심을 유발하는 상어를 떠올릴 수 있는데, 내가 생각하는 안드로이드 보안은 산호초와 같은 생태계다. 산호 속에 무수히 많은 생명체가 살면서 스스로 생명을 유지하고 상호간의 보안을 협조하면서 살아간다"고 설명했다.

또한 안드로이드에 대해 드러난 취약점이 많다고 얘기하지만, 안드로이드 세이프티 넷(Android Safty Net)이나 다단계적인 보안 서비스를 통해 실제로 공격당하는 기기들은 아주 극소수라고 밝혔다.

닉 플로어 맨디언트 보안컨설팅 서비스 상무는 '공격자가 유리한 게임에서 이기는 침해 대응'이라는 주제로 최근 공격 동향과 방어 전략에 대해 설파했다.

닉 플로어는 최근 발생하는 첨단 공격과 공격자들에 대한 분석을 통해 "지금까지 방어는 초기 침입 단계에서 막으려 노력해왔다. 하지만 이런 방식으로는 실제 공격을 제대로 대응하지 못한다"고 말했다.

닉 플로어는 "예전에는 공격자들이 한 기업에 대해 공격을 실패하면 또다른 공격 방법을 준비하는 시간이 있었다. 그러나 최근에는 공격을 실패하더라도 곧바로 다른 방법으로 공격하고 있다"고 설명했다.

"그래서 침해를 방어한다는 것은 이제 포기해야 한다. 어떻게 하면 침해를 빨리 탐지하고 침해 피해를 최소화할 수 있을지 대책 방안을 세워야 한다"고 주장했다.

하지만 팔로알토 네트웍스의 생각은 달랐다. 조셉 그린 팔로알토 네트웍스 아태지역 시스템 엔지니어링 부문장은 그간 CIO나 CSO들을 만나 얘기를 나눈 것을 토대로 "이제 보안이 최우선 순위가 된 것은 맞다. 그리고 공격을 막기 어렵다는 것도 동의한다. 하지만 팔로알토는 '예방'을 최우선 목표로 두고 있다"고 말했다.

조셉 그린은 "전세계 데이터 유출 사건들을 살펴보면, 미국 기업 사례들이 많이 보이는 데, 그렇다고 미국만 사고가 일어난다는 의미는 아니며 사건 사고는 전세계적으로 일어나고 있다"고 전했다.

미국의 경우 데이터 유출 시 당국에 공개해야 하는 의무가 있으나 다른 여러 국가의 경우 이런 의무 조항이 없다. 이 때문에 공개되는 유출 사고는 대부분 미국 기업들이다.

한편, 250여 명이 참관한 이번 컨퍼런스는 페이팔, 아카마이, 한국CA, 파이어아이, 씨디네트웍스, 체크포인트 코리아, 플루크네트웍스, 다우기술, 이노지에스, 새비어스 코리아 등에서 각 전문가들이 진화하는 공격 위협에 대응하는 자사의 전략과 솔루션을 소개하는 자리를 가졌다. editor@itworld.co.kr