본문 바로가기

Security Indicator/Insight

CEO,CTO가 알아야 할 보안 지식 혹은 상식

 

정보보호 21에 기고한 컬럼 입니다. - p4ssion@gmail.com

 

지금의 시대는 속도를 따라가기 어려울 정도로 빠르게 변화하고 있다. 특히 IT기업의 CEO라면 알아야 될 기술의 종류와 표준, 변화는 크고 다양해서 따라가기가 힘겨울 정도다. 아이폰으로 촉발된 모바일 접속환경의 변화와 생활의 변화는 소셜 네트워크에 강력한 힘을 실어주고 있다. 접속환경의 변화는 서비스를 변화시키고 서비스의 변화는 국외뿐 아니라 국내에서도 기업환경에 많은 변화를 가져오고 있다. 이 현상은 점차 더 심화될 것이다.

환경의 변화를 살펴보고 향후 미래의 경영환경을 예측하는 것은 CEO들에게 가장 중요한 숙제이자 과제이다. 간략하게 살펴보면 IT기기의 변화와 사용 형태의 변화는 향후의 환경이 다양한 단말기기로부터 정보를 획득하고 재생산되며 부분적으로는 기업의 고용형태를 변화시킬 수도 있다.

역동적으로 변화해가는 환경에서 기존의 보안이라는 개념은 상당히 협소적인 의미에만 지금껏 머물러 있었다. 일반적으로 보안이라고 여겼을 때 바이러스나 직접적인 해킹만을 염두에 두고 보안장비나 소프트웨어를 구매하고 설치를 하였다. 또한 법제화된 법안 준수를 위해 다양한 종류의 인증을 받거나 추진하는 형태가 일반적 이였다.

위협은 시간이 지날수록 변화해 가고 진화해 가는데 대응방식은 여전히 오래 전의 개념에 머물러 있는 것이 사실이다. CEO가 알아야 할 기본적인 보안상식 혹은 지식은 변화된 환경에 맞추어서 달라져야 하며 경영환경의 변화에 따라 충분히 역동적 이여야 한다.

기본적인 보안도구들은 그 기본에 충실한 역할을 할 뿐이다. 글로벌 환경에서의 다국적기업들의 변화를 살펴보면 특히 IT기업의 경우 핵심 부분에 보안이라는 역할을 포함 시키는 환경을 쉽게 관찰 할 수 있다. 8월에 있었던 인텔의 맥아피 인수는 향후 환경의 변화를 살짝 엿볼 수 있다. 또한 구글, MS, 어도비와 같은 글로벌 IT기업들은 내부적으로 보안기술의 획득과 역량을 확보하기 위해 다양한 노력을 하고 있다.

왜 그들은 기본적인 보안으로도 충분 하게 여기지 않고 더 많은 역량확보를 하기 위해 노력을 하고 있을까? 환경의 변화에 따라 시스템에 대한 직접적인 공격은 감소하고 있고 표면적으로 심각하게 드러나지 않고 있다. 그러나 구글의 검색서비스를 이용한 자동화된 해킹기법과 어도비의 PDF나 Flash의 취약성을 이용한 공격, MS의 운영체제 혹은 어플리케이션에 대한 공격을 통해 사용자에 대한 위협은 실제화 되고 있다.

공격 기술의 변화는 이제 서비스를 직접 공격하거나 서비스의 구조를 이용한 공격으로 상당부분 전이가 되고 있다. 서비스를 보호하지 않는 기업의 제품이나 서비스들은 지속적으로 사라질 수 밖에 없다. 위험성이 있는 소프트웨어나 서비스는 이제 사용자에게 직접적인 영향을 미치고 그 결과는 서비스의 존폐에도 영향을 미치기 때문이다.

현재의 글로벌 IT기업들의 움직임은 단순히 보안을 개별 요소기술로 보는 것이 아니라 전체 서비스의 경쟁력을 확보하기 위한 필수적인 요소로서 활용을 하고 있는 것이다. 보안에 대한 많은 노력들은 실제로는 서비스를 보호하기 위해서는 내부의 구조를 강하게 만들거나 다양한 취약성이 존재하고 있는 서비스나 제품을 즉시적으로 또는 상시적으로 보완을 해야 하고 보호조치를 취해야 하기 때문이다. 그래야만 경쟁력을 가지기 때문에 노력하는 것이다.

단순히 장비의 성능으로 경쟁에서 이길 수 없다. 보다 더 중요한 것은 플랫폼이고 서비스이다. 앞으로의 환경 변화도 플랫폼과 서비스에서 촉발이 될 것이고 여기에서 주도권을 가지는 기업이 앞서나가게 될 것이다. 이 주도권을 쥐게 해주는 핵심 부분은 아이디어와 혁신성 이외에 보안에서 판가름 나게 될 수 밖에 없다. 폐쇄적인 환경에서 개방적인 환경으로 전환되는 과정은 서비스의 도움 없이는 어렵다. 국내의 IT기업 및 서비스를 하는 기업이라면 이 점을 염두에 두어야만 한다.

위험은 이제 기본적인 보안 위협 (바이러스, 웜, 직접해킹)을 포함하면서 더 나아간 서비스 구조에 대한 공격으로 진화되어 있다. 단순한 보안장비로서는 이제 대응이 어려운 측면에 진입한 것이다. 백신에 탐지되지 않는 악성코드들과 날마다 새롭게 쏟아지는 소프트웨어들의 취약성은 사용자의 정보를 빼내어간다. 종래에는 서비스의 훼손과 공격자의 이득창출을 위해 빼내간 정보들은 고스란히 활용이 된다. 이것을 보호하지 못하면 서비스의 신뢰도는 보장 받을 수 없으며 해외 진출은 언감생심일 수 밖에 없다.

CEO가 알아야 할 보안 지식은 변화의 인지로부터 시작되어야 하고 지금의 변화를 느낄 수 있어야 효과적일 수 밖에 없다. 현재의 환경의 변화를 간단히 정리해 보자.

 

 

1. 공격 형태의 변화 : 직접적인 해킹에서 사용자 정보를 유출하는 형태로 변화됨

2. 서비스에 대한 공격 증가: 유출한 정보를 이용한 서비스 공격이 늘어나고 있다.

3. 경쟁력 있는 서비스에는 보안적인 기능은 필수적이다.

4. 기존의 보안장비로 탐지 할 수 없는 신규 공격과 대규모 공격이 일상화 되어 있다.

5. 접속 환경의 변화에 따른 다양한 단말기기로부터의 공격 증가 예상

 

 

 

기업의 업무환경 변화도 기본적인 보안 지식이 없다면 황당한 일들은 언제나 발생하게 마련이다. 보안전문가들에게 자문을 구하거나 문제점을 확인하고 보완하지 않는다면 위협은 이제 일상적일 수 밖에 없다. 단순히 휴대폰으로 PC를 통제하거나 사내메일을 확인 하는 편리성을 강조한 방식들은 편리함이 증가한 만큼 위험도 그에 비례하여 늘어날 수 밖에 없다.

새로운 시대를 대비하거나 준비하기 위해서는 이제 진지한 고민이 있어야 하고 IT기업 혹은 IT 서비스를 기획하는 곳들은 성장하고 싶고 세계시장에 진출하고 싶다면 보안적인 기능에 많은 역할을 부여해야만 할 것이다. 품질관리 (Quality Assurance)는 단순히 하드웨어 제품에만 있는 절차가 아니며 서비스와 소프트웨어에도 필수적 이여야 한다. 특히 보안이 강화된 품질관리 (SQA – Secured Quality Assurance) 는 시대가 요구하는 과정이 될 것이다.

환경의 변화는 지금 보안적인 기능의 강화가 절실하게 요구됨을 말하고 있다. 또 그것이 경쟁력이 될 것임을 의미하고 있다. 9조원의 현금으로 맥아피를 인수한 인텔이 왜 그랬을까? 한번쯤 고민해야 할 주제가 아닐까 싶다.

 

- 바다란 세상 가장 낮은 곳의 또 다른 이름.