한국의 기업들이 나아가야 할 보안방향은?

 최근 한 달 동안, 신문이나 뉴스를 통해 ‘현대캐피탈 고객정보 유출 사건’, ‘농협 전산망 마비 사태’에 대한 이야기를 계속해서 접할 수 있었다. 이 같은 사건이 일어나면서 ‘보안’이 9시 뉴스나 각종 신문의 헤드라인을 장식할 정도로 큰 이슈가 되었다. 관심이 많아지는 만큼 ‘보안’에 더욱더 신경을 써야하는 것이 기업일 것이다.

 이런 기업들을 위해 ‘차세대 기업 정보보안 이슈’에 대해 논하는 자리(이하 NES 2011)가 4월 21일 JW메리어트 호텔에서 열렸다. '기업 정보 보안'이라는 주제로 모이는 자리여서 회사에 속한 분들만 있을 줄 알았다. 그러나 병원이나 공군에서 참석한 분들을 보면서 점점 더 모든분야에서 보안을 중요하게 생각하고 있다는 것을 느낄 수 있는 자리가 되었다.

 
NES 2011 행사 시작으로  안철수연구소 김홍선 대표의 기조연설이 있었다.

개방된 환경에서 보안의 역할은?

[사진첨부 공간]
 

 스마트폰이라든지 SNS 라든지 모바일 환경으로 가고 있다. 이것은 개방형 환경으로 더 많은 사람들을 만날 수 있는 것이다. 기존의 환경에 덧붙이는 것이 아니라 완전히 다시 설계 해야 되는 것이다. '어떤 일을 할 수 있는가?' 라는 관점에서 다시 접근해야 되는 것이다. 또한 스마트시대에 접어들면서 개인들은 막강한 권력을 갖고 있다. 개인이 접할 수 있는 정보와 할 수 있는 일이 많아졌기 때문이다.

 모바일 기기가 유선을 앞지로고 있다. 그러면서 컴퓨터가 있는 공간, 논리가 있는 공간, 데이터가 있는 공간이 많아졌다. 정보 자원들이 분산화, 개방화 된것이다. 더욱더 분산되면서 단순한 IT 기계의 확장이 아니게 된 것이다.

 과거에는 우리가 정의한대로 사람들에게 쓰게 했다. 인터넷 뱅킹의 경우 익스플로러를 이용할 수 밖에 없었다. 하지만 IT 의 구조적 변화는 사람들에게 더 다른것을 쓰고 싶게하고 좋은 접근성을 제공했다. '보안상 위험한 스마트폰으로 왜 결제를 하는가??' 이런 것이 주가 아니다. 기존의 것으로 멈추는 것이 아니라 개방형 환경으로 더 많은 고객과 만날 수 있는 것이다. 여기에 소셜이 가미되면서 정보는 수직적인 것에서 수평적인 것으로 개방화 되었다.

 이렇게 모바일, 소셜, 클라우드라는 말을 자주 접하는 개방화시대에 우리는 '얼마나 보안에 대해 신뢰할 수 있는가?'에 대해 생각해 봐야 될 것이다.

 

- IT 산업의 구조적 변화 -

 기업에서 갖고 있는 정보의 자산 데이터가 점점 많아지게 되면서 클라우드를 만들게 되었다. 그런데 이런 기술을 밖에서도 쓸 수 있기 때문에 기존의 것보다 훨씬 사용하기 편하게 된것이다. 다시 말해서 개인화된 기기를 통해 정보에 접근 가능하게 되었다. 그 결과 사람이 컴퓨터에 대해서 몰라도 사용 할 수 있는 사용친화성이 중요하게 되었다. 

 한국회사가 아닌 구글이 '한국어 음성인식' 서비스를 제공하고 있는것은 막대한 데이터 때문이다. 대용량 데이터에서 힘이 나오는 것이다. 아무리 좋은 알고리즘이어도 데이터의 표본에 따라 다른 결과가 나오게 되는 것이다. 안랩의 경우 3년 정도 투자를 해서 40테라바이트 정도의 악성코드를 갖고있다. 이런 데이터를 이용해서 수치화 할 수 있게 되면서 예측이 가능해진 것이다. 어카운터블이 중요하다.

 사람과 사람이 옆에 있는것 처럼 소셜이 중요하다. 얼마전 TV에 '세시봉'이 나온 적이 있었다. 그 때 시청과 동시에 트위터를 하면서 짜릿함을 느꼈다. '맞어 저땐 저랬어'라고 옆에서 이야기를 하고 있는 느낌을 받았기 때문이다. 컴퓨터와 인터넷을 통해서 멀리있는 사람과도 소통이 가능해진 것이다.

- 사이버 위협의 동향 -

1. Multi-Location : 사용자의 접근성이 확대 되고, 상시 연결되어있으면서 어디로 들어올지 모르는 것이다.

2. Multi-Directional : 방화벽만 해놓고 있는 경우 이것을 악용한 역공격사례가 많다.그리고 내부 PC의 정보를 뺏을 수도 있다. 즉 방법이 다양화되고 있다.

3. Timeline : 정적인 것이 아니다. 더 이상 정보를 저장하는 것이 아니라 흘러 가고 있고 정보를 캐치하는 식이 되었다. 이것이 공격자체에도 적용이 되는 것이다. 보안 패치를 할 때에도 시간축을 고려 해야 되는 것이다. 예를 들면 제로 데이 공격에 대해 더 빠른 시간내에 업데이트를 해야 되는 것이다.

4. 입체적 : 최근에 페이스북을 통한 악성코드와 같은 신규 사업 모델의 취약점이 있을 수 있다. 그리고 이메일에 첨부된 명세서의 경우 오픈 할 수 밖에 없게 만드는 사회 공학적 기법이 사용되고 있다.

  

- 보안에 대한 몇 가지 제안 -

 포렌식을 우리나라가 개척해야 될 분야고 많은 분들이 커리어로 추구해야 된다고 생각한다. 해커들이 침입시에도 결국 증거가 남는다. 이 증거를 확인할 수 있는 기술이 바로 포렌식인 것이다. 더 나아가 완전 삭제를 시도해도 복구해 낼 수 능력이 필요할 것이다.

 복합적이고 입체적인 공격들에 대해서 컨설팅을 갖고 지속적인 점검과 교육이 필요할 것이다. '3.4 DDoS' 당시 큰 공격을 받았던 KB (국민은행)의 경우 끊임없이 모의 훈련하고 항상 준비를 해서 큰 공격이었음에도 불구하고 잘 극복했다. 이는 조직 전체가 움직여야 된다는 것을 보여주는 사례이다. 

 보안의 관점에서 보면 기술,서비스,제품 등이 전부 통합화 되어야 한다. 보안은 각각에 대해 할 수가 없다. 예를 들어 고객과의 소통을 위한 커뮤니티 사이트를 개설을 한 경우를 생각해 보자. 마케팅 부서에서 외주업체에 사이트 개설을 맡기면서 자연 스럽게 관리를 소홀히 하게 된다. 왜냐하면 마케팅 부서와 사이트 개설한 회사가 완전히 다르기 때문이다. 그리고 어느 주체도 없는 형태가 되면서 커뮤니티 사이트의 관리가 소홀 하게 된다. 이런 사이트의 서버 시스템을 통한 공격이 오는 경우도 많다.

 중요한 것은 이런 공격이 전부 관련이 되어있고 복합적 입체적인 공격이다. 이와 같은 공격에 대응을 할 수 있을 것인가에 대해 생각해야 될 것이다.

 정보 보안 업무는 서비스를 24시간 절대적인 안전성, 신뢰성, 내구성 이 3가지가 필요하다. 하지만 컨설팅시 단순한 지시가 아니라 왜 이런 컨셉이 필요한지 이해시키고 축적된 현장 경험을 알려 주어야 한다.

 보안에 대해 잘 모르는 사람들의 착각중 하나가 해커가 영화처럼 전지전능하다고 생각하는 것이다. 실상은 단지 수 많은 해킹 툴이 있어서 자신의 목적에 맞게 사용하는 해커들이 있는 것이다. 이처럼 주어진 환경의 중요성을 알고 보안에 대한 관심을 갖고 투자와 정비를 해야된다.

 '타임 컨셉'을 생각해야 된다. 더 이상 이전의 정적 관리를 생각해서는 안된다. 현재는 한 시간만에 대처가능한 공격을 1년 뒤에는 30분 안에 더나아가 5분 안에 이런 목적을 가져야 할 것이다. 

 CSO(최고보안책임자) 는 정보의 연관성을 분석해야 된다. 우리나라 문제는 DB(데이터베이스) 설계시 기존의 DB에 붙이는 식이다. 이렇게 만들어진 DB에 암호화 솔루션을 사용하면 느려지는 것은 당연하다. 여기에 맞게 과감하게 DB 자체를 다시 설계해야 될 수도 있다. 그래야 제대로된 퍼포먼스가 이루어질 수 있다.

 보안은 최고관리자가 직접해야 되는 것이다. 기업은 많은 정보를 갖고 있다. 그리고 하루에도 수 많은 정보가 생성되고 소멸된다. 이 정보에 대해 최고관리자가 책임을 맡아야 된다. 농협, 현대캐피탈의 경우에서 볼 수 있듯이 보안보다 더 큰 리스크는 없다고 본다. 여기에 따라서 보안 대책을 세우는 것이 중요하다. 전체 정보름을 알고 명확한 가이드 라인을 줄 수 있어야 한다. 결국 최고 경영층의 의지가 가장 중요하다고 생각한다.

보안에 아키텍쳐에 대한 새로운 접근 - 파수닷컴 안혜연 부사장

 요즘 단말기에 한계가 있다는 분은 없을 것 같다. 그 만큼 기술이 빨리 진화되고 있다. 아직 우리나라에서 클라우드는 익숙지 않을 것이다. 우리나라 안에서 어떻게 될 것인가 하는 문제이다. 또 하나의 트렌드는 그린 IT.( 예: 독자들이 보안세상 기사를 종이로 인쇄해서 보는 것이아니라 모니터를 이용해서 보면서 탄소배출량을 줄이고 있는것)

 Mobile, Virtualization , Cloud , Green  이런 변화가 생기고 있는데 보안은 어떻게 바뀌어야 될까?

 테블렛 PC 와 같은 모바일 디바이스, 클라우드 서비스가 나오게 되었다. 이런 기술을 단지 보안 문제로 사용하지 않을 수 있을까? 업무의 효율을 높이기 위해서는 사용을 해야되는 것이다. 이런 오픈된 환경을 고민하는데 기존의 보안 모델이 바뀌어야 된다고 생각한다. 30년 동안 유지된 정보 보안 아키텍쳐가 바뀌어야 될까?

  

 정보(데이터) 자체에 집중을 해야된다. 예전에는 PC에서 데이터가 생성되면 내부망에서 공유되거나 정보와 관련된 사람에게 이메일을 통해 공유가 되었다. 하지만 지금은 이메일을 넘어서 공유할 수 있는 장이 넓어졌다. 그 결과 관리자는 해당 데이터에 대한 권한이 없는 사람들에게 보여 질 수 있는가 없는가에 대한 고민을 해야 된다. 생성되고 운영되는 자료들에 대해 얼마만큼의 컨트롤이 가능하느냐에 고민을 해야된다.

 여기저기에서 많은 정보가 만들어지고 있다. 과연 그것을 어떻게 컨트롤 할 것인가? 컨트롤 하기 쉽지가 않을 것이다. 그래서 우리는 좀 더 스마트해져야 될 필요가 있다. 예를 들면 어느 파일이 생성된 뒤 그 데이터 이동시에는 권한 레벨을 자동으로 유지 할 수 있게 해야될 것이다. 

 우리가 집중해야 되는 부분은 엔드포인트(사용자 PC, 각종 모바일 장치와 같이 네트워크에 최종적으로 연결된 IT 장치) 보안이다. 이 부분은 그 동안 안해온 것은 아니다. 계속해서 관심을 갖고 있었다. 하지만 스마트폰을 유저가 점점 많아지는 이 시대에 스마트폰 이용 자체가 문제가 될 수 있다. 접근할 수 있는 정보가 중요한 정보인경우가 있기 때문이다. 엔드 포인트에서 정보의 중요도에 따른  컨트롤이 되어야 한다. 추후에 나아가야 되는 IT 정보의 흐름 아닐까 하는 생각이 든다.

 과연 클라우드, 모바일 환경에서 중요한 것은 무엇일까? 영업, 관리, 시스템, 회계 등등 클라우드 아웃소싱이 일어나고 있다. 중요한 정보가 클라우드 서비스로 올라가게 된다. 우리가 알 수 없는 서버에 데이터가 올라가는 것이다. 이렇게 올라간 데이터는 다른 서버로 복제 되기도 하고 내려받기도 한다. 그리고 단말기로 접속한 영업사원이 이용을 할 수도 있다. 어떤 정보는 모바일 디바이스로는 접근 불가(컨트롤) 되어야 된다.  이런 제약사항이 생겨야 보안에 대해 믿을 수 있을 것이다. 

아이 패드에서 보안 문서를 열었을 때

 아이패드에서 일반 문서의 경우에는 실제로 열리게 된다. 이번에는 보안 문서를 열어보자. 이 경우에는 암호화가 걸린다. 권한이 있는 사람이기에만 보여지는 것이다. 모바일 환경에서 많은 단말기를 소지하고 다니는데 여전히 보안이 필요한 파일에 대해서는 그 내용이 오픈되지는 않는 것이다.
 이메일로 받은 파일도 마찬가지이다. 특정 뷰어를 통해서 받은 파일을 보는 경우 시간에 제약을 주는 것이다. 일정 시간 내(예 : 10분 )에서는 인증을 묻지않고 작업을 진행시킨다. 하지만 아무 작업없이 10분이 지나가면 다시 인증을 거쳐야 되는 것이다. 

 엔드포인트에서의 또 다른 예제는 내부에서 사용하는 프린터가 될 수 있다. 프린터가 똑똑해져서 MFP(멀티 펑션 프린터)가 생긴다. 파일을 전송할 수도 있고 공유도 가능하고 스캔도 되는 것이다. 이런 디바이스가 보편화 되었는데 어떤 보안이 필요할 것인지 생각해 봐야 한다.

 

 클라우드, 모바일, 엔드포인트 이렇게 3가지 관점에서 이야기를 했다. 3가지 관점에서 우리가 컨트롤 해야되는 것은 정보 자체가 되어야 한다. 이것을 핸들링 하기 위해 어떤 정보를 접근,편집할 수 있는지 생각해 봐야 한다. 이런 환경에서 앞으로도 지속적이고 트렌드에 맞게 쓰일 수 있는 솔루션 레벨의 방향과 소개가 있어야 될 것 같다.

기업 정보 유출을 방지하기 위해 삼성에서는 어떻게 하고 있는가? 

- 삼성SDS 김문진 수석컨설턴트

 
 삼성하면 국내에서 가장 큰 기업이어서 주변에서도 많이 '삼성은 보안을 어떻게 하고 있나요?' 라고 물어본다고 한다. 외부에서 삼성SDS(이하 SDS)로 보안에 대한 세미나를 요구하면 SDS 입장에서는 난감한 입장이라고 한다.
 SDS는 보안 솔루션 밴더사가 아니라 SI 업체 (여러가지 기술들, 장비들을 통합하여 시스템을 구축하는 업체 ) 이다. 즉 먼저 발표를한 회사들에서 만든 솔루션을 사용하는 유저 입장에 있기 때문이다. 

  
 "안철수연구소에서 오신 분들 있으신가요? 이틀 전 안철수연구소 김홍선 대표께서 마감뉴스에 나와서 보안에 관한 이야기를 하셨습니다. TV를 보면서 '보안이 전국 마감뉴스 메인에 앉을 수도 있구나' 하는 생각을 하면서 보안 업무를 담당하고 있는 사람으로 서 안철수연구소의 직원분들께 감사의 마음을 대신 전합니다" 라는 말로 발표가 시작 되었다.
  

   
(위 사진) 작년도에 있었던 협력업체를 통해서 유출이 되었던 보안 사고이다. 일반적으로 사람들이 봤을때에는 협력업체 잘못이 아니라 H 중공업의 잘못이라고 생각한다. 이번에 있었던 현대 캐피탈 보안 사고도 마찬가지이다. 현대캐피탈에 대한 직접적인 공격이 아니라 리스/렌탈 차량관리 협력업체를 해킹 한것이라는 말이 흘러나오고 있다. 자신의 기업뿐 아니라 협력업체의 보안도 신경써야 되는 것이다.

  이런 사태를 보면서 보안 쪽에 근무하는 사람들의 반응은 2가지로 나누어 진다. '여러사람이 다칠 것 같다.빨리 해결하자.', '보안이 중요하다고 했는데 가만히 있더니 잘 되었다' 이런 두 부류로 분명하게 나누어지게 되었다. 중요한 것은 지금이 보안에 대한 터닝포인트가 되었으면 한다. 지금처럼 보안에 대해 샤회적 관심이 집중되었던 적이 드문 것 같다. 그 동안 보안이 스쳐가는 바람이었다면 이번에는 보안에 대해 다시 한 번 생각해보는 시간이 되었으면한다.

 삼성은 미래에 대한 준비를 어떻게 하고 있나?
 

 삼성이 글로벌 비지니스를 할 수 있는 이유는 삼성의 시스템을 SDS가 운영을 하고 있기 때문이다. 이런 시스템을 운영하면서 관과할 수 없는 것이 '보안'이다. 보안적인 측면에서 삼성에서 많은 투자를 하고있고 많은 보안인력이 산업현장에서 근무하고 있다. 그 동안 들어본 보안 솔루션들은 전부 다 들어와 있다고 생각해도 된다. 모든 것들이 삼성 내부에 있는 시스템을 보호 하기 위해 들어와있고 효과적으로 설치되어있고 운영되고 있다.

 그 중에 화두가 되고 있는 클라우드를 어떻게 활용하고 있는가? 클라우드는 여러가지 형태의 제품이 있다. 그 중 3 가지를 나누어 보면 SBC(서버 기반 컴퓨팅), Client, Disk. 이렇게 나눈 이유는 3요소를 삼성에서 보안적인 부분에서 사용하고 있기 때문이다.
 

 외부 출장자, 재택 근무자들이 내부 시스템에 접근하기 위해 클라우드 서비스를 사용한다. 협력사들도 같은 가족이라고 생각하고 협력사들의 보안 강화 역시 클라우드 서비스를 사용한다. 제조라인에 대한 보안도 클라우드 서비스를 이용해 강화시키고 있다. 
 먼저 사용자가 밖에서 내부시스템으로 들어 올 때에는 SBC를 통해 작업을 한 뒤 시스템에 업데이트를 한다. 작업을 마치면 사용자 PC에는 아무것도 남아있지 않게 된다. 만약 사용자가 작업을 하고있던 노트북을 잃어버리거나 PC가 해킹을 당해도 그 안에는 업무 관련 자료는 없다. 이처럼 사용자의 실수까지 케어를 해주고 있다. 

 두 번째는 협력 업체(Clinet)에게 사내 정보를 제공하는 경우이다.  이 경우 클라우드를 적용하면 문제가 있기 때문에 PC가상화를 적용한다. 삼성에서 협력업체에게 가상영역에 정보(설계도면, 메뉴얼, 심안서)를 올려주면 협력업체에서 그 자료를 받아서 작업후에 다시 서버에 업데이트를 하는 형태이다. 리얼 PC에서는 해당 정보는 보이지 않는다. 그래서 빼내가려고 해도 빼내갈 수 없는 구조로 되어있는 것이다. 제조라인의 경우 365일 24시간 작동되어야 한다. 그런데 제조라인에 임베디드(내장형 시스템) 된 컴퓨터 대부분이 윈도우 기반으로 네트워크로 연결되어 있다. 그래서 바이러스 침투할 수 있어서 멈춰버리는 경우도 생길 수 있다. 이 경우를 위해 새내망 연결 또는 인터넷과 연결된 부분을 가상화 PC로 구성한다. 업무와 관련된 자료는 가상 PC에서 리얼 PC로 올리고 즉 리얼 PC는 구분을 시키는 것이다. 그렇기 때문에 바이러스가 침투되더라도 리얼 PC에는 영향을 못미치기 때문에 제조라인에 영향을 못미친다.

 마지막으로 연구소나 크리티컬 업무를 보는 쪽은 여러 가지 설계 문서부터해서 가장 중요한 정보가 있다. 이러한 중요 문서는 개인 PC나 노트북에 저장을 못하게 하는 것이다. 대신에 가상 Disk를 제공해서 여기에 저장을 한다. 그 결과 개인 PC가 감염이 되어도 내부의 중요 문서가 유출되는 것을 방지시키는 것이다.

  요즘 같이 보안이 이슈화 된 적은 없을 것이다. '쇠뿔도 단김에 빼라'는 옛 말처럼 이슈가 되었을 때 한국 보안 시장이 좋은 방향으로 나아갈 수 있을 것이다. 그 동안 보안에 대한 이야기는 많이 있었다. 이제 단지 이야기로 끝나는 것이 아니라 투자가 필요하다고 생각한다. 즉 기업들의 적극적인 투자와 관심이 필요할 때라고 생각한다. 투자와 관심이 멈춰버린 한국의 보안 심장을 뛰게 할 수 있는 수혈이 되었으면 한다.