신수정 SK인포섹 전무
세계적인 보안 컨퍼런스인 RSA 국제 보안 컨퍼런스가 금년에도 4월 7~11일까지 미국 샌프란시스코에서 열렸다. RSA컨퍼런스는 독특하게 매년 정보보호에 공헌을 한 세계적인 인물을 기념하면서 컨퍼런스 테마를 잡는데, 금년에는 ‘알랜튜링(Alan Turing)(1912-1954)’이라는 영국의 수학자, 암호학자, 심리학자가 그 인물로 선정됐다.
그는 암호분야뿐 아니라 기계와 살아있는 유기체 사이의 관계규명 분야에 핵심적인 공헌을 통해 ‘인공지능’ 학문의 문을 연 인물이다.
이에 따라 컨퍼런스의 거시적인 흐름은 컴퓨터들이 스스로 추론을 하게 되는 미래 세상에 대한 것이었다. 물론 보안기술도 이 흐름과 무관하지 않다. 미래에는 보안시스템이 스스로 추론하고 판단하여 무엇이 공격인지 아닌지 판단하고, 공격일 경우 이를 자동적으로 대응하고 추적할 것이다.
이번 컨퍼런스에서는 이와 같은 테마 하에 2008년 현 시점에서 보안위협에 대한 기업이나 정부의 대응노력, 보안 동향, 보안 기술 및 솔루션 등이 논의되었다. 상당히 다양한 주제들이 논의됐지만 필자는 공통적인 강조점들이 있음을 발견하게 됐다. 이는 다음과 같다.
첫째 응용보안의 강화이다. 금년에는 개발보안과 웹2.0보안이 특히 강조됐다. 웹기반 비즈니스의 활성화와 더불어 웹 위협이 증가함에 따라 정보보안이 전통적인 경계보안, 인프라보안의 틀을 벗어나서 2006-2007년에는 웹보안이 상당히 강조되었다. 올해는 이러한 웹보안에서 한 단계 넘어 응용프로그램 개발 라이프사이클 전반에 거친 보안 계획/설계 및 테스트에 대한 실행이 강조됐고, 또 한가지는 웹2.0대응을 위한 보안 대책이 강조되었다.
둘째, 데이터중심의 보안이다. 지금까지 정보보안에서 우리의 관심은 주로 경계선을 보호하는 것이었다. 응용프로그램도 사실 그 경계선중의 하나이다. 그러나 이제 보호하려 하는 목적물 자체에 초점을 맞추자는 논의가 활발했다. 목적물은 다름아닌 ‘데이터’ 또는 ‘정보’ 이다. 결국 해커 든 내부자든 공격의 초점은 ‘데이터’나 ‘정보’이므로(물론 DOS공격등 인프라를 초점으로 하는 경우도 있지만) 정보자체가 어떻게 흐르는지를 파악하고 이러한 정보가 잘못된 곳으로 유출되는 것을 방어하는데 초점을 맞추어야 한다는 것이다. 상당히 상식적인 이야기인 것 같지만 데이터나 정보의 흐름 자체를 통제할 수 있는 보안기술을 개발하고 이를 실제 프로세스에 적용하는 것은 쉽지 않은 작업이었다. 그러나 최근 대형 보안업체들이 이러한 기술들을 구체화하고 솔루션화함으로써 데이터 중심의 보안이라는 새로운 패러다임이 실제화될 수 있도록 하고 있다.
셋째, 프라이버시와 컴플라이언스에 대한 강조이다. 컴플라이언스는 작년 RSA컨퍼런스의 화두였고 올해도 여전히 힘을 발휘하였다. 결국 보안 산업은 보험과 유사한 측면이 있고, 이 산업을 유지하는 핵심 동인은 위험과 법적 규제이다. 세계는 미국을 중심으로 정보보호관련 다양한 법률을 내놓고 있고 기업은 최소한도 이를 준수하기 위해 노력할 수 밖에 없다. 지금까지는 사베인즈-옥슬리법안(SOX)이나 의료관련 데이터보관기준인 힙파(HIPPA)등이 컴플라이언스의 초점이었다고 한다면 올해는 프라이버시와 지불카드용 업계 데이터 보안표준인 PCI-DSS등이 그 초점이라 할 수 있었다. 이를 대응하기 위한 서비스와 솔루션이 큰 관심 중 하나였다.
넷째, 국가와 민간의 협력 강화이다. 미국의 경우 국토안보부에서 장관 이하 많은 공무원들이 참석하여 정부의 로드맵을 제시하고 민간과의 협력을 토의하였다. 미국 정부에서는 공공기관의 관제 접근 포인트를 줄여 효과적인 보안관제능력을 제고하고, 공공기관들에 대한 보안인증을 통해 보안기본수준을 높이며, 빠르게 공격을 인식할 기술과 조기경보시스템을 구축하는 것을 주요 전략으로 제시했다. 또한 민간과의 인력교류, 보안실행교류를 강조하고 이러한 협력체계강화를 위한 거버넌스 체계들을 제시하고 실행하고 있었다.
마지막으로 보안회사의 관점에서는 서비스로서의 소프트웨어(SaaS)에 대한 논의가 활발했다. 보안회사들이 단순히 솔루션을 판매하는 데에서 벗어나 SaaS 사업모델을 찾고 이를 구체화하기 위해 노력하는 모습들이 많이 보였다.
전반적으로 이번 컨퍼런스를 참관하면서 국내의 정보보안 활동이나 노력이 국제적으로 전혀 뒤쳐지지 않았으며, 국제적인 흐름과 보조를 같이하고 심지어 어떠한 분야는 앞서 있음을 확인했다. 개발보안, 프라이버시, 데이터 보안 등은 이미 필자도 몇 년 전부터 강조하고 이를 컨설팅 방법론화까지 하여 실제 대형기업들에 적용하였던 이슈들이었다.
그럼에도 불구하고 ‘보안’ 아젠다가 논의되는 차원이 국내와 미국이 얼마나 격차가 나는지 뼈저리게 느꼈다. 미국에서는 보안 아젠다가 정부의 최고위층들, 세계적인 파워를 가진 미국최대의 IT기업들의 CEO들과 글로벌기업들의 CIO/CSO들 사이에서의 논의되고 있었다. 그러나 국내에서는 여전히 보안 아젠다가 실무자들 선에서 힘없이 논의되고 있어 추진력의 강도가 너무도 미약함을 느낀다. 결국 앞선 선진국과 뒤따르는 나라들의 핵심 차이는 다루어지는 ‘아젠다’의 차이가 아니라 다루는 ‘사람’들과 ‘거버넌스’의 차이라는 것을 실감하게 되는 기회였다.