출처 : http://www.boannews.com/media/view.asp?idx=57858&kind=5
최근 보안 분야에서 자주 언급되는 이슈 중에 ‘보안 내재화(Security by Design)’란 것이 있다. 다양한 사이버공격에 따라 그에 맞는 보안 솔루션들을 구축하는 것이 당연시되고 있지만, 애초에 취약점이 노출되지 않도록 제품이나 솔루션을 제작할 때부터 보안을 강화하는 개념이다. 금융업계에 큰 반향을 일으킨 카카오뱅크가 이런 보안 내재화를 잘 적용한 것으로 알려져 있다.
카카오뱅크에 정보보호 분야 자문을 맡은 김승주 고려대학교 교수는 보안 내재화가 국내에선 이제 막 시작하고 있지만, 미국 등 해외에서는 이미 오래 전부터 진행되어온 개념이라고 말했다. 3일 고려대학교에서 개최된 ‘미래보안기술 워크샵’에서 김 교수는 이와 같이 설명했다.
“얼마 전 심박조절기 해킹 이슈가 논란이 된 적이 있죠. 심장에 문제가 있는 환자들이 혹시나 있을 심정지에 대비하기 위한 이 장치에 심각한 보안 취약점이 있다는 발표에 많은 환자들이 병원에 들러 업데이트를 진행하는 웃지 못할 일들이 있었습니다.”
이제 모든 기기들이 네트워크로 서로 연결되는 IoT 시대에서 보안 취약점은 날로 늘고 있지만, 사용자들이 이를 일일이 업데이트 할 수는 없는 상황이다. 지난 2일 본지에서 보도했던 IP CCTV 해킹 사건도 마찬가지. 해당 제조사에서 긴급 패치를 올렸지만, 해당 정보를 사용자들이 바로 알 수도 없을 뿐만 아니라 업데이트를 진행하는 방법도 잘 모르기 때문에 피해가 더욱 커진 것이다. 이 때문에 아예 공격당할 수 있는 여지를 만들지 않는 보안 내재화가 중요하다는 얘기다.
“이러한 보안 내재화의 개념은 국방분야에도 적용이 됩니다. 사실 국방분야가 가장 강력하게 적용할 필요가 있죠. 특히, 미국은 국방부에서 가장 강력한 보안정책을 펼치고 이를 조금 유연하게 수정한 후, 정부와 민간으로 전파시킵니다.”
김 교수는 미국의 보안 내재화를 설명하기 위해 걸프전을 예로 들었다. 현대전 중 걸프전이 최초의 정보전(Information War)’으로 꼽히고 있는데, 당시 네트워크를 이용한 다양한 작전이 많이 진행됐다. 예를 들면, 전통적인 사이버공격 외에도 데이터 마비, 전산시스템 해킹, 무인기 공격 등 다양한 공격이 펼쳐졌다.
특히, 걸프전 당시 미국은 소형 카메라를 헬멧에 장착하고 실시간 영상을 지휘부에서 보며 지휘를 했었는데, 걱정했던 해킹이나 네트워크 문제가 아닌 모래폭풍 등 외부환경으로 인해 영상을 보지 못하는 일이 발생했다. 이에 미국은 시큐리티가 아닌 신뢰성을 연구하기 시작했다고 김 교수는 설명했다.
이후 미국은 네트워크와 관련된 분야에 신뢰성(Trustworthiness)을 집중 연구하면서 정보보증(Information Assurance)이란 개념을 세웠다. 정보보증은 신뢰성을 확보하고 이를 검증하기 위한 관리적·기술적 수단을 말한다. 그런데 당시만 해도 이 정보보증은 네트워크 분야에만 국한되어 있었다. 기존 무기체계는 폐쇄망 적용 등으로 네트워크와는 연관이 없다고 생각했기 때문이다.
그런데 2016년 북한의 ICBM 발사 실험이 연이어 실패하면서 이러한 미국의 기조에 변화가 찾아왔다. 사실 어떤 실험을 계속하다 보면 반드시 성과가 나와야 하는데, 이상하게도 연이어 실패하면서 나아질 기미가 보이지 않았던 것. 이 때문에 당시 오바마 정부가 사이버공격을 통해 북한의 미사일 발사 실험을 실패하도록 했다는 소문이 돌았다. 이후 미국은 모든 무기체계에 정보보증을 적용하기 시작했다.
“미국에서 정보보증을 연구하다보니, 보안을 강화하면 다시 뚫리고, 다시 보완하면 뚫리고 하는 일이 반복되는 겁니다. 게다가 이렇게 프로그램이 복잡해지면 그만큼 위험도가 높아졌고요. 그래서 애초에 보안을 염두에 둔 보안 내재화를 적용하기 시작했습니다.”
김 교수는 카카오뱅크와 삼성전자, LG전자 등 국내 일부 기업들도 보안 내재화 개념을 도입하는 등 국내에서도 변화의 바람이 불고 있다고 설명했다. “문제는 보안 내재화에 대한 이해가 부족하다는 겁니다. 예를 들면, 기업들은 보안 내재화를 위해 애널리스트, 즉 모의해킹을 위한 인력을 뽑은 후 자사 제품을 공격해 봅니다. 그런데 그 한 사람 혹은 한 팀이 모의해킹을 통해 문제점을 발견하지 못했다고 해서 그 제품에 문제가 없다는 것은 아닙니다.”
보안 내재화를 위해서는 먼저 어떤 보안이 필요한지를 고민한 후 이를 적용할 ‘엔지니어’가 필요하며, 각 단계별로 적용한 보안을 수학적으로 검증해야 한다는 게 김 교수의 설명이다. 그리고 여건상 기업 스스로 할 수 없다면, 잘 정의된 소프트웨어 개발 프로세스(SDL)를 따라하면 된다는 것이다.
“사실 우리 기업들은 보안 내재화를 하면서 스스로 체크할 수 있는 체크리스트를 만들지 못했습니다. 카카오뱅크와 작업할 때도 스스로 필요한 것들을 알 수 있도록 체크리스트를 먼저 만들었죠. 이후 필요한 부분을 명확하게 한 후, 해당 솔루션을 선택해 작업했습니다. 이렇게 작업하자 구축 시간은 더 걸렸을지 몰라도 애초 기대했던 것처럼 보안은 강화하면서도 고객의 불편함은 최소화할 수 있었고, 여러분이 잘 아시는 것처럼 큰 성과를 거두고 있습니다.”
김승주 교수는 국내 기업들의 보안 내재화가 아직 세계 수준에 못 미치는 만큼 이제부터라도 스스로 체크리스트를 만들어 한 단계씩 차근차근 노력해야 할 것이라고 강조했다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 정보보호제품 성능평가제도 (0) | 2017.11.26 |
|---|---|
| [기사] 개인정보 위탁시 꼭 지켜야 할 보안수칙 2가지 (0) | 2017.11.16 |
| [기사] 비식별 조치 가이드라인 개선사항 (0) | 2017.11.04 |
| [기사] GDPR이 요구하는 DPO를 어떻게 확보할 것인가? (0) | 2017.10.17 |
| [기사] 개인정보 비식별 관련 입법 (0) | 2017.10.08 |
