사이버 보안은 더 이상 한 개인의 문제나 한 회사의 문제가 아니다. 사회 전체, 더 나아가 국가 전체의 문제다. 아시아 최대 규모의 국제 시큐리티 콘퍼런스 ISEC 2023을 관통하는 메시지는 바로 이것이었다. 보안 전문가들의 위상이 높아질 수 있는 시기이다. 물론 재빠르게 움직였을 때의 이야기다.

[보안뉴스 문가용 기자] 아시아 최대 규모의 국제 시큐리티 콘퍼런스 ISEC 2023에서는 19~20일 이틀에 걸쳐 Act Now라는 보안 분야의 사회적 부름에 대한 탐구가 이어졌다. 이색적으로 스웨덴과 네덜란드, 아일랜드의 한국 주재 대사와 한국 과학기술정보통신부 네트워크정책실장이 각국의 보안 상황과 전략을 공유하는 시간이 마련되기도 했다. 이를 통해 기술적 차원에서만이 아니라 각국 정부의 시각에서 보안과 관련된 현재의 사안들을 살필 수 있었다. 이기주 ISEC 조직위원장이 좌장으로 진행한 ‘시큐리티 글로벌 서밋 2023(Security Global Summit 2023)’에서였다.


1부 : 네 개의 나라, 네 개의 시각
이기주 ISEC 조직위원장(좌장) : 우리나라는 남북이 아직 대치 중이라 사이버 공방이 치열하다. 하지만 스웨덴의 경우 오랜 시간 중립국의 지위를 유지하고 있다. 스웨덴과 같은 나라에서 경험하는 사이버 위협은 조금 다를 수 있을 것 같다. 다니엘 볼벤 대사께서 궁금증을 풀어달라. 네덜란드와 아일랜드의 사정 역시 궁금하다.

다니엘 볼벤(Daniel Wolven, 스웨덴 대사) : 200년 동안 중립국인 나라이지만 오히려 중립국이기 때문에 더 치열하게 방어 태세를 유지하고 있다. 저절로 지켜지는 중립국이란 건 없기 때문이다. 게다가 작년 러시아가 우크라이나를 침략하면서 중립국의 기조가 바뀌었고, 이제는 스웨덴이라는 국가를 지키려면 NATO에 가입할 필요가 있다고 보고 있다. 그 이전에도 스웨덴은 매일처럼 러시아 및 동유럽 해커들의 공격을 받아 왔다. 북한의 공격에 시달리는 한국과 그리 다르지 않다고 본다.

한국도 그렇지만 스웨덴 역시 지금 사회 전체적인 디지털화가 진행 중에 있고, 그래서 현재 보안의 가장 중요한 목적은 안전한 디지털 전환을 이루는 것이라고 할 수 있다. 그렇기에 정부가 나서서 ‘보안을 맨 나중에 덧대는 게 아니라 처음부터 다른 기능들과 같이 고려해 설계하는 것’이라는 개념을 계속 전파하고 있다. 사이버전에 대비해서는 정부기관들의 조직을 계속해서 고민하고 여러 가지를 시험하고 있다. 가장 효과적인 방어력을 가질 수 있는 조직의 방법을 찾고 있다. 경제적으로는 보안산업을 육성해 세계적인 경쟁력을 갖추게 하는 것도 중요한 과제다. 그래서 보안인재 육성에도 투자를 하고 있다.

페이터 반 더 플리트(Peter van der Vilet, 네덜란드 대사) : 네덜란드 역시 사회 전체의 디지털 변환을 안전하게 이루려는 것을 최우선 보안 과제로 삼고 있다. 신기술이 너무나 빠르게 등장하는데, 이제는 도입되는 속도마저 빠르다. 이런 때에 정부가 나서서 새로운 기술들이 내포하고 있는 악영향에 대한 점검을 빠짐없이 시행하는 게 중요하다고 본다.

지정학적 갈등이 사이버 공간으로 침투하는 것 역시 지켜봐야 하는 일이다. 이제 갈등 구도가 생기면 사이버 공간에서 사건이 발생한다. 특히, 서방 국가들은 러시아, 중국, 북한의 위협에 자주 노출된다. 이들의 움직임을 주시할 수밖에 없다. 보안 분야의 할 일이 대단히 많아지고 있다는 뜻이다. 아마 모든 사람이 그렇겠지만 인터넷을 지금처럼 자유롭고 열린 공간으로 유지하고 싶은 게 네덜란드의 바람이기도 하다. 이는 국제적 파트너십과 민관 협조로만 이룩할 수 있다. 네덜란드 정부가 파트너십에 주력하는 이유다.

미셸 윈스롭(Michelle Winthrop, 아일랜드 대사) : 이렇게 듣고 보니 빠른 디지털화라는 게 대다수 국가의 공통된 과제인 것 같다. 아일랜드 역시 이 부분에 대한 고민이 크다. 특히, 정보를 보호한다는 측면에서 많은 책임감을 느끼고 있다. 아일랜드는 유럽연합 내에서 인구 수로는 1% 남짓한 비율을 차지하고 있다. 상당히 적다고 볼 수 있다. 그런데 아일랜드가 보유하고 관리하고 있는 유럽연합의 데이터는 13%다. 적지 않다. ‘지켜야 한다’는 우리의 시선이 아일랜드만이 아니라 유럽 전체로까지 확대될 수밖에 없다.

그래서 아일랜드는 2019년부터 2024년까지 도입할 국가 보안 강화 전략을 수립해 시행하고 있다. 국가사이버보안센터를 중심으로 모든 국가기관이 보안을 강화하고 아키텍처를 새롭게 하는 것, 기본 보안의 기준의 높여 적용하는 것, 민간 기업들과의 협력을 통해 사이버 범죄자들보다 늘 앞선 상태를 유지하는 것, 유럽연합의 프레임워크 안에서 국제 협력체계를 구축하는 것, 일반 대중들의 보안인식 수준을 높이는 것이 가장 중요한 사업이라고 할 수 있다.

홍진배 과기정통부 네트워크정책실장 : 앞서 발언한 3개 국가와 마찬가지로 한국 정부도 사이버 보안 위협을 사회적 문제로 인식하고 있다. 멀웨어만 해도 작년 한 해 35%나 증가했다. 그래서 우리는 보안 전문 기업들의 기술력과 능력을 강화시키는 전략으로 대응하고 있다. 보안 기업들이 국가의 보안 자산이라는 생각이다. 이들을 키우는 게 국가 보안력 강화라고 생각한다. 분야별로 보자면 지금 시급히 강화해야 하는 것이 소프트웨어 공급망과 디지털 인프라라고 보고 있다.

이기주 위원장 : 각 나라의 상황과 보안 전략 및 과제에 대해 공유해 주셔서 감사하다. 네 개 나라의 현재 모습을 살피니 세계가 지금 어떤 상황에 직면해 있는지 알 것 같다. 결국 각 정부가 하는 이 모든 일은 보안 전문가들을 움직이게 하기 위한 것이라고 정리할 수 있지 않을까. 정부의 고위급 인사로서 지금 당장 실천해야 할 것은 무엇이라고 보는가?

볼벤 대사 : 사실 여러 가지가 생각나는데 딱 하나만 꼽으라면 국제적 협력 체계와 파트너십을 구축하는 것이라고 하겠다. 보안은 더 이상 IT 문제가 아니라 사회 문제, 더 나아가 민주주의를 지키는 것과 관련이 깊은 문제라고 생각한다. 민주주의 국가들의 연대가 필요하다.

페이터 반 더 플리트 대사 : 볼벤 대사의 말에 동의한다는 말에 덧붙여 ‘인공지능’이 지금 보안 분야의 시급한 해결 과제라고 꼽겠다. 특히, 인공지능을 군사적으로 활용하는 문제에 보안 업계가 참여해야 한다고 본다. 군사적인 목적의 인공지능 활용에 대한 세계적 공통 기준 마련이 필요하다.

윈스롭 대사 : 나 역시 두 대사의 말에 적극 동의한다. 거기에 더해 가장 시급한 문제는 랜섬웨어라고 생각한다. 랜섬웨어가 얼마나 창궐하는지, 이제 이 위협이 경제 시스템 자체를 뒤흔드는 지경에까지 왔다. 누군가의 컴퓨터에서 일어난 해프닝이 아니라 국가적 사태, 더 나아가 국가적 재앙이 되고 있다. 랜섬웨어 다음에도 새로운 위협이 나타나겠지만, 지금으로서는 랜섬웨어를 근절시키는 게 시급하다.

홍진배 실장 : 디지털 전환을 성공적으로 이뤄내는 것이라고 꼽고 싶다. ‘성공적인 디지털 전환’이라는 개념 안에 안전과 보안이 당연히 포함되어 있다. 기능과 속도만 강조한 디지털 전환은 반쪽짜리 성공일 뿐이다. 정부가 나서서 ‘안전’이라는 나머지 반쪽을 충족시켜야 할 것이다.

2부 : 민간 부문의 시각
국가 전체의 운영에 참여하는 당사자들의 입장이 발표되고 나서는 네 개의 보안 기업들을 이끄는 사람들이 무대에 올랐다. IBM시큐리티(IBM Security)의 크리스 맥커디(Chris McCurdy) 부사장, 사이버리즌(Cybereason)의 에릭 네이글(Eric Nagel) CEO, 센티넬원(SentinelOne)의 에반 데이비슨(Evan Davidson) 부사장, 두산디지털이노베이션의 로버트 오(Robert Oh) 부사장이었다. 좌장은 역시 이기주 ISEC 위원장이 맡았다.


이기주 위원장 : 민간 기업들을 초대한 자리라 신기술에 대해 이야기하지 않을 수 없다. 먼저 IBM시큐리티에는 요즘 한창 붐인 생성형 인공지능에 대해 묻고 싶다. 이 신기술을 어떻게 보고 있으며, 어떤 대응을 하고 있는가?

맥커디 부사장 : 생성형 인공지능은 태동기이지만 이미 공격자들이 공격을 업그레이드시키고 있다. 누군가의 목소리를 3초만 녹음해도 그것을 가지고 똑같은 목소리를 인공지능으로 생성할 수 있고, 이를 통해 BEC 공격을 할 수 있다. 생성형 인공지능 때문에 현재 가장 큰 수혜를 보는 건 단연 BEC 공격자들이다. 보안 전문 기업이라면 이런 흐름을 재빠르게 파악하여 사용자 기업에 알리고 대처하게 하는 게 중요하다고 생각한다. 그래서 ISEC과 같은 컨퍼런스에 참석해 BEC 공격에 주목하라고 강조하는 것이기도 하다.

이기주 위원장 : 요즘 XDR이라는 말이 보안 업계에 유행하고 있다. 사이버리즌도 XDR에 대해 잘 알고 있을 텐데, XDR이 고차원적으로 변하는 사이버 위협에 대한 답이 될 수 있을까?

네이글 CEO : 정말 XDR이라는 말이 여기 저기서 나오고 있고, 회사들마다 다양한 정의를 내리고 있다. 그런데 그럴 수밖에 없다. 왜냐하면 XDR이라는 것의 핵심은 여러 사이버 보안 솔루션들을 하나로 통합해 보다 효율적으로 최대의 기능을 발휘하도록 한다는 ‘개념’이기 때문이다. 어떤 하나의 솔루션이나 규격화된 플랫폼이 아니다.

많은 사용자 기업이 지난 수년 동안 여러 보안 솔루션과 장치들에 큰 돈을 투자해 왔다. 그래서 지금은 한 네트워크 안에서 보안 장치들끼리 충돌을 일으키고 있다. 뛰어난 보안 솔루션들이라고 하더라도 제대로 기능을 발휘하지 못한다. 이를 정리하고 가다듬어 기능 발휘를 최적화시켜야 한다. 그런 정리 작업을 해내는 게 XDR이다. 그러니 기업마다 다른 방식으로 XDR에 접근하게 되는 것이다. 여러 기능의 보안 장치들을 통합해 효율을 높이는 것이니 고도화 되는 위협에도 대응할 수 있게 된다.

이기주 위원장 : 클라우드로의 전환도 무시할 수 없는 현상이다. 클라우드 인프라가 미래라고 해도 과언이 아니다. 지금은 클라우드로 변환해 가는 과도기에 있는데, 이 시기를 보안 업체로서 센티넬원은 어떻게 지나고 있는가?

데이비슨 부사장 : 이미 편만하다는 말이 부족할 정도로 클라우드 도입이 무서운 속도를 내고 있다. 통계에 따라 조금씩 다르기도 하지만 기업의 94%가 워크로드를 클라우드로 옮겼다는 조사 결과도 있을 정도다. 이 때문에 격변이라고 해도 될 정도의 변화가 곳곳에서 일어나고 있다. 하지만 이런 상황이 사이버 공격자들에게 더 많은 기회를 주고 있다. 그들에게 클라우드는 침투 경로 중 하나일 뿐인데, 이 경로가 여기 저기 생겨나고 있으니 말이다.

그러면 이제 이 클라우드라는 것도 보호해야 하는데, 문제는 클라우드라는 게 기존 IT 인프라와 너무나 다르다는 것이다. 클라우드를 운영하고 보호하는 데 필요한 기술도 다르고, 그 기술의 이름도 다르고, 필요한 전문성도 다르다. 이런 차이를 이해해야 한다. 이걸 좀 더 보안의 관점에서 풀어서 설명하면 ‘클라우드 리스크’가 무엇인지, ‘클라우드를 위협하는 것’에 어떤 것들이 있는지를 이해하는 것을 말한다. 그런 후에 사건이 발생했을 때 언제라도 대응할 수 있을 만한 준비를 해야 한다.

이기주 위원장 : 두산디지털이노베이션의 경우 솔루션을 판매한다기 보다 고객사가 큰 틀에서 보안 전략을 짜고 인프라를 구성할 수 있도록 해 주는 것에 전문성을 가지고 있다. 위험이 점점 더 커지는 상황에서 그러한 전략이 여전히 유효한가?

오 부사장 : 어찌보면 우리 두산디지털이노베이션이 가지고 있는 기조와 관련이 있는 것 같기도 하다. 보안이 우리가 하는 모든 일의 근간이자 기본이 된다는 철학이 회사 방침과 내규로 떠받치고 있기 때문에, 고객들에게도 그런 근본적인 대책 마련의 방법들을 제안하는 것이라고 볼 수 있다. 우리 스스로는 ‘보안이 모든 것의 근간이다’라고 회사를 운영하면서 고객사에는 표면의 문제를 다루는 솔루션 몇 개 개발해 추천한다고 상상해 보라. 앞뒤가 맞지 않는다.

우리가 하는 것이 효과를 내니 고객들에게도 그대로 추천하는 것인데, 그 중 가장 강조할 만한 건 바로 ‘보안은 사람에서부터 시작한다’는 것이다. 온갖 최첨단 기술이나 수억 달러의 투자도 한 순간에 무용지물로 만드는 게 사람의 실수나 악의다. 보안에 대한 임직원들의 태도와 마음가짐이 바뀌지 않는 이상 다가오는 미래는커녕 현상유지도 어렵다. 각종 신기술을 동원한 공격이 위협하더라도 공격은 공격일 뿐, 보안의 기본이 바뀌지는 않는다. 오히려 그 기본기가 더 중요해지고 있다.

이기주 위원장 : 가장 먼저 우리가 행동을 취해야 할 것, 즉 Act Now 해야 할 것은 무엇이라고 생각하는가?

맥커디 부사장 : 일단 스스로에 대해 아는 것부터 시작하라. 디지털 자산이 무엇이며 어디에 있는지, 어떻게 연결되어 있고, 어떤 형태로 구성되어 있는지 알아야 보호할 수 있다. 또한, 스스로에 대한 스트레스 테스트를 지속적으로 하지 않는다면 스스로의 방어능력을 객관적으로 알 방법이 없다. 계속해서 스스로를 꼼꼼하게 알기 위해 애쓰는 Act Now를 추천한다.

네이글 CEO : 공격적인 방어 전략을 수립하는 것부터 시작하라고 권하고 싶다. 사건이 터지고 나면 대응하겠다는 마음가짐을 벗어버려야 한다. 스스로 공격자가 침투할 만한 경로를 찾아내서 해결하고, 정말 효과를 볼 만한 곳을 적극적으로 찾아 투자해야 한다. 방어를 하는 우리가 공격적인 태도를 갖게 되면 도리어 공격자들은 공격이 힘들어지게 된다. 공격이 힘들면 투자를 더 해야 하고, 투자를 더 하는 건 공격자들이 가장 싫어하는 것 중 하나다.

데이비슨 부사장 : 첫 번째는 침해 사고가 일어났다고 가정하는 것이 시급하다. 이게 은근히 갖기 어려운 생각의 방식이다. 누군가 네트워크에 이미 침해했을 거라고 보안 책임자 스스로가 인정한다? 괴로운 일일 수밖에 없다. 하지만 침해를 상정했을 때 보안 업무는 보다 구체적이 되고 능동적 방어를 할 수 있게 된다. 침해가 이미 일어났다는 생각으로 네트워크와 디지털 자산들을 바라보면 어떤 데이터가 특히 위험한지가 선명하게 보이기 시작하고, 어떤 엔드포인트부터 보호해야 하는지도 구분된다.

오 부사장 : 시야를 넓히는 게 좋다. 보안은 더 이상 개인 플레이가 가능한 스포츠가 아니다. 여러 명이 팀을 짜서 시합하는 ‘팀 스포츠’다. 보안 팀 내 구성원들끼리 뭉쳐야 한다는 소리가 아니다. 솔루션이나 플랫폼을 이용하는 고객들과, 그 솔루션과 플랫폼을 공동으로 개발하고 유지하는 파트너사들도 한 팀이다. 이들 모두가 보안에 참여하도록 해야 한다. ‘보안은 나 혼자 책임지고 맡는 것’이라는 것에서 탈피하는 것이 시급하다. 지금의 ‘공격자 vs. 방어자’의 경쟁은 ‘다크웹의 범죄 산업 전체 vs. 보안 산업 전체’의 구도를 갖는다. 그들이 온갖 형태로 뭉쳐서 공격하고 있는 상황에서 우리가 각개 전투를 해서는 질 수밖에 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>