[톡톡 토크] 절반 지난 RSA, 무슨 말들 나왔나?

세계 각국에서 모인 보안 전문가들의 이야기

모든 입장의 중립을 유지하고 있는 RSA 2015

[보안뉴스 주소형] 현재 미국 샌프란시스코에서는 세계 최대 보안 컨퍼런스인 RSA가 한창 진행되고 있다. 워낙에 보안업계에서 명성이 자자했던 컨퍼런스인지라 필자도 지난주부터 키노트 주제와 프로그램을 체크하고 지금도 모니터링 중이다. 실제로 세계 각지의 보안시장에서 한가닥 한다는 인사들이 저마다의 목적을 갖고 모인 것으로 보인다. 첫날부터 현 미국정부가 강조하는 첩보공유정책에 반하는 프라이버시의 중요성을 강조하는 등 다소 파격적인 행보를 보이는 듯 했지만 막상 나오는 키노트들을 보면 크게 눈에 들어오는 게 아직까지는 없다.

사실 살다보면 ‘바로 이거야’ 했던 일이 ‘이게 아닌데’로 끝나는 게 다반사다. 아직 절반 밖에 지나지 않았지만, RSA 2015와 자유의 상징인 미국에 거는 기대가 너무 컸던 탓인지 신선함이 없다는 목소리가 새어나오고 있는 것도 사실이다.

하지만 어떤 잡음이 나오던 간에 RSA는 거기에 누가 참석했으며 어떤 이야기가 오갔는지 그 자체만으로도 충분히 의미가 있는 행사다. 또한 역시 역사와 전통이 있는 행사인지라 모든 입장의 중립을 잘 지키면서 진행되고 있다는 느낌도 든다. 위에 말한 프라이버시가 주제로 나오는가 하면 정부 관계자가 정보 공유의 중요성을 발표하기도 했다. 때문에 금주 [톡톡 토크]에서는 현재까지 RSA 2015에서 나왔던 이야기들 중 화자가 되고 있는 것들을 뽑아 보았다.

1. “정보보안의 미래는 정보 자체에 대한 이해를 필요로 할 것이고, 이는 프라이버시의 이해와 밀접한 연관이 있다. 즉, 정보보안의 미래는 프라이버시에 대한 이해에 달려있다고 해도 과언이 아니다.”

- 국제 프라이버시 전문 협회(IAPP)의 트레버 휴(J Trevor Hughes) CEO / 제프 노스롭(Jeff Northrop) CTO

2. “우리의 능력만으로는 솔직히 한계가 많다. 특히 정보에 있어서 국민들의 공조가 필요한 게 사실이다. 그런데 국가안보와 국민들의 프라이버시가 상충되고 있다는 것이 딜레마다.”

- 미국 국토안보부(DHS)의 존슨(Jeh C. Johnson) 총무

3. “다섯 가지를 말하고 싶다.

① 보호막을 믿지 마라. 뛰는 보호막 위에 나는 해킹기술이 있다는 것을 명심해라.

② 보안정보 이벤트관리(SIEM)를 잘 활용해라.

③ 신원(identity)과 인증(authentication)은 더욱 화제가 될 것이다.

④ 외부 위협이 갈수록 지능적으로 변모하고 있다.

⑤ 공격을 받았을 때, 모든 일을 순서대로 처리해야 그나마 피해를 최소화할 수 있다.

- RSA의 아밋 요란(Amit Yoran) 회장

4. “코드를 만드는 것은 중요하고 코드를 해독하는 것은 재밌다.”

- 암호 해독계 전설로 알려진 에드 조지오(Ed Giorgio)

5. “코드를 해독하는 것은 예술이고 코드를 만드는 것은 과학이다.”

- RSA 알고리즘을 만든 아디 샤미르(Adi Shamir)

6. “버지니아 주를 시작으로 향후 미국 내 사이버위협 정보공유에 동조하는 움직임이 시작될 것으로 예상된다.”

- 버지니아 주 기술 분야 카렌 잭슨(Karen Jackson) 총무

7. “미국인을 타깃으로 한 제로데이(Zero-day) 멀버타이징(Malvertising)이 데일리모션(Dailymotion), 허핑턴포스트(Huffington Post), 엔설스(answers.com), 뉴욕데일리(New York Daily news), 하우투긱(HowToGeek.com), 테그(tagged.com) 등 접속자가 높은 웹사이트에 무려 두 달 동안 몰래 잠입하여 이용자들을 공격하고 있다.”

- 멀웨어바이트(Malwarebytes)의 페드로 부스타만테(Pedro Bustamante) 임원

8. “100% 온라인 뱅킹만으로 사업을 하는 우리는 보안문제에 대처하기 위해 결정권을 여러 주체에게 분산시켰다.” (분권화된 결정수립의 장점은 MIT의 토마스 말론(Thomas W. Malone) 교수에 따르면 1)창의력과 동기부여 강화 2)같은 문제에 여러 명이 머리를 맞대고 힘을 합칠 수 있는 환경 조성 3)유연함과 개별화 가능 의 효과가 있다.)

- 스페인 금융기관인 BBVA의 후안 프란시스코 로사(Juan Francisco Losa) CISO

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)