세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[주말판] 키워드로 보는 정보보안의 2017년 현재
입력날짜 : 2017-03-11 16:14
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
3월 현재의 ‘핫’한 키워드와 지난 1월에 언급되던 키워드
기자의 예측 : granular security 혹은 알갱이 보안


[보안뉴스 문가용 기자] IT 업계에서 정말 많은 용어들이 탄생한다. 완전히 새로운 단어가 나오기도 하고, 기존의 단어가 새로운 뜻을 갖기도 하며, 여러 단어가 합성되기도 한다. 이 새 용어들은 주목을 받다가 소리소문 없이 사라지기도 하고, 오랫동안 남아 사전에 등록되기도 한다. 그래서 새 용어를 일일이 암기하고 공부할 필요가 있는 건 아니지만 그때 그때 유행하는 것들을 모아보면 ‘지금 우리가 어디로 가고 있다’는 건 짚어볼 수 있다.


1. 버켓타이즈(Bucketize)
버켓(bucket)은 흔히들 알고 있다시피 ‘양동이’ 같은 걸 뜻한다. -ize라고 하면 ‘~화하다’ 따위의 ‘동사’형 어미인데, 이 둘을 합하면 ‘양동이화하다’ 정도가 된다. 물론 영어사전에 존재하지 않는 단어다. 이는 보안 시장의 마케터들이 만든 단어라고 추정되고 있는데, 하드웨어 기능을 따로따로 분리해놓는 것을 말한다. 버켓타이즈된 장비는 고객들에게 보다 더 많은 옵션과 높은 유연성을 제공하는 것으로 알려져 있다.

관리의 용이성 때문에 많은 기능이 한 군데에 뭉쳐져 있는 올인원(All-in-one)과 다르게, 기능들이 모듈화되어 있는 것을 뜻하며, 앞으로 보안 서비스를 제공할 때 ‘모든 보안의 필요를 채워주는’ 것 대신, ‘필요한 기능만 골라서’ 서비스하는 것이 유행할 것으로 보인다. 소비자들이 필요한 것만 양동이에 담아가는 그림이랄까. 그렇다고 하이엔드 네트워킹 플랫폼과 스위치들의 다기능이 사라질 것이라고 보기는 어렵다.

2. 머신 러닝(Machine Learning)
알파고가 이세돌 9단을 이긴 지 벌써 1년이 넘었다. 그 전부터 아는 사람만 알던 머신 러닝이라는 용어가 1년 새 일반 대중들에게도 퍼졌으니, 머신 러닝이 여기에 꼽힌 것이 어울리지 않아 보일 수 있다. 하지만 지난 달에 열린 RSA에서 가장 많이 등장한 주제가 머신 러닝이었고, 기자 간담회나 사업 발표회에 가면 요즘 꼭 빠지지 않는 주제 역시 머신 러닝이다. 이제 막 등장한 상큼한 용어는 아니지만, 이제 대세로 자리잡는 게 눈에 확연히 보이는 용어라는 것이다.

머신 러닝이란 입력된 데이터를 기계가 ‘학습’하도록 설계된 알고리즘이다. 이미 위협 지형도나 사이버 범죄자들의 기발한 창작력은 보안 업계의 전문가들로만 따라잡기 불가능한 때를 지났다. 기계가 사람보다 더 빠르게 학습하고 대안을 마련해주기를 기대하는 것도 그 때문이다. 많은 보안 업체들이 이런 시장의 기대에 떠밀려 머신 러닝에 대해 적극 알아가고 있다.

머신 러닝이 떠오르면서 인공지능이란 말도 새롭게 주목받고 있다. 둘이 거의 같은 뜻으로 사용될 때도 많다. 하지만 머신 러닝은 인공지능이라는 큰 분야의 일부이다. 머신 러닝은 인공지능 내 다양한 분야 중에서도 데이터 처리 및 분석에 더 치중된 항목으로, 정보보안 분야가 머신 러닝에 희망을 품고 있다는 건, 현재 데이터 처리에 큰 곤란을 겪고 있다고 해석해도 된다. 다시 말하지만 머신 러닝이라는 말 자체가 새롭고 신선한 용어는 아니다. 다만 각광받는 머신 러닝의 다른 한 편엔, 처리되지 않고 쌓여만 가는 데이터가 있다는 걸 짚고 싶었다.

3. 마이크로 서비스(micro-service)
아직 머신 러닝만큼 많이 등장하는 용어는 아니지만, 여기저기서 마이크로 서비스에 대한 이야기가 나오고 있다. 마이크로 소프트는 ‘서비스 지향 아키텍처(Service Oriented Architecture, SOA)’에서 파생된 용어인데, 이 SOA란 한 마디로 일처리에 필요한 자잘한 기능들을 하나하나 모아 서로 연동시켜 큰 시스템을 구축하는 걸 말한다. 모듈화라는 개념과 어느 정도 연결되어 있다. 그 하나하나의 기능 혹은 서비스를 ‘마이크로 서비스’라고 보면 된다.

마이크로 서비스는 커널과 OS, 애플리케이션 언어를 따로따로 분리해낸다. 여기에 더해 암호화 전문 업체들은 이렇게 분리된 커널, OS, 애플리케이션들을 따로따로 암호화 하는 것이 곧 대세로 자리 잡을 것이라고 내다보고 있다. 커널, OS, 애플리케이션을 전부 분리하면서도 각각을 암호화하고, 기능에도 전혀 이상이 없도록만 할 수 있다면 보안에 있어 큰 혁신일 것이라고 보고 있는 것이다. 테일즈(Thales)라는 암호화 업체의 부회장인 솔 케이츠(Sol Cates)의 경우, 이런 구조가 자리 잡으면 해킹과 멀웨어 제작이 크게 힘들어질 것이라고 말한다.

4. 서비스형 키 관리(Key Management as a Service, KMaaS)
논란 중에 있는 보안의 주제들 중 하나는 ‘암호화의 실효성’과 ‘암호화의 실용성’이다. 암호화가 보편적으로 사용된다면 우리의 사이버 환경은 좀 더 튼튼해질까? 보안이 강화될까? 하지만 이에 대한 답을 탐구하기가 힘든 게 비밀키의 관리가 너무 까다롭기 때문이다. 애초에 금융 업계나 국가 첩보 기관 같은 곳 외에 암호화를 적용하는 것 자체가 ‘오버스러워’ 보이는 게 현재 암호화에 대한 사람들의 인식이다.

그래서 최근 조금씩 등장하고 있는 게 서비스형 키 관리 혹은 KMaaS다. 비밀키 관리를 공개키처럼 관리할 수는 없을까? 클라우드를 통해 좀 더 편리하게 제공하는 건 불가능할까? 좀 더 보편화 시킨 비밀키 관리 시스템에 대한 고민이 이야기되고 있는 것이다. 암호화가 쉬워지고, 그에 따라 보편화된다면 보안의 지평은 어떻게 변할까?

5. 분석론(analytics)
머신 러닝이나 인공지능, 빅 데이터와 깊은 관련이 있는 것으로, 데이터 분석에 대한 이야기가 언젠가부터 각종 보안 행사에마다 등장하고 있다. 리서치 전문업체인 포레스터(Forrester)의 분석가인 메릿 맥심(Merritt Maxim)은 “작년 RSA에 참석한 보안 전문업체 중 ‘분석 전문 업체’라고 스스로를 분류한 업체가 104개였는데, 올해는 그보다 훨씬 높았다. 디렉토리를 한 눈에 보고 세기가 귀찮았을 정도였다”라고 말한다.

보안 분석이라는 분야의 인기가 높아지자, 그 하위 분야들도 나타나기 시작했다. ‘위협 분석’은 어느새 공식 분야가 되었고, 사용자 행동 분석 역시 굳건히 자리 잡았다. 사용자 행동 분석의 경우 UBM이라고 표기되기도 한다. 로그와 이상 현상을 분석하는 건 보안 전문가에게 있어 정말 ‘고통스러운’ 작업이기 때문에 이 부분에 대한 해결책이 현재로서 급선무로 여겨지고 있다고 볼 수 있다. 넘쳐나는 데이터를 어쩌지 못해 애쓰는 시대다.

여기에 예측 분석(predictive analytics)이라는 용어도 보안 분야에 등장하기 시작했다. 그러나 좀 더 쉽고 효율적인 분석 기술을 소망하는 보안 전문가들에게조차 아직은 등한시되고 있다. 보안 전문업체 아노말리(Anomali)의 CSO인 콜비 디로데프(Colby Derodeff)는 “예측 분석은 솔직히 공상 과학 분야에 더 어울리는 분야 같고, 먼 미래에나 효용 가치가 있을 것 같다”고 말한다. “예측 분석이라는 학문이 허황된 것이라는 게 아닙니다. 이상 현상과 정상 현상을 구분하는 데에는 기능을 발휘하죠. 하지만 그걸 네트워크 환경에 적응시키고 구축하는 건 매우 어렵습니다. 아직 제대로 사용할 수 있는 방법이 개발되지 않았다고 볼 수 있습니다.”

6. 구획화(compartmentalization)
스마트 방화벽으로 사용자를 ‘신뢰할 수 있는 그룹’과 ‘신뢰할 수 없는 그룹’으로 나누는 보안 방식은 이제 한계에 다다랐다고 대부분 보안 전문가들은 보고 있다. 그에 대한 대안으로 등장하고 있는 것이 바로 이 ‘구획화’다. 맥키퍼(MacKeeper)의 연구원인 크리스 비커리(Chris Vickery)는 구획화라는 개념에 대하여 “과거에 군사 비밀 작전을 실행할 때, 해당 작전에 대하여 아는 사람을 최소화하는 것과 비슷한 것”이라고 설명한다.

“어떤 정보에 대하여 접근할 수 있는 권한이, 현재는 직책이나 직위에 따라 정해지는 게 일반적입니다. 아르바이트생이 열람할 수 있는 정보와 사장이 열람할 수 있는 정보가 다르죠. 하지만 그것에 한계가 왔다는 겁니다. 그래서 모든 사업상 프로젝트를 비밀 프로젝트처럼 진행하는 겁니다. 그래서 거기에 관여된 최소한의 사람들에게만 관련 정보를 노출시키는 것이죠. 직위에 따라서가 아니라, 미션에 따라서 최소한의 사람에게만 정보 열람권을 허락하는 게 바로 구획화입니다.”

이는 권한 허용의 새로운 분류법이라고도 볼 수 있는데, 초기에는 여기에 적응하지 못해 사람이나 시스템 모두 ‘엉킨다’는 느낌을 받을 수 있다. 그래서 업무 속도나 생산량 측면에서 오히려 부정적인 효과를 불러일으킬 수 있는데, 이 기간을 과연 운영진이 감내할 수 있을 것인지가 관건이라고 비커리는 설명한다. “하지만 구획화 개념이 정착되고, 다시 업무가 정상 속도로 흘러간다면, 보안이 크게 강화할 것이라고 봅니다.”

7. 사이버(Cyber)
사이버가 무슨 용어씩이냐 되느냐고 묻는 사람이 대부분일 것이다. 특히 사이버 보안이니 사이버 위협, 사이버 범죄, 사이버 공격자 등의 용어와 친숙한 사람들은 더욱 그럴 것이다. 맞다. 사이버는 그 자체로 용어나 새로운 말이 아니다. 다만 최근 들어 사이버가 덧붙여진 새로운 단어들이 마구 생겨나고 있다는 건 짚어봐야 한 현상이다. 미국에서는 최근 사이버 직업(cyber job), 사이버 정책(cyber policy), 사이버 안전(cyber safety) 등의 말들이 사람들 사이에 언급되기 시작했다. 특히 정치계가 갑자기 ‘사이버’ 애호가들로 가득해 보이는 것이 핵심이다.

미국 정치계가 ‘사이버 늦바람’을 피우는 건 정해진 수순이었다. 미국은 수년째 최대 해킹 피해 국가였고, 트럼프 대통령이라는 미국 역사 역대급 충격(미국 언론의 시각)에 대한 이유로 러시아의 해킹이 첫 손에 꼽히고 있기 때문이다. 러시아에 대한 반감은 물론, 그 공격을 막지 못한 정부에게도 비난의 화살이 쏟아지고 있다. 즉 ‘사이버 보안’에 대한 국민의 목소리가 높아지고 있고, 이것이 ‘사이버+단어’들의 홍수로 반영되고 있는 것이다.

이 ‘사이버+단어’의 행진은 어디로 향하고 있을까? 정치계에서 이 행진이 이뤄지고 있다는 걸 생각해보면, 앞으로 강력한 정책과 규정들이 등장할 것으로 보인다. 벌금도 더 높아지고, 형량도 무시무시해질 것이다. 당연히 사이버 범죄자들을 더 엄히 다스리려고 하는 것이겠지만, 보안의 수준이 낮은 기업이나 조직들 역시 엄벌해 처해진다는 소리도 된다. ‘사이버 양심’이 선언될 듯 한 분위기다.

복습하기 : 올 1월에는 어떤 용어들이 ‘핫’했을까?
최근 용어들을 정리하다 보니 불과 두 달 전에 유행했던 용어들이 뭐였을까 궁금해진다. 두 달 전이면 1월이라, 수많은 예측 및 정리 기사가 나올 때였으니까. 여러 기사와 기록을 찾아본 결과 다음 몇 가지가 가장 많이 언급되었다는 걸 알 수 있었다.

1) CASB : 클라우드 접근 보안 브로커(Cloud Access Security Broker)로, 클라우드가 대세이긴 하나 그 보안성에 대한 고객들의 불신을 해결해주기 위해 등장한 기술이다. 사용자 기업의 보안 정책과 클라우드 제공 업체의 보안 정책을 중간에서 조절, 조율해주는 서비스나 기능을 말하는 것으로, ‘클라우드 이민의 시대’를 상징하는 가장 대표적인 용어였다. 그 때는 CASB가 대세가 될 것 같은 뉘앙스가 많았는데, 아직까지 그 말이 현실화되지는 않았다. 생각보다 클라우드 도입률이 느리거나, 클라우드 보안에 대한 사람들의 신뢰가 급증했거나, 둘 중에 하나다.

2) 사물인터넷 연결 보안(IoT Connection Security) : 사물인터넷 기기들이 보안의 크나큰 말썽꾸러기가 될 전조는 일찍부터 있어왔다. 그에 대한 경고의 목소리도 항상 높았다. 그러나 사물인터넷 기기를 만드는 제조사가 알아서 강력한 보안 도구를 도입하지 않으면 어쩔 수 없는 게 산업의 구조였기 때문에 보안 업계는 ‘그러면 안 돼! 하던 것을 멈춰!’라고 멀리서 소리칠 수밖에 없었다. 그래서 등장한 것이 바로 이 ‘연결 보안’이다. 사물인터넷 기기가 기업의 네트워크에 연결되는 그 부분에 개입해 보안을 강화시켜주는 기능 및 서비스를 말하는 것으로 어찌보면 클라우드 보안 브로커와 비슷하다. 그러나 지금은 흐지부지 없어지다시피 한 용어다.

3) 보안 오케스트레이션과 자동화 : 자동화는 머신 러닝 등으로 대체되거나 진화되어 현재까지도 활발하게 연구되는 것으로 아직까지 성공적으로 살아남아 있다고 볼 수 있다. 오케스트레이션은 점점 모듈화, 조직화, 세분화 되는 보안의 세부 기능들을 한 번에 관리하는 기술 혹은 방법론으로, 아직은 세분화가 다 이루어지지 않았기 때문에 현재에 활발히 논의되고 있지는 않다. 때가 무르익지 않았다고도 볼 수 있는 것이다. 하지만 제각각인 보안 솔루션들의 호환성 문제가 대두되면서 ‘간소화’라는 용어가 등장하기도 했다. 오케스트레이션과 간소화는 다른 개념이긴 하지만, 다루고자 하는 문제의 뿌리가 비슷해 둘이 경쟁할 것으로 보인다.

4) 위협 첩보 플랫폼 : Threat Intelligence Platform으로 줄여서 TIP라고도 한다. 위협 첩보를 공유해야 한다는 말은 오래 전부터 있어왔는데 좀처럼 이뤄지지 않고 있다. 왜냐하면 첩보의 포맷과 내용이 다 제각각이라 이걸 제 때 공유한다고 해도 다시 해석하는 데에 시간이 걸렸기 때문이다. 또한 이렇게 ‘제각각’인 것을 해석해봤자 정보의 파편들만 한 가득 해 의미있는 결론이 도출되기가 힘들었다. 그래서 이걸 좀 통일시켜야 한다는 움직임이 계속 있어왔고, 연말연시 즈음에는 위협 첩보를 한 데 공유하는 플랫폼이 등장할 것이라는 기대가 높았다. 하지만 아직도 좀처럼 성과가 없다. ‘이윤’이라는 인센티브 없이, 뭔가 의미 있는 일을 경쟁사와 힘 합쳐 한다는 게 지금 세상에서 꿈 같은 일이기 때문이다.

5) 보안 컨설팅 서비스 : 이건 보안 인력이 모자란 것에 대한 해결책으로 제시되었던 것이다. 사람이 모자라 보안을 담당해줄 순 없지만, 외부자로서 조언해줄 수는 있지는 않을까 하여 ‘보안 컨설팅 산업이 부흥할 것’이라는 예측이 많았다. 이제 2달 남짓 시간이 흘렀기 때문에 이 예측이 맞거나 틀렸다고 결론을 내릴 수는 없다. 사람이 모자란 것만은 여전한 사실이고, 해결책이 보이지 않는 문제다. 요즘엔 ‘종사자의 다양성’으로 화제전환이 이뤄져 있다.

언젠가 알갱이 보안(granular security) 나올까?
기능별로 하드웨어가 나뉘는 보안, 미션에 따라 달라지는 정보 접근 권한, ‘마이크로’ 서비스, 구획화와 통합관리(오케스트레이션), 그리고 한 조직을 전담하는 게 아니라 여러 필요를 너르게 채워주는 ‘컨설팅’ 서비스의 대두까지, 지금 시점에서의 보안 용어 정리를 하다 보니 작아지고 있는 보안 업계 속 흐름이 느껴졌다. 시장 규모가 작아진다는 게 아니라, 오히려 더 넓고 편만하게 확산되고 있다는 것이다.

보안에 ‘위생’이라는 단어가 덧붙여지고 있다는 게(security hygiene) 이 모든 현상을 종합한다. 정보보안은 커다란 수술을 진행하는 종합병원이라기보다 매일매일 내 주변 사람의 사소한 위생습관을 챙겨주는 역할을 수행해야 한다는 깨달음이 이 현상의 배경에 있다. 누군가는 수술을 집도할 수 있어야 하지만, 누구나가 다 그럴 순 없고 그럴 필요도 없다. 손 안 씻고 밥 먹는 아이에게 “아프면 수술하면 되니까 괜찮아”라고 말해주는 게 정보보안의 역할이 아니라는 것이다.

‘보안’은 그 본질상 좀 더 알갱이처럼 되어야 한다. 좀 더 작게, 좀 더 사소하게, 그러므로 좀 더 일상 속으로 깊숙하게, 좀 더 위생 수준 높게. 회사로 치면 한 사람 한 사람이 인사부, 재경부, 총무부, 법무부 등에 파견되어 해당 부서의 상황을 완전히 파악하고, 될 수 있다면 그 부서 내 구성원들까지 이해해 그에 맞는 보안 교육을 진행하고, 보안 솔루션을 구매하고, 보안 정책을 마련해야 한다. 그런 상황에서 보안 부서라면 이런 과정에서 지나친 ‘복잡성’이 야기되는 걸 방지하는 역할이 매우 중요해질 것으로 보인다.

보안을 위한 기술은 이미 segmentation과 권한 관리, 시스템이 아닌 데이터 한 건 한 건의 보안, OS와 애플리케이션의 분리된 암호화 등 잘게 쪼개고 나누는 방향을 향하고 있는데, 아직 조직 내 보안 담당자들은 부서 단위로 움직이는 게 일반적이다. 보안 전문가 대부분이 동의하는 바 ‘보안은 일상적으로 지켜져야 하는 것’이 맞는다면, 조만간 알갱이 보안 혹은 granular security나 그와 맥락을 같이하는 말이 어디선가 등장할 것으로 예상된다. 이미 나왔다면 알려주시길 바란다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
주말판   키워드   정보보안   세밀화   버케타이즈   양동이               


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)