세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
4차 산업혁명 시대에서의 보안 가치와 전략
  |  입력 : 2018-01-22 16:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비즈니스 연계, 데이터 기반, 인간 중심으로 보안 구축돼야

[보안뉴스= 김정덕 중앙대 산업보안학과 교수] 2018년에 들어서면서 4차 산업혁명에 대해 정부, 민간 구분없이 본격적인 논의가 한창이다. 4차 산업혁명에 대한 의미에 대해 다양한 해석이 있으나 IoT, AI와 같은 혁신적 기술을 통해 새로운 가치를 창출하며 사이버 세계와 물리적 세계가 연결된 초연결사회, 지능정보사회, 디지털 경제로 발전하고 있다는 점에 대해 공통적으로 이해하고 있다.

[이미지=보안뉴스]


기술의 발전은 인간화로의 진화로 볼 수 있으며, 비로서 4차 산업혁명을 통해서 인간화의 완성체로 가고 있다고 할 수 있다. 즉, 1차 산업이 증기 기반의 기계 개발을 통해 인간의 손과 발을 대체한 시기라면, 2차 산업혁명은 전기에너지 기반의 대량생산체제를 구축함으로써 근육개발을 했고, 3차 산업혁명은 인터넷 기반의 정보화 기술로 인해 인간두뇌와 심장을 개발한 시기로 비유할 수 있다. 4차 산업혁명은 클라우드와 AI는 두뇌, 차세대 배터리는 심장, 무인주행차는 다리, 사물인터넷은 신경망, 3D 프린팅은 장기, VR은 얼굴 등 인간화의 완성체를 위해 진화하고 있다.

이와 같이 급속히 도래하고 있는 4차 산업혁명 시대에 보안이 설 자리는 어디일까? 새로운 디지털 비즈니스 환경에서 보안의 가치와 가치 전달을 위한 전략은 무엇일까? 전통적으로 보안가치는 ‘자산보호’를 제공하는 데 있었다. 외부의 사이버 공격 또는 내부 직원의 비밀정보 유출, 임직원의 실수 등 제반 요인으로부터 주요 정보자산을 지키려는 노력을 다함으로써 조직과 사회에 공헌할 수 있었다.

그러나 미래 산업융합환경에서는 보안이 가져야 할 가치는 조직 내부 지향적인 자산보호라는 가치 외에 안전한 디지털 제품 또는 서비스를 제공함으로써 새로운 디지털 비즈니스를 가능케 하고 차별화 요인으로서 작용할 수 있는 조직 외부 지향적인 새로운 가치를 창출해야 한다.

이와 같은 두 가지 유형의 가치를 효과적으로 전달하기 위해서는 보안전략도 변해야 한다. 복잡한 미래 산업융합 환경에서는 보안위협이 다양화·고도화됨에 따라 이와 관련된 위험을 최소화하려는 예방 차원의 노력과 함께 보안사고 발생을 기정사실화하고 이를 조속히 탐지하고 복구할 수 있는 레질리언스 역량이 요구된다. 또한, 새로운 디지털 비즈니스를 안전하게 작동·운영할 수 있는 디지털 역량이 요구된다. 즉, 면역 회복력(Resilience)을 갖춘 디지털 보안체계가 필요한 셈이다. 이를 위해서는 3가지 전략이 구현되어야 한다고 생각된다.

첫째, 비즈니스 연계 보안(Business Aligned Security) 전략이다. 조직 내 보안의 존재이유는 조직의 비즈니스를 지원하기 위해서다. 그러나 보안이 보안 관점 위주의 활동으로 인해 간혹 비즈니스와 연계되지 않는 활동을 하곤 한다. 또한, 보안 위험은 IT 인프라 뿐만 아니라 업무를 수행하기 위한 프로세스 상에서도 상이한 위험이 존재하며, 또한 조직이 속한 산업에 따라 보안에 대한 요구사항이 상이하다. 따라서 비즈니스와 연계된 보안전략과 계획 수립, IT 인프라 뿐만 아니라 업무 프로세스에서의 위험을 포함하는 위험관리, 위험 순위에 따른 자원할당 및 관리, 비즈니스 관점의 보안성과 관리 등 보안 거버넌스 활동이 수행되어야 한다.

둘째, 데이터 기반 보안(Data-Driven Security) 전략이다. 기술적 보안 솔루션 기반의 전통적 보안 접근방법의 경우, 비즈니스 애플리케이션, 보안 솔루션 등에서 발생하는 이벤트의 종류가 다양하고, 그 양이 방대해 이상징후를 신속하고 정확하게 탐지하는데 어려움이 있다. 이에 따라 새로운 보안 위협에 효과적으로 대응하는데 제한이 있다. 즉 APT, 소셜 엔지니어링, 내부유출 등의 고도화된 위협에 대응하기 위해서는 정형·비정형 데이터의 상관관계 분석, 머신 러닝 등의 방법을 통해 외부에서의 침투 또는 내부 유출 징후를 사전에 예측할 수 있는 첨단 분석(Advanced Analytics)이 요구된다. 또한, 안전한 고객 경험을 제공하기 위해서는 고객의 수요 및 기대치를 수집·분석하여 안전한 제품/서비스 개발에 보안기능을 내재화시켜야 한다. 더 이상 단순 보안 솔루션에 의존하거나 관리자의 직감과 경험에 의존하기엔 보안위험이 너무 복잡하고 크다.

▲중앙대 산업보안학과 김정덕 교수

셋째, 인간 중심 보안(People-Centric Security) 전략이다. 전통적 보안접근 방법이 정보 사용자들을 잠재적 범죄자로 간주하고 이를 통제하기 위한 예방적 조치에 치중하고 있다. 더욱이 보안사고가 발생할 때마다 추가적인 보안대책을 강화하다 보니 사용자뿐만 아니라 보안관리자 모두 피로감을 느끼고 있으며, 심지어 보안대책을 우회할 수 있는 방법을 찿아내는 등 위험이 줄어들지 않고 있다. 그 결과, 보안에 대한 부정적인 인식이 더 확산되고 있다. 사실 대부분의 임직원은 성실하게 일하며 조직의 보안정책을 잘 준수하고 있음에도, 극소수의 잠재적 범죄자를 염두에 두고 모든 임직원에게 엄격한 보안조치를 강화하다 보니 오히려 역효과가 발생하는 우를 범하기도 한다.

특히, 4차 산업혁명 시대에는 업무 간의 협업과 타 산업·조직과의 융합을 통한 새로운 비즈니스를 개발해야 하는 시대적 요구사항을 만족시키기 위해서 더 이상 ‘Dr. No’ 접근방법으로는 한계가 있다. 따라서 임직원 개인에게 권한과 책임을 명확히 하고 신뢰와 원칙 기반의 보안활동을 추진해야 하며, 이를 위해서는 정교한 교육 인식 프로그램 시행과 행위기반 모니터링 시스템 적용이 수반될 필요가 있다.

이번에는 전체적인 보안전략 프레임워크를 제시했고, 보다 구체적인 개별 보안전략은 추후 3차례에 걸친 기고에서 다룰 예정이다.
[글_ 김정덕 중앙대 산업보안학과 김정덕 교수(jdkimcau@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 7
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)