RSAC 2018 기조연설, “사이버 보안 문화 조성” 촉구

34개 기업의 ‘사이버 시큐리티 테크 어코드’, RSA서 발표
‘모두를 위한 방어, 누구도 공격하지 않는 방어’ 위해 노력
항공업계처럼 “안전과 보안에 대한 절대적인 강박” 가져야

[보안뉴스 오다인 기자] RSA 콘퍼런스 키노트 연사들이 17일(현지시간) 사이버 보안 문화 조성을 촉구하면서 테크 회사 간 ‘모두를 위한 방어, 누구도 공격하지 않는 방어(defense for all, offense for none)’를 제공하기로 뜻을 모았다고 발표했다.

[이미지=RSA Conference]

마이크로소프트 브래드 스미스(Brad Smith) 회장은 “전 세계 정부에 함께 전해야 할 단 하나의 메시지가 있다면” 사이버 공격이 단지 기계에 대한 공격이 아니라 사람에 대한 공격이라는 점이라고 말했다. 그는 워너크라이(WannaCry) 공격이 영국 병원 환자들에게 얼마나 직접적인 영향을 끼쳤는지 설명했다. 또한, 낫페트야(NotPetya) 공격이 채 3시간도 안 되는 사이 우크라이나 지역 절반에 어떠한 영향을 끼쳤는지, 우크라이나 회사들을 어떻게 망하게 했는지 밝혔으며, 다른 나라 정부를 공격하는 정부들이 실제 민간인에게 어떻게 영향을 끼치는지 설명하기도 했다. 스미스 회장은 “이건 우리가 답해야 할 문제”라고 강조했다.

이어 스미스 회장은 ‘사이버 시큐리티 테크 어코드(Cybersecurity Tech Accord)’에 대해 발표했다. 이는 보안업체, 포렌식 연구자, 소프트웨어 개발자, 하드웨어 제조사, 통신회사, 소셜 미디어 기업 등 총 34개 기업이 합의하고 공동으로 발표한 것이다. △마이크로소프트 △RSA △파이어아이 △트렌드 마이크로 △시만텍 △어베스트 △F-시큐어 △비트디펜더 △오라클 △SAP △시스코 △델 △HP △암(Arm) △CA △노키아 △BT △페이스북 △링크드인이 이 합의에 이름을 함께 올렸다.

사이버 시큐리티 테크 어코드의 4가지 기본 원칙은 다음과 같다. 1) 단체행동과 정보공유를 확대하는 것 2) 고객이 스스로를 보호할 수 있게 자체 역량을 기르도록 돕는 것 3) 공격의 목적과 관계 없이 전 세계 모든 고객이 사이버 공격에 더 강력하게 대응할 수 있도록 지원하는 것 4) 공격적인 행동을 절대 취하지 않는 것 등이다.

이 같은 내용을 담은 보도자료에서 테크 회사들은 “우리는 지역을 막론하고 각국 정부가 무고한 시민과 기업을 상대로 사이버 공격을 수행하는 일을 돕지 않을 것”이라고 밝혔다.

스미스 회장은 “우리는 솔선수범을 보여야 할 뿐 아니라 세계의 정부들이 더 많은 일을 하도록 목소리도 내야 한다”고 말했다. 그는 지난 RSA 콘퍼런스 연설에서 밝힌 ‘디지털 제네바 협약(Digital Geneva Convention)’을 다시 촉구하기도 했다. 국가들이 전시(戰時) 및 평시(平時)에 민간인들을 사이버 분쟁의 영향에서 보호하기 위한 교전 규칙을 만들어야 한다면서 말이다.

또한 스미스 회장은 사물인터넷(IoT) 보안을 위한 마이크로소프트의 새로운 애저 스피어(Azure Sphere)를 언급했다. 애저 스피어는 모든 칩 제조사에 라이센스를 준다. 스미스 회장은 “마이크로소프트 사람이 RSA 콘퍼런스에 와서 맞춤형 리눅스 커널을 제공한다고 발표할 거라고 생각한 사람이 과연 누가 있을까?”라고 농담하기도 했다.

맥아피(McAfee)의 크리스토퍼 영(Christopher Young) 최고경영자(CEO)는 안전을 주제로 발표를 이었다. 그는 수십 년 전 항공 수송에 대한 경계 절차가 마련되기 전까지 항공기 납치가 얼마나 빈번하게 발생했는지 언급했다. 1970년 미국에서만 24대의 항공기가 납치됐다. 영 CEO는 신발이나 샴푸 같은 일상 물품을 모두 신뢰할 순 없다는 사실을 항공사들이 차츰 배워나갔다고 말했다. 이처럼 사이버 보안 전문가들도 일단 인터넷에 연결됐다면 일상적인 것이라 하더라도 모든 아이템을 신뢰할 순 없다는 점을 배우고 있다고 그는 덧붙였다.

사이버 보안업계가 항공업계로부터 배워야 할 교훈으로 영 CEO는 “안전(safety)과 보안(security)에 대한 절대적인 강박”을 짚었다. 항공·여행 생태계에 종사하는 모든 사람은 안전과 보안이 최우선적인 업무라고 영은 말했다. 그는 “우리 모두 사이버 보안이 진정으로 가장 중요한 과제임을 세상에 알리고 이를 위한 문화를 만들도록 노력하자”고 촉구했다.

항공기 납치 같은 사건들은 항공 산업 내 문화에 변화를 일으켰다. 문화적 변화는 사이버 보안에도 필수다. 단순히 이용자들에게 무언가를 시키는 것, 즉 비밀번호를 바꾸라고 요구하는 정책 등으론 충분치 않다. 영 CEO는 “상태(being, 여기서는 문화를 가리킴)는 행위(doing)와 다르다”고 말했다.

그러나 RSA의 로힛 가이(Rohit Ghai) 회장은 보안 산업이 자부심을 가져야 할 사안들이 있다고 지적했다.

가이 회장은 보안 담당부서가 ‘왕도(silver bullet)’를 찾는 전략에서 탈피하고 있다고 말했다. 대신, 환경 전체에 작은 개선들을 추가하면 큰 변화를 만들 수 있다는 점을 깨닫는 중이라고 설명했다. 그는 “우리 사업에 대한 우리의 지식은 공격자들에 대항하는 유일하고도 압도적인 이점”이라고 말했다.

인공지능(AI)은 보안 툴이 공격을 더 빨리 탐지하거나 앞서가도록 돕고 있다. 일부 애플리케이션은 사기를 줄이면서 이용자 저항도 낮추고 있다. 가이 회장은 미국 프로농구 보스턴 셀틱스(Boston Celtics)의 전설로 불리는 빌 러셀(Bill Russell)를 인용하며 “우리는 ‘공이 적에게 넘어가기 전에’ 더 잘 움직이고 있다”고 말했다.

보안과 위험관리 영역, 그리고 엔드유저·정부·정책입안가 같은 외부 조직에서도 팀워크가 모두 향상되고 있다고 가이 회장은 짚었다.

그러나 가이 회장은 몇 가지 경고사항이 있다고 말했다. 그는 보안 전문가들이 자신의 조직 및 브랜드에 대한 신뢰를 유지해야 할 뿐 아니라 테크놀로지와 그 시스템에 대한 책임도 있다고 지적했다. 그는 “신뢰를 쌓는 데는 평생이 걸리지만 잃는 건 한 순간”이라면서 “신뢰 손상을 피하는 데 실패하는 것이 우리가 함께 갖고 있는 위험”이라고 말했다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)