Home > 전체기사
[어록위클리 7-2] “위기의 순간에 드러나는 건…”
  |  입력 : 2019-07-14 13:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버전, 보이지 않아도 쉴새 없이 진행되고 있어…삼엄한 중국과 미국
GDPR의 이빨이 살짝 드러난 한 주…프라이버시에 대한 인식 완전히 바뀌어야


[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 둘째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.

[이미지 = iclickart]


사이버전
“중국 내 APT 단체들이 같은 공격 인프라 혹은 공격 도구를 사용하기 시작했다는 건 중대한 사안입니다. APT들끼리 뭉치기 시작했다면, 중국 해커들의 공격이 앞으로 더 효율적이고 효과적으로 향상될 것이며, 방어하는 입장에서는 더 막기 힘들어질 것이기 때문입니다.”
아노말리(Anomali)의 첩보 전문가, 가리브 사드(Ghareeb Saad)

“(미국) 사이버 사령부는 군의 일부 조직이며, 따라서 ‘군의 시각에서 위협 요소’라고 판단되는 것들에 대해 경고하는 곳입니다. 위험한 일을 그때 그때 민간 기업들과 사용자들에게 경고하는 단체는 아닙니다.”
크로니클(Chronicle)의 애플리케이션 첩보 전문가, 브랜든 르벤(Brandon Levene)

잘 안 느껴져서 그렇지 사이버전은 사이버 공간 안에서 항상 일어나는 일이다. 각종 외교적 상황과 무역 전쟁은 큰 화젯거리가 되지만, 중국이 다른 나라를 해킹 공격하기 위해 여태까지 따로 운영했던 사이버전 부대를 일원화해서 관리하기 시작했다는 의혹은 큰 주목을 받지 못한다. 의혹으로 끝날 수도 있고, 일시적인 현상일 수 있지만, 중국의 해커들에 당해본 국가들이라면 반드시 염두에 두어야 할 부분이다.

미국은 온 나라의 사이버 방어를 진두지휘할 사이버 사령부를 두고 있다. 그리고 여러 가지 경고 내용을 정부 기관과 민간에 알린다. 다만 국가적 위기 상황을 초래할 만한 것들만을, 적당한 시기에 발표한다. 온갖 보안 관련 경고가 난무하는 때에, 그래서 아무도 경고를 듣지 않는 때에, 정말로 대처가 필요한 것들을 한 번 걸러서 알린다는 건데, 사이버 보안이라는 걸 실제 국가 안보와 연결시켜서 생각하고 있다는 걸 보여주는 방침이다. 반대로, 모든 위협이 발생할 때마다 경고문을 발생하는 기계적 정책은, 그야말로 전시 행정의 극치일 것이다. 중국이 ‘국가 차원에서의 일원화된 공격’의 방향성을 취했다면, 미국은 ‘국가 차원에서의 조직화된 방어’ 쪽으로 움직이고 있다.

GDPR의 이빨
“이번 사건은 GDPR 사상 처음으로 내려진 중대한 벌금형입니다. 지난 몇 년 동안 유령처럼 보안 업계를 떠돌던 ‘가공할만한 GDPR 벌금’의 실체가 드디어 드러났습니다.”
ITC 시큐어(ITC Secure)의 사이버 고문 국장, 말콤 테일러(Malcolm Taylor)

“새로운 규범(new normal)이 시작됐습니다.”
사이버리즌(Cybereason)의 보안 전문가, 샘 커리(Sam Curry)

이번 주의 가장 큰 사건이라면 GDPR이 미리부터 예고했었던 ‘회사 망하게 할 수준의 벌금’의 실체가 조금 그 모습을 드러냈다는 것이다. 지난 1년 동안의 벌금은 ‘귀여워 보이게’ 만들 정도의 벌금이 이번 주에만 영국항공과 매리어트 인터내셔널 그룹에 내려졌다. 세계가 떠들썩했다. 하지만 아직도 ‘총 수익의 4%’ 수준은 되지 않는다. GDPR이 진짜로 팔 걷어부치기 시작하면 여기저기서 곡소리가 날 것으로 보인다. 프라이버시, 흐지부지 알아서는 안 될 문제가 되었다.

신문화, 신개념
“개인 장비를 회사가 함부로 관리할 수 없는 것처럼, 직원들이 회사의 데이터를 개인 장비를 가지고 함부로 다루지 못하게 하는 문화적 장치가 필요합니다.”
완데라(Wandera)의 부회장, 마이클 코빙턴(Michael Covington)

프라이버시에 대해 더 확고히 알아야 하는 때가 되었다면, 개개인들도 조직의 데이터에 대한 새로운 감각을 익혀야 할 때가 되었다. BYOD가 활성화가 되면서, 업무를 수행한다는 측면에서는 개인 장비나 회사 장비의 구분이 사라지고, 그에 따라 회사의 중요한 데이터가 직원의 개인 장비를 통해 침해되거나 도난당하는 일이 늘어나고 있다. 그러나 회사로서는 개인 장비에 대한 소유권이 없으니 어찌할 도리가 없다. ‘회사가 무슨 권리로 내 기기에 보안 솔루션을 설치해?’라는 문화가 확고하다. 그렇다면 ‘직원이 무슨 권리로 회사 데이터를 자기 개인 장비에 옮겨?’라는 문화도 단단히 서야 한다.

의료 분야 보안을 어찌할꼬
“(환자의 상태를 치명적으로 변하게 만들 정도로) 심각한 취약점이 겨우 5.3점을 받았다는 건, 결국 이런 종류의 문제를 제대로 평가할 점수 체계가 없다는 뜻입니다. 기술적인 취약점이 실제 인간에게 미칠 수 있는 영향까지 고려한 평가 시스템이 시급합니다.”
사이버MDX(CyberMDX)의 수석 연구원, 엘라드 루즈(Elad Luz)

의료 분야는 전통적으로 보안이 취약한 분야다. 그러면서도 환자에게는 대단히 민감할 수 있는 식별 정보가 가득한 분야이면서, 보안이 생명을 좌지우지할 수도 있는 분야다. 이러한 상황을 개선하기 위해 여러 가지 방안들이 나오고 있는데, 이번 주에는 ‘보안 취약점의 심각성을 평가할 제도가 없다’는 지적이 나왔다. 감염 확장성, 실제 해킹 가능성, 데이터 침해 가능성 등만을 놓고 따지는 기술적 평가 제도로는 인체와 생명에 미칠 영향력을 온전히 표현할 수 없다는 것으로, ‘사이버 보안’이 ‘실제 보안’ 혹은 ‘진짜 보안’이 되어가는 시류에 잘 맞는 발언으로 보인다.

위기를 통해 알 수 있는 것
“결국 사람의 진면모는 위기의 상황에서 나오거든요. 어려운 문제에 직면했을 때, 정답을 맞추는 것보다 그 답을 찾아가는 과정을 설명할 줄 아는 사람이 위기의 상황에서도 잘 대처하는 편입니다.”
넥시언트(Nexient)의 책임자, 짐 밀러(Jim Miller)

‘위기에서 진면모가 나오는 법’이라는 건 개인적으로 보안의 참 의미를 짚어준 말이라고 생각한다. 보안은 사건의 대응을 위한 기술력이나 회피술, 언론 대응술만을 야트막하게 전파하는 분야가 아니다. 사건이 터지기 전부터 사건이 터지지 않도록 내공을 쌓고, 터지더라도 피해가 최소화 될 수 있도록 준비를 하며, 사건이 정말로 터졌을 때 그 동안 진국처럼 우려냈던 진면목을 보이는 것이다. 누군가 ‘개발’, ‘출시’, ‘발전’, ‘확장’ 같은 것을 좇을 때 보안은 진득히 뒤돌아볼 줄 알고 반성을 누적시켜가면서 조직 전체의 ‘성숙도’를 담당해야 한다. 사람이나 조직이나 위기의 순간에 드러나는 건 개발력이나 확장력이 아니라 그 시점까지 쌓이고 배인 인격뿐이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)