Home > 전체기사
[저자와의 만남] 화제의 신간 ‘키워드로 정리하는 정보보안 119’
  |  입력 : 2020-07-23 17:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안에 대해 잘 모르는 일반인과 초심자들을 위해 쉽게 만들어진 생생한 책
공유 부재와 기술 중심 문화는 아쉬워...클라우드 시대에 대응할 전문성 강화도 필요


[보안뉴스 문가용 기자] 최근 보안 커뮤니티와 업계에서 입소문을 타고 퍼지는 책이 한 권 있다. ‘키워드로 정리하는 정보보안 119’가 바로 그것이다. 보안이 삼엄하기로 유명한 금융 업계 현직 보안 담당자가 보안을 널리 알리기 위한 꿈을 가지고 쓴 책으로, 한 눈에 봐도 대단히 쉽게 작성되어 있다는 걸 알 수 있을 정도로, 그러나 가볍지 않게 만들어졌다. 누구나 쉽게 읽을 수 있는 보안 소식을 추구하는 보안뉴스가(잘 하고 있는지는 모르겠지만) 만나지 않을 수 없어 만남을 신청했다.

▲‘키워드로 정리하는 정보보안 119’의 저자 문광석 씨[사진=보안뉴스]


보안뉴스 : 흔치 않은 성의 종씨라니, 반갑다.
문광석 : 문이란 건 모든 보호 행위의 상징이자 출발점이다. 보안 업계에 종사하기에 딱 어울리는 성씨라고 생각한다. 그렇게 생각하자.

보안뉴스 : ...음...책 이야기를 하자. 책의 서두에도 나와 있지만 일반인이나 보안에 입문하려는 사람들을 겨냥해 원고를 집필했다. 보안은 전문분야인데 깊이 있게 전문성을 살리는 전략을 취하지 않은 이유는 무엇인가?
문광석 : 원래는 ‘보안 백과사전’과 같은 콘셉트로 책을 준비했었다. 이 책은 119개의 키워드를 정리해놓은 구성으로 되어 있었는데, 원고 초본에는 300~400개의 키워드가 정리되어 있었다. 하지만 출판사와의 협의 과정에서 비전문가를 대상으로 한 쉬운 책을 만들어보자는 제안이 왔고, 사실 나도 보안이라는 것이 전문가들만을 위한 분야는 아니라고 생각했기 때문에 동의했다.

보안은 필연적으로 일반 사용자, 즉 보안 비전문가들도 개입시켜야 하는 분야이고, 따라서 전반적인 인식 변화를 일으켜야 한다고 생각한다. 즉, 저변이 확대되어야 하는 게 보안 업계의 당면 과제 중 하나라고 생각한다. 때문에 ‘깊이’나 ‘전문성’을 조금은 희생시켜야 했다. 보다 많은 사람들이 스스로 찾아보고, 보다 깊이 있는 지식을 쌓아갈 수 있도록 방향을 제시하는 게 이 책의 역할이라고 본다.

보안뉴스 : 왜 그렇게 생각하는가?
문광석 : 현재 코리안리라는 재보험사에서 보안 담당자로서 근무하고 있지만, 과기정통부의 민관 합동대응팀인 사이버보안전문단에서도 활동하고 있다. 여기서 활동하다 보면 공격자들이 얼마나 빠르게 변하는지 피부로 느껴진다. 시대에 유행하는 공격의 기법과 전략들은 숨 쉴 틈 없이 바뀐다. 반면 방어자들은 기존 방식을 고수하는 경향이 높다. 사건을 예방하는 게 중요하다고는 하지만, 실제로 사람들이 움직이기 시작하는 건 사건이 터지고 나서이기 때문이다. 예산이 보안에 배정되고, 팀이 신설되고, 예방을 위한 방법들은 사후에 이뤄진다.

사건이 터지기 전에, 즉 손해가 발생하기 전에 보안이 힘을 발휘하려면 이렇게 뒤늦게 움직인다는 문제부터 해결되어야 한다. 그건 법이나 규정으로 강제할 수도 없고, 해서도 안 되며, 사람들 사이의 성숙한 문화로서 해결이 가능하다고 본다. 그래서 한 번에 쭉 읽는 참고서가 아니라 틈틈이 들여다볼 수 있는 사전 형태로 책을 기획했다. 보안 기업이나 부서가 아니더라도 누구나 비치해놓고 필요할 때 찾아볼 수 있게 해주자는 의도였다.

보안뉴스 : 하긴, 흔히 찾을 수 있는 ‘학술 도서’와는 느낌이 달랐다.
문광석 : 보안을 학술적으로 접근해야 하기도 하지만, 누군가는 현장에서 즉시 사용할 수 있는 ‘최신 정보를 반영한 살아있는 지식’으로서 풀어줘야 한다고도 생각했다. 그래서 모든 항목 말미에 대응 방안을 반드시 언급했다. 이런 저런 공격과 위험이 있다고 서술해놓는 것만으로 끝내는 건, 보안을 잘 모르는 사람들에게 아무런 도움이 되지 못한다. 그런 위험들에 대해서 이런 식으로 대응하라는 가이드라인이 있어야 보안이 학문을 넘어 현장에서 생명력을 갖게 된다. 그리고 그런 생명력이 인식을 바꾼다고 믿는다.

보안뉴스 : 하지만 보안의 ‘생명력’이라 함은, 인식의 변화 외에 ‘예산’에도 많이 좌지우지 되는 게 현실이다. 많은 사람들이 사건이 터지기 전에는 잘 움직이지 않는 것도, 사건이 터져야만 예산이 배정되기 때문이다.
문광석 : 안타깝지만 그게 현실이다. 경영진을 설득해 예산을 확보하는 것이 많은 보안 담당자들의 실제적인 고충이자 책임이다. 개인적으로는 보안을 ‘편의성’과 함께 묶어서 판매해야 한다고 보는 편이다. 회사가 새로운 사업을 하고 싶어 한다고 할 때, ‘안전하지 않습니다’라고 말하는 게 아니라 ‘저희가 그 아이디어를 편리하고 안전하게 구현해드리겠습니다’라고 말할 수 있어야 한다는 것이다.

예를 들어 회사가 새로운 시스템을 도입한다고 했을 때 ‘다중 인증 장치가 있어야 안전합니다’라고 말하면서 ‘ID와 비밀번호를 입력하는 로그인 시스템을 만들기 위해 예산을 주십시오’라고 신청하는 걸 넘어야 한다는 거다. 오히려 ‘매번 비밀번호를 입력할 필요가 없는 편리한 인증 시스템을 구축하겠다’고 나서야 한다. 물론 그러려면 새로운 인증 기술에 대해 잘 알고 있어야 한다.

보안뉴스 : 새로운 기술 이야기가 나와서 생각나는데, ‘보안’이라는 이름 아래 공부해야 할 것이 지나치게 많아지고 있다.
문광석 : 사실이다. 신기술이 나올 때마다 보안이 덧붙는다. 사물인터넷이 나오니 사물인터넷 보안이 대두되고, 클라우드가 유행하니 클라우드 보안이 자연스럽게 파생한다. 그런데 이 ‘보안’이라는 게 말만 같지 다 다른 방식으로 구현된다. 클라우드 보안이 중요시 되면서 제로트러스트라는 개념이 새롭게 나왔고, 빅데이터 보안이 등장하면서 비식별화 이야기가 본격적으로 논의되기 시작한 것처럼 말이다. 보안도 늘 새로워야 하는데, 이게 현장에 있는 사람들에게는 적잖은 부담이 되는 게 사실이다.

그래서 보안 담당자들의 처우 개선이 필요하다고 생각한다. 그렇게 되면 학습능력이 뛰어난 학생들이 자연스럽게 보안이라는 분야에 관심을 가지게 될 것이다. 예를 들어 지금은 성적이 높은 학생들이 사회적 대우가 좋다고 알려진 의사가 되고 싶어 한다. 그런 인재들이 언젠가 보안에 헌신하기를 개인적으로 바란다. 그만큼 지적 능력이 마음껏 발휘될 수 있는 분야이기도 하다.

보안뉴스 기술만이 아니다. 법과 사업 구조, 행정 절차까지도 섭렵해야 하는 게 지금의 보안 담당자들이다. 심지어 코로나 현황을 더 잘 파악하기 위해 미국의 CISA는 보안 전문가들을 영입했다고 한다. 보안 전문가들이 질병까지도 알아야 하는 시대다.
문광석 : 하지만 그게 보안의 본연이 아닐까 한다. 개인적으로 보안은 ‘통섭’해야 한다는 말에 동의하고, 그 말을 좋아한다. 얼핏 상관이 없어 보이는 분야의 지식들을 한 데 아울러 핵심을 찌르는 통찰을 얻어내고, 새로운 조화를 만들어 내는 게 보안의 진정한 묘미라고 생각한다는 것이다. 보안을 전문으로 하는 기업이 아니라 사용자 기업에서 근무하기로 택한 이유도 바로 그 통섭의 묘미를 경험해보고 싶었기 때문이다.

보안 솔루션 개발사나 첩보 분석 회사에서 근무했다면 보안의 특정 분야를 깊이 있게 파볼 수 있었을 것이다. 그 자체도 의미가 있고 실제 우리에게 필요하다. 하지만 사용자 기업에 와서 보안 담당자로서 여러 가지 솔루션과 서비스, 기능들을 검토하고 조합해 나만의 ‘보안 아키텍트’를 구성한다는 것도 상당히 매력적이다. 통섭의 보안을 실천하고 있다는 것이다. 대신 그러려면 폭넓은 시야를 갖추고 여러 사람의 의견을 들을 수 있어야 한다.

보안뉴스 : 그러나 관리자로서만 보안을 하는 사람들을, 보안 업계에서는 ‘입보안’이라고 비하하려는 경향이 있다. 기술력을 갖추지 못하면 무시 받는다.
문광석 : 아쉬운 점이다. 해킹 대회에서 몇 등 했는지가 기준이 되고 있다. 데프콘 CTF에서의 성적을 가지고 ‘보안 실력’을 평가하려고 한다. 보안에 관심을 두는 중고등학생들도 대부분 모의 해킹을 재미있어 하는 것뿐이다. 본인도 아직 한창 공부 중에 있지만, 보안은 알면 알수록 넓은 분야다. IT 기술 혹은 컴퓨터를 다루는 기술은 그 넓은 보안 분야에 있어 일부일 뿐이다.

해킹 기술 없이 보안 관리자가 되었다면, 분명히 이유가 있다. 한 분야에서 여러 세월을 거치며 쌓아온 지식과 노하우, 그들만이 가지고 있는 통찰력을 무시하고 기술적인 면만을 가지고 ‘입보안’이라고 하는 건 우리가 고쳐져야 할 부분이다. 인식 제고는 비단 일반인들이 보안에 대해 더 알아야 한다는 것만을 말하는 게 아니다. 보안 업계 내부의 이런 기술 중심의 분위기가 바뀌어야 한다는 것도 포함한다.

그런 의미에서 보안 사건이 잘 공유되지 않는다는 것도 아쉽다. 대부분의 기업들은 법에 명시된 것만 공개한다. 해킹 사고가 발생했을 때, 법에 명시된 개인정보 부분만 유관기관에 보고하고 나머지는 덮어둔다는 것이다. ‘이런 저런 사건이 있었고, 때문에 이렇게 방어하면 돼’라는 걸 서로 알리고 공유한다면 막을 수 있는 피해를, 덮어두기 때문에 못 막는 것이다. 사건이 서로 공유되고, 이것이 방어에 실질적으로 도움이 되는 문화가 형성되기를 바란다.

보안뉴스 : 하지만 그게 알려지면 처벌을 받는 사람이 생긴다. CISO들은 ‘맷집’ 역할을 하기 위해 존재한다는 말이 있을 정도다.
문광석 : 오죽하면 CISO들을 위한 보험 상품이 잘 팔리겠는가. 의사들이 의료 사고를 대비해 보험을 들어놓듯, 최근에는 CISO들이 보안 사고에 대비해 보험 상품을 찾고, 사이버 보안 관련 보험 상품 중 CISO 보험이 가장 잘 팔리고 있다. 그렇다고 입법자 입장에서 처벌도 없이 사고를 처리하라는 법을 만들 수도 없다. 적절한 처벌을 위한 제도와, 부담 없이 해킹 공격 소식을 공유할 수 있는 문화가 같이 발전해야 한다. 사실 그런 부분에 기여할 수 있는 시스템을 고안했고, 이에 대한 논문을 준비 중에 있다.

보안뉴스 : 처벌도 무섭지만, 클라우드 업체들도 무섭다. 보안 서비스를 클라우드에서 제공하는 바람에 보안 벤더들이 살아남기 힘든 시대가 됐다.
문광석 : 보안 솔루션을 아이템으로 사업하기가 정말 힘든 시대다. 클라우드가 방화벽을 제공하니, 방화벽을 따로 살 필요가 없다는 게 소비자들의 반응이다. 하지만 그럼에도 보안 벤더들이 더 잘 할 수 있는 분야가 존재한다고 본다. 암호화, 취약성 탐지, 웹 보안, 네트워크 보안, 이메일 보안을 아직은 클라우드보다 더 잘한다. 반면 클라우드는 인증, 신원보증, 계정 관리, 데이터 손실 방지에 특화되어 있을 수밖에 없다. 원론적인 이야기이지만 보안 벤더사가 클라우드와 경쟁하려면 자기만이 잘 할 수 있는 전문성이 필요하다.

보안뉴스 : 비전문가이자 입보안꾼인 기자 같은 사람에게는 이러한 쉬운 용어집이 매우 유용하다. 2권을 기대해도 될까?
문광석 : 원래 백과사전으로 기획된 책이고, 콘셉트가 바뀌면서 많은 내용이 초고에서 삭제됐기 때문에 2권 콘텐츠도 이미 확보되어 있다고 볼 수 있다. 다만 콘셉트가 같을지는 모르겠다. 지금으로서는 실무에 곧바로 적용이 되는, 실질적인 도움이 되는 그런 책을 만들고 싶다는 것에 변함이 없다. 그래서 많은 사람들이 부담 없이 보안에 접근할 수 있기를 바란다.
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상