“클라우드 보안, 도입 시기부터 보안 담당자와 전략 수립해야”

[산업일보]
다양한 최첨단 기술들이 하나로 연결되는 시대가 도래한 만큼 보안 위협도 강해졌다. 이에 스마트시티, 자율주행, 인공지능, 클라우드 등 4차 산업혁명 시대의 핵심 인프라에 대한 보안 강화를 논의하는 네트워킹이 진행됐다.

1일 과학기술정보통신부, 행정안전부, 방송통신위원회 주최로 서울 코엑스(COEX)에서 ‘제13회 국제 시큐리티 콘퍼런스(ISEC 2019)’가 개최됐다. 주제는 ‘REAL’로, 사회 전 분야에 걸쳐 점차 고도화되고 전 방위적으로 확산되고 있는 다양한 보안위협이 우리 모두가 직면한 현실이라는 사실을 직시하고 대응책을 마련하자는 취지로 정해졌다.

이날 삼성전자 무선사업부 서영규 수석은 최근 개인과 기업 모두 활발히 이용하고 있는 클라우드에 대한 보안 전략을 발표했다.

클라우드의 설정 오류로 개인정보가 유출된 인도 혼다자동차 및 버라이즌 등의 사례와, 차량 원격조종 기술 등 기밀 정보를 빼앗기고 암호화폐를 채굴 당하는 크립토재킹 등의 피해를 입은 테슬라, 개인정보와 금융정보가 유출된 미국의 금융기관 캐피탈 원 등의 사례를 소개한 서 수석은 “클라우드의 도입은 혁신, 비용절감, 유연성 등 여러 장점이 있지만, 클라우드 전문가 부족과 보안에 대한 문제가 가장 큰 우려사항”이라고 말했다.

클라우드 보안에 대한 우려가 생기는 이유는 기존의 보안체계였던 온 프레미스(On-Premise) 환경과 다르기 때문이다. 서 수석은 프레미스 환경에서는 층층이 보안 체계가 잡혀있고, 침입과 위협의 감시까지 이뤄지기 때문에 그 안에서 비즈니스가 이뤄질 때는 보안에 큰 신경을 쓰지 않아도 됐으나, 직접 보안 설정을 해야 하는 클라우드는 더 안전하게 설정하지 않으면 새로운 위협에 노출되기 쉽다는 점을 경계해야 한다고 했다.


특히 서 수석은 “많은 회사가 디지털 트랜스포메이션 전략으로 클라우드 도입을 결정하고 있는데, 문제는 IT 부서가 먼저 결정을 한 후에 보안이 뒤따라간다는 점”이라고 지적하며 “클라우드 보안에 대한 전략과 정책, 투자 비용 등을 도입 처음부터 보안 담당자와 함께 논의해 보안 전략을 같이 수립해야 한다”고 강조했다.

또한 서 수석은 클라우드의 경우 매일 수시로 형상이 변경되기 때문에 보안 프로그램 또한 ‘자동화’가 필수적으로 이뤄져야 하며, 클라우드에서 발생하는 로그 수집과 머신러닝 등을 통한 지속적이고 강화된 모니터링이 이뤄져야 한다고 했다. 공격팀과 방어팀을 나눠 훈련하며 사이버 보안 위협에 대비해야 한다고도 덧붙였다.

한편, ‘이슈분석’ 발표에서는 공유자동차, 전동 킥보드 등 모빌리티들이 해킹된 사례들이 공개돼 향후 일상 깊숙이 스며드는 기술로 인해 보안 위협 시 인간이 피해를 입을 수 있는 강도가 높아질 수 있다는 경각심을 일깨우며, 보안 강화의 필요성을 강조했다.

50개국 약 200여 개 기관이 참석한 제13회 국제 시큐리티 콘퍼런스는 2일까지 진행된다.