검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'사이버시큐리티'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

'망분리'는 갈라파고스를 야기하는 규제인가

공공 및 금융기관의 망분리에 대한 논란이 뜨겁다. 망분리를 리셋하고 원점에서 다시 보안 아키텍처를 구축해야 한다는 목소리도 적지 않다. 망분리의 효과를 인정하되, 부작용을 완화시킬 방안에 대해 차분히 논의를 진행해야 할 때이다. ■ 망 분리 효과 우리나라 공공기관과 금융기관은 인터넷 접속단말(PC)에 망분리 정책을 시행하고 있다. 금융기관은 주요 서버접근 단말(PC)에도 망분리를 적용하고 있다. 망분리는 해당 단말을 외부 인터넷과 연결되지 않도록 차단하는 역할을 하기 때문에 인터넷을 통한 해킹을 효과적으로 예방할 수 있다. 만일 해킹이 되었다 해도 자료가 인터넷으로 유출되는 것을 막아줄 수 있다. 이처럼 망분리는 단말보안(PC보안)에 효과를 보였다. 2017년, 전세계 금융기관이 '워너크라이'를 필두로 하는 랜섬웨어 공격으로 큰 피해를 입었다. 그러나 우리나라 금융기관은 피해가 전무했다. 이는 상당부분 망분리 효과로 판단된다. 실제로 망분리 사업을 총괄했던 모 금융기관 보안임원은 망분리 도입 후 PC에서 발견된 악성코드는 이전대비 80% 감소했다고 말할 정도이다. 위와 같은 이유로 금융, 공공기관 최고보안책임자(CISO)는 단말 망분리를 유지하는 것을 선호할 수밖에 없다. 망분리를 걷어낼 경우, 단말보호 및 악성코드 차단에 큰 부담을 안게 되기 때문이다. 금융, 공공분야 CISO중에서는 '지금도 위태위태하게 유지되고 있는 보안체계에서 단말 망분리마저 걷어내게 된다면 앞으로는 밤잠을 잘 수 없을 것 같다'고 하소연한다. 망분리는 기술적으로 '논리적 망분리 방식'과 '물리적 망분리 방식'으로 분류된다. 금융기관의 경우 편리성과 유연성을 중시하기 때문에 대부분 '논리적 망분리 방식'을 도입하여 활용하고 있다. ■ 망분리에 대한 비난 망분리에 대한 비판은 크게 세가지 관점으로 언급된다. 첫번째, 망분리는 업무 효율성을 저해한다고 한다. 특히 소프트웨어 연구개발 업무에 걸림돌이 된다는 평가를 받는다. 두번째, 퍼블릭 클라우드의 적극적 활용이나 서비스형 소프트웨어(SaaS: Software as a service) 활용에도 걸림돌이 되고 있다고 한다. 마지막으로 '망분리 규제'는 한국에만 있고 선진국에는 없기 때문에 '갈라파고스 규제'라는 주장이다. ■ 소프트웨어 연구개발 생산성 저해를 초래한다는 비판과 대안 태생적으로 보안부서와 연구개발부서 사이에는 시각이 다르다. 망분리 이외 다른 보안 솔루션을 적용할 때도 연구소는 불편함을 호소한다. 연구소는 개방과 공유를 선호하며 지적재산권에 대한 개념은 상대적으로 낮은 편이다. 반면 보안부서는 업무가 다소 불편해지더라도 회사의 핵심기밀정보와 개인정보는 반드시 보호해야 한다는 입장이다. 업무 특성상 소프트웨어 개발자들은 인터넷에 있는 외부 소스코드 저장소를 활용해 개발을 수행하기 때문에 인터넷 망분리 환경에서는 개발업무 효율성이 크게 저해된다고 말한다. 소프트웨어 개발에서 속도 중요성이 계속 강조되고 있다. 최근 소프트웨어 개발측면에서 '애자일 방법론'이 각광받고 있다. 이는 빠른 서비스 출시와 업데이트를 목표로 한다. '애자일 방법론'은 데브옵스(DevOps)의 유래가 된 방법론이다. 개발완료 후 최대한 빠르게 실제 서비스에 적용하여 신속한 서비스 업데이트를 꾀하고 경쟁력을 강화하는 방식이다. 애자일 방법론에 익숙해진 소프트웨어 개발회사는 데이터 교류를 보수적으로 허용하는 망분리가 어색할 수밖에 없다. 소프트웨어 개발측면에서 위와 같은 요구사항이 대두되었기에 금융당국에서는 금융기관 소프트웨어 개발망에 대해서는 망분리 예외를 허용했다. 개발자들의 직접 인터넷 접속을 허용한 것이다. 대신 유해사이트 접속차단, 악성코드통제 등 망분리를 대체할 수 있는 정보보안 체계를 강화하는 것을 주문했다. 개발망과 서비스 운영망은 별도 분리하도록 보완조치도 마련했다. 개발망에서 완성된 결과를 서비스망에 적용하고자 할 경우, 시큐어 게이트웨이(망연계 솔루션 등)를 통하도록 명시했다. 개발망 침해사고는 서비스 운영망 해킹사고로 바로 이어질 수 있기에 이를 예방하도록 하는 조치였다. ■ 퍼블릭 클라우드와 SaaS 서비스 활용제약에 대한 비판과 대안 공공기관과 금융기관은 퍼블릭 클라우드를 통해서 민감한 고객의 개인정보를 처리하는데 보수적인 입장이다. 퍼블릭 클라우드 개인정보 유출통제는 시스템이 내부에 있을 때 보다 쉽지 않기 때문이다. 해외에서도 퍼블릭 클라우드에서 유출사고가 빈번하게 발생하고 있다. 퍼블릭 클라우드에 올라 간 고객 데이터의 국외이전 통제문제도 까다롭다. 데이터가 여러 번 복제되는 클라우드 특성 상, 고객 데이터가 어디에 있는지 특정하기 어렵기 때문이다. 이처럼 공공/금융기관의 퍼블릭 클라우드 활성화는 개인정보보호 측면에서 해결해야 할 부분 또한 적지 않다. 퍼블릭 클라우드를 제공하는 곳 대부분은 해외기업이다. 해외 퍼블릭 클라우드 기업은 전산감사자료(Audit) 협조에 제한적으로 대응할 수도 있다. 해킹 침해사고가 일어나더라도 수사기관의 조사역량에 크게 제약이 생기기도 한다. 적지 않은 나라에서 공공기관과 금융기관이 퍼블릭 클라우드 활용이 민간에 비해 보수적인 이유이다. 이는 민감정보를 처리하는 기관이 독자적으로 자체 프라이빗 클라우드를 구축하거나 또는 전용 클라우드센터 구축에 힘쓰는 배경이기도 하다. 클라우드 업체에게 공공전용 클라우드 센터를 구축해달라고 요청하거나, 공공클라우드 센터를 물리적으로 구축한 후 운영을 민간 클라우드 업체에게 맡기는 방식이다. '망분리 때문에 챗지피티(ChatGPT), 슬랙(Slack)과 같은 외부 SaaS 서비스 활용이 번거롭다'는 문제는 선별적 허용을 제안해본다. 업무효율성과 생산성을 위해 적극 도입해야 할 서비스가 있다면 개인정보 유출통제와 검역소 기능을 가진 '시큐어 게이트웨이'를 경유하여 내부 단말에서 접속되도록 허용하는 방식으로 풀어나가는 것을 제안한다. 금융기관의 경우 '비조치 의견'을 통해 특정 서비스에 대해서는 점진적으로 확대해 나가는 것을 기대해본다. ■ 미국 등 선진국은 망분리 규제가 없다는 주장과 자율보안의 전제 조건 미국은 망분리 등 기술적 보호조치를 공공 및 금융기관에게 일률적으로 강제하지 않는다. 다만 미국 공공기관도 기밀보호 수준이 최상위인 곳은 망분리를 시행하고 있다. 일급 정보기관이 활용하는 '비밀 클라우드 센터(Secret Cloud Center)'는 물리적 위치도 비밀로 유지되며, 운영 역시 검증된 미국시민에 의해서만 이뤄진다. 미국은 자율보안을 강조한다. 대신 사고발생 시 징벌적 과징금을 부과한다. 정보보호에 대한 투자는 자율에 맡기되, 주요한 개인정보 유출사고가 발생했을 때는 천문학적 과징금을 부과한다. 2019년, 미국 연방거래위원회(FTC)는 고객 개인정보 관리를 소홀히 한 페이스북에 50억 달러(한화 약 6조원) 과징금을 부과하기도 했다. 아직 한국은 징벌적 과징금 문화가 정착되지 않았다. 보안사고에 대한 정부기관의 책임은 여전히 크게 존재한다. 중대 보안사고가 발생하면 '정부는 그동안 도대체 뭐하고 있었나' 라고 여전히 목소리를 높인다. '잘못된 것은 모두 정부 탓'이 되는 분위기 속에서 공공, 금융기관 망분리를 비롯한 보안규제를 전면적으로 해제하는 것은 쉽지 않은 선택일 수 있다. 보안사고의 책임을 정부기관에 묻지 않는 문화가 정착되었을 때, 비로소 자율보안체제가 안착될 수 있다. 대규모 보안사고 발생으로 매출의 몇 퍼센트에 달하는 과징금도 감내할 수 있을 때, 기업체에게 자율보안의 선택지도 제공될 것이다. 다만 이는 사회 전체 인식의 변화가 필요한 장기적 과제이며 우리가 풀어나가야 숙제이다. 보안은 기밀성과 가용성이라는 상호갈등관계의 균형추를 끊임없이 조정하는 작업이다. 데이터 활용성을 높이는 것과 보안을 강화하는 것에 대한 골디락스(Goldilocks) 균형은 업무특성과 시대변화에 따라서 달라진다. 망분리 정책 역시 시대변화와 개별 비즈니스 특성에 따라 변화해야 하는 것은 당연한 일이다. 소프트웨어 개발효율성, 외부 SaaS서비스 활용을 통한 업무경쟁력 강화, 금융/공공기관 보안사고 발생 시 정부당국의 책임, 깊어 가는 CISO의 고민을 함께 테이블에 올려 놓고 균형추를 다시한번 점검할 시기이다. 올해 추진되는 공공기관 클라우드 네이티브 선도사업 등을 통해서 기존 망분리대체 정보보호체계를 적용하여 안전성을 검증한 후, 단계별로 확대해 나가는 것이 해결책 중 하나로 제시되는 이유이다.

2024.05.07 11:22김대환

인도 사이버 보안 시장 발굴단 모집

인도 사이버 보안 시장을 잡아라. 벤처기업협회는 한·인도 크로스보더 엑셀러레이터 유니콘인큐베이터와 함께 인도 사이버 보안 시장을 개척하는 방갈루루 로드쇼를 진행한다. 인도 의회는 2023년 디지털 개인 데이터 보호법(DPDP)을 통과시켰다. 이후 사이버 보안 수요가 증가해 약 7조원 규모로 성장 중이다. 벤처기업협회는 국내 사이버 보안 기업 5곳을 선정해 인도 시장 진출을 지원한다. 인도 사이버 보안 발굴단에 선정되면 현지 시장 전문가를 매칭한 일대일 세션을 진행한다. 유니콘인큐베이터는 선정 기업에게 현지 맞춤형 영업 교육과 자료 준비를 지원하는 사전 프로그램을 시행한다. 5월 27일부터 29일까지 인도 뱅갈루루 현지에서 잠재 고객 대상으로 기업 소개와 네트워킹 행사를 진행한다. 행사 후에는 사이버 보안 전문가 자문과 사업 거점을 제공할 예정이다. 이 사업은 벤처기업협회 세계한인벤처네트워크(INKE) 사업 일환이다. INKE는 국내 벤처기업의 글로벌 진출을 위한 네트워크다. 참가를 원하는 기업은 벤처기업협회로 신청하면 된다.

2024.04.01 11:06김인순

오픈텍스트 "장애대응과 DR, OS 레벨 실시간 복제 하나로 해결"

통합 정보 관리 플랫폼 제공업체 오픈텍스트의 사이버시큐리티 부문은 28일 서울 삼성동에서 기자간담회를 개최하고 국내 파트너사인 고가용 시스템 구축 솔루션 전문기업 한국사이버테크(대표 이준녕)와 카보나이트 비즈니스 연속성(BCP) 솔루션의 트렌드 및 국내 비즈니스 전략에 대해 발표했다. 오픈텍스트는 캐나다에 본사를 둔 글로벌 소프트웨어 기업이다. 기업이 정보를 효과적으로 활용해 비즈니스 프로세스를 최적화하고 혁신을 구현할 수 있도록 지원하는 기술 중심의 솔루션을 제공하고 있다. 오픈텍스트는 엔터프라이즈 콘텐츠 관리(ECM), 비즈니스 프로세스 관리(BPM), 클라우드 서비스 및 솔루션, 팀 협업 및 플랫폼, 정보 보호 및 보안 등의 분야에서 다양한 사업을 진행하고 있다. 오픈텍스트 사이버시큐리티는 고객이 효과적으로 서비스 중단 위험을 줄이고, 데이터 신뢰성을 유지하도록 도와준다. 오픈텍스트 사이버시큐리티는 고객이 고가용 시스템, 재해복구, 백업, 보안을 탄력적으로 구축할 수 있도록 지원하는 정보보호 포트폴리오를 보유하고 있다. 대표적인 솔루션으로 카보나이트, 웹루트(Webroot) 등이 있다. 오픈텍스트 사이버시큐리티의 카보나이트 DR 솔루션은 실시간 복제를 기반으로 시스템 이중화, 다중화(HA)와 원격지 재해복구(DR) 환경을 손쉽게 구성할 수 있도록 지원한다. 이를 통해 서비스와 데이터를 안정적으로 보호할 수 있는 기능을 갖췄다. 카보나이트 솔루션은 전 세계적으로 1백5만개 이상 서버 라이선스 판매 실적을 거둔 제품이다. 국내는 1999년부터 한국사이버테크를 통해 금융, 제조, 공공, 서비스, 의료 등 다양한 분야의 2천개 이상 사이트에 구축됐다. 카보나이트 솔루션은 운영체제(OS) 레벨의 실시간 복제 방식으로 작동한다. DR 환경 구축 시 기존 운영서버를 재활용하고, 물리 및 가상 클라우드 등으로 구성된 하이브리드 전산 환경에서 동일하게 복제 및 페일오버 성능 및 기능을 제공한다. 운영서버의 데이터뿐 아니라, OS, 프로그램까지 실시간 복제해 DR 서버를 운영서버와 동기화에 필요한 시간과 비용을 대폭 감소시킬 수 있다. DR 센터를 물리 및 가상, 퍼블릭 클라우드 플랫폼까지 폭넓게 선택할 수 있도록 해 고객 예산과 환경에 맞는 DR 시스템 구성을 지원한다. 카보나이트 버츄얼 어플라이언스(VA)를 도입하면 서버리스 DR 시스템을 용이하게 구성, 관리할 수 있다. DR 시스템 구축 시 시간과 부가적인 상용 소프트웨어 비용도 줄여준다. 오픈텍스트 사이버시큐리티는 한국사이버테크와 함께 카보나이트 HA, DR 솔루션을 중심으로 높은 구축 비용으로 재해복구 시스템 도입을 망설이는 고객들에게 경제적인 구축 방안을 홍보하고, 프로모션 프로그램과 지원 체계를 강화하며, 컨소시엄을 통해 시너지를 넓힐 수 있는 파트너를 적극 활용한다는 계획이다. 오픈텍스트 사이버시큐리티의 스티브 스태브리디스 APAC 지역 부사장은 “고도화되고 있는 디지털 전환 시대에 비즈니스 연속성에 대한 요구가 빠르게 증가하고 있다”며 “가동 중단이나 다운타임 발생시 복구 가능성을 보장하는 카보나이트 솔루션은 이에 대한 경제적, 기술적 측면에서 완벽한 해법이 될 수 있을 것”이라고 설명했다. 이준녕 한국사이버테크 대표는 “한국사이버테크는 25년간 카보나이트 솔루션의 국내 총판을 맡으면서 제품 영업 및 기술지원 경험을 기반으로 고객들의 다양하고 높은 요구를 만족시켜 왔다”며 “카보나이트의 OS 레벨 실시간 복제 기술은 저렴한 예산으로 짧은 시간 내에 DR 시스템을 구축하고, BCP를 확보할 수 있도록 지원한다”고 강조했다. 한국사이버테크는 그 동안의 노하우를 바탕으로 오픈텍스트 시큐리티의 DR 솔루션이 고객의 안전한 기업 환경을 보호할 수 있도록 새로운 기술을 빠르게 공유하고, 이를 최적의 결과로 이끌어낼 수 있게 모든 역량을 집중할 것이다”라고 말했다.

2024.02.28 13:09김우용

사이버 특보에 임종인 고려대 교수

임종인 고려대 정보보호대학원 석좌교수가 사이버 특별보좌관에 임명됐다. 윤석열 대통령은 2일 용산 대통령실에서 사이버 특보를 임명했다. 사이버 특보는 이번 정부에서 처음 만들어진 자리다. 임 신임 특보는 사이버 보안 분야 국내 최고 전문가다. 임 특보는 고려대 수학과를 졸업한 뒤 동 대학원에서 석·박사 학위를 취득했다. 지난 2001년 고려대 정보보호대학원장에 임명된 뒤 2010년 정보보호학회장을 거쳤다. 대검찰청 사이버수사 자문위원장, 국가정보원 사이버보안 자문위원 등으로도 활동했으며 박근혜 정부 청와대에서 안보특보를 지냈다. 윤석열 대통령은 대선 후보 시절부터 유독 사이버보안에 대한 관심이 높았다. 정부의 예산 축소 기조에에 따라 주요 연구개발(R&D) 예산이 삭감됐지만 인재 양성 예산은 오히려 늘었다. 한국인터넷진흥원(KISA)은 올해 과학기술정보통신부(이하 과기정통부) 정보보호 인재 양성 사업 예산이 전년대비 20% 이상 증액됐다고 밝혔다. 특히, 한미동맹에서도 국방을 넘어 사이버 안보가 강조되고 있다. 지난해 한미정상회담에서도 양국 정상은 '한미 전략적 사이버안보 협력 프레임워크 공동성명'을 채택했다. 이번 임 신임 특보 임명은 사이버 안보는 물론이고 생성AI와 디지털 자산 등 새로운 기술 분야에서 사이버 보안 주도권을 확보하려는 의지로 풀이된다. 임 특보는 "전통적인 사이버 시큐리티 외에 인공지능(AI)와 디지털 자산, 우수기술 등 이머징 기술 보안의 기반을 마련하는데 노력하겠다"고 말했다.

2024.01.02 19:12김인순