[보안리더] 정현석 아톤 시큐리티센터장 "한국 보안, 영역별 분리...통합 필요"
"대부분의 비즈니스 모델이 디지털화되면서 공격 표면이 너무나도 넓어졌다. 해커들이 데이터를 빼가기에 정보의 가치도 높아졌고, 기술의 변화도 너무 빠르다. 과거 보안은 한 번 구축해 놓으면 크게 변하지 않았으나, 이제는 지속적인 변화를 요구한다. 새로운 보안 기술이 나오면 새로운 컴플라이언스도 나오게 된다. 결국 공격 표면이 넓어지면서 보안 기술도 계속해서 변화하고 있으며, 이에 따른 규제도 새롭게 생겨나고 있기 때문에 보안 담당자가 일일이 대응하기 어려운 현실이다." 정현석 아톤 시큐리티센터장은 15일 지디넷코리아와 인터뷰에서 이같이 진단했다. 그는 "이런 상황인데도 우리나라 보안은 영역별로 분리돼 있다. 공격자들은 네트워크면 네트워크에만, 계정이면 계정만 공격하지 않는다. 전체를 공격하고 있는 상황인데 우리 보안은 통합적으로 방어하고 있지 않다"고 경고했다. 정 센터장은 "기술과 규제는 계속해서 변화하는데, 여러 보안 구멍을 한 번에 막는 것이 아니라 하나하나 다른 장비로 막는 데 급급한 것이다"라며 "그런데 또 보안 인식 자체가 너무 낮다. 최근 해킹 사고들을 보면 수십년 간 지켜오던 브랜드 이미지가 공격 한 번에 기업을 뿌리째 흔들어 놓을 정도로 무너뜨린다. 보안 사고 때문에 망하는 기업들이 적지 않은 이유다"라고 진단했다. "통합 보안도 없는데 수많은 보안 솔루션 담당할 인력도 부족" 그는 "보안 인력 부족 문제도 심각한 상황이다. IDP(ID 공급자)를 구축해 인증 체계를 확립하고, 엔드포인트 단에서 EDR(엔드포인트 탐지 및 대응)을 구축하더라도 각각 엔지니어가 한 명씩 있어야 한다. 국내 대기업의 경우 사용하고 있는 보안 솔루션은 대강 어림잡아도 100개가 넘는다"며 "통합 보안이 공급되지도 않는 상황인데 사일로한 보안 기술들을 일일이 대응할 담당자까지 필요한 것이다"라고 현 상황의 심각성을 알렸다. 정 센터장은 국내에서 통합적인 보안 환경을 제공하지 못하고 있는 데다, 수많은 보안 솔루션을 운용할 인력조차 부족한 상황을 날카롭게 지적했다. 그는 중소기업의 경우는 상황이 더욱 열악하다고 강조했다. 정 센터장은 "우리나라 기업 구조에서 중소기업이 차지하는 비중은 90%가 넘는다. 과장을 조금 보태면 99%라고 얘기가 나온다. 자금적인 여력이 있는 대기업의 경우는 많은 보안 솔루션을 도입하고 이를 운용할 담당자도 채용할 수 있지만, 중소기업의 경우 상황이 여의치 않다"며 "'기업이 보안을 제대로 하고 있다'고 보려면 최소 보안 솔루션은 20개 이상 도입해야 한다. 이 모든 솔루션들을 운용할 보안 담당자를 중소기업에서 확보하기란 어불성설"이라고 밝혔다. 그는 "해커들은 치밀하게 조직화돼 있다. 적게는 대여섯명, 많게는 수십명이 인증, 네트워크 등 각 보안 영역을 체계적으로 공격하고 있는 상황인데 중소기업이 이런 공격을 막아낼 리 만무하다"며 "우리가 안전해서 해킹을 안 당한 것이 아니라 아직 우리의 공격 차례가 오지 않은 것이다"라고 경고했다. "'구독형 CISO' 제공…통합 보안·규제 준수 한 번에" 정 센터장은 "사람이 아프면 병원에 모든 치료를 맡긴다. 우리는 아플 때 병원에 '내가 어디가 아프니 이 약을 주십시오'라고 하지 않는다. '몸이 안 좋은데 치료해주십시오'라고 한다"며 "보안도 이처럼 '우리한테 EDR이 필요합니다', '클라우드 컨테이너 보안 솔루션이 필요합니다'라고 얘기하는 것이 아니라 전적으로 보안을 맡겨버리는 쪽으로 발전할 수밖에 없다. 그렇지 않고서는 해결할 수 없는 상황이다"라고 강조했다. 그는 "아톤은 하나의 플랫폼에서 복잡한 보안 환경을 해결하고, 가상 정보보호최고책임자(vCISO)를 통해 보안 담당자의 손길을 거치지 않아도 CISO를 영입한 것의 효과를 낼 수 있도록 지원한다"며 "vCISO는 아톤의 '구독형 보안책임자'로 이해하면 쉽다. 전담 보안팀을 두기 어려운 중소기업을 위해 보안 진단부터 구축, 운영, 관제, 교육 심지어 사이버 보험까지 전 과정을 월 구독 형태로 제공한다"고 설명했다. 정 센터장은 이날 아톤에서 제공하고 있는 통합 클라우드 보안 플랫폼 '올빗시큐리티(Orbit Security)'와 vCISO 솔루션을 직접 보여주며 기자에게 소개했다. 먼저 올빗시큐리티는 쿠버네티스(K8s) 환경의 복잡한 보안을 해결하는 플랫폼으로, 설정오류, 컨테이너 취약점, 런타임 위협을 통합 관리하고, 지능형 우선순위로 빠르게 대응한다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증), ISO27001 등 규제를 준수하고 있는지 등 위협과 규제를 직관적으로 파악할 수 있게 지수화해 제공하고 있다. 예컨대 ISMS-P 기준으로 현재 준수율이 몇 퍼센트인지, 어떤 항목이 미달인지 바로 확인할 수 있다. 정책 편집 기능도 탑재돼 개별 기업만의 특수한 보안 요구사항도 별도로 설정할 수 있다. vCISO는 올빗시큐리티 위에서 작동하는 기업 전체 보안을 책임지는 서비스다. 클라우드 네이티브 애플리케이션 보안 플랫폼(올빗시큐리티)을 다루는 가상의 보안 담당자(vCISO)다. 예를 들어 중소기업이 쿠버네티스 기반으로 서비스를 운영한다면, 올빗시큐리티를 통해 컨테이너 보안을 관리받게 된다. 거기에 EDR, 네트워크 보안, IDP 같은 다른 영역까지 vCISO 플랫폼에서 통합 관리하는 것이 가능해진다. 정 센터장은 "vCISO를 도입하면 우리 회사에서 운영되고 있는 모든 도메인과 애플리케이션을 한 눈에 확인할 수 있고, 모두 보안 수준이 점수화돼 있다. 어떤 부분이 부족한지 곧바로 파악이 가능하기 때문에 빠른 조치를 도울뿐 아니라, 최신 CVE 취약점도 실시간으로 반영되기 때문에 신종 위협도 대응할 수 있다는 장점이 있다"며 "예를 들어 최근 큰 파장을 불러온 리액트투쉘(React2shell, 리액트 환경에서 발견된 치명적인 취약점)과 같은 새로운 CVSS(공통 취약성 평가 시스템) 10점짜리 취약점이 새로 발견됐다고 했을 때, 실시간으로 반영되고, 플랫폼에서 점수로 표시되기 때문에 위협받는 자산을 전수조사할 수고로움도 줄어든다"고 설명했다. 그는 "까다로운 국내 컴플라이언스 준수 여부도 점수로 표시된다. 특히 각 산업별로 준수해야 할 컴플라이언스가 다른데, 이런 부분도 커스터마이징하는 것이 가능하다"며 "기업마다 국가정보원 규제를 따라야 하는 경우, ISMS-P를 충족해야 하는 경우, 항공사라면 항공사만의 별도 규제가 적용되는 부분 등 특수한 규제 환경도 준수 여부를 파악할 수 있다"고 말했다. 그는 이어 "이 외에도 침해사고를 당했을 때 사이버 보험의 역할도 vCISO가 수행하기 때문에 '엔드 투 엔드(End-to-End)' 보안 환경을 완성해 제공한다"며 "이로써 보안 담당자를 둘 수 없는 중소기업도 통합 보안, 규제 준수, 침해 대응까지 풀스택 보안을 부담 없이 구축할 수 있도록 돕는다"고 역설했다. "20년 금융 보안 역량 기반으로 세계 무대서 성공해낼 것" 아톤에 따르면 올빗시큐리티는 지난해 말 정식 출시한 후 금융권, 공공, IT 서비스 기업들이 러브콜을 보내고 있는 것으로 알려졌다. 특히 클라우드 전환에 속도를 내는 기업일수록 더 많은 관심을 보내고 있다. vCISO 서비스도 중소 IT 기업을 중심으로 문의가 늘어나는 추세다. 보안이 중요한 것은 알고 있지만 어떻게 보안 환경을 구축해야 할지 모르는 중소 기업들에 큰 인기를 끌고 있는 것이다. 정 센터장은 "아톤은 20년간 금융 보안에 특화됐으나, vCISO와 올빗시큐리티를 통해 엔터프라이즈 보안 기업으로 도약하고자 한다. 지난해부터 많은 준비를 해왔고, 클라우드 전환에 속도를 내는 대기업부터 보안을 처음 대하는 중소기업까지 지원하는 첫 발을 뗐다"고 강조했다. 그는 "아톤은 올빗시큐리티와 vCISO를 통해 보안을 통합해서 제공하고 중소기업도 보안을 강화하는 보안 패러다임을 바꿔 나가는 데 선도적인 역할을 수행할 것이다"라며 "클라우드 보안은 세계 무대에서도 절대 강자가 없다. 국내 환경에서 나아가 세계 무대에서도 입지를 공고히할 것"이라고 밝혔다. 정현석 아톤 시큐리티센터장은 정보통신산업진흥원(NIPA) 클라우드혁신센터 총괄을 지내고, 베스핀글로벌에서 보안사업 본부장을 맡았다. 현재는 지난해 출범한 아톤 시큐리티센터의 지휘봉을 잡아 활약 중이다.
