박정수 강남대 교수 "자산 식별이 보안 출발점"
"보안의 출발점은 네트워크가 아니라 자산이다. 그 중에서도 데이터가 핵심이다. 따라서 자산 식별과 데이터 분류 없이는 어떠한 보안 정책도 효과적으로 적용될 수 없다." 박정수 강남대 컴퓨터공학부 교수는 23일 파이오링크가 개최한 '파이오링크 레질리언스 서밋 2026'에서 이같은 내용을 골자로 한 'N2SF(국가 망보안 체계) 대응 과제'를 주제로 발표했다. 그는 이날 최근 마무리된 N2SF 실증 사업 결과를 바탕으로 향후 N2SF 도입 기관이 준비해야 할 과제에 대해 중점적으로 다뤘다. N2SF는 데이터의 중요도에 따라 C(기밀), S(민감), O(공개) 등 등급으로 분류하고, 차등적인 보안 통제 항목을 적용하는 것이 핵심이다. 인공지능(AI), 클라우드 등 신기술 도입에 있어 공공기관에 적용돼 있는 망분리 제도가 장벽으로 작용하자 망분리 제도를 완화하기 위해 국가정보원 주도로 추진됐다. 박 교수는 "현장에서는 CSO 등급으로 나눠야 하는 것은 대부분 이해하고 있다. 그런데 실제로 어떻게 적용해야 하는지에 대한 많은 의문이 남아 있는 것으로 알고 있다"며 "보유한 정보서비스, 자산을 식별하고 여기에 보안 통제 원칙을 세우고 통제 항목을 매핑한 후, 취약점을 발굴하는 등의 과정은 문서화된 부분에서 충분히 적용할 수 있을 것이라 생각한다"고 밝혔다. 그러나 박 교수는 이 모든 과정의 맨 앞에서 선행돼야 하는 자산 식별의 중요성에 대해 강조했다. 그는 "현장에서 막상 데이터를 분류해 놓고 나니, 이후에 데이터가 이동·결합되는 경우에는 S등급이었던 데이터가 C등급이 되는 등의 일이 추가적으로 발생할 수 있는 여지가 있다"며 "그렇다면 이게 정보 서비스를 제대로 식별한 것이 맞느냐에 대한 고민이 또 발생한다"고 설명했다. 박 교수는 "이는 비단 N2SF만의 얘기가 아니다. 제로트러스트도 똑같이 제로트러스트 역시 자산을 식별하고 식별된 것에 따라서 워크로드를 마이크로세그멘테이션을 하고, 여기에 맞는 제로트러스트 보안 대책을 적용해야 한다"며 "최근에 미국 NIST(국립표준기술연구소)가 발표한 제로트러스트 관련 'NIST SP 1800-39'를 보면 가장 두드러지는 부분은 자산 식별을 굉장히 열심히 했다는 점이다. 자산 식별이 제대로 돼야지만 인력과 예산이 투입될 수 있기 때문일 것"이라고 말했다. 'NIST SP 1800-39'에는 자산 식별 및 데이터 분류에 대한 내용이 포함돼 있다. 지난 2월 발표됐는데, 박 교수는 'NIST SP 1800-39'에 무엇이 중요한 데이터인지를 식별하고, 식별 과정 자체를 자동화하는 것에 대한 논의가 포함돼 있다고 설명했다. 이에 박 교수는 "(미국은) 현재 데이터 중심의 보안 아키텍처를 재구성하는 단계까지 발전해 있기 때문에 우리는 데이터, 자산의 식별과 CSO 등급 훈련은 선택이 아니라 필수가 됐다"며 "N2SF에서 자동화된 데이터 식별 체계를 마련하는 것이 선행돼야 한다"고 역설했다. "보안 지식 없어도 AI로 랜섬웨어 공격" 이날 현장에서는 박 교수의 발표에 이어 에브리존, 파이오링크, 틸론 등 정보보호·IT 기업의 현직 담당자의 발표도 이어졌다. 먼저 김준영 에브리존 팀장은 AI 기술의 발달로 랜섬웨어 공격이 고도화됐으며, 에브리존의 안티랜섬웨어 솔루션 '화이트디펜더'를 통한 데이터 보호의 중요성에 대해 발표했다. 김 팀장은 "지금은 보안 지식이 없어도 생성형 AI로 랜섬웨어를 제작하는 것이 가능하다"며 "랜섬웨어 공격 초기 침투의 80%가 피싱 메일인데, 여기에도 AI를 악용하면서 피싱 메일 역시 정교하게 제작해 유포하고 있다"고 밝혔다. 그는 "화이트디펜더는 행위탐지 기반으로 3~5초 이내에 랜섬웨어를 탐지하고 자동으로 복구하는 솔루션"이라며 "화이트디펜더의 작동 방식을 보면, 랜섬웨어 감염 파일을 실시간으로 카피한 후 암호화될 경우 곧바로 복원한다. 복원 과정은 10초다"라고 설명했다. 김 팀장은 "신종 랜섬웨어, 변종 랜섬웨어 등은 기존 백신으로 탐지하기 어렵고, 최근 랜섬웨어는 데이터 암호화뿐 아니라 비즈니스를 중단시켜버리기 때문에 방어가 선택이 아닌 필수"라고 역설했다. "취약점 공개 이후 첫 공격 14시간 만에 이뤄져…'보안 골든타임' 중요" "취약점이 공개된 후 첫 번째 공격이 시작되기까지 걸리는 시간은 14시간이다. 주말에 CVE(취약점 식별 번호) 공지를 놓쳤으면 월요일 출근 전에 이미 공격을 당한다는 얘기다." 이경호 파이오링크 차장도 세션 발표를 통해 이같이 밝혔다. 이 차장은 이날 '골든타임의 재구성: 침해사고 대응의 패러다임'을 주제로 발표했다. 이 차장은 "보안 조치에는 골든타임이 있다"며 "조직의 보안 담당자들은 CVE가 공개되면 즉시 대응할 수 있는지 물어보고 싶다"고 고객사 관계자들이 모인 현장에서 질문했다. 이 차장 발표에 따르면 최근 5년간 CVE는 급증해 지난해 4만8185건으로 집계됐다. 코드가 방대화되고 클라우드, 써드파티(협력사)가 늘어나면서 취약점 수도 늘어난 것이다. CVE는 CVSS라는 점수 체계를 통해 그 심각도를 짐작할 수 있다. CVSS는 0~10점으로 구성되며 점수가 높을수록 심각도가 높다. 이 차장은 "CVSS 10.0을 기록한 로그포제이(Log4j) 사태를 보면, 금요일 오후 2시에 시작됐다. Java에 기본 탑재된 오픈소스 라이브러리에서 발견됐고, 채팅 한 줄만 입력하면 악성코드를 실행할 수 있는 취약점이 발견됐다. 특별한 기술이 없어도 공격이 가능한 형태였다"며 "당시 취약점 발표 이후 KISA가 보안 업데이트를 긴급 권고했는데, 공격자는 2일도 채 되지 않아 실제 서버에 침투를 시도했다"고 밝혔다. CVSS 10.0의 취약점은 즉각 조치가 원칙이다. 이 차장은 일반적인 조직의 취약점 대응 상황을 가정하며, 금요일 오후에 취약점 공지를 발견하고, 영향을 받고 있는 조직 내 서비스를 확인하고 여러 조직을 거쳐 업데이트까지 가는 과정에서 이미 침투가 이뤄진다고 경고했다. 그는 "사람이 수작업으로 CVE를 일일이 대응하기에는 구조적인 한계가 분명하다"면서 "CVE 대응 과정을 전부 자동화하고 사용자는 결정만 할 수 있게 체계를 구축하는 것이 중요하다. 파이오링크는 수만건의 최신 CVE 자체 분석과 DB(데이터베이스) 자동화를 통해 특정 취약점에 대한 방어 여부를 즉시 확인할 수 있도록 돕는다"고 소개했다. 민정식 틸론 차장은 'AI 시대를 위한 안전한 업무 환경, VDI(데스크톱 가상화) 기반 디지털 전환'을 주제로 발표했다. 민 차장은 이날 틸론의 AI 솔루션 소개, VDI 실제 적용 사례, 파이오링크와 VDI 분야 협력 등을 중심으로 소개했다. 그는 "AI 시대의 1년은 다른 분야의 10년이다. 1년을 망설이다가 3년이 뒤처질 수 있다. AI는 이제 도입하느냐 마느냐의 문제가 아니다. 어떻게 얼마나 잘 쓰느냐의 싸움"이라고 강조했다. 민 차장은 "AI 도입의 성패는 툴이 아니라 인프라가 결정한다"며 "틸론은 VDI를 통해 효율적이면서도 안전하게 AI를 활용할 수 있는 환경을 구성한다"고 말했다. 한편 틸론은 파이오링크 이달 초 업무협약을 체결하고 파이오링크의 하이퍼컨버지드인프라(HCI) 기반의 VDI 사업 강화를 위해 협력하기로 했다. 파이오링크 HCI 솔루션 '팝콘(POPCON)'과 틸론 VDI 솔루션 '디스테이션(Dstation)'을 결합해 VDI를 개별 소프트웨어가 아닌 인프라 통합 모델로 확장할 계획이다.
