[DT광장] 사이버 보안전략 수립 세가지 유의점

김기태 탈레스 이시큐리티 이사

김기태 탈레스 이시큐리티 이사

사이버 공격은 날로 지능화되고 치명적인 형태로 진화하고 있다. 그 대상과 목표는 다양한 기법과 접목되고 있어 미리 알고 준비하지 않으면 치명적인 데이터 유출 사고에 노출될 수 있다. 따라서 새롭게 떠오르는 주요 보안 이슈들에 대비해 완벽한 데이터 보안 전략을 수립해야 한다. 특히 12월은 2018년도 보안 전략을 수립해야 할 기업들에게 한해 중 가장 신중해야 할 시기다. 2018년도 보안 전략 수립에 있어서 다음 세 가지를 유의해야 한다.

첫째, GDPR 컴플라이언스를 완벽히 준비해야 한다. GDPR의 시행이 불과 몇 달 뒤인 내년 5월로 다가오며 세간의 관심 또한 높아지고 있는 가운데 행정안전부는 지난 11월 20일 벨기에 브뤼셀유럽연합(EU) 지역위원회에서 '유럽 개인정보보호법(GDPR) 기업 간담회'를 개최했다. 삼성, LG, 현대, 포스코, 네이버 등 국내와 유럽에 진출한 30여 개 기업이 참석해 GDPR에 대한 기업 인식을 제고 및 준비사항을 점검했다. 잘 알려진 바와 같이 2000만 유로에 달하는 천문학적 벌금을 비롯해 전에 없던 중대한 이슈들이 GDPR과 함께 기업에 도래할 것으로 보인다. GDPR은 그저 감사 당시 체크만 하고 넘어가는 규제와는 다르다. 기업들은 규제를 준수하고 있음을 언제든 스스로 입증할 수 있어야 한다. 때문에 GDPR을 단지 규제로서 받아들이기보다는 기업이 고객 신뢰에 다가갈 기회로 삼아야 한다. 이를 위해 기업은 데이터 보안을 위한 추가적 운영 계획을 설계해야 하며 이에 암호화는 가장 안전한 데이터 보안 방법이 될 수 있다. 암호화된 데이터는 복호화 키가 없으면 열어 볼 수 없기 때문에 암호화된 데이터 자체는 유출돼도 무방하다. 과거 개인정보보호법의 발효 시점처럼 2018년 GDPR 시행으로 데이터 암호화 솔루션은 또 한번 폭발적인 수요증가를 겪을 것으로 보인다. 기업들은 앞서 언급한 암호화 솔루션을 구비해 GDPR을 새로운 경쟁력의 기회로 삼아야한다.

둘째, IoT산업의 규모가 크게 증가하고 있다. 최근 한 시장조사기관의 발표에 따르면, 2021년에는 IoT설비를 갖춘 스마트 홈이 스마트폰의 수를 능가할 것이라 예측됐다. IoT는 웨어러블 기기를 사용하는 개인 소비자, 최신 장비를 구매하는 가족단위 소비자, 인터넷 커넥티드 기기를 사용하는 기업 등 생각보다 많은 대상들과 엮여 있다. 때문에 데이터 유출 사고가 발생할 시 기업은 규제 당국은 물론 고객에게까지 책임을 추궁당할 수 있다. 최근 떠오르는 커넥티드 카 또한 새로운 위협이 될 수 있으며, 최악의 경우 산업용 제어 시스템에 내장된 IoT 기기의 보안이 무너져 물리적 피해로 이어질 수도 있다.

IoT데이터의 암호화는 암호화 시장에서 크게 대두하고 있는 이슈다. 기업들은 네트워크 환경의 데이터를 암호화된 상태로 유지하며 철저한 암호화 키 관리를 통해 권한 있는 사용자가 권한 내에서만 데이터를 이용하도록 해야 한다. 또한 소프트웨어를 기반으로 구동되는 어떤 기기라도 취약점이 발견되거나 보안 이슈가 발생하면 즉시 업데이트할 수 있어야 한다. 더 나아가서 강력한 보안 기준 수립으로 날로 정교해지는 사이버 위협과 급격히 증가하는 IoT기기의 안전한 생태계 확립을 위한 기초마련이 필요하다. 이에 탈레스는 IoT보안 조직 산업인터넷컨소시엄(Industrial Internet Consortium®, IIC)에 합류해 역할을 하고 있다.

셋째, 공급망 공격에 대비해야 한다. 2017년 발생했던 섀도우패드(Shadowpad), C클리너(CCleaner), 엑스페트르(ExPetr, 일명 '페트야') 사례처럼 타사 소프트웨어를 이용한 공급망 공격에 기업시스템이 쉽게 노출되고 있다. 공급망 공격은 소프트웨어 개발, 배포 단계에서부터 악성코드를 침입시키며 한 번에 큰 위협을 줄 수 있는 많은 사용자가 사용하는 소프트웨어를 표적으로 하고 있다. 전문가들은 아직 노출되지 않고 있을 뿐 인지하는 것보다 훨씬 많은 공급망 공격들이 나타날 수 있다고 경고한다. 공급망의 복잡성이 증가함에 따라 새로운 형태의 위협은 컴퓨터 네트워크에 연결된 전문 의료 장비나 온라인 결제 관련 금융 분야 등 어디서도 나타날 수 있다.

공급망 공격은 표적이 되는 기관의 보안 시스템이 이를 탐지할 수 있는 시점 이전에 존재하는 위협이다. 소프트웨어 개발사를 해킹해 개발 초기단계, 유지보수 과정에서의 업데이트 서버, 장비 납품과정까지 모두 공격의 틈새가 될 수 있다. 소프트웨어 공급업체와 데이터를 주고받는 모든 과정이 위협이 될 수 있기 때문에 데이터 암호화 솔루션을 이용하는 기업의 경우 접근통제 기능을 포함하는 강력한 암호화 키 관리 시스템을 사용해야 한다.

새롭게 등장하는 보안 이슈들과 관련해 일단 지켜보자는 식의 기업 태도는 보안에 대한 소비자 우려를 가중시킨다. 따라서 기업들은 더 높은 곳으로 도약하기 위해 더 많은 시간과 노력을 들여 다가올 위협을 사전에 준비해야 한다. 기업과 소비자의 불안 또한 계속 증가하고 있는 가운데 2018년은 어느 때보다 다양한 형태의 사이버 공격이 예상된다. 기업은 위협에 한발 앞서 자사의 보안 전략을 다시 한번 점검해 데이터 보안에 더욱 신중을 기해야 할 것이다.