“정보통신기반시설 대부분은 폐쇄망이지만 절대적 안전을 담보할 수 없습니다. 업무를 위해 사내망과 폐쇄망 사이에 연결고리가 반드시 존재합니다.”
신수정 KT 최고정보보호책임자(CISO)는 일단 모두 해킹당하고 뚫린다는 관점에서 기업 보안을 바라봐야 한다고 강조했다. 신 CISO는 지난해 대형 해킹사건으로 몸살을 앓은 KT의 구원투수다. 거대한 KT의 정보보보호를 총괄하며 기술과 관리적 보호조치를 수립하고 시행한다.
“KT와 같은 정보통신기반시설은 지능형지속위협(APT) 공격에 어려움을 겪고 있습니다. 사내망과 폐쇄망을 따로 운영하지만 이들 사이의 연결고리는 언제나 취약한 지점이 됩니다.”
신 CISO는 그동안 정보통신 기반시설이 너무 밖에서 안으로 들어오는 ‘인바운드(in bound) 관제’만 집중했다고 꼬집었다.
“보안 관제는 이제 인바운드가 아니라 안에서 밖으로 유출하는 부분을 잡는 ‘아웃바운드(out bound)’가 중요합니다. 안으로 들어오는 것을 100% 막을 방법은 없습니다. 기업 내부로 침입한 악성코드가 명령&제어(C&C)와 연결하고 정보를 유출하는 쪽을 차단해야 합니다.”
그는 현재 보안 패러다임을 ‘아웃바운드 관제와 분석’으로 정의했다. 단편적으로 보안 솔루션을 설치해 대응하는 것을 넘어 통합과 시큐리티 인텔리전스 인력이 요구된다고 설명했다.
“수많은 보안 솔루션이 기업 내에 설치됐지만 여기서 나온 로그를 제대로 분석할 인력이 없습니다. 방어가 곧 분석입니다. 기업 내 취약한 지점을 찾아내는 모의 침투도 중요하지만 보안 위협을 제대로 분석할 인프라와 인력이 필요합니다.”
신 CISO는 “제대로 분석할 인력이 없으면 장비가 있어도 무용지물”이라며 “주요정보통신기반시설 보안시스템을 최적화하고 아웃바운드 유출과 연결을 탐색하고 분석해야 한다”고 목소리를 높였다.
위협 정보 공유의 중요성도 언급했다. 그는 “각종 사이버 침해 정보를 미리 알고 있으면 대응이 빠른데 공유가 안 된다”며 “동종기업은 물론이고 타 업종과도 사고와 심층 위협정보, 우수 사례 등 공유가 시급하다”고 말했다.
신 CISO는 “최근 공격은 특정 산업에만 영향을 끼치지 않고 통신이나 금융 등 전방위로 확산한다”며 “정보공유분석센터(ISAC) 간 교류도 필요하다”고 덧붙였다.
신 CISO는 몸담았던 보안 업계에도 조언을 했다. 그는 “실제로 정보통신기반시설에서 일해 보니 보안솔루션과 연계된 프리미엄 정보 서비스에 목마르다”며 “솔루션 판매만 하지 말고 취약성과 위협을 고객에게 빠르게 제공하라”고 강조했다.
김인순기자 insoon@etnews.com