“보안 산업이 성장하려면 서비스 제공업체 비즈니스(사업)에 기여해야 합니다. 서비스 영역에서 갖는 고민을 해결하지 못하는 보안은 기술연구에 불과합니다.”
게임과 포털 등 다양한 서비스는 일상생활과 밀접한 관계를 맺는다. 매일 수많은 이용자가 수시로 접속하고 실시간으로 서비스를 제공 받는다. 서비스 장애와 불편은 바로 이용자 이탈과 매출 하락 등 사업에 직접 영향을 미친다. 기술적으로 단순해 보이는 오래된 보안 문제가 여전히 해결과제로 남아있는 이유다.
1일 대전 KAIST에서 열린 해킹보안컨퍼런스 `김치콘 2016`에서는 `서비스 보안:현재와 미래`를 주제로 패널토론이 진행됐다. 조민재 테크앤로 IT·보안팀장 사회로 김혁준 나루시큐리티 대표와 김호광 메이크어스 최고기술책임자(CTO), 조상현 네이버랩스 보안팀 부장, 일본IT 기업에서 보안을 총괄하는 임만기 실장이 패널로 참여했다. 행사는 비공개로 진행됐으나 행사장 밖에서 패널을 만나 인터뷰를 진행했다.
서비스 분야 보안 담당자는 보안이 서비스 운영을 돕는 형태로 발전해야 한다고 입을 모았다.
임만기 실장은 “인프라와 네트워크 등 기존 보안이 집중된 영역은 이미 구축돼 있는 구조에서 문제점이나 취약점을 찾는 형태”라며 “서비스 보안은 보다 앞단에서 여러 고민이 필요하다”고 강조했다. 서비스 영역에서는 보안과 비즈니스 영속성을 때놓고 논의하기 어렵기 때문이다.
서비스 제공업체에만 국한된 문제가 아니다. 서비스와 콘텐츠를 제공하는 연계된 많은 회사 보안 수준도 살펴야 한다. 최근 악성코드 유포지로 지목된 외주 광고 플랫폼 등이 대표적이다. 인터넷 포털과 금융사 등은 자사 사이트와 로그인 창을 모방한 피싱 사이트 문제도 해결해야 한다.
조상현 부장도 “서비스 영역에서 보안을 담당하다보면 오래 전부터 제기된 보안 문제를 왜 아직 해결하지 못하느냐는 이야기를 자주 듣는다”며 “단순히 보안 기술적인 문제가 아닌 서비스 운영 문제를 함께 바라봐야 한다”고 설명했다.
보안 구조 차원에서 강화할 부분도 있다. 현재 대부분 보안 체계는 외부망과 내부망이 만나는 경계구간에 집중돼 있다. 초기 침투 이후 내부에서 이뤄지는 정보 수집과 추가 공격에는 대응이 쉽지 않다.
김혁준 대표는 “경계구간뿐만 아니라 내부에서 중요한 영역을 단계적으로 방어하는 다계층 대응구조 강화가 필요하다”고 지적했다. 그는 “초기 침투를 허용하더라도 최종 공격 실행 전까지 이뤄지는 사전 준비 행위를 탐지해 대응하는 역량을 갖춰야 한다”고 부연했다.
박정은기자 jepark@etnews.com
