“통제로 하는 사이버 보안 시대는 끝났다. 이제 협업해야 하며 보안 설계를 단순화하고 문화를 개방하자.”
세계 최대 보안 콘퍼런스인 RSA 2020이 25일(현지시간) 미국 샌프란시스코에서 개막했다. 올해 RSA 2020은 '인간 요소(Human Element)'를 주제로 삼았다. 인공지능(AI)과 양자 컴퓨팅, 블록체인을 비롯한 기술과 개인정보 보호, 선거 보안이 화두다. 모든 기술은 인간을 위한 기술이라는 점이 강조됐다.
웬디 네이더 시스코 정보보호최고책임자(CISO) 자문단장은 “기술이 민주화된 것처럼 보안도 민주화해야 할 때”라고 말했다. 웹과 데이터베이스관리시스템(DBMS)을 넘어 서비스형인프라(IaaS), 서비스형소프트웨어(SaaS), 애플리케이션 프로그래밍 인터페이스(API), 인터넷, 이용자까지 통제할 수 없는 부분이 점점 더 많아질 뿐더러 통제할수록 비용도 증가하기 때문이다.
통제에 의한 보안은 갈수록 어렵다. 네이더 단장은 “인터넷은 모두 클릭하는 것들로 이뤄져 있는데 이용자에게 아무거나 클릭하지 말라고 소리치는 건 우스운 일”이라면서 “이용자와 싸움을 멈추고 악성 링크를 클릭해도 상관없도록 만들어야 한다”고 지적했다.
숟가락을 보면 어떻게 써야 할지 바로 아는 것처럼 보안 수단도 쓰기 쉽게 만들어져야 한다. 아이폰이 4자리 비밀번호를 도입했을 때 이용률은 35%에 불과했지만 지문 도입 시 이용률은 80%로 뛰었다. 네이더 단장은 “사람의, 사람에 의한, 사람을 위한 보안이 돼야 한다”고 강조했다.
로힛 가이 RSA 회장은 기조연설에서 “이야기는 우리가 어떻게 생각하고 행동하는지에 깊은 영향을 끼친다”면서 “사이버 공격을 막아내기 위해 사이버 보안에 관한 이야기를 바꿔야 할 때”라고 말했다. 점점 더 조직화하는 사이버공격에 대비하려면 개별 기술보다 배경과 해설자, 행위자 등으로 구성되는 이야기를 먼저 구상해야 한다는 의미다.
몇 년간 지속된 사이버 보안 협업 중요성은 반복적으로 부각됐다. 미래 공격에 맞서려면 보안 진영을 조직화해야 한다. 공격자가 목적을 달성하기 어렵도록 사이버 회복력(Cyber Resilience)을 강화해야 하는데 이는 협업을 통해서만 가능하다.
미국 애틀란타 시는 랜섬웨어 공격에 당한 후 금전을 지불하라는 공격자 요구를 거절했다. 시는 피해를 입었지만 공격자는 목적 달성에 실패했다. 시가 공격에서 빠르게 회복하도록 지원과 협업 체계가 필요하다.
미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)에서도 민관을 아우르는 협업을 강조했다. 크리스토퍼 크렙스 CISA 국장은 이란 군부 실세인 거셈 솔레이마니 이란혁명수비대 정예군(쿠드스군) 사령관 살해 전후로 발생한 이란 사이버 공격을 언급했다. 그는 “정보 공유를 통해 미국 산업제어시스템(ICS)을 보호하는 데 성공했다”면서 “(산재한) 정보를 연결해 이란 해커 움직임을 추측하고 대응했다”고 말했다.
암호학자 패널 토론 가운데는 미국 대통령 선거 보안에 관한 논의가 이뤄졌다. 로날드 리베스트 메사추세츠공대 교수는 “블록체인은 투표에 적절하지 않은 기술”이라면서 “블록체인이 적용될 만한 영역이 있겠지만 투표에선 리스크를 감수할 필요가 없다”고 피력했다. 투표에 고난도 기술이 필요하지 않을 뿐더러 현재 종이 투표로 충분하다는 설명이다.
샌프란시스코(미국)=
오다인기자 ohdain@etnews.com