영화 ‘아이언맨’에서 주인공 토니 스타크는 인공지능 비서 ‘자비스’ 도움을 받아 각종 테러 조직과 싸운다. 자비스는 토니 주변 상황을 실시간으로 인식해 위험을 알려주고 행동 지침을 준다. 아이언맨 슈트를 입은 토니 스타크는 자비스와 상호 인식하고 정보를 교환하며 작전을 수행한다. 위험을 감지하고 판단하고 정보를 제공한다. 하지만 스스로 상황에 대처할 수 없다. 스스로 학습하며 진화하는 인공지능(AI)이지만 아이언맨과 함께 해야 영향력을 발휘한다.
자비스는 기업 네트워크 상태와 위협을 한눈에 보는 보안 솔루션과 비슷하다. 많은 보안 담당자는 자비스 같은 보안 솔루션을 원한다. 스스로 위협을 감지하고 판단해 지침이 내려지기 바란다. 과연 영화에서처럼 이렇게 진화한 솔루션이 존재할까. 아직까지 자비스 수준에 이른 제품은 없다. 사이버 보안 기업, 각국 정부는 스스로 침해를 판단하고 대응하는 기술을 요구한다. 수많은 보안 관련 로그 데이터를 자동으로 수집하고 저장 분석해 위협을 찾아내고 메시지를 준다.
자비스 같은 제품이 나와도 국가나 기업 보안 대응엔 아이언맨이 필요하다. 솔루션이 처리하는 영역과 실제 적과 전투에서 경험이 많은 보안 담당자가 할 일은 구분된다. 아무리 빠르게 자비스가 적 침투를 파악하고 지침을 내려도 아이언맨이 실행하지 않으면 무용지물이다.
우리 기업과 조직은 자비스 같은 완벽한 기술에 의존하려 한다. 경험이 많은 보안 담당자 채용에 인색하다. 침해 사고를 겪은 보안 담당자에게 오히려 주홍 글씨를 새긴다. 전장에서 많이 싸워본 경험과 노하우를 활용하지 않는다.
기업 사이버 보안은 기술만으로 이뤄지지 않는다. 기술은 보조도구일 뿐이다. 보안은 사람과 프로세스, 기술 삼박자가 조화를 이뤄야 완성된다. 경험이 풍부한 보안담당자는 필수다. 아무나 데려다 놓아서는 될 일이 아니다. 서비스와 제품 설계 단계부터 고려된 보안 프로세스, 구성원 보안 의식은 언급할 필요도 없다.
김인순기자 insoon@etnews.com