하루가 다르게 새로운 정보기술(IT)이 선보이면서 이에 비례해 사이버 보안 위협도 갈수록 커지고 있다. 보안 이슈가 점점 `다층성`이라는 것을 반증이라도 하듯 최근 우리기 접하는 보안 사고 사례는 고도의 지능형이고, 공포감을 가중시킨다. 사소한 보안 부주의로 발생해 어처구니없게 느껴지는 것까지 참으로 다양하다.
하이브리드 IT 시대다. 이제 기업 IT 인프라를 자체 구축할 것인가 아웃소싱할 것인가, 프라이빗 클라우드를 쓸 것인가 퍼블릭 클라우드를 쓸 것인가 등과 같은 질문은 더 이상 유효하지 않다. 크게 온프레미스와 클라우드로 범위를 나눌 수 있지만 그 사이에도 다양하게 존재하는 수많은 방식을 통합 구성한다. 각 기관과 기업에 가장 알맞은 IT 환경 구축이 IT 담당자와 최고정보관리책임자(CIO)의 숙제다. 정답이 없는 데다 기업마다 다른 상황에 따른 최적의 결정을 해야 하기 때문에 그 어느 때보다도 담당자의 역량이 중요하기도 하다.
하이브리드 IT 환경에서는 조직 내부의 자체 IT 인프라와 클라우드 환경을 넘나들며 자원을 통합 관리해야 한다. 이른바 `오케스트레이션`이라는 과제만큼이나 치밀한 접근을 요하는 부분이 바로 보안 문제다. 하이브리드 IT 환경은 다채로운 리소스를 활용하며, 다층 구조로 되어 있다. 보안상 허점이 생기는 경우의 수도 이전과는 비교할 수 없이 많아졌다.
특히 애플리케이션(앱) 보안과 사용자 접속에 관한 운영 방침이 중요하다. 전통의 데이터센터 경계가 허물어지고 있다. 몇 겹의 방화벽을 쌓아 인프라를 보호하는 방식은 이제 더 이상 합리에 맞지 않다. 보안은 앱 관점에서 재검토돼야 한다. 다시 말해서 앱이 하이브리드 IT 환경에 맞는 보호를 받고 있는지, 하이브리드 IT 환경에 최적화돼 다층 구조의 공격도 막아 낼 수 있는지 재점검해야 한다. 단순한 디도스 공격 한 번으로도 심각한 손상을 끼칠 수 있다는 사실을 명심해야 한다.
클라우드와 모빌리티는 전통의 기업 활동 반경을 넓히고 있다. 더 이상 제반 업무가 기업 데이터센터에만 고정되지 않는다. 기업이 더욱 모바일화, 디지털화 됨에 따라 보안에 대한 균형 잡힌 접근이 그 어느 때보다도 절실히 요구된다. 앱 딜리버리 차원에서 보안 정책과 접속 통제를 통합할 필요가 있다.
다행스럽게도 이러한 환경의 변화에 따라 보안 기술도 함께 진화한다. 각 기업은 내부 인프라와 함께 웹 앱을 보호한다. 앱이 기반하는 모든 환경에 균일한 보안 정책을 적용하도록 하이브리드 IT 환경에 최적화된 솔루션을 채택해야 한다. 또 앱 정책을 모바일까지 확장한다. 사용자는 필요한 리소스에 빠르고 안전한 연결을 보장받는다. IT 담당자는 쉬운 관리, 정책 통제, 사용자경험(UX)에 대한 자세한 리포트를 제공받는 모바일 보안체계를 수립하는 것도 중요하다.
국경 없는 실시간 웹 공격을 모니터링하는 글로벌 보안 전문업체와 논의하는 것도 기술력과 비용 모두 기업이 IT 환경 전반에 걸친 보안 문제 극복에 도움이 될 수 있다.
물론 이렇게 IT 담당자가 최신 전문 지식으로 무장하고 외부 전문가의 도움까지 받아 최첨단 보안 시스템을 철저히 갖춘다 해도 각 조직 구성원 개인의 보안 의식이 투철하지 못하다면 아무 소용이 없다. 우리는 최근 이 같은 교훈을 주는 사례를 끊임없이 접한다. 이것이 IT 전문가뿐만 아니라 일반인도 모두 사이버 보안에 대해 무지해서는 안 되는 이유이기도 하다.
조원균 F5네트웍스 코리아 대표 p.cho@f5.com