디지털전환(DX)이 본격화하고 속도도 빨라짐에 따라 모든 산업군에서 사이버 보안 고도화는 반드시 풀어야 할 과제가 됐다. 사이버 보안 고도화를 이루지 못하면 DX는 '말짱 도루묵'이 되고 해커들의 먹잇감으로 전락할 뿐이다. DX를 뒷받침할 사이버보안 역량을 갖추기 위한 체계적 전략 수립이 중요한 이유다.
한국정보보호산업협회, 한국정보보호학회가 후원하고 전자신문이 14일 인터컨티넨탈 서울 코엑스 하모니볼룸에서 개최한 '제2회 글로벌 시큐리티 심포지엄(GSS) 2023'에 참석한 전문가들은 산업군별 DX 추진에 따른 사이버보안 강화 계획을 공유했다.
◇카카오뱅크 '사용하기 편한 보안'·넷마블 '클라이언트 보안'·국방연 '사이버 복원력 강화'
이날 'DX여정, 보안 고도화로 안전하게 항해하라'를 주제로 열린 패널토의에서 좌장을 맡은 손기욱 서울과학기술대 교수는 DX 가속화로 보안 중요성이 보다 중요해졌다고 언급하며 '보안 고도화 전략'을 물었다.
민경표 카카오뱅크 정보보호실장(CISO)은 금융에서 보안이 중요한 만큼 고객이 다가가기 쉬운 '사용이 편한 보안'도 중요하다고 강조했다. '셀카 일회용 비밀번호(OTP)'가 대표적이다. 보안성은 높지만 소지와 입력이 불편한 기존 OTP를 대체할 수 있도록 안면인식기술을 활용해 고안했다. 카카오뱅크는 금융사기 피해 예방 및 탐지 체계 고도화에도 힘쓰고 있다.
민 실장은 “고객 서비스 이용 패턴을 분석하는 '무자각 지속인증' 기술을 서비스에 적용한 것은 부정거래를 사전 예방할 수 있는 참신한 보안 기술로 주목받고 있다”면서 “신고된 금융사기 이용 계좌정보를 활용한 금융거래를 제한하거나 인공지능(AI) 기술을 결합한 이상금융거래(FDS)를 고도화하고 피해예방 모니터링 체계를 가동하는 등 사례에서 금융소비자 보호를 위한 카카오뱅크의 고민을 확인할 수 있다”고 설명했다.
넷마블은 게임이 서비스되는 디바이스, 즉 클라이언트에 대한 보안에 집중하고 있다. 클라이언트를 변조하거나 디버깅하는 공격부터 핵툴, 봇, 매크로, 가상화 등 여러 형태 해킹공격이 발생하기 때문이다. 넷마블은 이에 대응하기 위해 자체적으로 게임 보안 엔진을 개발, 모든 게임에 적용하고 있다.
또 빈번하게 발생하는 분산서비스거부(DDoS) 공격에 대한 단계별 대응책도 마련하고, 네트워크적 보안구성환경과 서버에 대한 직접적 보호를 위한 솔루션을 활용한 보호 활동도 진행하고 있다.
장석은 넷마블 보안실장(이사)은 “자체 클라우드형 글로벌 데이터센터(IDC) 구축을 위해 퍼블릭 클라우드와 같은 수준의 보안구성요소를 검토, 연구하고 있다”면서 “권한·접근제어·진단·분석에 필요한 기능을 자체적으로 개발하거나 상용화된 솔루션 도입을 적극 검토하고 있다”고 말했다.
최인수 한국국방연구원 군사발전연구센터 책임연구위원은 '국방 지능정보화 종합계획'에 대해 소개했다. 군은 과학기술 강군 건설을 위한 국방 지능정보화를 구현하기 위해 △국방 디지털 역량 강화 △AI·데이터 중심 국방 디지털 서비스 고도화 △국방 전 영역에 지능정보화 생태계 조성 등을 목표로 세웠다.
국방 분야는 DX 추진으로 보안 대상 환경에 큰 변화가 일고 있다. 이에 따라 사이버 보안 제도는 국방체계의 전 수명주기에서 사이버 보안 수단이 체계적으로 통합 관리하는 데 집중하고 있다. 이를 위해 '국방 사이버보안 위험관리 제도(K-RMF)'를 도입, 발전시키고 있으며, 정보기술(IT) 신기술의 적시 군 도입을 지원하기 위한 보안 평가 업무를 확대하고 있다.
특히 군은 사이버공격 발생 시 임무 지속성을 보장하기 위한 사이버복원력 강화, 군사작전 측면의 사이버방어작전 수행과 대응체계 발전을 강조하고 있다.
◇“표준화된 API 아쉬워” “국방에 제로 트러스트 도입”
산업군에서 필요한 보안 서비스·제품과 관련해 민 실장은 자동화된 통합보안분석 체계 구축 필요성을 강조하며 개별 보안솔루션 연동이 부족하다고 지적했다.
민 실장은 “자동화된 통합보안분석 체계구축을 위해선 개별 보안솔루션 연동을 위한 표준화된 인터페이스(API) 제공이 필수”라면서 “이미 많은 보안솔루션이 이러한 니즈를 반영하고 있지만, 현장 보안담당자는 여전히 아쉬움을 토로하고 있다”고 전했다.
장 실장은 “북-남(North-south), 동-서(Esat-west) 트래픽을 자동으로 분석해 보안 위협 탐지 및 대응할 수 있는 네트워크 탐지·대응 솔루션(NDR) 필요성을 느낀다”면서 “실제 네트워크에서 활동하는 자산이 어떻게 분류되고 관리될 수 있는지, 가시성을 확보할 수 있는 시스템도 연구하고 있다”고 밝혔다.
국방 보안 모델엔 차세대 보안 패러다임인 제로 트러스트를 적용하지 않고 있으나 향후 필수 보안 모델이 될 전망이다.
최 책임연구위원은 “중장기적으로 지휘자동화체계(C4I) 고도화를 위한 개념연구와 적용 방안을 검토하고 있다”면서 “국방부의 '국방 지능정보화 종합계획' 상 과제로 설정된 '차세대 국방 사이버보안 아키텍처'엔 제로 트러스트 보안 모델이 필수적으로 포함될 요소”라고 말했다.
조재학 기자 2jh@etnews.com
