탈레스 "늘어나는 보안 솔루션, 휴먼에러 피하려면 하나의 플랫폼으로 관리해야"
[IT동아 정연호 기자] 해커의 공격은 두 가지 원칙을 따른다. 첫째, 기업과 조직에서 가장 가치 있는 자산을 탈취한다. 바이오 기업에서 많은 시간과 자본을 투입해 만든 신약 제조법은 해커들에겐 군침이 도는 귀중한 자산이 될 것이다. 이처럼 해커들은 기업의 핵심 IP(지식재산권)를 노린다. 둘째, 시스템 보안의 가장 약한 고리를 건드린다. 가장 쉬운 곳을 통해 기업 시스템에 침입한 뒤 가장 귀중한 자산을 가져가는 게 해커들의 공격 원칙이다.
도시가 발전하면서 하이테크 기술도 확산함에 따라, 많은 기업들이 보안을 과거처럼 불필요한 ‘비용’이 아니라 미래의 비즈니스를 위한 ‘투자’로 여기게 됐다. 전 산업에 걸쳐 디지털전환이 빠른 속도로 이뤄지면서, 비즈니스의 기본이 된 데이터와 IP가 해커들의 손아귀에 들어가지 않도록 보안 시스템을 구축할 필요성이 커졌다. 글로벌 보안 업체들이 아시아-태평양(이하 아태)지역에서 비즈니스를 확대하는 이유도 아태 지역의 도시에서 IT인프라가 빠르게 발달하고 있고, 이에 따라 보안에 대한 수요도 크게 늘고 있기 때문이다. 서울과 도쿄의 스마트 팩토리를 생각해보자. 이곳에선 스마트폰 디자인 등의 IP, 전기자동차의 각종 앱에서 나온 데이터가 비즈니스의 생존이 달린 중요 자산이다.
보안 솔루션을 도입하려고 해도 이는 쉽지 않은 문제다. 보안 업계 관계자들에 따르면, 모든 공격을 막는 ‘만병통치약’은 없다고 봐야 한다. 때문에 여러 솔루션을 함께 도입하는 경우가 많은데, 어떤 솔루션이 좋을지 선택하는 것부터 도입한 뒤 이를 관리하는 것까지 기업엔 쉽지 않은 과제이다. 실제로, 한 기업에서 10개의 보안 솔루션을 사용하는 경우도 많다. 멀티 클라우드를 사용하는 기업이 많아지면서 클라우드 서버마다 필요한 보안 솔루션을 추가로 쓰게 됐고, IT시스템도 점점 복잡해지면서 기업이 쓰는 보안 솔루션의 수도 증가했다.
글로벌 보안 업체 탈레스(Thales)의 레이몬드 영(Raymond Yeoung) 한국 및 중화권역 CPL 사업부 영업이사는 본지와의 화상 인터뷰에서 “(보안 솔루션을 고를 땐) 데이터 암호화, 다양한 보안 솔루션의 통합 관리, 보안 업계에서 오랫동안 쌓아온 신뢰”가 중요하다고 답했다.
탈레스는 방위, 항공, 인공위성, 철도, 보안 다섯 가지 산업에서 비즈니스를 하는 프랑스 글로벌 기업이다. 레이몬드 영은 데이터 암호화와 개인정보 보호 사업에 집중하는 탈레스의 한국 및 중화권역 CPL(클라우드 보안 및 라이센싱) 사업부 영업이사다. 각국의 정부 기관, 글로벌 금융기관, 미국의 포춘 1000대 기업과 글로벌 포춘500대 기업 중 상당수가 탈레스 CPL의 고객사다. 40년이 넘는 세월 동안 보안 산업에서 신뢰를 쌓아온 탈레스의 강점을 드러내는 부분이다.
보안 솔루션의 중요한 두 가지 요소는 ‘확장 가능성’과 ‘안정성’이다. 기업들은 한 국가 지사에서 다른 국가의 지사로 확장이 가능한 보안 솔루션을 원하면서도, 보안 솔루션을 제공하는 기업이 안정적으로 운영되며 미래에도 서비스를 계속 제공할 수 있을지에 대한 확신을 요구한다. 많은 돈을 들여 보안 시스템을 구축했는데 보안 업체가 사라지면 다른 업체의 솔루션으로 전환해야 하기 때문이다.
레이몬드 영은 “탈레스는 40년 이상 데이터 보안에서 검증된 솔루션을 보여왔고, 많은 글로벌 기업이 이용하고 있다. 그 자체만으로도 하나의 경쟁력이다”라면서 “보안 솔루션은 지금 당장의 문제만을 따지는 것이 아니라 향후 5~10년을 바라봐야 하는 기술”이라고 말했다.
그는 “CPL의 핵심은 고객 개인정보나 IP, 디지털 세상에서의 디지털 아이덴티티(ID)를 보호하는 것이다. 우리는 디지털월드에 살고 있으므로 디지털 ID를 잘 지키는 것이 중요하다”고 했다. 탈레스의 보안 솔루션은 세 가지로 구분된다. 첫째, 데이터를 암호화하는 키를 만들고 이를 보관하는 하드웨어 보안 모듈(HSM)이다. 탈레스 HSM 아키텍처에 키를 저장하면 허용되지 않는 접근을 통해선 키를 추출하거나 사용할 수 없다.
레이몬드 영은 암호키의 중요성을 강조했다. 방화벽 등의 보안 솔루션 역시 중요하지만, 데이터 암호화는 암호키만 안전하게 지킬 수 있다면 다른 방식보다 더 강력한 수준의 보안을 구축한다. 데이터가 해커의 손에 들어갔어도 암호화가 됐다면 키 없이는 이를 복호화할 수 없다. 그만큼 키를 안전하게 보관하는 것이 핵심이다.
비즈니스를 확장하면서 다양한 보안 솔루션을 사용하게 된 기업에 중요한 화두는 ‘암호키 관리’이다. 특정 사이트 계정이 있다고 해보자. 계정 로그인을 하려면 비밀번호가 필요하다. 인터넷 사이트가 늘어나면서 개인이 보유하게 된 계정도 많아졌고, 보안을 지키기 위해서든 우연에 의해서든 사람들은 비밀번호를 조금씩 다르게 설정하고 있다. 문제는 50개의 계정이 모두 비밀번호가 다르면 로그인할 때마다 매번 비밀번호를 기억하려고 애를 써야 한다는 것이다. 현재 보안 솔루션의 증가는 동일한 문제를 겪고 있다. 늘어나는 암호키를 어떻게 관리할지가 중요한 일이 됐다.
탈레스의 두 번째 솔루션은 ‘CipherTrust Data Security Platform’ 라는 보안 플랫폼이다. 민감 데이터 검출과 다양한 암호화 솔루션, 암호키 관리가 하나의 플랫폼에서 작동한다. 탈레스의 암호키 외에도 다른 보안 업체의 암호키도 함께 관리할 수 있다. 마지막으로 IAM(Identity and Access Management)이 있다. IAM은 기업에서 지정한 사람과 집단, 디바이스만이 특정 앱과 리소스, 시스템에 접근할 수 있도록 관리하는 솔루션이다.
최근 코로나19 이후로 보안 위협이 증가하면서 데이터 보호에 주의를 기울여야 한다는 목소리가 점점 커지고 있다. 탈레스가 한국을 포함한 17개국의 IT 및 데이터 보안 임직원 2700명을 대상으로 실시한 조사(‘2022 데이터 위협 보고서’)에서도 보안에 위협을 느끼는 조직 구성원이 늘었음을 알 수 있다. 보고서의 자세한 내용은 7월 6일 진행되는 ‘탈레스 데이터 위협 컨퍼런스 2022’ 웨비나를 통해서 확인할 수 있다.
보고서에 따르면, 전 세계적으로 보안 공격은 늘고 있으며 그 양상이 복잡해지고 있다. 조사대상의 45%는 보안 공격이 증가했다고 했고 29%는 지난 12개월 동안 데이터 유출을 경험했다고 응답했다. 랜섬웨어를 풀어주는 대가를 암호화폐로 지불하는 게 가능해지면서 랜섬웨어의 빈도와 파급력도 커졌다. 응답자 다섯 명 중 한 명(21%)은 랜섬웨어 공격을 경험했고, 그중 43%는 운영에 심각한 영향을 받았다고 답했다.
레이몬드 영은 “사이버 어택은 코로나19 이전에도 심각한 문제였다. 다만, 최근에 그 공격이 증가하고 있는 것”이라면서 “글로벌한 트렌드와 한국을 포함한 아태 지역의 피해 양상도 유사하다. 대부분 랜섬웨어, 멀웨어, DoS(Denial of Service)의 형태로 나타나고 있다”고 말했다.
보안에 대한 위협은 커지고 있음에도 대비책을 제대로 마련한 곳은 많지 않다. 랜섬웨어 대응책을 보유하고 있다는 글로벌 응답자는 절반도 되지 않으며(48%), 한국은 평균보다 낮은 40%로 나타났다. 보안 위협이 커지고 있음에도 기존 사이버 보안 예산안을 변경할 계획이 없다고 답한 이는 41%에 달했다.
또한, 전 세계적으로 클라우드 전환이 활발하게 이뤄지면서, 클라우드 데이터 보호가 주요 과제로 떠올랐다. 조사결과, 온프레미스보다 클라우드 환경에서 데이터를 보호하고 규정을 지키는 것이 복잡하다고 느끼는 IT리더들은 작년 46%에서 51%로 늘었다. 응답자 34%는 50개 이상의 SaaS(서비스형 소프트웨어)를 사용한다고 답했으며, 워크로드와 데이터의 절반이 외부 클라우드에 저장됐다고 응답한 비율은 32%였다. 이는 기업에서 데이터를 클라우드에 저장하는 추세가 가속화되고 있음을 보여주는 수치다. 한국은 37%로 전 세계 평균을 웃도는 수치를 나타냈다.
다만, 응답자 중 절반만이 40% 이상의 클라우드 데이터가 암호화됐다고 밝혔다. 데이터를 클라우드에 저장하는 추세가 빨라지고 있지만, 민감 데이터를 위해 암호화를 사용하는 기업은 절반도 채 되지 않는 것이다.
레이몬드 영은 “CSP(클라우드 서비스 제공업체)들은 각각 자기만의 데이터 암호화 솔루션을 제공한다. 멀티 클라우드를 사용하면서 암호화 솔루션도 늘게 되고, 보안 솔루션 관리가 어려워지면서 휴먼 에러가 발생할 가능성도 높아졌다. 휴먼에러는 보안의 레벨을 낮추는 중요한 문제다”라고 지적했다. 그의 설명대로, 보안 솔루션의 관리 부담을 줄여주는 ‘CipherTrust’와 같은 툴의 필요성은 점점 커지고 있다.
보안 업계 관계자들은 “국내의 기업들은 보안에 많은 투자를 하지 않는다”고 말하곤 한다. 이에 대해 레이몬드 영은 “한국은 아태 지역에서 데이터 보호 규제로 상당히 앞서 있는 지역이다. 그래서, 탈레스도 한국에서의 비즈니스에 집중하려고 하는 것”이라고 답했다. 보안은 흔히 “규제가 드라이브하는 영역”이라고 한다. 정부의 규제가 생겨야 기업들의 보안 수준도 올라간다는 뜻이다. 금융기관의 결제 부문처럼 민감한 영역은 보안 규제가 촘촘하게 설계돼 있고, 이에 따라 안전한 거래가 가능하게 됐다.
레이몬드 영은 “과거엔 보안을 IT비용으로 봤지만, 이제 많은 기업이 미래의 비즈니스를 위한 투자로 여기고 있다. 오히려 운영 비용을 낮춰주면서 보안을 강화하기 때문이다”라고 설명했다. 은행의 온라인 서비스는 오프라인 지점에 비해 운영 비용이 낮고 고객 편의성은 높다. 다만, 온라인 서비스가 정상적으로 작동하려면 고객의 자금 거래, 은행계좌 관리, 데이터 보호 등의 보안 시스템은 필수다. 비즈니스가 늘어나면서 데이터를 보호해야 하는 포인트는 늘어나고 있고, 기업들은 기꺼이 보안 솔루션을 위해서 지갑을 열고 있다. 보안 솔루션은 보안을 위한 IT운영관리 인력 부담과 비용을 낮추기 때문에 기업들의 선호도도 높아졌다.
기업의 클라우드 전환 역시 IT운영 비용을 낮추기 위해서다. 하지만, 클라우드에서 데이터를 어떻게 안전하게 보호할 것인지에 대한 답을 기업 스스로 내리지 못한다면 클라우드와 같이 효율적인 운영방식을 따를 수 없게 된다. 게다가, 클라우드 초기 단계와 달리 이제 기업들이 옮기는 데이터는 ‘중요한 데이터’가 됐다. 보안이 더 중요해질 수밖에 없다. 기존엔 자사 데이터 센터를 이용했기에 외부 침입만 막으면 보안은 해결됐지만, CSP가 데이터에 접근할 수 있다는 가능성 그 자체도 보안에선 문제가 될 수 있다.
레이몬드 영은 클라우드를 비롯한 모든 IT운영환경에서 ‘데이터 오너십’이 필요하다고 강조했다. 데이터 오너십이란 데이터가 생성되고 저장, 사용되며 폐기되는 모든 단계를 적극적으로 관리하는 개념을 말한다. 많은 IT운영 관리자들이 민감 데이터를 비롯한 각종 데이터가 어디에 저장됐는지 잘 모른다. 운영하는 서버와 데이터의 증가로 인해 어디에 어떤 데이터가 저장되는지 정확히 파악하기 어렵기 때문이다. 데이터 주권을 제대로 행사하지 못하는 현재 상황에서 벗어나려면 데이터 오너십이 요구된다는 설명이다. 현재 세계 각국의 규제는 “금융기관의 거래 데이터는 국내에 저장돼야 한다”와 같은 데이터 오너십을 반영하는 동향을 보이고 있다.
데이터 오너십의 과정은 서로 유기적으로 연결돼 있다. 데이터를 저장할 때 보안을 철저하게 해도 누가 데이터를 쓰는지 확인이 안 되면 보안에 틈이 생기니 모든 단계에 신경을 써야 한다. 레이몬드 영은 클라우드 데이터를 안전하게 지키려면 적극적인 보안 방식인 ‘제로 트러스트(Zero trust)’를 도입해야 한다고 말했다. 제로 트러스트란 데이터와 네트워크 접근을 요청하는 사람 혹은 디바이스를 계속 의심해야 한다는 개념이다. 시스템에 접근을 할 때 여러 단계에 걸쳐서 반복해서 ‘당신은 누구인가’를 묻고 신원을 밝히게 하는 것이다.
그는 “코로나19 이후로 원격근무가 늘면서 보안의 문제는 ‘누가 시스템에 접속하는지 모른다’는 점이 됐다. 이제 기업들은 아이디와 패스워드는 안전한 보안 장치가 아니라는 걸 알고 있다”고 설명했다. 탈레스 보고서에 따르면, 전체 응답자의 79%는 원격 근무로 인한 보안 위협에 대해 우려했으나, 다중 요인 인증(MFA)을 구현했다고 답한 비율은 절반(55%)가량으로 전년도와 동일한 수치를 보였다. 다중 요인 인증은 최소 2개 이상의 신원 인증을 진행하는 보안 방식이다. 레이몬드 영은 “제로 트러스트를 어렵게 생각하지만 사실 굉장히 간단한 아이디어다. 다중 인증 방식처럼 일단 데모를 해보면 다들 쉽게 이해하는 편”이라고 설명했다.
레이몬드 영은 “탈레스는 과거 2년 동안 코로나 19 기간 글로벌, 아태지역 모두 CPL에 대한 투자를 늘려왔다. 앞으로도 이러한 보안에 대한 탈레스의 책임(commitment)를 다하겠다”고 말했다.
글 / IT동아 정연호 (hoho@itdonga.com)