2020-09-25 23:45 (금)
[2020 NetSec-KR-패널토론] 코로나19, 정보보호 산업의 위기인가, 기회인가?
상태바
[2020 NetSec-KR-패널토론] 코로나19, 정보보호 산업의 위기인가, 기회인가?
  • 길민권 기자
  • 승인 2020.07.18 16:57
이 기사를 공유합니다

“코로나19는 정보보호 산업의 기회, 새로운 기술 발목잡는 보안정책 변화 시급”
2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스 첫날 마지막 시간에 ‘코로나19, 국내 정보보호 산업에 기회인가? 위기인가?’란 주제로 패널토론이 진행됐다.
2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스 첫날 마지막 시간에 ‘코로나19, 국내 정보보호 산업에 기회인가? 위기인가?’란 주제로 패널토론이 진행됐다.

7월 16일~17일 양일간 한국정보보호학회(정수환 회장. 숭실대 교수)가 주관한 2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스 첫날 마지막 시간에 ‘코로나19, 국내 정보보호 산업에 기회인가? 위기인가?’란 주제로 패널토론이 진행됐다.

이경호 고려대 교수의 사회로 진행된 패널토론은 네이버 조상현 CISO, 삼성SDS 조지훈 센터장, 지란지교시큐리티 윤두식 대표, 더밀크코리아 김인순 대표 등이 패널로 참석했다.

◇코로나19가 불러온 기업 보안환경의 변화

이경호 고려대 교수
이경호 고려대 교수

-이경호 교수=우선 코로나19로 인한 기업 내부의 변화에 대해 의견을 들어보자.

-조지훈 센터장=기업 보안을 운영하는데 큰 변화가 있다. 집 PC를 통해 업무망에 접속하는 과정에서 직원인증 강화가 필수적이다. 지속적이고 유연하면서도 강력한 인증 기술의 필요성이 대두되고 있다. 그동안의 인증기술에서 벗어나 새로운 인증기술의 변화가 요구되는 시점이다.

또 회사 PC에는 많은 보안 장치들이 돌아간다. 하지만 집 PC나 개인 노트북으로 클라우드를 통해 사내망에 접속하는데 이 과정에서 클라우드 기반 악성코드 탐지와 APT 공격탐지 기술들이 강화되어야 한다. 그리고 전세계에 소규모 오피스들에서 일하는 직원들이 많은데 대부분 클라우드 접속이라 클라우드 기반 엔드포인트 보안 니즈가 증가한 상황이다.

-조상현 CISO=네이버는 개발자들이 많다. 재택근무 환경에서 개발자 중심 회사의 개발환경을 어떻게 구축하느냐가 보안에서 중요한 부분이다. 개발환경을 회사와 동일하게 설정하는 것이 어렵다. 그래서 VPN 설비도 늘리고 2차인증도 강화했다.

인증도 데이터 중심으로 데이터 중요성을 고려해 접근자에 대한 차별 인증이 필요하고 접근루트도 다양화해야 할 것으로 보인다. 동일 루트로 접속하다보면 대기업들은 병목현상이 생기기 때문이다.

윤두식 지란지교시큐리티 대표
윤두식 지란지교시큐리티 대표

-윤두식 대표=코로나19 초기에는 VPN 시장이 활성화됐고 화상회의 솔루션과 원격지원솔루션들이 호황이었다. 이후 장기전에 들어가면서 업무관리를 위한 접근관리, 업무량 증명툴, 인증솔루션들도 도입이 늘었다. 주식시장에서도 인증, 비대면 관련, 원격커뮤니케이션 회사들의 주가가 올랐다.

또 원격근무시 피싱과 파밍을 막는 솔루션, 데이터를 안전하게 지킬 수 있는 솔루션들이 각광을 받을 전망이다.

코로나19 위기 상황에서도, 대기업들은 보안에 투자를 하고 있지만 반면 300만개에 달하는 중소기업들은 경영난에 더욱 힘들어지면서 보안사각지대로 방치되고 있다. 언텍트 환경에서 어떻게 보안을 해야 할지 준비가 안된 상태에서 운영을 하고 있어 심각한 문제다. 이에 대한 정부의 지원이 필요하다.

김인순 더밀크코리아 대표
김인순 더밀크코리아 대표

-김인순 대표=미국 시장조사기관 CB인사이츠 리포트에 따르면, 2019년 사이버보안 스타트업에 대한 펀딩이 사상 최대치를 기록했다. 한화로 1조2천억원에 달하는 자금이 보안 스타트업에 투입된 것이다. 코로나19로 인해 원격과 재택근무가 증가하면서 해커들의 공격도 증가하고 있고 보안요구사항도 넓어지고 있다.

올해도 보안 분야에 대한 투자는 더욱 늘어날 전망이며 특히 클라우드 보안에 대한 투자가 급증하고 있다. 클라우드로의 전환이 급속도로 진행되면서 온프레미스와 퍼블릭/프라이빗 클라우드 환경 모두에서 가시성을 제공해 줄 수 있는 보안 기술이 필요하기 때문이다. 따라서 클라우드 기반 시큐어 액세스 기술과 EDR이 각광을 받고 있고 데브옵스 환경에서 컨테이너 보안 기업들이 주목을 받고 있다.

조지훈 삼성SDS 센터장
조지훈 삼성SDS 센터장

-조지훈 센터장=클라우드에 데이터들이 집중되고 있기 때문에 데이터 보안의 중요성은 날로 커지고 있다. AI·머신러닝 기반 개발환경도 클라우드로 전환되고 있어 클라우드 상의 개발과 운영 환경에 시큐리티가 녹아 들어야 한다. 데브섹옵스(DevSecOps)가 클라우드 환경에서 중요한 축이 될 전망이다. 삼성도 이미 디지털트렌스포메이션을 진행하고 있다. 그에 따른 보안 니즈들이 더욱 커질 것으로 보인다.

◇보안 정책, 변화가 필요한 시점

-이경호 교수=코로나19로 업무환경이 바뀌고 디지털트렌스포메이션이 급속도로 진행되고 있다. 그렇다면 코로나19 이전 사회에서 적용됐던 보안정책들도 변화가 필요해 보인다.

-조상현 CISO=코로나19 초기 방역이 공항에서 이루어진 것처럼 초기 보안정책도 관문을 막는 경계보안이었다. 이후 코로나19 지역감염이 확산되면서 모든 개인들이 마스크를 착용하고 모든 건물 내부에 들어갈 때 이상징후 체크를 하고 있다. 아무도 믿지 않고 모두 검사하겠다는 것이다. 이제 보안도 내부망에 제로트러스트가 적용되어야 한다. 접근자에 맞는 맞춤형 보안이 이루어져야 한다.

조상현 네이버 CISO
조상현 네이버 CISO

보안정책을 직원들이 보는 경우는 거의 없다. 모든 회사가 마찬가지다. 지침이나 가이드가 살아 움직이지 않고 죽어있다. 살아 움직이는 보안정책으로 변화가 시급하다.

비밀번호도 자주 바꾸라고 정책적으로 요구하지만 대부분 뒷자리 한 두 개만 변경하는 식이라 계정도용 사고는 계속해서 발생할 것이다. 즉 현실에 살아있는 보안정책이 아닌 것이다.

클라우드에 대한 보안정책 마련도 시급하다. 회사 내부와 외부, 내부와 내부에서 협업을 위해 클라우드를 활용할 수밖에 없다. 불안하다고 클라우드 사용을 막을 것이 아니라 어떻게 하면 안전하게 사용할 수 있는지 방안을 제시해 줘야 할 때가 왔다. 보안정책도 이런 현안들이 반영돼야 한다. 정부, 기업, 전문가들이 머리를 맞대고 이용자들이 불편하지 않으면서도 자율성도 보장되고 보안성도 유지할 수 있는 보안정책을 만들어 공유해야 한다. 과거 정책들에 메스를 댈 시점이 왔다.

◇코로나19는 정보보호 산업의 변화와 발전의 기회

-이경호 교수=보안정책 개정 주기가 IT기술 환경을 못 따라 가고 있다. 기존 보안정책에 대한 재점검이 필요한 시점이라고 생각한다. 망분리 정책이 대표적인 사례가 아닐까 생각한다.

-윤두식 대표=정부의 역할은 보호해야 할 자산이 무엇이고 이를 보호하기 위한 방법들을 자유롭게 찾아서 마련하고 다만 사고가 발생하면 책임은 기업이 질 수 있도록만 보안정책을 만들어주면 된다. 하지 않아야 할 것만 정해주면 보안기술 발전은 날개를 달고 발전할 수 있을 것이다.

비밀번호를 주기적으로 바꾸라고 규정할 것이 아니라 기업들에게 안전하게 로그인할 수 있는 방법으로 찾으라고만 하면 된다. 그럼 새로운 아이디어들이 나오고 새로운 기술을 활용한 보안기술들이 쏟아져 나올 것이라 생각한다.

지금까지 보안 컴플라이언스는 지켜야 할 사항들을 정해주고 이것만 지키면 형사처벌은 면할 수 있다고 하니 거기까지만 하는 것이다. 개인정보보호 및 정보보안 관련 정책과 규제에 있어 대변환이 필요한 상황이다.

끝으로 이경호 교수는 보안정책 변화에 대한 대토론회를 거쳐 새로운 시대에 맞는 변화가 필요하다고 강조했다. 윤두식 대표는 중소기업에 대한 정보보호 지원이 시급하다고 지적했다. 조지훈 센터장은 코로나19는 정보보안 산업에 새로운 전환점이 될 것이다. 기회로 삼아야 한다고 전했다. 김인순 대표도 보안산업 관점에서 코로나19는 기회로 작용한다고 강조했고 조상현 CISO는 언제나 그랬듯 우리는 해답을 찾을 것이라고 말했다.

이경호 교수는 “오늘의 키워드는 ‘변화’라고 생각한다. 이를 부정하면 안된다. 모두의 생각일 것이다. 향후 보다 더 심도있는 토론회를 거쳐 위기를 기회로 만들고 새로운 시대를 여는 IT 강국으로 도약하길 바란다. 특히 중소기업의 정보보안 발전에도 모두가 힘을 모아야 할 것”이라고 마무리했다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)


관련기사