보안은 안전의 절대반지가 아니다
[보안뉴스 성기노 기자] 보안(保安)은 안전을 유지하는 것이다. 안전은 개인과 기업, 국가의 생명과 이익을 지켜주는 최소한의 장치이다. 그런데 보안은 안전을 유지(維持)해 주는 것이지 항상적(恒常的)으로 지켜주는 ‘절대반지’가 아니다.
[이미지=gettyimagesbank]
여기에서 인간의 딜레마가 발생한다. 인간의 신체나 특정 시설의 안전을 ‘영원히’ 지켜주는 장치나 장비가 개발되면 좋으련만 인간은 그런 완벽한 기술을 가질 수 없다. 신에게 기도하는 것은 안전의 불완전성에서 오는 불안을 해소하기 위한 마음의 방화벽쯤 되겠다.
인간은 늘 자신의 신체와 정신의 안전을 지키기 위해 조심하고 경계해야 한다. 하지만 서울 한복판에서 사람에 치이고 깔려 159명이나 되는 소중한 목숨이 한 순간에 증발해버리는 불운한 사고는 인간이 안전이라는 단어를 머릿속에 꾹꾹 눌러 담는다고 해서 피할 수 있는 것이 아니다. 안전에는 늘 불가항력적인 단면이 존재한다.
기업의 안전도 마찬가지다. 수십년 간 공들여 개발한 기술의 ‘안전’을 지키기 위해 밤낮으로 보안 시스템을 가동한다고 해도 ‘운이 없으면’ 한 순간에 그 비밀은 휴지조각이 될 수도 있다. 인간의 안전은 생명이 담보되는 가장 소중한 가치이지만, 기업의 기술 안전은 목숨까지는 아니더라도 애써 개발한 기술 비법들이 날아가면서 생기는 천문학적 금전 피해와 관련자들의 정신건강과 신체까지 위협하는 목숨에 버금가는 중대한 문제이기도 하다.
기업은 그들의 이익과 재산을 지키기 위해 여러 가지 장치를 설치(물리적 보안)하고 인력을 투입해 기술의 유출을 막는(인적 보안) 데 전력을 쏟는다. 하지만 보안은 얄밉게도 기업의 안전을 유지만 시켜줄 뿐 결단코 영원한 안전을 보장해 주지 않는다. 그래서 기업은 늘 새로운 방화벽을 설치하고 보안관계자들을 훈련시키고 ‘각성’시킨다.
미네르바의 올빼미와 보안
그래도 어쩔 수 없이 기업의 비밀은 털리고 기술은 유출된다. 어찌 보면 보안은 안전이 유지되지 못하는 무수한 사례를 교훈 삼아 만든 실패학의 정수라고도 할 수 있겠다. 그렇다고 우리는 보안을 게을리하고 털리면 할 수 없다는 자포자기 심경으로 살아갈 수는 더더욱 없다.
외부의 ‘침탈’과 내부의 ‘유출’을 막는 데까지 막아 기업의 재산과 이익을 보호해야 내일을 위한 투자도 할 수 있다. 그래서 기업들은 안전을 유지하기 위해 강력한 인프라 보호 체계를 구축한다. 외부의 불순한 공격으로부터 방어를 해야 하기 때문이다. 네트워크 보안, 엑세스 제어, 방화벽 등의 요소를 조화롭게 동원하여 외부의 침입을 차단하고 내부 데이터의 무단 유출을 방지하려고 불철주야 노력한다.
특히 최근 들어 기업과 국가는 ‘산업보안’ 영역이 중요해지면서 최신의 보안 기술과 솔루션을 적극 도입하여 새로운 위협으로부터 기업의 자산과 국가의 이익을 지키기 위해 적극적인 투자를 한다.
그럼에도 보안은 항상 뒤처지기 마련이다. 화수분에서 온갖 재물과 보물들이 끊임없이 나오는 것처럼 새로운 기술은 인간의 무한한 상상력을 먹고 자라며 계속해서 진화하고 발전하고 있다.
보안은 신기술이 나오면 그것에 대응하느라 정신이 없다. 미네르바의 올빼미는 황혼녘에 날개를 편다. 인간은 어리석고 미숙해서 어떤 일이 터지고 나서야 그 후에 비로소 성찰하고 반성하는 시간을 가진다. 보안도 미네르바의 올빼미처럼 신기술이 등장해 인간이 미처 생각지 못한 사태를 경험하고서야 부랴부랴 방벽을 쌓는다.
[이미지=gettyimagesbank]
최근 클라우드와 AI 기술의 급속한 발전과 도입으로 기업들은 그것에 대응하느라 정신이 없다. 클라우드 환경의 복잡성과 분산성으로 인해 통합적인 보안관리가 어려워지고 있다고 하소연한다. 대량의 데이터가 클라우드에 저장되고 AI 애플리케이션에 의해 처리되면서 데이터 유출과 악용의 위험도 커지고 있다.
신기술의 출현은 보안의 물리적 기술을 더 끌어올리겠지만 한계가 있을 수밖에 없다. 지금 출시되는 고급 디지털카메라는 1억화소를 넘어서고 있다. 그래도 인간은 더 높은 화소를 개발하려고 한다. 언젠가는 인간의 눈으로 보는 만큼의 선명도와 해상도 높은 카메라도 나올 것이다.
그렇다고 그 카메라가 인간의 눈이 될 수 없듯 보안의 기술도 신기술과 대적하며 최고의 능력치를 보이겠지만 그렇다고 해서 기업의 안전을 ‘완벽하게’ 보장해 주지 않는다. 이렇듯 기업의 ‘물리적 보안’은 그 한계가 너무도 극명하지만 끊임없는 기술개발로 어느 정도 방비하는 것이 가능하다.
그렇다면 인간이 기업의 안전과 비밀을 관리하는 ‘인적 보안’ 영역은 어떨까. 물리적 보안 영역은 정보통신기술과 인공지능 등 첨단기술의 비약적인 발전과 함께 보안의 첨단화를 이루며 ‘동반성장’을 했다.
인적 오류가 가장 큰 사이버 취약점
하지만 인간의 보안 의식과 관련한 인적 보안은 고대나 지금이나 거의 같은 수준이다. 기업의 기술 유출 문제가 커지면서 인간의 보안 의식도 고양되는 측면이 있기는 하지만 사실 인간의 ‘뇌’와 보안에 대한 인지능력은 고대나 지금이나 큰 차이가 없다. 인간의 실수나 부주의는 고대나 지금이나 빈발하는 가장 취약한 인적 보안 요소 중 하나이다.
지난 5월 22일 발표된 프루프포인트의 연례 보고서 ‘2024 CISO의 목소리(Voice of the CISO)’에 따르면 조사에 응한 우리나라 CISO(정보보호최고책임자 Chief Information Security Officer) 81%가 인적 오류가 가장 큰 사이버 취약점이라는 데 동의했다고 한다. 이는 2023년 34%에 비해 2배 이상 높은 수치다. 전 세계 응답자 평균은 74%였다.
10에 7~8은 인간의 실수와 부주의로 사이버 보안 사고가 일어난다는 것은 물리적 보안 영역의 기술 미비나 취약점쯤은 ‘오징어’로 만들어버리는 인간의 중대과실에 해당한다. 보안이 곧 인간인 것이다. 기업에서도 나만 내 역할을 잘하면 되는 것처럼 인간만 잘 하면 기업의 보안은 걱정하지 않아도 된다.
특히 위 조사에서 ‘인적 오류가 조직의 가장 큰 사이버 취약점’이라는 인식이 전 세계에서 우리나라가 세 번째로 높은 것으로 나타났다. 한국인들이 인적 오류에 대해 세계에서 세 번째로 그 심각성을 심대하게 인지하고 있다는 것은 그만큼 우리가 스스로의 보안 의식을 신뢰하지 못하고 있다는 방증이다.
보안이 곧 사람이라는 것은 인간의 자율적 의지가 기업의 기밀보호와 안전의 어느 영역까지 커버해줄지 가늠해보는 중요한 척도가 된다. 오래전부터 보안업계에서는 산업기술과 기밀 유출의 가장 주요한 경로 또는 요인이 바로 전.현직 임직원 및 거래 당사자.관계자였다는 게 정설로 통한다.
[이미지=gettyimagesbank]
사람이 문제라는 것이다. 국정원(원장 조태용)의 2024 국가정보보호백서 핵심은 ‘인적 보안 관리가 최우선’이라는 것이다. 또한 국정원은 오래전에 이미 인적 보안의 위해요소를 9가지로 정리해 놓고 있다. 그것은 산업스파이 행위, 핵심 연구·기술 인력의 영입, 기업 내부자의 매수, IT 기술을 활용한 위협, 위장침투, 도·감청 등을 통한 정보 절취, 정보 브로커 및 비윤리적 정보 수집 행위, 제 3자 매수, 무단침입 등이다.
이 9가지의 위해요소 가운데 가장 심각한 문제는 바로 산업스파이의 암약과 함께 정보와 기술의 탈취, 절취 등과 같은 인간의 악의적 ‘범죄’ 행위같은 것들이다. 이런 인적 보안의 위해요소를 가장 잘 활용한 국가가 바로 중국이다. 중국은 이미 2010년에 일본을 가볍게 제치고 세계 2위 경제대국으로 우뚝 섰다. 최근에는 전기차 비야디(BYD)를 기차게 만들어 테슬라를 위협하고 있을 정도다.
중국은 이미 달나라에 유인우주선을 보낼 만큼 기술 최 첨단국이 됐다. 2010년 이전만 해도 한국 일본의 기술력에도 한참 뒤처지던 중국은 지금 전 세계를 휘어잡는 기술 대국이 됐다. 이게 과연 가능한 일인가. 열심히 밤낮없이 연구 활동에 매진해서 얻은 결과라면 중국인들은 천재들이다.
중국 기술대국 등극의 비결
하지만 그렇지 않다. 조금 비하하면 ‘도둑질’로 지금의 기술 대국 자리에 우뚝 섰다. 중국은 후진타오 시대까지만 하더라도 경제 발전에 초점을 두고 조용히 기술 역량을 강화해 왔지만 2012년 말 시진핑 지도부 출범 이후 점차 공세적으로 미국과 기술 패권 경쟁을 전개해 오고 있다.
이런 상황에서 중국이 미국의 첨단 기술을 탈취해 자국의 기술 발전에 기여하고 있다는 사실이 FBI 조사 결과에서 드러났다. FBI는 중국이 미국으로부터 절취한 기술을 자국 기술로 흡수해 역설계와 재혁신 과정을 거쳐 첨단 기술을 발전시키고 있다고 밝혔다(김진용 2023).
우리도 ‘도둑질’을 하자는 것이 아니다. 보안은 늘 불안하고 뒷북 신세를 면하지 못했다. 물리적 보안으로 아무리 철옹성을 쌓아도 어느날 김 부장이 서류 하나 들고 나가 버리면 보안은 물거품이 된다. 사람이 보안이고 그 사람이 불순한 의도를 가질 때 보안은 더 이상 안전을 유지해 주는 자물쇠가 아니다. 우리가 인적 보안을 어떻게 바라봐야 하는지를 상징적으로 말해주는 것이 바로 중국의 기술 대국 등극이다. 중국의 국가 차원 인적 보안 활용이 세계 경제를 주도하는 기술대국이 되는 가장 중요한 요소였다는 것은 한국이 미래를 어떻게 준비해야 하는지를 웅변해주는 대목이다.
다음 회부터 중국의 기술탈취 기술과 산업스파이의 세계를 따라가 보겠다. 우리도 똑같이 하자는 게 아니라 보안 영역은 이미 세계 경제대국들의 전쟁터가 됐기 때문에 ‘예비군’들도 이 전쟁에 적극 참여해 보자는 취지에서다.
[성기노 기자(kino@boannews.com)]
[보안뉴스 성기노 기자] 보안(保安)은 안전을 유지하는 것이다. 안전은 개인과 기업, 국가의 생명과 이익을 지켜주는 최소한의 장치이다. 그런데 보안은 안전을 유지(維持)해 주는 것이지 항상적(恒常的)으로 지켜주는 ‘절대반지’가 아니다.
[이미지=gettyimagesbank]
여기에서 인간의 딜레마가 발생한다. 인간의 신체나 특정 시설의 안전을 ‘영원히’ 지켜주는 장치나 장비가 개발되면 좋으련만 인간은 그런 완벽한 기술을 가질 수 없다. 신에게 기도하는 것은 안전의 불완전성에서 오는 불안을 해소하기 위한 마음의 방화벽쯤 되겠다.
인간은 늘 자신의 신체와 정신의 안전을 지키기 위해 조심하고 경계해야 한다. 하지만 서울 한복판에서 사람에 치이고 깔려 159명이나 되는 소중한 목숨이 한 순간에 증발해버리는 불운한 사고는 인간이 안전이라는 단어를 머릿속에 꾹꾹 눌러 담는다고 해서 피할 수 있는 것이 아니다. 안전에는 늘 불가항력적인 단면이 존재한다.
기업의 안전도 마찬가지다. 수십년 간 공들여 개발한 기술의 ‘안전’을 지키기 위해 밤낮으로 보안 시스템을 가동한다고 해도 ‘운이 없으면’ 한 순간에 그 비밀은 휴지조각이 될 수도 있다. 인간의 안전은 생명이 담보되는 가장 소중한 가치이지만, 기업의 기술 안전은 목숨까지는 아니더라도 애써 개발한 기술 비법들이 날아가면서 생기는 천문학적 금전 피해와 관련자들의 정신건강과 신체까지 위협하는 목숨에 버금가는 중대한 문제이기도 하다.
기업은 그들의 이익과 재산을 지키기 위해 여러 가지 장치를 설치(물리적 보안)하고 인력을 투입해 기술의 유출을 막는(인적 보안) 데 전력을 쏟는다. 하지만 보안은 얄밉게도 기업의 안전을 유지만 시켜줄 뿐 결단코 영원한 안전을 보장해 주지 않는다. 그래서 기업은 늘 새로운 방화벽을 설치하고 보안관계자들을 훈련시키고 ‘각성’시킨다.
미네르바의 올빼미와 보안
그래도 어쩔 수 없이 기업의 비밀은 털리고 기술은 유출된다. 어찌 보면 보안은 안전이 유지되지 못하는 무수한 사례를 교훈 삼아 만든 실패학의 정수라고도 할 수 있겠다. 그렇다고 우리는 보안을 게을리하고 털리면 할 수 없다는 자포자기 심경으로 살아갈 수는 더더욱 없다.
외부의 ‘침탈’과 내부의 ‘유출’을 막는 데까지 막아 기업의 재산과 이익을 보호해야 내일을 위한 투자도 할 수 있다. 그래서 기업들은 안전을 유지하기 위해 강력한 인프라 보호 체계를 구축한다. 외부의 불순한 공격으로부터 방어를 해야 하기 때문이다. 네트워크 보안, 엑세스 제어, 방화벽 등의 요소를 조화롭게 동원하여 외부의 침입을 차단하고 내부 데이터의 무단 유출을 방지하려고 불철주야 노력한다.
특히 최근 들어 기업과 국가는 ‘산업보안’ 영역이 중요해지면서 최신의 보안 기술과 솔루션을 적극 도입하여 새로운 위협으로부터 기업의 자산과 국가의 이익을 지키기 위해 적극적인 투자를 한다.
그럼에도 보안은 항상 뒤처지기 마련이다. 화수분에서 온갖 재물과 보물들이 끊임없이 나오는 것처럼 새로운 기술은 인간의 무한한 상상력을 먹고 자라며 계속해서 진화하고 발전하고 있다.
보안은 신기술이 나오면 그것에 대응하느라 정신이 없다. 미네르바의 올빼미는 황혼녘에 날개를 편다. 인간은 어리석고 미숙해서 어떤 일이 터지고 나서야 그 후에 비로소 성찰하고 반성하는 시간을 가진다. 보안도 미네르바의 올빼미처럼 신기술이 등장해 인간이 미처 생각지 못한 사태를 경험하고서야 부랴부랴 방벽을 쌓는다.
[이미지=gettyimagesbank]
최근 클라우드와 AI 기술의 급속한 발전과 도입으로 기업들은 그것에 대응하느라 정신이 없다. 클라우드 환경의 복잡성과 분산성으로 인해 통합적인 보안관리가 어려워지고 있다고 하소연한다. 대량의 데이터가 클라우드에 저장되고 AI 애플리케이션에 의해 처리되면서 데이터 유출과 악용의 위험도 커지고 있다.
신기술의 출현은 보안의 물리적 기술을 더 끌어올리겠지만 한계가 있을 수밖에 없다. 지금 출시되는 고급 디지털카메라는 1억화소를 넘어서고 있다. 그래도 인간은 더 높은 화소를 개발하려고 한다. 언젠가는 인간의 눈으로 보는 만큼의 선명도와 해상도 높은 카메라도 나올 것이다.
그렇다고 그 카메라가 인간의 눈이 될 수 없듯 보안의 기술도 신기술과 대적하며 최고의 능력치를 보이겠지만 그렇다고 해서 기업의 안전을 ‘완벽하게’ 보장해 주지 않는다. 이렇듯 기업의 ‘물리적 보안’은 그 한계가 너무도 극명하지만 끊임없는 기술개발로 어느 정도 방비하는 것이 가능하다.
그렇다면 인간이 기업의 안전과 비밀을 관리하는 ‘인적 보안’ 영역은 어떨까. 물리적 보안 영역은 정보통신기술과 인공지능 등 첨단기술의 비약적인 발전과 함께 보안의 첨단화를 이루며 ‘동반성장’을 했다.
인적 오류가 가장 큰 사이버 취약점
하지만 인간의 보안 의식과 관련한 인적 보안은 고대나 지금이나 거의 같은 수준이다. 기업의 기술 유출 문제가 커지면서 인간의 보안 의식도 고양되는 측면이 있기는 하지만 사실 인간의 ‘뇌’와 보안에 대한 인지능력은 고대나 지금이나 큰 차이가 없다. 인간의 실수나 부주의는 고대나 지금이나 빈발하는 가장 취약한 인적 보안 요소 중 하나이다.
지난 5월 22일 발표된 프루프포인트의 연례 보고서 ‘2024 CISO의 목소리(Voice of the CISO)’에 따르면 조사에 응한 우리나라 CISO(정보보호최고책임자 Chief Information Security Officer) 81%가 인적 오류가 가장 큰 사이버 취약점이라는 데 동의했다고 한다. 이는 2023년 34%에 비해 2배 이상 높은 수치다. 전 세계 응답자 평균은 74%였다.
10에 7~8은 인간의 실수와 부주의로 사이버 보안 사고가 일어난다는 것은 물리적 보안 영역의 기술 미비나 취약점쯤은 ‘오징어’로 만들어버리는 인간의 중대과실에 해당한다. 보안이 곧 인간인 것이다. 기업에서도 나만 내 역할을 잘하면 되는 것처럼 인간만 잘 하면 기업의 보안은 걱정하지 않아도 된다.
특히 위 조사에서 ‘인적 오류가 조직의 가장 큰 사이버 취약점’이라는 인식이 전 세계에서 우리나라가 세 번째로 높은 것으로 나타났다. 한국인들이 인적 오류에 대해 세계에서 세 번째로 그 심각성을 심대하게 인지하고 있다는 것은 그만큼 우리가 스스로의 보안 의식을 신뢰하지 못하고 있다는 방증이다.
보안이 곧 사람이라는 것은 인간의 자율적 의지가 기업의 기밀보호와 안전의 어느 영역까지 커버해줄지 가늠해보는 중요한 척도가 된다. 오래전부터 보안업계에서는 산업기술과 기밀 유출의 가장 주요한 경로 또는 요인이 바로 전.현직 임직원 및 거래 당사자.관계자였다는 게 정설로 통한다.
[이미지=gettyimagesbank]
사람이 문제라는 것이다. 국정원(원장 조태용)의 2024 국가정보보호백서 핵심은 ‘인적 보안 관리가 최우선’이라는 것이다. 또한 국정원은 오래전에 이미 인적 보안의 위해요소를 9가지로 정리해 놓고 있다. 그것은 산업스파이 행위, 핵심 연구·기술 인력의 영입, 기업 내부자의 매수, IT 기술을 활용한 위협, 위장침투, 도·감청 등을 통한 정보 절취, 정보 브로커 및 비윤리적 정보 수집 행위, 제 3자 매수, 무단침입 등이다.
이 9가지의 위해요소 가운데 가장 심각한 문제는 바로 산업스파이의 암약과 함께 정보와 기술의 탈취, 절취 등과 같은 인간의 악의적 ‘범죄’ 행위같은 것들이다. 이런 인적 보안의 위해요소를 가장 잘 활용한 국가가 바로 중국이다. 중국은 이미 2010년에 일본을 가볍게 제치고 세계 2위 경제대국으로 우뚝 섰다. 최근에는 전기차 비야디(BYD)를 기차게 만들어 테슬라를 위협하고 있을 정도다.
중국은 이미 달나라에 유인우주선을 보낼 만큼 기술 최 첨단국이 됐다. 2010년 이전만 해도 한국 일본의 기술력에도 한참 뒤처지던 중국은 지금 전 세계를 휘어잡는 기술 대국이 됐다. 이게 과연 가능한 일인가. 열심히 밤낮없이 연구 활동에 매진해서 얻은 결과라면 중국인들은 천재들이다.
중국 기술대국 등극의 비결
하지만 그렇지 않다. 조금 비하하면 ‘도둑질’로 지금의 기술 대국 자리에 우뚝 섰다. 중국은 후진타오 시대까지만 하더라도 경제 발전에 초점을 두고 조용히 기술 역량을 강화해 왔지만 2012년 말 시진핑 지도부 출범 이후 점차 공세적으로 미국과 기술 패권 경쟁을 전개해 오고 있다.
이런 상황에서 중국이 미국의 첨단 기술을 탈취해 자국의 기술 발전에 기여하고 있다는 사실이 FBI 조사 결과에서 드러났다. FBI는 중국이 미국으로부터 절취한 기술을 자국 기술로 흡수해 역설계와 재혁신 과정을 거쳐 첨단 기술을 발전시키고 있다고 밝혔다(김진용 2023).
우리도 ‘도둑질’을 하자는 것이 아니다. 보안은 늘 불안하고 뒷북 신세를 면하지 못했다. 물리적 보안으로 아무리 철옹성을 쌓아도 어느날 김 부장이 서류 하나 들고 나가 버리면 보안은 물거품이 된다. 사람이 보안이고 그 사람이 불순한 의도를 가질 때 보안은 더 이상 안전을 유지해 주는 자물쇠가 아니다. 우리가 인적 보안을 어떻게 바라봐야 하는지를 상징적으로 말해주는 것이 바로 중국의 기술 대국 등극이다. 중국의 국가 차원 인적 보안 활용이 세계 경제를 주도하는 기술대국이 되는 가장 중요한 요소였다는 것은 한국이 미래를 어떻게 준비해야 하는지를 웅변해주는 대목이다.
다음 회부터 중국의 기술탈취 기술과 산업스파이의 세계를 따라가 보겠다. 우리도 똑같이 하자는 게 아니라 보안 영역은 이미 세계 경제대국들의 전쟁터가 됐기 때문에 ‘예비군’들도 이 전쟁에 적극 참여해 보자는 취지에서다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
