암호화의 첫 출발은 “정말 암호화가 필요한 정보는 무엇인가?”
클라우드, 빅 데이터 시대에 암호화가 당면한 과제

[보안뉴스 문가용] 기술이 늘어남에 따라 생활이 편리해지고 업무하기도 좋아지고, 무엇보다 해킹당할 가능성이 늘어났다. 보안 전문기업은 물론 일반 조직 및 기관에서도 정보보안에 대해 깊이 생각하기 시작하는 시대가 열렸는데, 그에 맞춰 암호화가 제1선에서 주목받고 있다.

하지만 기존의 암호화 기술이라고 하면 많은 보안문제를 해결해주는 것만큼이나 또 다른 문제들의 원인이 되었다. 또한 보안이라는 개념 자체가 ‘경호’나 ‘안전’을 넘어 사업의 또 다른 도구로 인식되기 시작하면서 암호화 역시 이래저래 변화가 요구되기 시작했다. 그런 면에서 암호화의 7가지 본질과 기본을 되짚어본다.

1. 암호화해야 하는 정보인가?
과연 회사에서 다루는 정보라면 모든 암호화를 해야 하는가 고민해볼 필요가 있다. 아마 대부분은 사람 많은 광장에서 공짜 신문처럼 뿌려도 아무런 영향이 없는 정보들일 것이다. 우리 팀장님 생일 파티 기획서 같은 건 비밀일 필요가 없잖은가? 암호화의 기술이 어떻게 변하든, 암호화의 자격이 있는 정보를 가려낼 줄 아는 판단력이 제일 먼저 필요하다.

이 판단을 매번 정확히 할 수 없으니 그냥 다 암호화해도 된다고 주장하는 사람이 있을 수 있다. 틀린 말은 아니나, 지나친 암호화는 필요한 정보의 공유와 기능성을 저해한다. 암호화 때문에 본래 해야 할 일을 원활하게 못하게 되는 건 예전부터 암호화가 가졌던 고질적인 문제 중 하나였다. 그렇다면 암호화의 진화라는 주제를 논할 때 ‘선별적 암호화’는 빼놓을 수 없는 내용이다.

2. 회사의 보안 정책과 암호화 기술의 궁합
위의 판단을 돕는 게 바로 기업의 보안 정책이다. 모든 걸 백지에서부터 자신만을 믿고 판단할 수는 없다. 무언가 기준이 되어야 하는데, 다행히 우리에겐 국가의 법이라는 게 있고 조직 내 사칙이라는 게 있다. 정보의 암호화 여부를 두고 판단을 내려야 할 때 자신이 없다면 관련 정책을 찾아보는 게 현명하다.

3. 자동 암호화
그렇게 암호화 할 정보가 무엇인지, 혹은 그냥 놔둬도 되는 정보가 무엇인지 결정이 됐다면 암호화를 실제로 할 차례다. 사용이 가능한 암호화 기능 혹은 기술이 무엇인지 파악하고 암호화할 필요가 있는 정보를 다 모아서 한 번에 암호화를 하는 게 효율적인데, 이 과정이 또 엄청나게 취약할 수 있다. 이런 때는 빠르게 일을 처리할수록 좋아 자동화 기능의 사용을 권장한다. 모든 민감한 정보가 한 번에 모여드는 작업이기 때문에 시간 단축이 핵심이다.

4. 오류 많은 생물, 인간
암호화라고 해봐야 100% 완전한 보안 방법은 아니다. 어떤 강력한 암호라도 최종 사용자의 습관까지 고칠 수는 없다. 만약 암호화의 과정이 사용자의 업무를 방해하기라도 한다면 사용자들은 암호화를 아주 쉽게 버릴 것이다. 위에서 말한 대로 자동화를 권장하는 건 시간 단축의 이유도 있지만 실제 암호화를 해야 하는 최종 사용자의 편리성을 높이기 위한 것도 있다.

5. 클라우드의 물량공세와 암호화
이제 ‘우리 회사는 언제쯤이나 클라우드 기술을 도입할 것인가?’가 문제인 시대는 지나갔다. 이제는 어떤 클라우드를 어떻게 도입하느냐의 질문이 솟구치는 시대다. 회사 시스템 포맷하고 윈도우나 여타 OS를 설치할 때 회사 창고에 들어가 공용 윈도우 CD를 가져다가 작업한 게 언제인지 기억이 나는가? 나도 나지 않는다.

클라우드가 갑작스레 대세가 된 건 예견된 일이었다. 현대 사회에서의 정보 폭발, 늘어나는 사용자들의 정보 수요가 바로 그 요인이다. 2014년부터 2015년까지 대중 클라우드 애플리케이션에 저장된 파일의 수는 10배로 늘어났다. 즉 암호화 해야 할 데이터 분량 자체의 방대함도 이제는 무시할 수 없는 요소라는 것이다. 클라우드에만 암호화를 적용한다는 건 집 전체에 랩을 씌우고 그 안에 있는 가구나 기기들은 그냥 방치하는 것이나 다름없다. 지금은 그 내용물도 다 하나하나 포장을 해야 하는 때다.

하지만 이런 귀찮은 일을 사용자들이 제대로 할 리 만무하다. 누군가는 그냥 집만 포장하면 됐다고 만족할 것이다. 현실의 필요와 사용자들의 습관 혹은 경향 사이에 이렇게 커다란 괴리가 있는데, 이를 어떻게 극복해야 할 것인가 고민해야 한다. 물량 공세를 감당할 수 있는 암호화가 현재 암호화 기술 개발자들이 가진 가장 큰 고민이라고 해도 무방하다. 게다가 사용자들은 지금 이 순간에도 회사 안에서건 밖에서건 이 클라우드에 안방처럼 드나들고 있다.

6. 넓은 호환성도 중요
5번과 연결된 것인데, 클라우드가 대세가 됨에 따라 각종 클라우드 서비스가 늘어나고 있고 자연스레 클라우드를 통한 사용자들의 정보 접근 비율이 높아지고 있기 때문에 암호화의 호환성도 중요한 문제로 대두되고 있다. 암호화 때문에 사용자가 단골 클라우드 서비스를 바꿀 가능성은 높지 않다. 클라우드 환경의 이런 ‘다변화’ 및 ‘증대’를 고려한 호환성도 해결해야 할 문제다.

7. 설사 이 문제들을 다 해결했다고 해도
중요한 건 암호화는 정보보안의 첫 단추일 뿐이라는 것이다. 정보의 암호화부터 정보보안은 ‘시작’한다. 암호화가 직면한 간단치 않아 보이는 문제들이 해결된다고 해도, 그것으로 만족하고 안주할 수 없다는 걸 기억해야 한다. 또한 암호화만으로 정보보안이 대단히 증대되는 것도 아니다. 사용자가 인간이기 때문에 가지고 있는 어쩔 수 없는 불완전성은 그대로 남아있다. 암호화의 변화는 그러므로 보안에 대한 기업 내 혹은 사회 내 큰 그림의 일환으로서 발전시켜야 한다. 암호화 하나만 따로 보는 시각은 전혀 엉뚱한 방향 혹은 전혀 도움이 되지 않는 방향으로의 한 걸음이 될 수도 있다.
글 : 론 잘킨드(Ron Zalkind)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>