기밀 유지와 폐쇄성이 보안 핵심이지만 개방성과 정보공유 중요성 점증
실전적 보안은 ‘지식 생태계’ 속에서 성장...감추고 닫는 게 능사 아냐
보안 엑스포는 현장의 각종 ‘전투 기록’들이 공유되는 유일한 실체적 공간
[보안뉴스 성기노 기자] 보안이란 역설의 영역이다. 보안은 겉보기엔 ‘기밀 유지’와 ‘폐쇄성’이 생명처럼 보이지만 실제로는 ‘정보의 공유’와 ‘개방성’이 없으면 절대 강해질 수 없다. 보안은 ‘폐쇄성’과 ‘개방성’이 자웅동체처럼 긴밀하게 공존을 해야 살아남을 수 있는 영역인 것이다.
[자료: gettyimagesbank]
보안에서 가장 핵심이 되는 요소 중 하나는 기밀성(Confidentiality)이다. 인가되지 않은 사용자가 정보에 접근하지 못하도록 보호하는 걸 의미한다. 기밀성을 보장하는 것은 기업의 정보, 고객의 개인정보, 비즈니스 전략 등 민감한 데이터가 외부에 노출되지 않도록 하는 것이다. 기업들은 암호화, 액세스 제어, 인증 등의 방식을 통해 기밀성을 유지하기 위해 애쓴다.
기밀성은 무결성(Integrity 정보가 변경되거나 훼손되지 않고 정확하게 유지되도록 하는 요소), 가용성(Availability 사용자가 필요한 정보를 항상 접근할 수 있도록 보장하는 요소)의 보안 3요소 중 가장 선행하는 핵심 ‘방어막’이다. IT보안업계에서는 이를 ‘CIA 3요소’라고 부른다.
특히 이 기밀성은 ‘한번 털리면’ 기업은 수익과 신뢰를 잃고, 국가는 안보에 ‘싱크홀’이 생기며, 개인은 재산 피해와 함께 평생 위험에 노출될 수 있다. 이렇게 다양한 위협 요소 때문에 보안에서 기밀성은 매우 중요하다.
그런데 그런 기밀을 보호한답시고 꽁꽁 싸매고만 있으면 보안이 저절로 이뤄지는 것일까. 보안을 ‘숨기고 닫고 걸어 잠그는 것’으로만 인식하는 기업의 보안은 오히려 ‘적’의 침입에 더 취약하다.
보안이 돌아가는 일에 귀 닫고 입 막으면 보안도 지켜질 수 있다는 믿음은 물 새는 배에 청테이프 붙이고 ‘이제 안심’ 하는 꼴이다. 아무리 틀어막는다고 해도 위협과 공격은 더 정교해지고 교묘해지기 마련이다. 보안의 영역에서는 ‘나만 잘하면 돼’라는 자기암시가 통하지 않는다.
각자 도생의 보안은 어쩌면 모두를 위험하게 만드는 가장 무서운 ‘흉기’일 수도 있다. 보안의 기밀성에 기업들이 막대한 투자를 하지만 그것이 ‘혼자만의 보안’으로만 그칠 때는 밑빠진 독에 물만 자꾸 붓는 격이다.
[자료: gettyimagesbank]
위협 정보와 기술 트렌드, 그리고 해킹 사례는 개방되고 공유돼야 한다. 한 기업의 방어기법이 다른 기업과도 공유된다면 그 과정에서 기업들의 보안 생존 환경은 더욱 유리하게 변모하게 된다.
보안의 폐쇄성과 개방성이 암수의 한몸처럼 같이 공존해야 하는 이유가 바로 여기에 있다. 보안의 폐쇄성만 강조하면서 독자적인 보안 네트워크에 ‘자족’할 경우 그 기업의 보안은 다양한 공격에 취약해진다. 또한 자사의 해킹 이력이나 취약점을 네트워크를 통해 공유하지 않으면 그 회사 또한 다른 기업으로부터 최신의 보안 정보를 제공받지 못하게 되면서 ‘고립’될 수밖에 없다.
그럼에도 기업들은 보안의 ‘개방성’을 꺼리고 두려워한다. 기업이나 정부기관은 신뢰와 자존심, 그리고 비밀이라는 이유로 사이버공격을 당해도 자세한 피해 내역이나 해킹 사례 등을 공개하지 않는다. 쉬쉬하면서 조용히 넘어가기만을 바란다.
그렇게 숨기고 대충 넘어가다 보면 언젠가는 완전히 탈탈 털려 기업의 존망 자체가 위태로운 순간이 올 수 있다. 이런 점에서 보안은 기업이나 국가의 자신감이자 자존감이다. 실전적 보안은 ‘지식 생태계’ 속에서 성장하는 것이지 조직의 비밀금고 속에 꽁꽁 숨겨둔다고 해서 실현되지 않는다.
지난 3월 19일부터 21일까지 일산 킨텍스에서 2025 세계보안엑스포(SECON)가 성공리에 개최됐다. 보안이 사이버 중심이라고 해서 마치 실체가 없는 듯 보이거나 온라인에서만 이뤄질 것 같지만 실제로는 그렇지 않다.
보안의 개방성이 중요하다고 할 때 그것을 가장 구체적으로 실현시켜주는 ‘도구’가 바로 엑스포나 컨퍼런스같은 오프라인 행사다. 보안 엑스포는 단순히 기업들의 첨단기술과 제품을 뽐내는 자리만이 아니다.
실제 보안 현장에서 난무하는 각종 ‘전투 기록’들이 공유되고 전파되는 유일한 실체적 공간이 바로 보안 엑스포다. 컨퍼런스에서는 그 사건의 ‘현장 영웅’들이 직접 케이스 스터디를 들고 무대에 선다.
▲지난 3월 19일 일산 킨텍스 2025 세계보안엑스포 오프닝행사가 거행됐다. 윤오준 국정원 3차장이 인삿말을 하고 있다. [자료: 보안뉴스]
“이 툴은 실패했고, 저 툴은 유효했다”
“이건 아직 논문도 안 나온 건데, 우리 레드팀이 발견한 방식이 있어”
“중국 해커 그룹이 요즘 물리적 접근과 펌웨어 조작을 병행하더라”
이런 정보들은 ‘고지식한’ 논문이나 웰 메이드 보고서에서는 볼 수 없는 ‘날 것’의 정보들이다. 현장의 실무자들만이 공유하고 이해할 수 있는 보안의 정보들을 오프라인 행사에서 직접 얻을 수 있고, 실제로 행사기간 동안 무수한 첨단 보안 솔루션과 정보들이 교류하고 부딪친다.
특히 보안에서 가장 무서운 건 ‘모르는 위험’이다. CVE(Common Vulnerabilities & Exposures 공통 보안 취약성 및 노출) 등록이나 언론 보도보다 더 빠른 건 실제로 현장에서 그 위협을 처음 맞닥뜨린 사람의 경험담이다. 엑스포나 컨퍼런스 현장에서는 이런 ‘극초기 인사이트’가 ‘오프 더 레코드’를 달고 흘러 다닌다. 물론 검증이 안 된 1차 정보에 불과하지만 관계자들은 보안의 최신 트렌드나 위협 경향성을 체득할 수 있다.
또한 이 과정에서 우연한 순간에 ‘기술과 기술의 결합과 짝짓기’도 이뤄진다. 술자리와 커피 브레이크에서 이뤄지는 짧은 대화에서 기업의 보안 생존이 결정날 수도 있다. 마지막으로 엑스포나 컨퍼런스에서는 첨단기술 방어력에 대한 ‘칭찬’도 있지만 기업 보안의 취약점이나 약점 등도 간파당하고 날 선 공격을 받기도 한다.
이러는 사이 보안의 기술과 방어기제는 더욱 완결성을 가지게 된다. 칭찬보다 ‘지적질’에 대한 근육을 키워야 보안도 성장한다. 이제부터 무조건 꽁꽁 싸매고, 숨기고, 들키지 않으려고 하지 말자. 들켰거나 뚫렸을 때 그것을 인정하는 용기는 부끄러운 게 아니라 보안을 완성체로 이끄는 최후의 ‘패치’이다.
[성기노 기자(kino@boannews.com)]
실전적 보안은 ‘지식 생태계’ 속에서 성장...감추고 닫는 게 능사 아냐
보안 엑스포는 현장의 각종 ‘전투 기록’들이 공유되는 유일한 실체적 공간
[보안뉴스 성기노 기자] 보안이란 역설의 영역이다. 보안은 겉보기엔 ‘기밀 유지’와 ‘폐쇄성’이 생명처럼 보이지만 실제로는 ‘정보의 공유’와 ‘개방성’이 없으면 절대 강해질 수 없다. 보안은 ‘폐쇄성’과 ‘개방성’이 자웅동체처럼 긴밀하게 공존을 해야 살아남을 수 있는 영역인 것이다.
[자료: gettyimagesbank]
보안에서 가장 핵심이 되는 요소 중 하나는 기밀성(Confidentiality)이다. 인가되지 않은 사용자가 정보에 접근하지 못하도록 보호하는 걸 의미한다. 기밀성을 보장하는 것은 기업의 정보, 고객의 개인정보, 비즈니스 전략 등 민감한 데이터가 외부에 노출되지 않도록 하는 것이다. 기업들은 암호화, 액세스 제어, 인증 등의 방식을 통해 기밀성을 유지하기 위해 애쓴다.
기밀성은 무결성(Integrity 정보가 변경되거나 훼손되지 않고 정확하게 유지되도록 하는 요소), 가용성(Availability 사용자가 필요한 정보를 항상 접근할 수 있도록 보장하는 요소)의 보안 3요소 중 가장 선행하는 핵심 ‘방어막’이다. IT보안업계에서는 이를 ‘CIA 3요소’라고 부른다.
특히 이 기밀성은 ‘한번 털리면’ 기업은 수익과 신뢰를 잃고, 국가는 안보에 ‘싱크홀’이 생기며, 개인은 재산 피해와 함께 평생 위험에 노출될 수 있다. 이렇게 다양한 위협 요소 때문에 보안에서 기밀성은 매우 중요하다.
그런데 그런 기밀을 보호한답시고 꽁꽁 싸매고만 있으면 보안이 저절로 이뤄지는 것일까. 보안을 ‘숨기고 닫고 걸어 잠그는 것’으로만 인식하는 기업의 보안은 오히려 ‘적’의 침입에 더 취약하다.
보안이 돌아가는 일에 귀 닫고 입 막으면 보안도 지켜질 수 있다는 믿음은 물 새는 배에 청테이프 붙이고 ‘이제 안심’ 하는 꼴이다. 아무리 틀어막는다고 해도 위협과 공격은 더 정교해지고 교묘해지기 마련이다. 보안의 영역에서는 ‘나만 잘하면 돼’라는 자기암시가 통하지 않는다.
각자 도생의 보안은 어쩌면 모두를 위험하게 만드는 가장 무서운 ‘흉기’일 수도 있다. 보안의 기밀성에 기업들이 막대한 투자를 하지만 그것이 ‘혼자만의 보안’으로만 그칠 때는 밑빠진 독에 물만 자꾸 붓는 격이다.
[자료: gettyimagesbank]
위협 정보와 기술 트렌드, 그리고 해킹 사례는 개방되고 공유돼야 한다. 한 기업의 방어기법이 다른 기업과도 공유된다면 그 과정에서 기업들의 보안 생존 환경은 더욱 유리하게 변모하게 된다.
보안의 폐쇄성과 개방성이 암수의 한몸처럼 같이 공존해야 하는 이유가 바로 여기에 있다. 보안의 폐쇄성만 강조하면서 독자적인 보안 네트워크에 ‘자족’할 경우 그 기업의 보안은 다양한 공격에 취약해진다. 또한 자사의 해킹 이력이나 취약점을 네트워크를 통해 공유하지 않으면 그 회사 또한 다른 기업으로부터 최신의 보안 정보를 제공받지 못하게 되면서 ‘고립’될 수밖에 없다.
그럼에도 기업들은 보안의 ‘개방성’을 꺼리고 두려워한다. 기업이나 정부기관은 신뢰와 자존심, 그리고 비밀이라는 이유로 사이버공격을 당해도 자세한 피해 내역이나 해킹 사례 등을 공개하지 않는다. 쉬쉬하면서 조용히 넘어가기만을 바란다.
그렇게 숨기고 대충 넘어가다 보면 언젠가는 완전히 탈탈 털려 기업의 존망 자체가 위태로운 순간이 올 수 있다. 이런 점에서 보안은 기업이나 국가의 자신감이자 자존감이다. 실전적 보안은 ‘지식 생태계’ 속에서 성장하는 것이지 조직의 비밀금고 속에 꽁꽁 숨겨둔다고 해서 실현되지 않는다.
지난 3월 19일부터 21일까지 일산 킨텍스에서 2025 세계보안엑스포(SECON)가 성공리에 개최됐다. 보안이 사이버 중심이라고 해서 마치 실체가 없는 듯 보이거나 온라인에서만 이뤄질 것 같지만 실제로는 그렇지 않다.
보안의 개방성이 중요하다고 할 때 그것을 가장 구체적으로 실현시켜주는 ‘도구’가 바로 엑스포나 컨퍼런스같은 오프라인 행사다. 보안 엑스포는 단순히 기업들의 첨단기술과 제품을 뽐내는 자리만이 아니다.
실제 보안 현장에서 난무하는 각종 ‘전투 기록’들이 공유되고 전파되는 유일한 실체적 공간이 바로 보안 엑스포다. 컨퍼런스에서는 그 사건의 ‘현장 영웅’들이 직접 케이스 스터디를 들고 무대에 선다.
▲지난 3월 19일 일산 킨텍스 2025 세계보안엑스포 오프닝행사가 거행됐다. 윤오준 국정원 3차장이 인삿말을 하고 있다. [자료: 보안뉴스]
“이 툴은 실패했고, 저 툴은 유효했다”
“이건 아직 논문도 안 나온 건데, 우리 레드팀이 발견한 방식이 있어”
“중국 해커 그룹이 요즘 물리적 접근과 펌웨어 조작을 병행하더라”
이런 정보들은 ‘고지식한’ 논문이나 웰 메이드 보고서에서는 볼 수 없는 ‘날 것’의 정보들이다. 현장의 실무자들만이 공유하고 이해할 수 있는 보안의 정보들을 오프라인 행사에서 직접 얻을 수 있고, 실제로 행사기간 동안 무수한 첨단 보안 솔루션과 정보들이 교류하고 부딪친다.
특히 보안에서 가장 무서운 건 ‘모르는 위험’이다. CVE(Common Vulnerabilities & Exposures 공통 보안 취약성 및 노출) 등록이나 언론 보도보다 더 빠른 건 실제로 현장에서 그 위협을 처음 맞닥뜨린 사람의 경험담이다. 엑스포나 컨퍼런스 현장에서는 이런 ‘극초기 인사이트’가 ‘오프 더 레코드’를 달고 흘러 다닌다. 물론 검증이 안 된 1차 정보에 불과하지만 관계자들은 보안의 최신 트렌드나 위협 경향성을 체득할 수 있다.
또한 이 과정에서 우연한 순간에 ‘기술과 기술의 결합과 짝짓기’도 이뤄진다. 술자리와 커피 브레이크에서 이뤄지는 짧은 대화에서 기업의 보안 생존이 결정날 수도 있다. 마지막으로 엑스포나 컨퍼런스에서는 첨단기술 방어력에 대한 ‘칭찬’도 있지만 기업 보안의 취약점이나 약점 등도 간파당하고 날 선 공격을 받기도 한다.
이러는 사이 보안의 기술과 방어기제는 더욱 완결성을 가지게 된다. 칭찬보다 ‘지적질’에 대한 근육을 키워야 보안도 성장한다. 이제부터 무조건 꽁꽁 싸매고, 숨기고, 들키지 않으려고 하지 말자. 들켰거나 뚫렸을 때 그것을 인정하는 용기는 부끄러운 게 아니라 보안을 완성체로 이끄는 최후의 ‘패치’이다.
[성기노 기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.jpeg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
