유럽연합에서도 아직 끝내지 못한 고민, 프로파일링의 관리
금융권 CISO를 통해 먼저 듣는 미래 보안 이슈 몇 가지
[보안뉴스 문가용 기자] 주말동안 대규모 랜섬웨어 사태를 겪어서 그런지 16일 오전 7시 30분에 열린 한국CISO협의회 조찬 모임은 약간 상기된 분위기였다. 서너 명이 모인 곳에서도 워너크라이 이야기가 나왔고, 행사 시작 후의 인사말과 강연 속에서도 워너크라이가 등장했다. 먼저 인사말을 전한 임종인 한국CISO협회 회장은 “예상했던 것보다 큰 사고로 이어지지 않았다”며 “한국의 방어력도 꽤나 높은 수준에 오른 것 같다”며 그 자리에 모인 보안 리더들을 격려했다.
.jpg)
[이미지=아이클릭아트]
다가오는 GDPR, 그리고 프로파일링
하지만 잘 막았다고 자축할 수만은 없다. ‘다음에 올 것’에 대한 대비책이 마련되어야 하기 때문이다. 지금 보안 업계로 다가오는 것은 무엇이 있을까? 네이버의 이진규 CISO는 “유럽연합의 새로운 개인정보보호 규정인 GDPR”을 꼽았다. 특히 GDPR에 나와 있는 ‘프로파일링’에 대한 개념을 이해하고 있는 것이 중요하다고 설명했다.
“범죄 수사에서 프로파일링 기법이 자주 언급되는데, 이는 여러 가지 사실들을 통해 범인이나 피해자의 특성을 파악하는 기술을 말합니다. 마찬가지로 사이버 보안에서 말하는 프로파일링 역시 한 사용자나 단체, 조직의 온라인 활동을 분석해 당사자의 특성을 파악하는 것을 말합니다. GDPR에서는 이것보다 좀 더 구체적으로 프로파일링을 정의합니다. 한 자연인의 특성을 평가하기 위해 자동화 기술을 동원함으로써 정보를 수집, 분석, 평가하는 걸 말합니다.”
즉, 정보를 수집하고 분류/분석을 자동으로 처리해도 사람이 개입해 ‘이 사람은 이러저러한 사람이구나’하고 평가한다면, 이건 프로파일링으로 셈하지 않는다는 것이다. 반대로 분석과 평가를 인공지능과 같은 최신 기술에 맡겨도, 정보를 사람이 수집해 피드한다면 이 역시 GDPR이 말하는 프로파일링에 속하지 않는다.
프로파일링 기술은 각종 온라인 사업자가 사업을 운영하기 위해 사용한다. 개인정보를 보호하기 위해 GDPR을 준비한 유럽연합도 이런 점을 간과하고 있지 않고 있다. 다만 개인의 정보를 모아 평가하는 것이기 때문에 잠재적인 위험도 무시할 수 없다. “특히 세계2차대전을 통해 민족 말살을 해본 경험이 있는 유럽인들이라, 이 점을 크게 경계하고 있습니다. 그래서 특정 인종이나 단체에게 피해를 주기 위해 활용되는 프로파일링 기술은 막으려고 하고 있죠.”
GDPR이 그리는 시나리오대로 잠재적 위험 요소가 제거된 프로파일링 기법은 다음 네 가지 부분에서 활용될 것으로 기대 받고 있다.
* 행동 기반 광고 산업 : 이용자 온라인 행태 분석에 따른 맞춤형 광고 제공
* 보험 위험 분석 : 보험 사기 분석 및 보장 제공 여부
* 신용도 분석 : 기업/개인 평가 및 자산 투자 계획 설계
* 채용 관리 : 이력서 없는 인재 분석 및 채용
반대로 GDPR이 철저히 경계하고 있는 프로파일링의 위험은 다음과 같다.
* 부정확하거나 유효하지 않은 정보의 사용으로 인한 프로파일링 결과
* 특정 사람이나 단체에 대한 낙인찍기를 목적으로 한 프로파일링
* 맞춤형 광고 제공과 정확히 반대되는, 특정 정보 미제공으로 인한 차별
* 프로파일링을 위한 과도한 정보 수집과 프로파일링 외에 사용
▲ 네이버의 이진규 CISO[사진=보안뉴스]
그러나 나쁜 건 다 제거하고 좋은 것만 쏙 빼서 사용한다는 건 말이 쉽지 실제로는 간단하지 않은 일이다. 그래서 유럽연합은 GDPR을 통해 사용자가 프로파일링 알고리즘을 열람하고 거부할 수 있도록 해놓았다. 하지만 동시에 프로파일링 거부가 절대적 권리가 아님을 명시하고, 특정한 경우에는 사용자 동의 없이도 프로파일링이 가능하도록 해놓았다. 온라인 활동을 할 때 프로파일링 되고 있음을 일반 사용자가 알고 동의하거나 거부할 수 있는 장치를 마련하면서 온라인 산업 육성을 위해 업체들 입장에서도 꼭 필요한 경우 자유롭게 프로파일링을 할 수 있도록 한 것이다.
하지만 이는 ‘눈 가리고 아웅’에 불과한 정책이 될 가능성이 커 보인다. 프로파일링이 ‘자동화 기술’을 반드시 동반해야 한다는 점 때문이다. 먼저 인공지능에 준하는 자동화 정보 수집, 분석, 평가의 알고리즘을 일반인들에게 공개한들 얼마나 그 내용을 이해할 수 있겠는가, 하는 문제가 예상된다. 이진규 CISO는 “심지어 알고리즘을 직접 개발한 사람들도 온전히 설명할 수가 없다”고 말한다. “인공지능 알고리즘이 어떤 정보를 어떤 논리로 평가하는지는 만든 사람도 예측할 수 없거든요. 그건 아무도 모르는 영역입니다. 그걸 어떻게 설명하고 이해해야 하는지부터 고민해야 할 겁니다.”
무서운 벌금을 동반한 GDPR 도입을 전 세계에 예고한 유럽연합의 은밀한 고민은 업계에 어떤 의미를 가지고 있을까? 이진규 CISO는 “일단 프로파일링이 우리가 일반적으로 사용하는 웹 사이트에서 대부분 사용되고 있다는 걸 아는 게 중요하다”고 말한다. “고스터리(Ghostery)라는 브라우저 플러그인을 사용해보면, 우리가 방문한 웹사이트를 통해 어떤 업체나 서비스가 우리를 추적하고 있는지 파악할 수 있습니다. 즉, 모니터에 보이는 그 사이트만 우리를 알고 있는 게 아니라는 것이죠.”
또한, 개인정보를 보호하면서 동시에 온라인 생태계를 육성할 수 있는 ‘프로파일링 기법에 대한 관리’가 우리나라에서도 반드시 이슈가 될 것이라고 이진규 CISO는 예측하고 있다. “프로파일링이라는 건 새로운 개념이고, 분명히 한국에도 도입이 될 것으로 봅니다. 미리 알아두고 이에 대한 대처를 고민해두어야 졸속으로 해결하지 않을 수 있겠지요. GDPR이 미리 선례를 만들었으니 프로파일링 문제가 어떤 식으로 전개될지 지켜보는 것도 중요하겠고요.”
금융 산업에도 다가오는 보안 이슈가 있다
이어 KB국민은행의 안영엽 CISO도 “금융권에서의 정보보안 사정을 살짝 공개하겠다”고 강연을 이어갔다. 그러면서 “금융권에도 GDPR과 같은 사례가 생겼는데, 바로 뉴욕시에서 올해 3월 1일부터 시행한 NYCRR 500이라는 규정과 중국에서 올해 6월 1일부터 시행할 네트워크 안전법”이라고 말했다. 특히, 뉴욕에서 시행된 NYCRR 500은 세계 여러 곳의 금융기관들이 관심을 가지고 지켜보고 있으며, 우리나라 금융권에서도 비슷한 정책이 생기지 않을까 한다고 예상하기도 했다.
다음에 안영엽 CISO가 꼽은 ‘다가오는 걱정거리’는 사물인터넷이다. “사이버 공격은 갈수록 정교해지고 있고, 기술적으로도 빠른 발전을 이어가고 있습니다. 그런 공격들에 대한 대책이 마련되기도 전에 우린 초연결 사회로 접어들게 되었죠. 초연결 사회의 선봉장이 바로 사물인터넷인데, 제조사들은 보안 개념 없이 물건들을 만들어내고 있어서 이만저만 걱정되는 게 아닙니다. 사물인터넷을 통한 역대급 디도스 공격은 이미 작년에 발생했죠. 은행이 유례없는 디도스 공격을 받아 3시간 이상 접속 지연되면 사업적으로 큰 타격을 입습니다.”
▲ KB국민은행의 안영엽 CISO[사진=보안뉴스]
초연결 사회의 또 다른 핵심 요소이자 이미 우리 생활 전반으로 침투해 들어오고 있는 ‘애플리케이션’도 안 CISO의 우려 사항이다. “행원들이나 고객들을 위한 앱이 필요한 시대입니다. 하지만 공식 앱 스토어를 통해 앱을 배포하면 업데이트가 굉장히 힘듭니다. 새로운 보안 위협이 등장해 그에 따른 조치를 취한다고 해도, 고객들이 다시 스토어에 들어가 앱을 새로 깔거나 업데이트하지 않는다는 것이죠. 내부 업무용 앱은 공식 앱 스토어에 올려둘 수도 없고요. 앱을 배제할 수도 없고, 유지하자니 분명 보안 구멍이 될 공산이 크고... 진퇴양난의 상태입니다.”
다행히 KB국민은행 내부에서 블록체인을 활용한 앱 생태계를 개발해 고객들이 재설치나 업데이트 없이도 최신 보안모듈의 혜택을 받을 수 있도록 했다. 해외에서는 아페리안(Apperian)이라는 업체가 이러한 수요를 파악해 일찌감치 MAM(모바일 애플리케이션 관리) 플랫폼을 세상에 내놓은 바 있다. 서드파티 앱 스토어의 일종으로, 안영엽 CISO가 우려하고 있는 앱의 배포와 업데이트 문제를 해결코자 등장한 것이다. 현재 5개 국어로 서비스가 제공되고 있으며, 한국어 번역 작업도 보안 전문업체인 엔시큐어와의 파트너십을 통해 이루어지고 있다.
[사진=보안뉴스]
그가 마지막으로 꼽은 건 바이오인식 기술이었다. 특정 모바일 폰들을 통해 지문이나 홍채 등을 활용한 보안 기술이 대중화되고는 있지만 아직 표준화된 제도가 마련되어 있지 않은 것이 해결 과제다. “은행에 따라 수집하는 정보가 다르다보니 비용도 비효율적으로 발생하고, 여기 저기 소중한 생체정보가 저장되어 있기 때문에 위험하기도 합니다. 고객 입장에서 불편한 것은 이루 말할 것도 없고요. 금융권의 공동 생체정보 활용 모델이 필요할 것으로 보이고, 이는 다른 산업에서도 비슷하게 전파되지 않을까 합니다. 즉, 그런 공동 모델을 통해 생체 정보 관리 업체는 보안에만 신경 쓰고, 은행은 생체 정보를 활용한 서비스에 집중하는 분업이 자리잡을 것으로 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
금융권 CISO를 통해 먼저 듣는 미래 보안 이슈 몇 가지
[보안뉴스 문가용 기자] 주말동안 대규모 랜섬웨어 사태를 겪어서 그런지 16일 오전 7시 30분에 열린 한국CISO협의회 조찬 모임은 약간 상기된 분위기였다. 서너 명이 모인 곳에서도 워너크라이 이야기가 나왔고, 행사 시작 후의 인사말과 강연 속에서도 워너크라이가 등장했다. 먼저 인사말을 전한 임종인 한국CISO협회 회장은 “예상했던 것보다 큰 사고로 이어지지 않았다”며 “한국의 방어력도 꽤나 높은 수준에 오른 것 같다”며 그 자리에 모인 보안 리더들을 격려했다.
[이미지=아이클릭아트]
다가오는 GDPR, 그리고 프로파일링
하지만 잘 막았다고 자축할 수만은 없다. ‘다음에 올 것’에 대한 대비책이 마련되어야 하기 때문이다. 지금 보안 업계로 다가오는 것은 무엇이 있을까? 네이버의 이진규 CISO는 “유럽연합의 새로운 개인정보보호 규정인 GDPR”을 꼽았다. 특히 GDPR에 나와 있는 ‘프로파일링’에 대한 개념을 이해하고 있는 것이 중요하다고 설명했다.
“범죄 수사에서 프로파일링 기법이 자주 언급되는데, 이는 여러 가지 사실들을 통해 범인이나 피해자의 특성을 파악하는 기술을 말합니다. 마찬가지로 사이버 보안에서 말하는 프로파일링 역시 한 사용자나 단체, 조직의 온라인 활동을 분석해 당사자의 특성을 파악하는 것을 말합니다. GDPR에서는 이것보다 좀 더 구체적으로 프로파일링을 정의합니다. 한 자연인의 특성을 평가하기 위해 자동화 기술을 동원함으로써 정보를 수집, 분석, 평가하는 걸 말합니다.”
즉, 정보를 수집하고 분류/분석을 자동으로 처리해도 사람이 개입해 ‘이 사람은 이러저러한 사람이구나’하고 평가한다면, 이건 프로파일링으로 셈하지 않는다는 것이다. 반대로 분석과 평가를 인공지능과 같은 최신 기술에 맡겨도, 정보를 사람이 수집해 피드한다면 이 역시 GDPR이 말하는 프로파일링에 속하지 않는다.
프로파일링 기술은 각종 온라인 사업자가 사업을 운영하기 위해 사용한다. 개인정보를 보호하기 위해 GDPR을 준비한 유럽연합도 이런 점을 간과하고 있지 않고 있다. 다만 개인의 정보를 모아 평가하는 것이기 때문에 잠재적인 위험도 무시할 수 없다. “특히 세계2차대전을 통해 민족 말살을 해본 경험이 있는 유럽인들이라, 이 점을 크게 경계하고 있습니다. 그래서 특정 인종이나 단체에게 피해를 주기 위해 활용되는 프로파일링 기술은 막으려고 하고 있죠.”
GDPR이 그리는 시나리오대로 잠재적 위험 요소가 제거된 프로파일링 기법은 다음 네 가지 부분에서 활용될 것으로 기대 받고 있다.
* 행동 기반 광고 산업 : 이용자 온라인 행태 분석에 따른 맞춤형 광고 제공
* 보험 위험 분석 : 보험 사기 분석 및 보장 제공 여부
* 신용도 분석 : 기업/개인 평가 및 자산 투자 계획 설계
* 채용 관리 : 이력서 없는 인재 분석 및 채용
반대로 GDPR이 철저히 경계하고 있는 프로파일링의 위험은 다음과 같다.
* 부정확하거나 유효하지 않은 정보의 사용으로 인한 프로파일링 결과
* 특정 사람이나 단체에 대한 낙인찍기를 목적으로 한 프로파일링
* 맞춤형 광고 제공과 정확히 반대되는, 특정 정보 미제공으로 인한 차별
* 프로파일링을 위한 과도한 정보 수집과 프로파일링 외에 사용
▲ 네이버의 이진규 CISO[사진=보안뉴스]
그러나 나쁜 건 다 제거하고 좋은 것만 쏙 빼서 사용한다는 건 말이 쉽지 실제로는 간단하지 않은 일이다. 그래서 유럽연합은 GDPR을 통해 사용자가 프로파일링 알고리즘을 열람하고 거부할 수 있도록 해놓았다. 하지만 동시에 프로파일링 거부가 절대적 권리가 아님을 명시하고, 특정한 경우에는 사용자 동의 없이도 프로파일링이 가능하도록 해놓았다. 온라인 활동을 할 때 프로파일링 되고 있음을 일반 사용자가 알고 동의하거나 거부할 수 있는 장치를 마련하면서 온라인 산업 육성을 위해 업체들 입장에서도 꼭 필요한 경우 자유롭게 프로파일링을 할 수 있도록 한 것이다.
하지만 이는 ‘눈 가리고 아웅’에 불과한 정책이 될 가능성이 커 보인다. 프로파일링이 ‘자동화 기술’을 반드시 동반해야 한다는 점 때문이다. 먼저 인공지능에 준하는 자동화 정보 수집, 분석, 평가의 알고리즘을 일반인들에게 공개한들 얼마나 그 내용을 이해할 수 있겠는가, 하는 문제가 예상된다. 이진규 CISO는 “심지어 알고리즘을 직접 개발한 사람들도 온전히 설명할 수가 없다”고 말한다. “인공지능 알고리즘이 어떤 정보를 어떤 논리로 평가하는지는 만든 사람도 예측할 수 없거든요. 그건 아무도 모르는 영역입니다. 그걸 어떻게 설명하고 이해해야 하는지부터 고민해야 할 겁니다.”
무서운 벌금을 동반한 GDPR 도입을 전 세계에 예고한 유럽연합의 은밀한 고민은 업계에 어떤 의미를 가지고 있을까? 이진규 CISO는 “일단 프로파일링이 우리가 일반적으로 사용하는 웹 사이트에서 대부분 사용되고 있다는 걸 아는 게 중요하다”고 말한다. “고스터리(Ghostery)라는 브라우저 플러그인을 사용해보면, 우리가 방문한 웹사이트를 통해 어떤 업체나 서비스가 우리를 추적하고 있는지 파악할 수 있습니다. 즉, 모니터에 보이는 그 사이트만 우리를 알고 있는 게 아니라는 것이죠.”
또한, 개인정보를 보호하면서 동시에 온라인 생태계를 육성할 수 있는 ‘프로파일링 기법에 대한 관리’가 우리나라에서도 반드시 이슈가 될 것이라고 이진규 CISO는 예측하고 있다. “프로파일링이라는 건 새로운 개념이고, 분명히 한국에도 도입이 될 것으로 봅니다. 미리 알아두고 이에 대한 대처를 고민해두어야 졸속으로 해결하지 않을 수 있겠지요. GDPR이 미리 선례를 만들었으니 프로파일링 문제가 어떤 식으로 전개될지 지켜보는 것도 중요하겠고요.”
금융 산업에도 다가오는 보안 이슈가 있다
이어 KB국민은행의 안영엽 CISO도 “금융권에서의 정보보안 사정을 살짝 공개하겠다”고 강연을 이어갔다. 그러면서 “금융권에도 GDPR과 같은 사례가 생겼는데, 바로 뉴욕시에서 올해 3월 1일부터 시행한 NYCRR 500이라는 규정과 중국에서 올해 6월 1일부터 시행할 네트워크 안전법”이라고 말했다. 특히, 뉴욕에서 시행된 NYCRR 500은 세계 여러 곳의 금융기관들이 관심을 가지고 지켜보고 있으며, 우리나라 금융권에서도 비슷한 정책이 생기지 않을까 한다고 예상하기도 했다.
다음에 안영엽 CISO가 꼽은 ‘다가오는 걱정거리’는 사물인터넷이다. “사이버 공격은 갈수록 정교해지고 있고, 기술적으로도 빠른 발전을 이어가고 있습니다. 그런 공격들에 대한 대책이 마련되기도 전에 우린 초연결 사회로 접어들게 되었죠. 초연결 사회의 선봉장이 바로 사물인터넷인데, 제조사들은 보안 개념 없이 물건들을 만들어내고 있어서 이만저만 걱정되는 게 아닙니다. 사물인터넷을 통한 역대급 디도스 공격은 이미 작년에 발생했죠. 은행이 유례없는 디도스 공격을 받아 3시간 이상 접속 지연되면 사업적으로 큰 타격을 입습니다.”
▲ KB국민은행의 안영엽 CISO[사진=보안뉴스]
초연결 사회의 또 다른 핵심 요소이자 이미 우리 생활 전반으로 침투해 들어오고 있는 ‘애플리케이션’도 안 CISO의 우려 사항이다. “행원들이나 고객들을 위한 앱이 필요한 시대입니다. 하지만 공식 앱 스토어를 통해 앱을 배포하면 업데이트가 굉장히 힘듭니다. 새로운 보안 위협이 등장해 그에 따른 조치를 취한다고 해도, 고객들이 다시 스토어에 들어가 앱을 새로 깔거나 업데이트하지 않는다는 것이죠. 내부 업무용 앱은 공식 앱 스토어에 올려둘 수도 없고요. 앱을 배제할 수도 없고, 유지하자니 분명 보안 구멍이 될 공산이 크고... 진퇴양난의 상태입니다.”
다행히 KB국민은행 내부에서 블록체인을 활용한 앱 생태계를 개발해 고객들이 재설치나 업데이트 없이도 최신 보안모듈의 혜택을 받을 수 있도록 했다. 해외에서는 아페리안(Apperian)이라는 업체가 이러한 수요를 파악해 일찌감치 MAM(모바일 애플리케이션 관리) 플랫폼을 세상에 내놓은 바 있다. 서드파티 앱 스토어의 일종으로, 안영엽 CISO가 우려하고 있는 앱의 배포와 업데이트 문제를 해결코자 등장한 것이다. 현재 5개 국어로 서비스가 제공되고 있으며, 한국어 번역 작업도 보안 전문업체인 엔시큐어와의 파트너십을 통해 이루어지고 있다.
[사진=보안뉴스]
그가 마지막으로 꼽은 건 바이오인식 기술이었다. 특정 모바일 폰들을 통해 지문이나 홍채 등을 활용한 보안 기술이 대중화되고는 있지만 아직 표준화된 제도가 마련되어 있지 않은 것이 해결 과제다. “은행에 따라 수집하는 정보가 다르다보니 비용도 비효율적으로 발생하고, 여기 저기 소중한 생체정보가 저장되어 있기 때문에 위험하기도 합니다. 고객 입장에서 불편한 것은 이루 말할 것도 없고요. 금융권의 공동 생체정보 활용 모델이 필요할 것으로 보이고, 이는 다른 산업에서도 비슷하게 전파되지 않을까 합니다. 즉, 그런 공동 모델을 통해 생체 정보 관리 업체는 보안에만 신경 쓰고, 은행은 생체 정보를 활용한 서비스에 집중하는 분업이 자리잡을 것으로 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
