"4차산업혁명과 이를 실현하게 된 여러 기술적 요인이 어떤 위협을 내포하고 있는지 고민하지 않으면, 기업에게 그걸 활용한 서비스와 비즈니스는 무용지물이 된다. 사물인터넷(IoT)은 여러 사물이 해킹될 수 있다는 의미고, 기업은 그런 우려를 불식해야 비즈니스를 영위할 수 있게 된다."
롯데카드 최고정보보호책임자(CISO) 최동근 상무는 12일 열린 지디넷코리아 시큐리티넥스트컨퍼런스 현장에서 'CISO 누가해야 하는가?'라는 주제의 케이스스터디 발표를 통해 이같이 말했다.
그는 모바일, 클라우드, 빅데이터, 사물인터넷(IoT), 인공지능, 첨단 제조, 소재, 생명공학, 3D프린팅 등 기술 요인으로 4차산업혁명이 벌어지고 있고 산업별 기술융합과 연결성으로 새로운 위협이 출현하고 있다고 지적했다.
이미 스마트홈, 스마트카, 스마트의료, 스마트에너지 등에서 다양한 보안위협 가능성이 해킹 시연을 통해 입증됐다고 지적했다. IoT 보안위협 양상은 디바이스 해킹, 네트워크 연동 취약점 및 트래픽 과다, 플랫폼 취약점 및 서비스상의 데이터 유출 등 프라이버시 침해까지 다양하게 나타난다.
빅데이터 측면에서도 동의 없는 개인정보 수집, 암호화 및 익명화 미처리 문제, 정보집적화 등 프라이버시 우려와 관련된 문제가 불거지고 있다. 정보주체의 개인정보 처리 중지와 삭제 권한 등으로 잊힐 권리를 보장하는 논의도 정보보호책임자의 고민을 깊게 만든다.
클라우드 컴퓨팅에는 아예 7대 보안위협이라는 목록이 제시됐다. 첫째는 클라우드컴퓨팅 오남용이다. 둘째는 안전하지 않은 API다. 셋째는 악의적 내부관계자 행동이다. 넷째는 공유 기술의 취약점이다. 다섯째는 데이터 유실 및 유출이다. 여섯째는 계정 탈취 및 트래픽 하이재킹이다. 일곱째는 공개되지 않은 위협 프로파일이다.
엔드포인트 영역에선 랜섬웨어 위협이 거세다. 최 CISO는 최근 워너크라이와 페트야 랜섬웨어 공격 사례를 염두에 두면 누구나 랜섬웨어 공격의 표적이 될 수 있다고 경고했다. 잠재적 피해자로 모든 중소기업과 대기업을 망라할 수 있다는 얘기다. 모바일 랜섬웨어 개발툴이 등장했고, 따라서 일반인 개인의 스마트폰조차 안전지대가 아니라고 그는 덧붙였다.
최근 산업분야별 도입 논의와 실험이 활발한 블록체인 인프라도 보안위협 대상으로 지목됐다. 정확히는 블록체인 기반의 암호화폐 서비스 이용자를 겨냥한 보안위협이다. 이더리움의 다중서명방식 지갑 보안을 뚫고 300억원어치 도난사건이 벌어졌고, 다른 사례에선 4조5천억원 규모 돈세탁에 비트코인을 동원한 범죄의 용의자가 체포되기도 했다.
최 상무는 "우리가 생각하는 법적, 재무적, 노무적, 윤리적 리스크와 재난 위협 등 외에도 보안위협이 기업에 심각한 것으로 드러났다"고 지적했다.
그에 따르면 한 인터넷업체의 수천만건 개인정보유출사고나 굴지 대기업 화학계열사의 원료대금 230억원 증발 사고 등은 보안을 위해 IT와 프로세스가 아닌 사람을 어떻게 교육시킬 것인지가 관건이었다. 이런 피해를 예방하기 위해 어떻게 내부 직원을 단속할 것인지도 CISO가 고민해야 할 대상 중 하나라는 설명이다.
최 상무는 관련 규제를 이행하기 위해 준수해야 할 법적 요건을 식별할 필요가 있음을 강조했다. 관련규제로 개인정보보호법, 정보통신망법, 전자금융거래법, 신용정보보호법, 전자금융 및 신용정보감독규정, 여신전문금융업법, 금융회사 정보처리 및 전산설비 위탁에 관한 규정, 금융기관의 업무위탁 등에 관한 규정을 열거했다. 이에 맞춰 개인정보나 보안시스템을 다루는 보안업체선정시 고려사항, 상시모니터링, 개인정보처리제한, 수집과 조사 및 처리 위탁, 재위탁 제한관련 사항, 외부 주문 등에 대한 감독 및 검사를 수행해야 한다는 얘기다.
그에 따르면 기업 담당자뿐아니라 사용자 스스로도 보안위험을 낮추기 위해 실천할 행동지침이 있다. 주소, 위치정보, 생일, 자녀, 부모이름, 휴가계획 등을 노출하지 말 것을 권장한다. 하지만 사용자들은 잘 그러지 않는다. 왜일까. 역시 구성원의 인식과 교육 문제다.
최 상무는 "지인 이메일 받으면 별 의심 없이 링크 클릭한다는 사람이 55%에 달하는데 이런 걸 (보안상 위험하다고) 제대로 교육시키지 않으면 아무리 보안을 시스템적으로 고민하고 솔루션을 도입하더라도 랜섬웨어, 보이스피싱 등을 막을 방법이 없다"고 말했다.
이어 "이미 문제가 생겼다 해도 손을 놓으면 계속 사람이 바뀌는 조직 안에서 새로운 사람이 문제를 일으킬 수 있기 때문에, 지속적으로 교육하고 보안인식을 높여야 한다"며 "그게 CISO와 보안팀의 역할"이라고 강조했다.
이밖에 일반적인 사용자들의 인식은 개인정보 공유 등에 무방비한 실정이다. SNS 사용자 중 도드라지는 현상으로 개인정보뿐아니라 회사 주요정보까지 거리낌없이 친구들에게 공개하는 경우가 있다는 지적이다.
CISO로서 그의 주된 고민은 컴플라이언스, 내부통제, 수탁사 관리 및 통제, 모니터링 및 이상징후 파악, IoT와 클라우드와 빅데이터와 모바일과 핀테크와 AI와 블록체인 등 신기술 대상 보안, 애플리케이션 개발 및 운영, 개인정보보호, 사용자 인식 및 교육, 망분리, 랜섬웨어와 디도스, 보안사고 등 키워드로 표현됐다.
관련기사
- HPE "기업 자산 보호, 건강관리같은 보안체계로 접근하라"2017.09.12
- 4차 산업혁명시대…"정부가 사이버보안 보건소 될 것"2017.09.12
- 보안책임자가 짠돌이 CEO를 설득하는 방법2017.09.12
- "클라우드가 대세…보안 고민 깊이가 관건"2017.09.12
최 상무는 "CISO 스킬업을 위해서는 보안문화 확립, IT와 IoT 기반 지식, 거버넌스·리스크·컴플라이언스(GRC)에 대한 고민, 인문학적 커뮤니케이션 스킬, 필요시 정부부처, 사이버수사대로부터 사고 정보 얻고 대응방안 알고, 전문가 초빙해 보안교육을 할 수도 있는 네트워킹도 필요하다"며 "현업 내부직원을 고객으로 인식하고 그들이 어떻게 활동하는지에 대해 고민해야 한다"고 덧붙였다.
이어 "결국 CISO의 고민거리는 엄청나게 많고 시스템 구축과 솔루션 도입의 비중은 아주 미미하다"며 "보안정책은 기존 IT 중심에서 데이터 중심으로, 보안 플랫폼은 연관된 모든 비즈니스와 산업계가 공유해서 만들어야 하고, 외부 유지보수 등 협력관계 담당자와도 지속적으로 정보를 주고받고, 이벤트 로그를 빅데이터 분석으로 리포팅만 하지 말고 후속 조치를 통해 신속하고 유연하게 대응해야 한다"고 말했다.
