본문 바로가기

안랩人side/김홍선 前 CEO

고수에게 듣는, 알고 보면 별것 아닌 최신 IT 트렌드

얼마 전 안철수연구소 김홍선 대표는 한국인터넷진흥원이 주최하고 방송통신위원회가 후원하는 '제 15회 정보보호 심포지엄'에 참석해 기조연설을 했다. 심포지엄은 ‘미래를 향한 도약 무선인터넷과 융합보안’을 주제로 진행됐으며, 김 대표는 '미래를 향한 도약 - 무선 인터넷과 융합 보안'을 발표했다. 최신 IT 트렌드를 관통하는 주요 키워드인 스마트폰, 클라우드, 소셜 네트워크의 의미를 짚어보고, 이 시점의 정보보안 범위와 역할을 설명했다. 다음은 강의 뒷 부분의 요약.
* 강의 앞 부분 요약 바로 가기 => 스마트폰, IT 비즈니스 권력까지 바꾼다

스마트폰 보안은 무엇인가? 원론적으로 PC에서 일어나는 보안 이슈가 다 스마트폰에서 발생할 수 있다. 그런데 가만히 생각해보면 PC 보안 사업 초기에 위협이 있을 것은 인지했지만 시장이 커질 것이라고는 아무도 생각하지 못했다. 그런데 2005년을 기점으로 해킹의 조직화에 따라 보안 시장이 급격히 커졌다.

스마트폰 보안, 무엇을 상상하든 지금은 무의미 

마찬가지로 스마트폰이 얼마나 보급될지, 어떤 애플리케이션을 사용할지, 또 어떤 소프트웨어 플랫폼이 표준이 될지, 어떤 소셜 네트워크가 기반이 될지 예단하기 어려운 단계에서 모든 상상은 사실 의미가 없다. 스마트폰 보안을 인지하는 것은 맞지만 현재 보안이 핫이슈인 현상은 바람직하지 않다.

먼저
SW 플랫폼을 잘 설계하는 것이 보안의 첫 걸음이다. 우리나라의 보안 문제가 심각한 이유 중 하는 소프트웨어를 다 만들고 나서, 시스템을 다 구축하고 나서 그 후에 보안을 하기 때문이다. 잘못 만들어진 소프트웨어는 사용자와 개발사 모두를 힘들게 한다.  

한편
, 우리는 스마트폰과 보안 이야기를 할 때 위협과 실제로 발생할 수 있는 위험(리스크)’을 혼동한다. 언론이나 어떤 발표를 보면 해킹을 시연해 위험성을 경고한다. 사실 해킹이나 암호를 깨는 것은 얼마든지 가능하다. 문제는 그 정도의 돈과 노력을 들여서 그렇게 할 이유가 있는가이다. 정보는 중요도에 따라 공유되어도 되는 것과 외부로 유출되면 안 되는 것, 그리고 최고 기밀 정보 등으로 나눌 수 있다. 이런 차이를 고려하지 않고 무조건 일괄적으로 보안을 하면 더욱 심각한 문제를 일으킬 수 있다.

해킹이 가능하다는 사실 자체보다는 기업 및 고객의 정보가 유출되거나 DDoS 공격을 받을 수 있다는 리스크 측면에서 접근해야 한다. 그런 맥락에서 스마트폰 보안 이슈도 차분하게 볼 필요가 있다. 가령 스마트폰 악성코드는 스마트폰뿐 아니라 SD 카드나 PC 감염 등의 종합적 관점으로 봐야 한다.

클라우드 컴퓨팅의 세 가지 관점


스마트폰 다음으로 주목받는 키워드가 클라우드이다
. 클라우드와 보안의 관계는 세 관점으로 볼 수 있다. 첫째가 클라우드 컴퓨팅 기술을 접목한 보안 솔루션이다. 한 달에 100만 개 이상씩 발견되는 악성코드를 모두 사용자 PC에서 처리하면 부하가 크기 때문에 서버에서 제어하는 것이 훨씬 효율적이다. 또한 그 속에 많은 알로리즘을 적용해 더 정교하고 정밀한 대응을 할 수 있다. 이를 위해 클라우드 시스템을 구축해 각 PC와 스마트폰, DDoS 차단 장비 등 다양한 기기에 활용할 수 있다.

둘째는 클라우드 컴퓨팅 자체의 안전을 뒷받침하기 위한 보안으로서 자동화한 위험 탐지 및 대응 체제와 보안 관제 서비스가 해당한다

셋째가 클라우드 컴퓨팅을 구축할 때 필요한 보안 기술이다
. 기존 컨셉, 기존 제품으로만 보지 않고 다시 분해하고 재조합해 각 트랜젝션이나 단계 별로 어떻게 처리할지 세밀하게 볼 필요가 있다. 아울러 전방위 대응 능력, 보안 표준 업데이트, 관련 기관과 긴밀한 협력이 필요하다.

컨버전스 시대에는 보안도 입체적으로 접근해야

 

IT 인프라의 변화를 한 마디로 표현하면 컨버전스라고 할 수 있다. IP 프로토콜을 기반으로 음성, 오디오, 비디오 및 데이터 등의 멀티미디어를 복합적, 통합적으로 제공하는 시대가 되었다. 이러한 컨버전스 시대에는 보안도 입체적으로 접근해야 한다. 지금은 하드웨어, 그 다음 소프트웨어를 배워서 하는 시스템이 아니라 사용자 스스로 쓸 것을 찾고 그 다음 스마트폰을 정하고 통신사를 정하는 시스템이기 때문에 애플리케이션과 콘텐츠 관점에서 볼 필요가 있다.

그리고 글로벌 트렌드를 이끄는 애플과 구글의 트렌드를 놓쳐서는 안 된다
. 이들이 만든 수퍼 플랫폼 아래에 수많은 애플리케이션 플랫폼이 만들어질 수 있다. 이렇게 콘텐츠와 단말기가 교류하도록 안전한 플랫폼을 만드는 것이 보안의 역할이다. , 소프트웨어 생태계 전체를 폭넓게 보는 것이 중요하다또한 UX(user experience), 속도 등의 사용편의성과 실질적 보안 성능을 보아야 한다.

아울러 획일적이지 않은 보안 정책이 필요하다. 많은 기관이나 기업에서 스마트폰을 도입할까 말까 망설이는데 이는 5년 전부터 미국의 CIO들이 고민하던 것이다. 사실 조직 구성원들이 업무에 활용하기 위해 웹 메일이나 스마트폰 쓰는 것을 막을 수는 없다. 중요 기밀을 다루는 구성원과 일반 구성원을 세분해 전자에게는 오바마 대통령이 특별 제작된 블랙베리를 쓰듯이 별도 조처를 하는 등 유연함이 필요하다. 그리고 단순히 하드웨어 사고 소프트웨어 사는 것이 아니라 입체적으로 자신의 업무를 중심으로 설계하는 관점이 필요하다 

소프트웨어 플랫폼 먼저, 그 다음에 디바이스


현재의 플랫폼은 클라우드
, , 소셜 네트워크, 애플리케이션으로 구성된다. 이런 플랫폼이 각종 디바이스와 맞물려 돌아간다. 예를 들어 교육 측면을 보면 이미 많은 교육 자료가 디지털로 저장됐고 BBC나 디스커버리 채널의 많은 자료도 멀티미디어로 제작되어 있다. 디바이스만 나오면 학생들이 학교에서는 아이패드나 태블릿 PC, 밖에서는 스마트폰으로 보고 집에서는 PC로 공부하고, 가족과 함께 TV로 보게 된다. 나는 아마존 킨들을 갖고 있는데 킨들에 있는 것을 아이폰, 아이패드, PC에서도 본다. 이것이 바로 소프트웨어 플랫폼이 중요한 이유이다. 어느 디바이스에 어떻게 적용되느냐는 그 다음에 고민할 사안이다.

그런데 이 과정에서 놓치지 말아야 할 것이, 얼마나 측정할 수 있고 추정 가능하고 투명하고 안전한 플랫폼을 만드냐이다. 가령 모바일 오피스를 만든다면 허용할 수 있는, 허용해야 하는 디바이스를 정하고 로드맵을 만들어야 한다. 이메일, 소셜 네트워크 등을 오픈할 것과 하지 않을 것을 구분하고, 어떻게 얼마나 안전하고 추적 가능하게 할 것인가를 시스템화해야 한다. 이때, IT 부서가 정책을 만들어 공지하고 보안 소프트웨어를 설치해서 교육하는 수직적인 방식이 아니라 전체 업무를 수평적인 플랫폼으로 보는 것이 필요하다 

보안은 다양한 서비스, 앱, 콘텐츠, 다비이스에 스며드는 것


보안 기술이 다른 소프트웨어나
IT 기술과 구분되는 가장 중요한 요소는 지능성이라고 생각한다. 예를 들어 라우터는 테이블에 저장된 것을 다른 곳에 보내기만 하면 역할이 끝난다. 그러나 방화벽이나 IPS, DDoS 방어 장비 등의 보안 제품은 수많은 패킷을 다 분석해야 한다. 다른 소프트웨어는 로직을 따라가면 되는데, 보안은 각 콘텐츠의 가치를 따져야 한다. 따라서 IT에서 일어날 수 있는 모든 문제를 가장 잘 해결할 수 있는 것은 보안 소프트웨어이다.

 

더욱이 보안 기술은 얼마든지 외연을 확장해 다양한 서비스나 하드웨어와 접합될 수 있다. 보안 제품이 따로 있는 것이 아니라 보안에 관한 많은 아이디어와 컨셉이 다양한 서비스와 애플리케이션, 콘텐츠와 디바이스에 스며들어가는 것이다. 그것이 진정한 보안이고 사용자를 편하게 하는 시스템이라고 생각한다.

 

지금 일어나는 변화는 정말 예상을 초월하는 굉장히 큰 변화이다. 엔지니어만이 아니라 사회 전체가 바뀌는 것이다. 그래서 보안은 외부의 위협을 막는다는 관점에서 좀더 적극적으로 나가야 한다. 플랫폼에 스며들어서 투명하고 측정 가능하고 신뢰할 수 있는 플랫폼을 만드는 데 기여하는 것이 모바일 인터넷과 컨버전스(융합)의 시대에 우리가 고려할 요점이다Ahn

사진. 황미경 / 안철수연구소 커뮤니케이션팀 차장
정리. 여동호 / 안철수연구소 커뮤니케이션팀