차 산업혁명 시대에서의 보안가치와 전략
2018년에 들어서면서 정부, 민간 구분없이 4차 산업혁명에 대해 본격적인 논의가 한창이다. 4차 산업혁명에 대한 의미에 대해 다양한 해석이 있으나 IoT, AI와 같은 혁신적 기술을 통해 새로운 가치를 창출하며 사이버 세계와 물리적 세계가 연결된 초 연결사회, 지능정보사회, 디지털 경제로 발전하고 있다는 점에 대해 공통적으로 이해하고 있다. 기술의 발전은 인간화로의 진화로 볼 수 있으며, 비로서 4차 산업혁명을 통해서 인간화의 완성체로 가고 있다고 할 수 있다. 즉 1차 산업이 증기 기반의 기계 개발을 통해 인간의 손과 발을 대체한 시기라면, 2차 산업혁명은 전기에너지 기반의 대량생산체제를 구축함으로써 근육개발을 하였고, 3차 산업혁명은 인터넷 기반의 정보화 기술로 인해 인간두뇌와 심장을 개발한 시기라고 비유할 수 있다. 4차 산업혁명은 클라우드와 AI는 두뇌, 차세대배터리는 심장, 무인주행차는 다리, 사물인터넷은 신경망, 3D 프린팅은 장기, VR은 얼굴 등 인간화의 완성체를 위해 진화하고 있다.
이와 같이 급속히 도래하고 있는 4차 산업혁명시대에 보안이 설 자리는 어디일까? 새로운 디지털 비즈니스 환경에서 보안의 가치와 가치 전달을 위한 전략은 무엇일까? 전통적으로 보안가치는 ‘자산보호’를 제공하는 데 있었다. 외부의 사이버 공격 또는 내부 직원의 비밀정보 유출, 임직원의 실수 등 제반 요인으로부터 주요 정보자산을 지키려는 노력을 다함으로써 조직과 사회에 공헌할 수 있었다. 그러나 미래 산업융합환경에서는 보안이 가져야 할 가치는 조직 내부 지향적인 자산보호라는 가치 외에 안전한 디지털 제품 또는 서비스를 제공함으로써 새로운 디지털 비즈니스를 가능하게 하고 차별화 요인으로서 작용할 수 있는 조직 외부 지향적인 새로운 가치를 창출해야 한다.
이와 같은 두 가지 유형의 가치를 효과적으로 전달하기 위해서는 보안전략도 변해야 한다. 미래의 복잡한 산업융합환경에서는 보안위협이 다양화, 고도화 됨에 따라 이와 관련된 위험을 최소화하려는 예방 차원의 노력도 중요하지만, 보안사고가 발생할 것을 기정사실화하고 이를 조속히 탐지하고 복구할 수 있는 레질리언스 역량이 요구된다. 또한 새로운 디지털 비즈니스를 안전하게 작동/운영할 수 있는 디지털 역량이 요구된다. 즉 면역 회복력(Resilience)을 갖춘 디지털 보안체계가 필요하다. 이를 위해서는 3가지 전략이 구현되어야 한다고 생각된다.
첫째, 비즈니스 연계 보안(Business Aligned Security) 전략이다. 조직 내 보안의 존재이유는 조직의 비즈니스를 지원하기 위함이다. 그러나 보안이 보안 관점 위주의 활동으로 인해 간혹 비즈니스와 연계되지 않는 활동을 하곤 한다. 또한 보안 위험은 IT 인프라 뿐만 아니라 업무를 수행하기 위한 프로세스 상에서도 상이한 위험이 존재하며, 또한 조직이 속한 산업에 따라 보안에 대한 요구사항이 상이하다. 따라서 비즈니스와 연계된 보안전략과 계획 수립, IT 인프라 뿐만 아니라 업무 프로세스에서의 위험을 포함하는 위험관리, 위험 순위에 따른 자원할당 및 관리, 비즈니스 관점의 보안성과 관리 등 보안 거버넌스 활동이 수행되어야 한다.
둘째, 데이터 기반 보안(Data-Driven Security) 전략이다. 기술적 보안솔루션 기반의 전통적 보안 접근방법의 경우, 비즈니스 어플리케이션, 보안 솔루션 등에서 발생하는 이벤트의 종류가 다양하고, 그 양이 방대하여 이상징후를 신속하고 정확하게 탐지하는데 어려움이 있으며, 새로운 보안 위협에 효과적으로 대응하는데 제한이 있다. 즉 APT, 소셜 엔지니어링, 내부유출 등의 고도화된 위협에 대응하기 위해서는 정형, 비정형 데이터의 상관관계 분석, 머신 러닝 등의 방법을 을 통해 외부에서의 침투 또는 내부 유출 징후를 사전에 예측할 수 있는 첨단분석(Advanced Analytics)이 요구된다. 또한 안전한 고객 경험을 제공하기 위해서는 고객의 수요 및 기대치를 수집 분석하여 안전한 제품/서비스 개발에 보안기능을 내재화 시켜야 할 것이다. 더 이상 단순 보안솔루션에 의존하거나, 관리자의 직감과 경험에 의존하기엔 보안위험이 너무 복잡하고 크다.
셋째, 인간 중심 보안(People-Centric Security) 전략이다. 전통적 보안접근방법이 정보 사용자들을 잠재적 범죄자로 간주하고 이를 통제하기 위한 예방적 조치에 치중하고 있다. 더욱이 보안사고가 발생할 때 마다 추가적인 보안대책을 강화하다 보니 사용자 뿐만 아니라 보안관리자 모두 피로감을 느끼고 있으며, 심지어 보안대책을 우회할 수 있는 방법을 찿아 내는 등 위험이 줄어들지 않고 있다. 이 결과, 보안에 대한 부정적인 인식이 더 확산되고 있다. 사실 대부분의 임직원은 성실하게 일하며 조직의 보안정책을 잘 준수하고 있음에도 불구하고, 극소수의 잠재적 범죄자를 염두에 두고 모든 임직원에게 엄격한 보안조치를 강화하다 보니 오히려 역효과가 발생하는 우를 범하기도 한다. 특히 4차 산업혁명 시대에는 업무 간의 협업과 타 산업/조직과의 융합을 통한 새로운 비즈니스를 개발해야 하는 시대적 요구사항을 만족시키 위해서 더 이상 ‘Dr. No’ 접근방법으로는 한계가 있다. 따라서 임직원 개인에게 권한과 책임을 명확히 하고 신뢰와 원칙 기반의 보안활동을 추진하여야 하며, 이를 위해서는 정교한 교육 인식프로그램의 시행과 행위기반 모니터링 시스템의 적용이 수반될 필요가 있다.
여기에서는 전체적인 디지털 보안전략 프레임워크를 제시하였고, 개별 보안전략에 대한 구체적 내용은 다음 번 원고에서 다룰 예정이다.