[PASCON 2020] 김요셉 LH CISO, 비대면 시대 정보보호 정책 방향 제시

“비대면 환경에서 보안실무자, 단순 보안기술자 아닌 업무 연속성 함께 고민할 정책 파트너 돼야”

데일리시큐 주최 PASCON 2020에서 김요셉 LH CISO(사진)가 '언택트 환경에서 보안정책의 변화'를 주제로 키노트 발표를 진행하고 있다.

공공·금융·기업 정보보호 실무자들을 위한 하반기 최대 컨퍼런스인 PASCON 2020이 11월 10일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 한국토지주택공사 정보보안센터 김요셉 CISO는 ‘언텍트 환경의 LH 보안정책’을 주제로 키노트 발표를 진행해 보안실무자들의 큰 관심을 끌었다. 그의 발표내용을 요약하면 다음과 같다.

■예측하지 못한 현재 : 비대면 시대의 정보보안 정책

정보보안은 예측의 학문이다.

다양한 위협정보(cyber intelligence)와 행위 분석에 의한 활동의 범주에 질병은 있지 않았다.

특히 브루스 슈나이어의 “정보보안은 업무 절차이지 제품이 아니다”는 말은 책으로만 존재 할 뿐 많은 기업과 시장에서 업무 보다는 제품과 인력에 대한 관심이 컸던 것은 사실이다.

예측하지 못한 현재, 코로나 일상

사회 활동으로 문명을 발전시켜 나가야 하는 인류에게 만남의 자제는 큰 재앙이다. 또한 모임은 다양한 생산적 활동의 기본적 영역인데 이것이 부정되고 비대면이 강요된다. 코로나는 보안의 영역을 우리가 예측 할 수 없는 곳으로 사람(행위자)과 업무 자료를 이동 시키고 있다.

그렇기 때문에 비대면 시대의 정보보안 정책은 새로운 일상에 대비해야 한다.

첫째, 업무 연속성의 보장

정보보안의 핵심의 기밀자료의 보호였다. 극단 적으로 네트워크를 분리하고, 중요자료를 금고에 저장하면서 까지 핵심 업무를 내부 공간에서만 처리하도록 한다. 그러나 비대면 환경은 어느 곳에서나 업무를 할 수 있도록 요구 되고 있다.

이에 업무망을 가상화 해 어느 공간에서도 인터넷과 분리된 업무환경을 보장 할 수 있다.

둘째, 자료와 사람이 아닌 업무절차로 전환

정보보안은 접근과 인증에 사활을 건다. 승인된 사람, 허용된 자료는 예측된 공간과 시스템에서는 가능하다. 하지만 비대면 공간, 즉 가정이나 코로나로부터 안전하게 예측하지 못한 공간은 우리가 대비해 왔던 정보보호 시스템과 내부의 구축된 시스템 환경을 벗어나 업무가 진행된다.

따라서 조직마다 필요한 업무와 시스템을 정확히 분석해 업무절차의 재 설계가 필요하다. 자료와 사람이 아닌 업무절차의 접근권한과 보호대책이 절실하다.

셋째, 정보화 용역사업에 대한 관리

조직은 인력과 전문성의 부족을 용역을 통해 해결하고 있다. 이때 가장 철저한 보안 대책으로 제시된 정책은 원격작업과 자료의 관리다. 하지만 이 또한 비대면 환경은 철저히 보안정책과 반대되는 요구를 하고 있다. 원격 접속이 가능하고 통제된 안전이 필요하다.

이를 위해서도 정보화 사업망을 별도로 구축 할 필요가 있다. 이것은 업무망 가상화로 구축 된 인프라를 활용하여 별도의 정보보호 대책으로 활용이 가능하다.

넷째, 인증의 개인화 강화

정보보호 취약점의 고전은 소유된 정보의 유출 가능성에 있다. 사용자이름(ID)와 비밀번호(PW)의 사용은 가장 전통적 취약점 이지만 어떤 이유에서 인지 비밀번호를 길게 사용하라고 할 뿐 사용하지 못하도록 하는 정책은 아직 없다.

이에 향후 구축되는 시스템은 정확한 개인의 식별과 비대면 환경에서의 부인방지를 위해 생체정보를 이용한 인증의 개인화가 필요하다.

다섯째, 보안관제의 재정의

모든 기업이 시스템의 정상적 운영과 사이버 위협에 관심을 갖는다. 그래서 많은 재화와 인력을 활용하여 시스템 관제, 보안 관제 등의 업무를 하고 있다. 하지만 우리의 정의와 관점은 한정된 조직, 공간, 시스템의 특성에 국한된다.

이것을 업무가 허용되는 모든 상황과 장소, 절차로 확대가 필요하다. 단순히 취약점 기반의 로그 분석에서 현업이 갖는 업무 절차를 이해하고 대응하는 노력이 필요하다. 어찌 보면 서두에 언급한 ‘제품(product)’이 아닌 ‘절차(process)’에 집중 해야 한다는 것이다.