지난해 RSAC 키워드는 "Now Matters"였다. 2018년 RSA 회장 로힛 가이(Rohit Ghai)는 사이버 범죄가 더욱 정교해지고 계속 확대되고 있는 현 상황에 모든 문제를 해결하는 'Silver Bullet'(특효약) 전략에서 이제는 점진적 작은 변화가 큰 변화를 일으키는 'Silver Lining'(실버라이닝. 구름의 밝은 가장자리) 관점에서 보안을 바라봐야 한다고 제안했다.
◇BETTER...더 나은 보안을 위해 리스크 관리 통한 신뢰 구축
그는 "2049년이면 농업, 산업, 인터넷, 디지털 그리고 바이오디지털 시대로 진입할 것이다. 2020년부터 다양한 가짜 뉴스, 사이버 공격과 사회 문제로 인해 2025년까지 국가간 여러 문제가 발생하게 될 것"이라며 "2020년 동안 우리는 신뢰 위기를 만나게 되며 그리고 위험(Risk)와 신뢰(Trust)는 공존하고 신뢰를 위해 리스크 관리는 필수 요소다. The Trust Landscape와 더 나은 보안을 위해 사람과 머신은 서로 신뢰해야 하며 그리고 신뢰를 바탕으로 함께해야 The Trust Landscape가 될 수 있다"고 강조했다.
그리고 신뢰는 투명성(transparency), 책임(accountability), 정직함(honesty)이며, 사이버 리스크 관리와 사이버 시큐리티는 융합되어야 더 나은 효과가 발생한다고 전했다.
한편 같은 맥락에서 리스크 관리의 중요성에 대해 가트너는 2019년 아래 언급한 7가지 보안 및 리스크 관리 동향을 발표했다. 아래와 같다.
△리스크 관리가 비즈니스 성과에 영향
△위협 감지 및 대응에 중점을 두고 구현된 보안 운영 센터(SOC)에 중점
△데이터 보안 투자에 우선순위를 부여하는 데이터 보안 거버넌스 프레임워크
△기기의 터치 ID 같은 패스워드 없는 인증
△보안 제품 공급 업체가 고급 기술 및 교육 서비스 제공
△향후 4년 안에 고객의 실수로 인한 대부분의 클라우드 보안사고가 발생할 것이 예상된다. 클라우드 보안 역량에 대한 투자를 견인할 것
△지속적인 적응형 리스크 및 신뢰도 평가(CARTA)
그의 키노트에서 전달하고자 하는 The Trust Landscape를 위한 3가지 조건으로는 △리스크(Risk)와 신뢰(Trust)는 공존한다. 보안은 리스크 관리 문제이며 리스크를 최소화해야 한다. △독립적 운영 보다 사람과 기계가 함께해야 높은 신뢰도를 확보할 수 있다. △평판 정보 기반으로 신뢰 여부를 평가한다는 내용이다.
◇ IT와 OT 그리고 IoT, 미래 위협에 서로 학습하고 공동 대응해야
보안의 영역을 IT에만 국한시킬 것이 아니라 더욱 확장해 나가야 하고 물과 같은 존재로 중심에 서야 한다는 내용이다. 전력, 항공, 교통, 제조, 바이오 등 디지털로 변화하고 있는 OT 분야가 기존 IT영역보다 더 큰 영역이다. 또 IoT와 5G 시대에 위협은 지금의 공격과는 차원이 다를 것이다. 그런 의미에서 보안은 더욱 중요해 지고 있으며 더 나은(Better) 상황이 될 것이다. OT에 대해 배우고 IoT와 5G 시대에 대비해 보안산업을 더욱 확장해 나가자는 메시지였다.
키노트 이후 성재모 과학기술정보통신부 차세대 보안 PM은 "OT가이는 제어시스템과 공장라인의 안정적인 운영에만 집중한다. 또한 폐쇄망이라며 안전하다고 믿고 있다. 하지만 폐쇄망이라도 인터넷과 연결되는 접점이 있기 때문에 결코 안전하지 않다. OT에서도 보안은 필수다. RSAC 키노트에서도 강조한 것처럼 IT가이와 OT가이의 협업이 필요하다"며 "보안이 IT 영역보다 더 큰 시장인 OT 영역까지 확장되어야 한다. 원전, 교통, 항공, 제조 등 모든 산업시스템과 디바이스들이 인터넷과 연결되고 있어 보안은 이제 물과 같은 존재가 되고 있다. 한국 보안기업들도 지금의 상황을 기회로 인식하고 준비해야 한다"고 소감을 밝혔다.
◇클라우드 보안 가시성 제공 솔루션 필요
또 클라우드 관련 키노트 발표도 있었다. SANS 데이브 쉑클포드는 클라우드 보안 아키텍처의 가이드 및 기준에 대해 SANS의 클라우드 보안 가이드 기준으로 설명했다. 그는 △핵심 클라우드 보안 아키텍처 원칙을 이해하고 △PaaS 및 IaaS 배포를 위한 안전한 클라우드 인프라 구축에 대한 올바른 방법을 학습해야 한다. △또 AWS 및 마이크로소프트 Azur의 보안 사례를 확인해야 한다고 강조했다.
또 AWS의 이상적인 아키텍처 프레임워크 5가지 특징으로 탁월한 운영, 보안, 신뢰성, 성능 효율, 비용 최적화를 언급했다.
이어 SANS의 최상 보안을 위한 클라우드 아키텍처 원칙으로 다음과 같은 내용을 소개했다. △모든 계층에 보안을 적용 △컴포넌트 요소를 고려 △실패를 위한 설계 △확장성을 고려한 설계 △다양한 저장 옵션 사용 △항상 'Feedback loops'를 고려 △CSA(Centralization, Standardization, Automation)에 중점 등을 강조했다.
한편 멀티 클라우드 환경에 대해 △AWS, Azure 등 다양한 클라우드 서비스를 하이브리드 형태로 이용함에 따른 복잡성 증가 △멀티 클라우드 환경을 위한 클라우드 브로커와 클라우드 보안 가시성 제공 솔루션 필요 △중앙화(Centralization)에 대한 고려를 위해 파이어아이 'Helix'와 같은 클라우드 상에서 통합과 하나의 대시보드, 보안 가시성 도구 필요 △표준화(Standardization)는 클라우드를 설계할 때 잘 알려진 표준을 활용할 것 △자동화(Automation) 구현을 위해 DevOps, DevSecOps 그리고 오케스트레이션 제품 활용 고려 △클라우드 구성 후 클라우드 보안 개선을 위해 주간단위, 3개월, 6개월 이내에 해야 할 내용을 간단하게 언급했다.
★정보보안 대표 미디어 데일리시큐!★