[류지영이 만난 사람] 한국IBM 조가원 실장 “클라우드와 보안, 두 마리 토끼 잡겠다”

보안의 중요성은 아무리 강조해도 지나침이 없다. 해킹 등의 사고로 소중한 정보 자산을 잃어본 사람이라면 백 번 공감하는 얘기리라. 지금 우리는 그간 한 번도 겪어보지 못한 대규모의 팬데믹을 겪고 있다. 이 팬데믹은 우리의 삶과 일하는 방식에 변화를 가져다 주었고 이 같은 변화는 다시 우리에게 보안의 중요성을 일깨워 주고 있다.

팬데믹 이후 4차산업혁명으로의 전환이 가속화되면서 클라우드 또한 빠르게 확산되고 있으나 클라우드 보안 문제에 대해서는 안타깝게도 속 시원한 해결책을 찾지 못하고 있다. 그도 그럴 것이 그동안 국내 기업은 주로 경계 보안 기반의 폐쇄망 구축에 의존해왔으나, 클라우드의 경우엔 그 특성상 경계 보안의 관점이 무의미해지고 워크로드 중심의 새로운 보안 관점이 요구되기 때문이다.

경계를 넘어 자유로운 가상화, XaaS(Anything as a Service) 등을 통해 자원을 공유하는 클라우드라는 '새 술'엔 '새 부대' 즉 새로운 보안 패러다임과 기술이 필요해 보인다. 그런데 클라우드 벤더는 보안 전문 기업이 아니고, 보안 전문 업체는 아직은 클라우드를 잘 모른다. 전통적 보안의 개념이 통용되지 않는 클라우드 보안엔, 경계와 분리가 아닌 워크로드, 데이터 중심의 보안 전략과 제로트러스트 그리고 데브옵스와 같은 새로운 보안 패러다임이 요구되기 때문이다.

[류지영이 만난 사람]은 클라우드 보안에 대한 궁금증을 해소하기 위해 클라우드와 보안 양쪽을 두루 경험한, 한국IBM에서 AI 애플리케이션 및 보안사업부 기술을 총괄하고 있는 조가원 실장을 만나 보았다. 첫 인상이 밝고 따뜻한 조실장은 대화하기에 즐겁고 유쾌한 상대이며, 기술에 대해선 열정적이면서도 고객의 입장에서 세심하고 따스하게 바라보는 시선이 느껴졌다.

 

한국IBM 보안사업부 조가원 실장
한국IBM 보안사업부 조가원 실장

- IBM의 '엑스포스 위협 관리'(X-Force Threat Management)에서 중요한 키워드가 ‘통합’인 것 같다. 좀 더 설명을 해준다면?

▲“보안은 팀 스포츠다.”라는 얘기를 종종 한다. 보안은 데이터, 애플리케이션, 인프라, 네트워크, 어느 한 곳이라도 취약하게 되면 전체가 뚫리게 되고, 각자의 자리에서 임무를 완성해야 성공할 수 있는 대표적인 영역이기 때문이다. 기업은 최근 급변하는 IT 환경에 따라 클라우드로 이관되는 핵심 자산을 보호하고, 나날이 변화하는 지능적 위협을 식별하여 대응하고, 랜섬웨어 등 기업을 위협하는 혼란 상황에서 빠르게 복구할 수 있는 보안전략이 필요하다.

이는 단순히 보안 솔루션을 많이 도입하는 것으로 해결되지 않는다. 리서치에 의하면 기업은 평균 80종 이상의 보안 솔루션을 보유하고 있고, 클라우드 등 기업 환경의 다각화에 의해서 필요한 솔루션과 관련 기술요소는 더욱 증가하게 된다. 이러한 많은 보안 솔루션과 정보 속에서 어떻게 실행 가능한 통찰력을 확보할 것인가가 기업 보안의 핵심 과제이다. IBM은 지능형 엔터프라이즈 보안 서비스인 엑스포스 위협 관리 프로그램을 통해 현재의 기업 보안 이슈를 해결하고, 비즈니스에 대한 회복탄력성을 기반으로 미래의 보안 위협에 대비하도록 통합적인 대응방안을 제시하고 있다.

- 해커들은 금융, 제조, 유통, 공공부문 등 분야를 가리지 않고 사이버 공격을 감행하고 있다. IBM의 '엑스포스 위협 관리'는 어떤 방식으로 각 산업 별 맞춤형 보안관제서비스를 제공하는지?

▲IBM 엑스포스 연구팀은 스팸 트랩을 기반으로 매일 수천만 건의 피싱 공격을 모니터링하고 있으며, 수천만 개에 달하는 엔드포인트 및 서버의 데이터, 수십억 개의 웹 페이지 및 이미지 등을 분석하여 공격 패턴, 사기 수법 등을 탐지하고 있다. 해당 공격 정보를 기반으로 각 국가별, 산업별 공격 양상을 분석하여 고객사에 관련된 보안 위협 인텔리전스 정보를 배포하고 있다.

특별히 2020년 엑스포스 위협 보고서에 의하면 2019년은 산업제어시스템 및 운영 기술 자산을 표적으로 한 이벤트가 지난 3년간의 활동량보다 많았다. IBM 엑스포스 위협 관리 프로그램은 최근 증가하는 운영 기술 보안 환경에 대해서도 8년 이상 검증된 OT 보안 전문 역량을 기반으로, 생산망에 특화된 위협 모델링 및 보안 서비스를 제공하고 있다. 대표적으로 국내 모 대기업의 경우 기업 자산에 대한 보안위협 식별 및 보안침해 대응 프로세스 수립과 더불어 OT 보안에 특화된 산업 IDS 구축 및 IT 보안인력 대상 교육 및 기술 이전을 포함한 보안관제 서비스를 제공한 바 있다.

- 작년 코로나19 발생 이후 2월부터 두 달간 전 세계 코로나19 관련 스팸메일이 6,000% 증가했다고 IBM이 발표했다. 이렇게 양적으로 폭증한다면 종전과는 다른 보안 대책이 필요하지 않을까?

▲코로나19 이후로 관련된 스팸 메일이 증가했을 뿐 아니라, 랜섬웨어 등 팬데믹 기회를 노리는 해커들의 공격이 날로 늘어나고 있다. 따라서 공격성이 약한 보안 이벤트로부터 악성 공격까지 다양한 보안 위험에 대해서 확인하고 처리해야 하는 보안담당자들의 업무는 급증하게 된다. 그렇다고 보안팀 인력을 몇 배로 증가시키기는 더욱 어려운 것이 현실이다. 인력이 증가한다 해도 신규 입사자가 기업 보안 현황을 파악하고 대응하는 데까지는 상당한 기간과 노력이 소요된다. 기업이 더 이상 인력 기반의 수동 탐지와 대응 체계에 머물러 있으면 안 되는 이유가 바로 여기에 있다. 제한된 인력으로 급증하는 보안 업무들을 처리하다 보면 실제 침해 가능성이 있는 위협에 대한 탐지 및 검증은 더 어려워지게 되고 침해 위협은 더욱 증가한다. 전문화된 경험을 플랫폼과 기술로 시스템화하고, 이를 기반으로 체계적이고 자동화된 대응 환경을 마련하는 것이 급선무이다.

- 향후 보안관제에 있어도 ‘인공지능’이 핵심적인 역할을 할 것으로 보인다. 명불허전으로 불리우는 IBM의 인공지능 왓슨이 '엑스포스 위협 관리'와 만나면 어떤 일이 벌어질지 궁금하다.

▲팬데믹으로 인해 기업의 업무 환경은 근본적인 변화를 겪고 있다. 원격 근무가 일반화되고, 클라우드의 사용이 급증하면서 기업은 더 이상 댁내망에 집중되어 있던 경계보안 전략에 의존할 수 없다. 이렇게 보안 취약성이 증가하는 와중에 해커들은 이미 봇을 이용하여 공격을 자동화하고 있으며, 시그니처와 취약점 패치가 나오면 해커는 교묘하게 공격을 변조한다. 이렇게  나날이 지능화되는 공격에 대해 보안 위협을 정확히 식별하고 탐지하기 위해, 보안 영역에 있어서도 AI와 머신러닝은 핵심 기술로 부각되고 있다. IBM은 마이터 어택(MITRE ATT&CK) 공격 단계를 비롯하여 보안 위협 정보를 분석하는 왓슨 어드바이저 서비스를 통해 보안관제 환경에 필요한 인공지능 분석 역량을 지원할 뿐 아니라, 엑스포스 위협 관리 프로그램 내 특허기반 AI 엔진을 통해 보다 신속하고 자동화된 위협관리 환경을 제공하고 있다.

- 하이브리드 클라우드가 대세가 되고 있다.  그러나 보안의 복잡성과 가시성이 여전히 문제다. 클라우드는 저만치 앞서가고 보안은 멀찍이 뒤쫓아 간다는 평도 있다. 클라우드 채택을 고민하는 기업에게 들려주고 싶은 조언이 있다면?

▲클라우드 고객들을 만나다 보면, 현업 혹은 IT팀 주도하에 클라우드 전환이 이루어지면서 보안이 고려되지 못한 채 전환이 되었거나, 클라우드 전환을 앞두고 경험하지 못한 길에 대한 막연한 불안감을 가지고 있는 경우를 종종 보게 된다. 기본적으로 기존 IT 보안 영역에 있어서 고려되어야 하는 핵심 기술은 클라우드 보안 영역에 있어서도 변함없이 적용된다. 대표적으로 계정 및 권한관리, 데이터 보안, 보안 운영 및 가시화 영역이다. 기존의 보안 솔루션이 클라우드 환경을 지원한다면 해당 솔루션을 가지고 확장된 아키텍처를 구성할 수 있다. 그리고 클라우드 사업자가 제공하는 다양한 내재화된 보안 기능을 활용할 수 있다.

그러나 동일한 솔루션을 적용하더라도 클라우드 환경에서의 구성이나 적용 프로세스의 변경이 필요하며, 컨테이너 보안과 같은 신규 영역에 대한 정책과 방안 수립이 필요하다. 그리고 이러한 정책과 방안은 기업 클라우드의 방향성과 함께 정의되는 것이 가장 바람직하다. 오픈 클라우드 환경의 취약성은 단순히 클라우드 환경만의 보안 위협이 아니라 기업 자산의 침해 경로가 될 수 있으며 기업 보안 환경 전체에 영향을 미치는 만큼, 클라우드 도입 시 처음부터 보안을 고려한 전환 계획 수립을 기대한다.

- IBM은 클라우드 보안 문제를 해결하고자 '클라우드 팩 포 시큐리티'를 출시하는 등 많은 노력을 기울여 왔다. 클라우드 보안 개선에 대해 참고할만한 사례가 있다면?

▲하이브리드 클라우드 보안에 있어서 첫번째 문제는 단일화된 표준을 제공하지 않는다는 것이다. 대표적으로 가시화의 영역이 그러하다. 보안에 대한 통합 모니터링이 필요하다는 인식이 보편화되면서 대부분의 기업들이 통합보안관제(SIEM) 솔루션을 도입한 바 있다. 그러나 클라우드 환경에서는 사업자마다 자체적으로 제공하는 다양한 보안 기능과 로그를 제공하고 있는데 이러한 클라우드 로그를 온프레미스로 내려서 통합하려면 예상보다 많은 비용이 필요하다. 역으로 보안관제 환경을 클라우드에서 대량의 로그를 통합 관리하는 방안도 비용과 효과성 측면에서 만만치 않다.

또 하나 고려할 사항은 바로 클라우드 환경의 변화도이다. 나날이 변화하는 클라우드 기술과 로그를 비롯한 해당 인터페이스들에 대한 지속적인 변화관리는 보안 담당자에게 결코 쉬운 일이 아니다. ‘클라우드 팩 포 시큐리티’는 이러한 보안담당자의 문제를 해결하기 위한 플랫폼으로서, 솔루션 벤더와의 오픈 에코시스템을 기반으로 온프레미스의 다양한 SIEM 솔루션과 클라우드 이벤트를 데이터 이동없이 통합적으로 분석하고 대응할 수 있도록 지원한다.

- 기업이 보안 위협에 효과적으로 대응하기 위해서는 민첩한 의사결정이 필요하다. 의사결정 과정이 비교적 복잡한 편인 국내 기업에 IBM이 전할 수 있는 조언은 무엇인가?

▲공격의 심각성을 따질 때 중요한 요소 중 하나가 바로 체류 시간(dwell time) 이다. 공격의 침해 위험 강도가 낮더라도, 해커가 들어와서 오랫동안 기업 환경 내에 머물면서 염탐하고 계획할 수 있는 환경이 마련된다면 침해의 위협은 더욱 증가하게 된다. 너무나 높아 무너뜨릴 수 없었던, 거대해 보였지만 결국 뚫렸던 만리장성처럼 작정한 해커의 공격을 막을 방법은 없다. 기업 보안의 목표는 뚫리지 않는 거대한 성을 만드는 것이 아니라 최대한 뚫기 어렵게, 그리고 뚫리더라도 빨리 파악하고 대응할 수 있는 시스템을 만드는 데 있다.

어떻게 하면 나날이 지능적으로 발전하고 변화하는 공격들에 대항하여, 뚫기 어렵게 만들 것인가. 그렇다고 작년에 산 솔루션을 놔두고, 조금 바뀐 솔루션을 다시 도입한다는 것은 기업 입장에서 어려움이 따른다. 이러한 이유로 기업은 솔루션 도입 시 단순히 현재 필요한 기능과 비용만 고려하기 보다는, 보안 위협의 변화 사항과 시장 요건에 따른 발전 로드맵을 가지고 있는지 여부를 같이 검토하는 것이 바람직하다. 또한 빨리 뚫렸음을 파악하기 위한 가시화 영역에 대한 대안도 필요하다. 앞서 논의된 바와 같이 지능화된 위협 탐지와 자동화된 대응 플랫폼을 통해 보안 위협에 대한 전문적인 대응 역량을 확보하는 것이 중요하다.

[조가원 실장은?]
한국IBM 조가원 실장은 소프트웨어 개발, 컨설팅 및 기술 엔지니어 등 다양한 분야에서 20여 년 이상 경력을 쌓은 IT 전문가이다.  2008년부터 한국IBM에서 정보 거버넌스 분야를 지원해 왔으며, 현재 IBM Technology 내 AI 애플리케이션 및 보안사업부 기술을 총괄하고 있다.

 조가원 한국IBM 실장 (kwcho@kr.ibm.com)
 류지영 전자신문인터넷 기자 (thankyou@etnews.com)