홈 > Privacy Guide >Privacy 컬럼
제목 4차산업혁명의 시대, 차세대 보안을 어떻게 스마트하게 준비할 것인가
닉네임 윤혜정 작성일 2018-06-04 오후 3:05:46 인기도

4차산업혁명의 시대, 차세대 보안을 어떻게 스마트하게 준비할 것인가

 

4차산업혁명으로 인한 변화가 매섭다. 사업측면에서는 기존 경쟁 환경 뿐만 아니라, 새로운 기술과 비즈니스 모델로 무장한 새로운 유형의 경쟁자들에 대한 분석과 대응에 분주하며, 그 경쟁자들을 뛰어넘을 수 있는 전략 수립에 그 어느 때보다도 긴장감이 감돈다.


정보보안 영역에 있어서도 새로운 기술들로 업그레이드된 새로운 유형의 해킹공격들이 다양하게 발생하고 있다. IoT 디바이스들이 초연결 됨으로써 기존과는 비교할 수 없는 대규모의 DDOS가 발생되기도 하고, 보호 목적으로 설치된 CCTV가 해킹되어 국내 일반 가정의 사생활이 해외에 노출되기도 한다. 자율주행 자동차의 보안 취약성에 대한 보도와 이로 인한 해킹 가능성은 오늘도 여러 뉴스에서 다루고 있다.

 

쇼핑서비스 측면에서만 보아도 챗봇이나 인공지능스피커를 통한 주문이 대중화 되어가고 있는데, 이로 인해 기존과는 다른 측면에서의 보안문제가 대두될 수 있다. 아직은 기술적인 성숙도를 높이기 위해 많은 기업들이 고군분투하고 있는데, 변화된 환경에서의 정보보호를 위한 우리의 준비는 많이 미진한 상태다.

 

이렇게 대내외적으로 만만치 않은 상황임에도 불구하고, 정보보호를 위한 소임을 수행해내야 하는 우리는 그럼 어떻게 할 것인가?

 

필자는 세가지 측면에서 그 해법을 찾아야 한다고 생각한다.

 

첫째, 정보보호시스템을 스마트한 환경으로 한단계 업그레이드 하는 것이다. 스마트한 환경으로 만든다 라고 하는 것은 여러 가지 측면에서의 변화가 필요해 보인다. 즉, 최근의 공격패턴들은 AI, ML 기법을 이용한 수많은 변종들을 실시간으로 쏟아내고 있다. 따라서 Signature 방식이나 Sandbox 등 기존 방식만으로는 부족해 보이며, 공격 방어 시스템도 AI, ML 기술로 무장할 필요가 있다고 본다. 필자도 새로운 방식의 솔루션이나 시스템들에 대해 관심을 가지고 검토 중인데 내부 운영 적합성 검증에는 시간이 좀 더 필요한 상황이다.

 

추가로 권고하고 싶은 내용은 기존 시스템들의 숨어있는 기능을 찾아내는 것이다. 보통 정보보호 시스템이 서비스에 투입되어 안정적으로 운영이 되면 보통은 안정성을 위하여 라는 이유로 추가적으로 운영모드에서 다른 옵션을 확인하지는 않으려 한다. 그러나 최근 필자가 벤더들과 확인하고 있는 바에 의하면, 기존 운영 시스템하에서도 새로 시도된 기능들이 enable만 하면, 새로 출시되고 있는 시스템들과 유사한 기능들이 사용 가능한 형태로 제공될 수 있다는 확인을 받았다. 다만, 서비스 제공 업체 입장에서는 충분한 reference가 없는 위험한 상황을 먼저 경험하려 하지 않기 때문에 해당 기능들을 먼저 사용하는 데는 충분한 사전 검증 프로세스가 필요하다고 본다.

 

둘째, 내부 정보보호 인력들을 새로운 트렌드를 대응하는데 필요한 기술들을 익히도록 독려하고 교육의 기회를 가능한 한 많이 부여하는 것이다.

정보보호 인력은 세상의 변화의 흐름을 읽을 수 있어야 한다고 생각한다. 사회적인 현상과 이슈, 기술의 진보, 트렌드의 변화 등 모든 세상에서 발생하는 일들이 해커들의 공격 소재가 될 수 있기 때문이다.

 

빠른 정보 공유를 위해 내부적으로 사용하고 있는 방식은 실 단톡방이다. 이 단톡방에서는 누구든지 주요 보안 이슈나 소식 등을 제약없이 공유할 수 있다. 이를 통해 정보 습득의 신속성 뿐만 아니라 직원들간에 정보의 균질한 공급을 통해 외부 문의에 일관성 있는 응대로 혼선 예방에 많은 도움이 된다.

 

새로운 기술을 사용하는 서비스들이 등장함에 따라, 검토된 사안에 대해서는 내부 운영 표준을 수립하고 활용하는 것이 효율적일 수 있다. 복잡성이 있는 사안에 대해서는 트래킹 및 해결을 위한 별도의 논의 시간을 주기적으로 운영하고 있으며, 이때에는 새로운 유형의 요청 검토, 기존 정보보호 시스템의 구조적인 개선, 프로세스 개선 등의 내용들이 다뤄진다. 개별적으로 판단하기 어려운 사안이나 현업의 저항이 많은 사안들에 대해서는 특히 충분히 토의하고 솔루션 내용을 표준으로 만들어서 참고하고 있다. 과거의 권위적인 조직의 형태에서 탈피해서 집단지성으로 인한 스마트한 결정이 수용될 수 있는 조직의 형태가 많은 경우 유용한 결과를 생산한다.

 

내부 스터디는 필요한 주제에 대해 관심있는 직원들간에 진행이 되는데, 새로운 기술들에 대한 습득을 위해서는 외부 교육을 활용 한다든지 신기술을 활용한 솔루션 설명회 등을 통해 전문가들과 교류하는 시간이 실제 필요한 기술을 습득하는 데는 더 효과적이라고 생각한다. 

 

마지막으로, 보다 임직원 참여가 용이한 직원 친화적인 정보보호 정책 수립이 필요하다. 보안 컴플라이언스에 대한 검토는 모든 사업 기획 초기부터 함께하는게 필요하다. 시스템 프로세스상에서 프로젝트가 처리되기는 하지만, 서비스 기획안은 서비스 부서에서 사전에 검토 시간을 거친다. 정보보호 조직이 늦게 참여할수록 기획안이 변경되어야 할 범위가 훨씬 더 방대해 질 수 있다.

 

최근 CA로의 개인정보 유출문제로 진땀을 빼고 있는 페이스북이 개인정보 활용/유출 인지 초반에 컴플라이언스에 대해 적극적으로 검토했다면, 저커버그가 여러 나라를 순회하며 뒤늦게 문제 해결을 위해 동분서주하는 일은 없었을 것이다.

 

특히나 요즘처럼 4차산업혁명과 함께 나오고 있는 새로운 기술을 이용한 서비스들에 대해서는 기술적인 습득의 시간도 필요하기 때문에 임직원들이 사전에 친숙하게 협의할 수 있는 분위기 조성이 무엇보다도 중요하다.

또한 정보보호 용어를 잘 풀어서 설명하는 것도 중요하다고 생각한다. 일반인들에게 IT용어가 어렵듯이, IT에 친숙한 직원들에게 조차도 정보보호 용어는 또다른 세계의 언어이다. 그만큼 이해하기 어렵고 거리감이 있다. 따라서, 임직원들과 공유하는 정보보호 사안들에 대해서는 일반인들이 이해할 수 있는 언어로 설명해야 한다.

 

임직원 개개인이 개인정보취급자다 라는 인식이 중요하다. 권한에는 책임이 따름을 인식시키는 것 또한 중요하다. 이를 위해 필자의 조직에서는 각 부문별 개인정보보호 책임자를 임명하고 서비스와 근접한 거리에서 특성에 맞게 신속하게 결정할 수 있는 권한과 그에 따른 책임을 부여하고 있다.

 

4차산업 혁명의 시대 정보보호, 비즈니스에서 원하는 속도에 맞춰 신속하게, 그러나 사전준비를 통해 확인할 것은 확인하면서 가는 열린 자세가 무엇보다도 중요하지 않을까 생각한다.

 

 






윤혜정 실장 / 인터파크 IT부문 정보보안실

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  218   남북화해 시대의 개인정보보호   박종섭   2018-07-11  
   
  217   다가온 GDPR, 우리에게 어떤 영..   정아름   2018-07-06  
   
    4차산업혁명의 시대, 차세대 보안..   윤혜정   2018-06-04  
   
  215   고객 신뢰 확보! 개인정보의 안전..   배상호   2018-05-17  
   
  214   반보만 더 빨리 가줬으면 하는 변..   정찬규   2018-05-11  
   
  213   인공지능(AI)발전을 위한 개인정..   조진호   2018-05-11  
   
  212   개인정보보호 교육, 어떻게 무엇..   신용석   2018-04-16  
   
  211   기업의 효과적인 개인정보 관리 ..   김재용   2018-04-05  
   
  210   개인정보보호와 보안솔루션 제조..   이준권   2018-03-30  
   
  209   습관의 기술   김정덕   2018-03-30  
   
  1   2   3   4   5   6   7   8   9   10