“IoT 보안 내재화로 기업·국가 경쟁력 높여야”
상태바
“IoT 보안 내재화로 기업·국가 경쟁력 높여야”
  • 데이터넷
  • 승인 2019.08.16 16:11
  • 댓글 0
이 기사를 공유합니다

조영철 파이오링크 대표 “CISO 역량 키우고, 권한과 책임 강화해야”

[데이터넷] 2019년 상반기 발표된 국가사이버안보전략 백서에 따르면, 국민 생활과 직결되는 정보통신기술 제품·서비스의 보안이 확보될 수 있도록 ‘개발 단계부터 보안기능을 내재화한다’고 기술하고 있다.

‘보안내재화(Security By Design, 보안 엔지니어링공학)’가 정부 전략에 맞춰 중요한 핵심 의제로 등장한 것은  환영할 일이다.

모든 기기와 서비스를 론칭할 때부터 보안을 내재하는 것은 안전한 세상을 위해 반드시 충족해야 할 조건이다.

하지만 진정한 보안내재화 실현을 위해서는 개별 기기의 보안 관점이 아니라, 새로운 서비스 및 경영 차원에서의 보안내재화와 발을 맞춰야 성공할 수 있을 것이다.

서비스 보안 내재화 ‘우선’
가장 먼저 기기의 보안내재화보다 서비스의 보안내재화가 이뤄져야 한다. 모든 IoT 기기들은 보안성이 강화되어야 하는 것은 당연하다.

하지만 보안내재화된 설계로 기기를 제작한다 해도 서비스에 더 취약한 보안홀이 발생할 수 있다. 보안 기능이 좋아도, 비밀번호 관리를 잘못하면 약한 고리가 생긴다. IoT 기기는 항상 취약점이 존재하는 기기들과 혼용할 수 밖에 없으므로 서비스 보안내재화가 반드시 만족돼야 한다.

‘구슬이 서 말이라도 꿰어야 보배’란 말이 있다. 서비스 운영을 위한 보안내재화는 매우 중요하다. 서비스 설계 시 보안팀과 협업하고 운영 및 관제에 대한 투자하며, 가시성을 확보해야 한다.

정부는 많은 실증 사업을 통해 보안내재화의 마중물 역할을 해야 한다. 정보보호 분야는 5G와 4차 산업혁명 시대로 넓혀졌다. 스마트시티, 스마트팩토리, 스마트 헬스케어, 자율주행차 등 모든 산업에 정보보호 내재화가 필요하다.

정부, 보안 내재화 마중물 역할해야
새로운 서비스들은 선진화된 5G 모바일 통신과 클라우드와 같은 오픈 인프라 서비스를 활용하는 추세다. 기존의 폐쇄망과 자체 구축망을 기반으로 한 기기와 보안장비와 솔루션으로 보호할 수 없다. 현재 서비스 기업이 참고할 수 있는 IoT 보안가이드와 클라우드 서비스 보안성 가이드가 충분하지 않은 상황이다.

정부가 여러 실증사업을 통해 보안성을 검증하고 현실적인 가이드를 마련해야 한다. 실증사업을 통해 오히려 기기들의 보안성의 수준을 점검하고 가이드 마련의 초석이 될 수 있을 것이다. 이것이 5G를 통해 해외에 보안 솔루션을 수출할 수 있는 계기가 될 것이다.

경영 보안 내재화로 실속 다져야
마지막으로 경영의 보안내재화가 필요하다. 구체적으로 CISO/CSO의 역할을 강화하는 것이다. 사고가 터졌을 때만 역할을 담당하는 것이 아니라, 상시적으로 경영의 리스크를 관리하는 경영자의 일부로서 역할을 담당해야 한다.

그래야 조직 내에 개발에 대한 보안내재화뿐 아니라 전 제품 주기와 프로세스에 대한 보안 내재화가 이뤄진다. 보안은 상향식보다 하향식 결정이 효과적이다. 이를 위해 CISO의 역량을 키우고, 권한과 책임을 강화해야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.