[데이터넷] 디지털 대전환기를 맞아 ICT 기술의 역할은 더욱 막중해지고 있다. 팬데믹을 극복할 수 있었던 주요 요인 중 하나인 ICT는 포스트 팬데믹 시대에도 많은 위기와 위협을 새로운 기회로 바꾸는 동력으로 작용하며 진화를 지속할 전망이다. ICT 업계는 혁신의 여정에 나서며 실패도 맛봤고, 불투명한 경제 사정이 발목을 잡기도 했지만 새로운 기술과 비즈니스 모델을 정립해 나가며 차세대 시장을 향해 전진하고 있다. 2023년 ICT 업계의 주요 이슈를 되돌아본다. <편집자>

#10 네트워크 보안 혁신 견인차 ‘SASE’ 확산 급가속

사일로 형태로 구축된 네트워크와 네트워크 보안은 새로운 비즈니스 요구를 빠르게 수용하고 확장하려는 시도에 걸림돌이 될 뿐 아니라 SaaS와 같은 클라우드 기반 애플리케이션 사용이 급증함에 따라 아키텍처의 근본적인 혁신이 요구된다. 여기에 엣지 컴퓨팅, IoT 애플리케이션도 클라우드와 결합이 확대되면서 경계 없는 네트워크와 지속 가능한 보안 구현을 위한 새로운 통합 아키텍처로  ‘SASE(Secure Access Service Edge)’가 빠르게 부상하고 있다.

인터넷, SaaS, 데이터센터, 공장, 지사, 협력사 등 모든 사이트들이 클라우드를 통해 연결되는 시대가 전개되면서 기존의 중앙 집중식 관리 및 제어는 한계에 이르고 있다. 특히 네트워크 경계를 빠르게 허물며 기업 내부는 물론 퍼블릭 클라우드와 인터넷이 기업의 새로운 네트워크가 되면서 새로운 보안 방법론을 필요로 하고 있다. 

이에 일관된 보안 정책과 서비스 적용을 통해 위치와 무관하게 안전한 환경을 구현하는 지속 가능한 보안 아키텍처인 SASE가 SD-WAN을 포괄하며 힘을 키워 나가고 있다. SASE는 네트워크 환경 변화와 보안 위협에 대응하는 기술을 포괄하며 최적화 방향을 제시하며 진화에 속도를 내고 있다.

SASE는 디지털 비즈니스를 원활하게 지원할 수 있도록 네트워크와 네트워크 보안을 통합해 클라우드에 최적화된 IT 인프라를 구현하는 것이 궁극적인 목표다. 단일 제품이나 솔루션이 아닌 SASE는 SD-WAN, 보안 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(CASB), 제로 트러스트 네트워크 액세스(ZTNA), 서비스로서의 방화벽(FWaaS), 데이터 유출 방지(DLP), 안티 멀웨어, 대역폭 제어 등 다양한 기능을 하나의 플랫폼으로 통합해 나가고 있다.

SASE는 엣지 영역에서 먼저 채택되고 있지만 네트워크와 네트워크 보안의 주요 요소 기술들이 폭넓게 통합되고 연계되면서 적용 범위가 확대되고 있다. 이에 초기에는 ID 중심, 클라우드 네이티브, 글로벌 분산, 엣지 지원이 중심이었지만 클라우드 및 모바일 환경의 새롭고 다양한 요구사항을 적극 수렴해 나가며 완성도를 한층 높아지고 있다.

기업은 업무 환경 변화에 대응해 클라우드 활용을 늘리고 온프레미스 데이터센터에 있는 애플리케이션 접속 방법과 정책을 최적화해 나가고 있다. 또한 기업 내부는 물론 외부에서도 안전한 업무 수행이 가능한 환경 구현을 위해 네트워크와 네트워크 보안을 지속 개선하고 강화할 수 있는 해법으로 SASE 도입이 늘고 있다.

SASE는 네트워크와 네트워크 보안을 환경 변화에 맞도록 지속적으로 재구성하고, 최적화하는 방향을 제시할 것으로 기대된다. 민첩한 대응이 가능한 확장성, 유연성 등을 강화해 나가며 글로벌 팝(PoP)을 기반으로 전 세계 어디서나 빠르고 동일한 서비스 적용을 뒷받침한다.

특히 클라우드 네이티브와 보안 혁신을 위한 움직임은 SASE 도입을 촉진시킬 전망이다. 엔터프라이즈 WAN 액세스 관리 방안은 물론 사용자 위치에 상관없이 네트워크 보안을 강화할 수 있는 솔루션이 되고 있기 때문이다.

SASE는 증가하는 트래픽에 대응해 장비 교체나 업그레이드가 아닌 클라우드 스케일을 활용해 유연하게 인프라를 확장하고, 인터넷이나 SaaS 트래픽을 클라우드 네이티브 프록시 방화벽을 통해 검사해 보안을 강화한다. 또한 네이티브 SSL 검사를 활용해 SSL/TLS 암호화 트래픽에 감춰져 있는 멀웨어나 보안 위협을 분석하고 방어할 수 있어 한층 효율적이다.

네트워크, 보안 등 다양한 요소들이 통합되면서 관련 업계의 SASE 주도권 경쟁은 한층 달아오르고 있다. 클라우드 네이티브를 기반으로 빠르게 진화해 나가며 보다 다양한 기술과 폭넓은 통합과 연계가 이뤄지고 있고 시장 활성화가 더욱 빨라질 전망이다.

기업의 네트워크가 인터넷으로 확장될 뿐 아니라 클라우드가 새로운 데이터센터가 되고, ID가 보안 방어선이 되면서 보안 경계는 기업 내외부의 모든 곳으로 확대되고 있다. SASE는 클라우드를 기반으로 네트워크와 네트워크 보안 정책을 실시간으로 적용하며 애플리케이션의 빠르고 안전한 접속 보장을 통해 다양한 영역으로 확산에 시동이 걸렸다.

#11 ‘세계 5위 정보보호 강국’ 위해 ‘한국형’ 벗어나야

정부가 세계 5위 정보보호 강국으로 도약한다는 목표를 발표하고 2027년까지 1조원 이상 예산을 투입하겠다고 천명했다. 목표 달성을 위한 여러 사업 계획도 밝혔는데, 그 중 하나가 2027년까지 1300억원 규모의 민관 사이버 보안 펀드를 조성해 제로 트러스트, AI 등 유망분야 스타트업 지원과 기업간 M&A를 통한 스케일업 지원 투자를 유도하는 것이다. 

그런데 과학기술정보통신부가 편성한 내년 예산안 중 200억원 규모의 사이버보안 전용 펀드 조성안에 대해 국회예산정책처가 중소벤처기업부의 스타트업 코리아 펀드와 중복되는 점이 있다고 판단하면서 예산 축소를 예고하고 있다. 이에 더해 심각한 불황이 예상되는 내년, 민간에서 사이버 보안 전용 펀드 투자에 나설지도 의문이다. 

정부는 사이버 보안 인재 10만명을 양성한다는 야심찬 계획도 내놓고 있지만, 이를 추진할 조직이 없으며, 인력수요조사도 제대로 실시되고 있지 않다. 보안인력 육성 교육 프로그램을 마련한다 해도 교육 후 사이버 보안 현장에서 제 역할을 하는지도 불분명하다. 보안조직은 권한없이 책임만 높은 직군으로 다른 IT 분야에 비해 연봉수준도 낮고 인력 시장도 좁은 편이다. 

정부와 보안업계는 글로벌 경쟁력을 높이기 위해 ‘제로 트러스트’에 올인하고 있는데, 이 정책 방향도 우려스러운 부분이 많다. 제로 트러스트를 원활하게 이행하기 위해서는 현재와 미래 기술을 유연하게 연동할 수 있어야 하는데, 국내 보안 기업의 강한 연대로 ‘K-제로 트러스트’를 만든다는 계획을 밝히고 있기 때문이다. 개방형 글로벌 표준을 따르지 않는 제로 트러스트는 이종 기술 연계가 불가능해 확장성을 보장할 수 없다. 

진정한 ‘글로벌 정보보호 강국’이 되기 위해서는 국적에 구애받지 않는 탄탄한 보안 생태계가 마련되어야 한다. 생태계 내에서 여러 협력 모델을 만들면서 다양한 환경에 적용 가능한 레퍼런스를 완성해가야 한다. ‘한국형’에 매몰되는 순간, 글로벌 강국은 도달할 수 없는 목표가 될 것이다.

#12 다양한 생체정보 활용 확대 … 관리·보안 규제 마련 시급

생체정보가 다양한 분야에 사용되면서 보안위협도 날로 높아지고 있다. 특히 안면인식을 이용한 본인인증과 부인방지 기술이 일반적으로 사용되고 있으며, 출입통제, 금융거래, 신분확인 등에 이용되면서 악용 가능성도 높아지고 있다. 

가장 높은 우려를 낳고 있는 것이 딥페이크로, 특정인의 외모와 음성을 똑같이 만든 조작된 영상으로 금융거래를 조작하고, 가짜뉴스 확산과 잘못된 여론 형성을 만들어낼 수 있다. 사람의 눈으로 위조 여부를 확인할 수 없는 정교한 딥페이크 영상이라도 IT 기술은 구분할 수 있다고 믿었지만, AI 기술이 고도화되면서 딥페이크를 가려내는 기술도 속이는 진보한 공격기술도 등장한 상황이다. 

VR·AR 기기가 사용되면서 생체정보의 무단수집과 악용 가능성도 제기된다. VR·AR 기기는 사용자가 착용하면서 다양한 감정과 건강상태를 읽어낼 수 있다. 공격자가 악용한다면 이 기기가 수집한 데이터를 기반으로 사용자의 습관과 기호, 건강정보를 파악해 정교한 사회공학 공격이 가능해진다. 

전 세계 생체인식 시장은 2028년까지 연평균 15% 성장해 1050억달러 규모를 이룰 것으로 예상된다. 그런데 생체정보는 한 번 유출되면 바꿀 수 없으며, 악용됐을 때 제어할 수 있는 방법이 마땅치 않아 큰 피해로 이어질 수 있다. 그래서 선진국에서는 생체정보 보호 규제를 강화하고 있다.

우리나라에서는 개인정보보호위원회를 중심으로 가이드라인을 마련하고 필요한 조치를 강구하고 있지만 법으로 강제된 규제가 아니기 때문에 강화된 법안 마련이 필요하다. 현재 생체정보 보호 항목을 명시한 규제는 안면인식을 통한 출입국 관리에 필요한 ‘출입국관리법’과 ‘항공보안법’이 있다. 개별 규제에 흩어진 생체정보 보호 규정을 통합하고, 체계적인 관리와 보호를 의무화한 규제 마련이 필요하다.