스마트폰·클라우드에서의 보안
스마트폰 보안은 원론적으로 PC에서 일어나는 보안 이슈가 스마트폰에서도 모두 발생할 수 있다.
먼저 소프트웨어 플랫폼을 잘 설계하는 것이 보안의 첫 걸음이다. 우리나라의 보안 문제가 심각한 이유 중 하는 소프트웨어를 다 만들고 난 다음, 시스템을 다 구축하고 난 다음에야 보안에 나서기기 때문이다. 잘못 만들어진 소프트웨어는 사용자와 개발사 모두를 힘들게 한다.
다른 한편으로 스마트폰과 보안 이야기를 할 때 ‘위협’과 실제로 발생할 수 있는 ‘위험(리스크)’을 흔히 혼동한다. 언론이나 어떤 발표를 보면 해킹을 시연해 위험성을 경고한다. 사실 해킹이나 암호를 깨는 것은 얼마든지 가능하다. 문제는 ‘그 정도의 돈과 노력을 들여서 그렇게 할 이유가 있는가’다.
정보는 중요도에 따라 공유되어도 되는 것과 외부로 유출되면 안 되는 것, 그리고 최고 기밀 정보 등으로 나눌 수 있다. 이런 차이를 고려하지 않고 무조건 일괄적으로 보안을 하면 더욱 심각한 문제를 일으킬 수 있다. 해킹이 가능하다는 사실 자체보다는 기업 및 고객의 정보가 유출되거나 DDoS 공격을 받을 수 있다는 리스크 측면에서 접근해야 한다. 이러한 맥락에서 스마트폰 보안 이슈도 차분하게 볼 필요가 있다. 가령 스마트폰 악성코드는 스마트폰뿐 아니라 SD 카드나 PC 감염 등의 종합적 관점으로 봐야 한다.
스마트폰 다음으로 주목받는 키워드가 클라우드 컴퓨팅이다. 클라우드 컴퓨팅과 보안의 관계는 세 가지 관점에서 볼 수 있다.
첫째는 클라우드 컴퓨팅 기술을 접목한 보안 솔루션이다. 한 달에 100만 개 이상씩 발견되는 악성코드를 모두 사용자 PC에서 처리하면 부하가 크기 때문에 서버에서 제어하는 것이 훨씬 효율적이다. 또한 그 속에 많은 알고리즘을 적용해 더 정교하고 정밀한 대응이 가능하다. 이를 위해 클라우드 시스템을 구축, 각 PC와 스마트폰, DDoS 차단 장비 등 다양한 기기에 활용할 수 있다.
둘째는 클라우드 컴퓨팅 자체의 안전을 뒷받침하기 위한 보안으로서 자동화한 위험 탐지 및 대응 체제와 보안 관제 서비스가 해당한다.
셋째가 클라우드 컴퓨팅을 구축할 때 필요한 보안 기술이다. 기존 컨셉, 기존 제품으로만 보지 않고 다시 분해하고 재조합해 각 트랜잭션이나 단계별로 어떻게 처리할지 세밀하게 볼 필요가 있다. 아울러 전방위 대응 능력, 보안 표준 업데이트, 관련 기관과 긴밀한 협력이 필요하다.
“소프트웨어 생태계 전체를 보자”
IT 인프라의 변화를 한 마디로 표현하면 컨버전스라고 할 수 있다. IP 프로토콜을 기반으로 음성, 오디오, 비디오 및 데이터 등의 멀티미디어를 복합적, 통합적으로 제공하는 시대가 됐다. 이러한 컨버전스 시대에는 보안도 입체적으로 접근해야 한다.
지금은 하드웨어, 그 다음 소프트웨어를 배워서 하는 시스템이 아니라 사용자 스스로 쓸 것을 찾고, 그 다음에 스마트폰을 정하고 통신사를 정하는 시스템이기 때문에 애플리케이션과 콘텐츠 관점에서 볼 필요가 있다.
그리고 글로벌 트렌드를 이끄는 애플과 구글의 트렌드를 놓쳐서는 안 된다. 이들이 만든 수퍼 플랫폼 아래에 수많은 애플리케이션 플랫폼이 만들어질 수 있다. 이렇게 콘텐츠와 단말기가 교류하도록 안전한 플랫폼을 만드는 것이 보안의 역할이다. 즉, 소프트웨어 생태계 전체를 폭넓게 보는 것이 중요하다.
사실 조직 구성원들이 업무에 활용하기 위해 웹 메일이나 스마트폰 쓰는 것을 막을 수는 없다. 즉, 단순히 하드웨어와 소프트웨어 사는 것이 아니라 입체적으로 자신의 업무를 중심으로 설계하는 관점이 필요하다.
현재의 플랫폼은 클라우드, 웹, 소셜 네트워크, 애플리케이션으로 구성된다. 이런 플랫폼이 각종디바이스와 맞물려 돌아간다. 예를 들어 교육 측면을 보면 이미 많은 교육 자료가 디지털로 저장됐고 BBC나 디스커버리 채널의 많은 자료도 멀티미디어로 제작돼 있다. 디바이스만 나오면 학생들이 학교에서는 아이패드나 태블릿PC로, 밖에서는 스마트폰으로 보고 집에서는 PC로 공부하고, 가족과 함께 TV로 보게 된다. 필자는 아마존 킨들을 갖고 있는데 킨들에 있는 콘텐츠를 아이폰이나 아이패드, PC에서도 활용한다. 이것이 바로 소프트웨어 플랫폼이 중요한 이유다. 어느 디바이스에 어떻게 적용되느냐는 그 다음에 고민할 사안이다.
그런데 이 과정에서 놓치지 말아야 할 것이 ‘얼마나 측정할 수 있고 추정 가능하며, 투명하고 안전한 플랫폼을 만드냐’의 여부다. 가령 모바일 오피스를 만든다면 허용할 수 있는, 허용해야 하는 디바이스를 정하고 로드맵을 만들어야 한다. 또 이메일, 소셜 네트워크 등을 오픈할 것과 하지 않을 것을 구분하고, 어떻게 얼마나 안전하고 추적 가능하게 할 것인가를 시스템화해야 한다.
“신뢰성 지닌 플랫폼 창조가 진짜 보안이다”
개인적으로는 보안 기술이 다른 소프트웨어나 IT 기술과 구분되는 가장 중요한 요소는 지능성이라고 생각한다. 예를 들어 라우터는 테이블에 저장된 것을 다른 곳에 보내기만 하면 역할이 끝난다. 그러나 방화벽이나 IPS, DDoS 방어 장비 등의 보안 제품은 수많은 패킷을 다 분석해야 한다. 다시 말해 다른 소프트웨어는 로직을 따라가면 되지만, 보안은 각 콘텐츠의 가치를 따져야 한다. 따라서 IT에서 일어날 수 있는 모든 문제를 가장 잘 해결할 수 있는 것은 보안 소프트웨어이다.
더욱이 보안 기술은 얼마든지 외연을 확장해 다양한 서비스나 하드웨어와 접합될 수 있다. 보안 제품이 따로 있는 것이 아니라 보안에 관한 많은 아이디어와 컨셉이 다양한 서비스와 애플리케이션, 콘텐츠와 디바이스에 스며들어가는 것이다. 그것이 진정한 보안이고 사용자를 편하게 하는 시스템이라고 생각한다.
지금 일어나는 변화는 정말 예상을 초월하는 굉장히 큰 변화이다. 엔지니어만이 아니라 사회 전체가 바뀌는 것이다. 그래서 보안은 외부의 위협을 막는다는 관점에서 좀 더 적극적으로 나가야 한다. 플랫폼에 스며들어서 투명하고 측정 가능하고 신뢰할 수 있는 플랫폼을 만드는 데 기여하는 것이 모바일 인터넷과 컨버전스(융합)의 시대에 우리가 고려할 요점이다.
