전 세계적으로 지능형 보안공격이 심각한 문제로 떠오르면서 최고보안책임자(CSO)의 중요성이 더욱 높아지고 있다. 우리나라에서는 CIO와 CISO/CSO의 겸직을 금지하고 CISO/CSO를 반드시 임명하도록 하는 등 보안 총 책임자의 책임과 권한을 높이고 있다.
이러한 추세는 전 세계적으로 동일하게 나타나는 것으로, 메리 앤 데이비슨 오라클 CSO는 “CSO/CISO의 역할이 점차 중요해지고 있다. 제가 CSO로 임명될 당시, 오라클 CEO는 저를 CSO로 지목한 이유로 “다른 사람들에게 큰 목소리를 내고, 화를 낼 수 있기 때문”이라고 설명한 바 있다”고 말했다.
기업 경영진이 사내 IT 보안에 높은 관심을 갖고 있지만, 모든 기업이 이와 관련해 응당 해야 할 대응책을 마련한 것은 아니라고 데이비슨 CSO는 강조했다.
그는 “기업에서 CSO를 고용하지 않는 것도 문제지만, 기업 내 CSO의 목소리와 의견을 제대로 듣지 않고 있는 것 또한 문제다. 실제로 한 기업에서는 CSO의 의견을 무시해 보안 사고가 발생했고, 이로 인해 규제 당국의 규제를 받은 일도 있었다. 그러나 사고 후에도 CSO의 조언대로 기업 보안 인프라를 강화하지 않았다”고 지적했다.
이어 그는 “오라클도 IT 인프라에 대한 고민을 강화하고 있다. 저는 오라클 CSO로서 제품의 보안에 관한 일에 집중하고 있다. 특히 클라우드 등 오라클 제품을 고객들이 보다 안전하게 사용할 수 있도록 지원하고 있다. 단순히 별도의 보안 제품을 개발하고 판매하는 것이 아니라 모든 오라클 제품의 보안을 확보하는 것이 저의 역할이다. 오라클도 오라클 제품을 사용하고 있기 때문에 오라클 제품을 통해 오라클과 오라클의 고객들이 피해를 보지 않도록 하기 위해 풀 스택에 걸쳐 보안 기능을 통합하며, 보안을 확보하고 있다”고 강조했다.
첨단 IT 기술, 사회 전반·실생활로 퍼져
예전에는 IT 보안에 관한 관심이 그리 높지 않았지만, 이젠 모든 회사 및 모든 산업 분야에서 IT 보안에 관심이 있으며, 보안 솔루션을 사용하고 있다. 점차 많은 데이터가 발생하고 있으며, 더 많은 기업에서 고객 만족도를 위해 보다 많은 양의 데이터를 활용하고 있다.
이와 동시에 디지털 파괴라는 새로운 기술도 등장하고 있다. 이 때문에 IT 기술을 제대로 사용하지 못하는 기업 및 정부 기관도 있다. 현재는 학교 교육 분야에서도 IT 기술이 폭넓게 사용되고 있으며, 정부 서비스 및 3D 프린팅 등 디지털 매커니즘이 사회 전반적으로 활용되고 있다. 이러한 상황에서 IT 보안을 확보하는 것이 매우 중요해졌다.
앞으로는 디바이스 수가 폭발적으로 늘어날 것으로 예상된다. 예를 들어 팔목에 착용 가능한 건강 팔찌 등 건강과 스포츠 분야에서뿐 아니라 농업 및 축산 분야에서도 센서 기술을 활발히 사용하고 있다. 이와 더불어 IoT가 많은 가정에 전파되고 있다.
데이비슨 CSO는 최근 IT 환경에 대해 이렇게 설명한 후, 현대 디지털 환경에서는 ▲클라우드 보안 ▲모바일 보안 ▲데이터 프라이버시 ▲소프트웨어 보장 등이 필요하다고 강조했다.
해킹이 가장 큰 위협으로 꼽혀
그는 사이버 보안 위협 중 가장 큰 위협으로 해킹을 꼽으며 “버라이즌 보고서에 따르면, 해킹 및 멀웨어로 인한 범죄가 1600% 증가했으며, 이제 은행강도 등 물리적으로 도난하지 않더라도 범죄가 가능해진 세상이 된 것이다. 은행 등 실제로 돈이 있는 현실 공간이 아니더라도 애플리케이션 서버 및 네트워크가 범죄의 타깃이 되고 있다”고 강조했다.
이어 그는 “따라서 기업/정부는 외부의 공격에 대비해 내부의 시스템을 공고히 해야 하며, DB 뿐 아니라 하드웨어, 소프트웨어 전반의 보안을 강화해야 한다”고 역설했다.
예를 들어 애플리케이션 단에서는 더욱 미세한 코드 단위까지 고려한 보안 매커니즘을 제공하고 있다. 미들웨어 측면에서는 계정관리를 통해 누가 어떤 데이터에 접근했는지를 파악하고 관리할 수 있다. 데이터베이스에서는 접근 제어를 보다 미세한 단위로 분류할 수 있도록 솔루션을 제공하고 있다. 따라서 한 DBA가 너무 많은 권한을 갖지 않도록 제어할 수 있다.
암호화를 제대로 하는 것이 어려운데 이것은 키 관리 및 성능저하 때문이다. 이러한 이유로 과거에는 한 컬럼만을 암호화하기도 했는데, 이제는 데이터베이스를 통째로 암호화할 수 있는 기술을 제공하는 동시에 성능 저하는 최소화 될 수 있도록 지원하고 있다.
또한 그는 “칩 단위 자체에서 제어가 가능해진 만큼, 이러한 기술도 추가돼야 한다고 강조했다. 기존에 칩 내부에 저장된 것과 같이 정해진 접근이 아닌 경우 또한 코드가 잘못 입력된 경우, 칩 단위 자체에서 해당 접근을 차단할 수 있게 됐다”며 “오라클은 모바일 시큐리티 및 싱글 사인온 등 전체 풀 스택 영역에서 보안 솔루션을 제공하고 있다”고 강조했다.
