시대에 따라 보호해야 하는 대상과 방법은 다르다. 새로운 것이 기존 방식을 대체할 때 혼란이 따른다. 요즘 기업의 보안 담당자가 겪고 있는 혼란도 같은 맥락에서 이해할 수 있다.
기업의 IT 환경은 ‘연결’의 확장 속에서 발전해 왔다. 1990년대는 PC가 직원들의 책상 위에 하나 둘씩 올라가고 이들이 사내 망(LAN)으로 묶였다. 당시 엔터프라이즈 컴퓨팅 환경은 클라이언트/서버 구조를 띄었다. 연결은 외부가 아니라 내부를 향했다. 당시 보안의 핵심은 바이러스를 막는 것이었다.
2000년대 인터넷 시대가 되면서 기업의 IT 환경은 웹, 미들웨어, 서버라는 3티어 구조를 띄기 시작했다. 연결이 외부로 향하면서 보안 방식은 사내 망과 외부 공용 망인 인터넷의 경계를 지키는 쪽으로 변했다. 방화벽, 침임탐지시스템 등 주로 외부 침임에 대비하는 보안 방식이 대세가 된 것이다.
초연결시대, 정보가 돈이다
2015년 현재 엔터프라이즈 컴퓨팅 환경은 연결의 범위가 더 넓어졌다. 직원 한 사람이 쓰는 모바일 기기 수는 점점 더 많아지고 있고 이제는 사물까지 연결의 대상이 되고 있다. 더 이상 경계를 지키는 것만으로는 안전을 보장할 수 없다.
오늘날 유행하는 멀웨어, 봇, 스팸 등의 위협이 목표로 하는 것은 시스템 침입이나 파괴가 아니다. 해커들은 돈을 원하고 돈이 되는 것은 정보다. 악성코드 대부분이 데이터 유출/침해를 위해 만들어진다.
데이터를 빼가기 위한 기법은 보안 업계 사람들을 놀라게 할 정도로 빠르게 발전하고 있다. 보안 업계에서 나름 대책을 강구해 제로데이 공격, APT 공격을 방어할 수 있는 솔루션을 내놓고 있지만 근본적인 해결책이 아니란 점에는 모두가 공감하고 있다.
기존 방식으로 대응하다 보니 새로운 공격 유형이 나올 때마다 새로운 보안 도구를 들여다 놓는 악순환이 반복되고 있다. 이 고리를 끊는 방법은 사실 오래된 기술, 다시 말해 가장 안전하고 근본적인 보안 대책을 적극 활용하는 것이다. 바로 암호화다.
데이터 보호 원천기술은 ‘암호화’
암호화는 오래된 기술이다. 그리고 암호화는 태생적으로 데이터 그 자체를 보호하기 위해 태어났다. 오늘 날처럼 모든 연결의 무한히 확장되는 시대에 데이터를 안전이 보호하는 근본적인 방법은 암호화뿐이다. 이런 이유로 암호화는 모든 엔터프라이즈 솔루션의 기본 기능으로 자리잡고 있다.
윈도우 운영체제의 경우 비트라커라는 디스크 암호화 기능을 제공하고 있다. 비즈니스용 기기에 장착된 인텔 프로세서도 AES-NI 암호화 명령어 세트를 제공해 하드웨어 기반 암호화 가속을 지원한다.
데이터베이스 업체들은 TED를 통한 암호화를 지원한다. 이외에 이메일 서버, 백업 솔루션 등 엔터프라이즈에서 쓰이는 솔루션 모두 암호화 기능을 제공한다.
이처럼 보편적인 암호화를 효과적으로 적용하는 방법은 간단하다. 바로 키 관리를 중앙집중화 하는 것이다. 암호화는 강력하다. 해커들도 이를 잘 안다. 그래서 해커들은 암호화를 풀 수 있는 키를 노린다. 암호화에는 열심이지만 대부분의 기업이 키 관리는 소홀이 한다는 점을 파고드는 것이다.
엔터프라이즈 관점에서 모든 시스템을 아우르는(End to End) 암호화의 기틀을 다지기 위해 키 관리를 전용 장비(HSM)로 해야 하는 이유다.
키관리·접근제어·사용자 인증 시스템 갖춰야
HSM만 갖추면 보안 고민이 해결될까? 여기에 한 가지가 더 필요하다. 암호화 된 데이터에 대한 접근을 적절이 제어하기 위한 수단이 필요하다.
중요 시스템과 데이터에 대한 접근제어를 위해 오랜 기간 사용되어 온 ID/패스워드는 사실 보안에 매우 취약하다. 이를 보완하기 위해 최근 OPT나 보안 토큰, 지문 등 생체 정보를 이용한 다중 인증을 채택하는 곳이 있지만 아직 그 비중은 미미하다.
암호화가 새로운 시대 새로운 보안 방식의 한 축이라면 사용자 인증은 또 다른 한 축이라 볼 수 있다. 사용자 유형, 권한, 역할 별 접근 제어를 하는 바탕은 바로 사용자 인증이다.
정리하면 최근 엔터프라이즈 컴퓨팅은 안으로는 사설 클라우드, 밖으로는 공용 클라우드와 연결되고 있다. 하이브리드화 되어 가고 있다는 말로 요약할 수 있는데 이런 변화 속에서 데이터를 안전하게 지키는 유일하면서 가장 확실한 방법은 암호화와 사용자 인증이다.
경계만 지켜서는 사내와 사외를 오가는 데이터를 보호할 수 없다. 데이터는 늘 움직인다는 것을 인정해야 한다.
이를 인정하는 순간 데이터 중심 보안이라는 개념이 자연스럽게 다가올 것이다.
