[디지털데일리 이민형기자] “아쉽게도 지난 10년간 사이버보안 분야에서 기술적인 혁신은 전혀 없었습니다.”
신수정 인포섹 대표<사진>는 10일 서울 잠실 롯데호텔에서 열린 ‘국제 정보보호 컨퍼런스’에서 이렇게 말하며 사이버보안의 패러다임이 지난 10년동안 제자리에 머물렀다고 토로했다.
신 대표는 지난 10년간 혁신이 없었던 이유로 ▲공격자 ▲시장 ▲보안의 특수성 등을 꼽았다.
그는 “지금까지 사이버공격은 초보 단계였다. 마치 좀도둑이 물건을 훔치는 수준으로 CCTV, 높은 담벼락만 있다면 대응할 수 있는 것과 동일하다”며 “좀도둑을 잡기 위해 지대공미사일을 개발, 배치할 필요는 없었다. 공격자의 낮은 수준은 낮은 수준의 보안이 통용되게 만들었다”고 강조했다.
신 대표는 시장의 원리 또한 사이버보안의 혁신을 저해해왔다고 지적했다. 좋은 상품이 있어도 수요가 없으면 실패할 수 밖에 없다. 가장 기초적인 시장 원리다.
신 대표는 “보안 시장은 굉장이 애매하다. 큰 사고가 발생하기 전까진 수요가 없다”며 “핵심기술을 개발해도 공격 상황이 발생하지 않으면 그 기술은 아무도 구입하지 않는다”고 지적했다.
보안이 가진 근본적인 특성도 혁신을 막았다고 신 대표는 설명했다. 통상 보안은 시스템을 보호하는 역할을 수행하는 부차적인 위치다. 굵직한 아이템이 등장하면 이를 보호하는 기능을 수행하는 것이 본래 목적이기에 변하기가 쉽지 않다는 것이다.
그는 “클라우드, 모바일이라는 이슈가 나온 뒤, 클라우드 보안, 모바일 보안이라는 이슈가 등장했다. 보안은 혁신을 주도하는 아이템이 아니다”라고 예를 들었다.
하지만 ‘앞으로도 사이버보안의 패러다임이 제자리에 머물 것인가?’라는 질문에 신 대표는 ‘그렇지 않다’고 주장했다.
최근 전세계적으로 이슈가 되고 있는 APT(지능형지속가능위협) 공격을 비롯해 각종 법과 규제가 현실화되고 있기 때문이다.
신 대표는 “사이버보안이 혁신되기 위해서는 공격자가 변해야하는데, 최근 이러한 추세가 눈에 띄게 증가하고 있다”며 “특히 APT 공격이나 타깃 공격은 기존의 방어체계로는 막을 수 없다. 즉, 체계를 완전히 뜯어고쳐야 한다는 것”이라고 강조했다.
실제 최근 보안업체들은 전통적인 방식에서 벗어나 가상화, 상황인지(Context Awareness), 시큐리티인텔리전스(Security Intelligence) 등을 개발, 적용하고 있다.
앞으로 보안시장에서 주목을 받을 수 있는 기술로 신 대표는 인증(Authentication)과 서비스로의 보안(Security as a Service), 시큐리티인텔리전스 등이 될 것이라고 예측했다.
그는 “모든 데이터가 클라우드에 저장되는 상황에서는 클라이언트의 보안이 가장 중요하다. 이는 결국 인증이라는 이슈로 귀결될 것”이라며 “또 보안업체들이 보안 솔루션을 납품하는 전통적인 모델에서 벗어나 고객사의 보안을 총체적으로 책임지는 모델이 나올 것이다. 이 중 관제는 기술혁신의 핵심요소가 될 것”이라고 말했다.
이어 “물론 이런 기술이 등장하더라도 사용과 관리가 힘들면 사장되는 것은 시간문제”라고 덧붙였다.
끝으로 신 대표는 ‘사이버무기’ 개발의 필요성을 역설하며 강연을 마쳤다. 그는 “강대국들이 핵무기를 보유하고 있는 이유는 전쟁을 하려는 것이 아니라 억제를 위해서”라며 “사이버보안도 마찬가지다. 방어를 위해 사이버무기 개발을 고민해봐야 할 것”이라고 주장했다.