인공지능(AI), 클라우드, 블록체인, 빅데이터, 5세대(G) 통신 등 핵심 기반 기술의 본격적으로 상용화되면서 전 산업에 걸쳐 IT 인프라 혁신과 디지털 트랜스포메이션(Digital Transformation)이 크게 강화되고 있다.

이와 함께 금융, 통신, 공공, 제조 등 각 분야의 디지털전환에 위한 보안 인프라의 강화도 동시에요구되고 있다. 디지털전환 시대에 걸맞는 IT 인프라의 지능화(Intelligence)가 핵심이다.

<디지털데일리>는 오는 4월 24일(목) 개최되는 ‘NES 2019, 디지털트랜스포메이션 & 지능형 보안 전략’ 컨퍼런스에 맞춰 올해 보안시장 최신 동향을 분석하고 전망해본다.<편집자>

[디지털데일리 홍하나기자] 정부가 각종 규제를 푸는 것은 기업들에겐 매우 반가운 일이다. 규제 해소를 통해 기업들에게 신규 비즈니스의 기회가 새롭게 창출되기 때문이다. 물론 그 과정에서 양질의 일자리도 늘어난다.

법적인 절차가 어렵고, 시간이 오래 걸리는 사안들은 패스트 트랙이나 규제 샌드박스를 통해 적극적으로 규제해소에 나서고 있다.

금융산업의 경우, 큰 폭의 규제해소를 통한 신규 핀테크 비즈니스 모델이 올해부터 활발하게 분출되는 모습이다. 이미 금융 당국은 지난해 하반기 빅데이터(My Data) 활성화 조치와 클라우드 허용 범위 확대를 담은 전자금융감독규정 개정을 발표한 바 있다.

그러나 이러한 달콤한 규제해소의 이면에는 반드시 지불해야 할 의무가 있다. 다름아닌 완벽한 보안이다. 일단 일자리 창출이 급하다고 보안을 소홀이 할까봐 걱정하는 목소리도 그만큼 커지고 있는 것이 사실이다.

특히 금융 클라우드와 빅데이터 관련 규제해소는 극도로 민감한 금융 데이터에 관한 것이기때문에 금융 당국은 이 부분에도 같은 비중으로 신경을 써야한다는 게 국내 보안 관련업계의 주문이다.'

비단 금융산업뿐만 아니라 인공지능(AI), 빅데이터, 클라우드, 5G 기반의 통신 기술들은 여러 산업군의 디지털 트랜스포메이션을 이끄는 강력한 견인차가 되고 있다.

하지만 아쉽게도 규제해소와 함께 제시되는 기존 보안 프로세스에 대한 대책은 상대적으로 소홀하다는 느낌을 지울 수가 없는 게 사실이다.

◆앞다퉈 '디지털 트랜스포메이션' 외치지만 보안 투자는? = 각 산업 분야에서 디지털 트랜스포메이션이 가속화되고 있고, 동시에 새로운 보안 위협도 대두되고 있다. 이는 국내 뿐만 아니라 글로벌 시장에서도 동일하다.

IBM, 시스코 등 주요 디지털 트랜스포메이션을 선도하는 주요 글로벌 IT기업들은 그에 못지않은 다양한 보안 전략을 제시하고 있다. 디지털 트랜스포메이션에 걸맞는 높은 수준의 보안을 '지능형 보안' 전략으로 규정하는데, 이러한 높아진 보안 요구를 정부와 기업이 적극적으로 대응해야한다는 주문이다.

지난 2월, 정부는 부산과 세종시 두 곳을 대상으로 미래형 스마트시티 선도모델인 국가 시범도시 시행계획을 발표한 바 있다. 민간 투자 자본까지 합쳐 수조원이 투자될 예정이다.

세종 5-1 생활권의 경우 인공지능(AI) 기반으로 모빌리티‧헬스케어 등 7대 서비스를 구현하고, 부산의 에코델타시티에는 ‘로봇과 함께하는 도시생활’ 및 ‘한국형 물 특화 도시모델’을 구축해 로봇 및 물 관리 신산업 생태계를 조성한다는 계획이다. 특히 자율주행‧공유 기반의 첨단교통수단 전용도로와 개인소유차량 진입제한 구역 등이 실현될 예정이다.

헬스케어도 핵심 서비스로 제공되며, 개별 병원이 네트워크로 연결되어 축적된 개인 건강데이터를 활용한 맞춤형 의료, 환자 상태(위치, 질병종류, 대기시간 등)에 따른 최적병원 연계로 편리한 의료서비스를 제공한다는 청사진도 포함됐다.

그러나 이러한 화려한 청사진 뒤에 숨어있는 리스크를 정확하게 진단하는 것도 정부의 중요한 역할이다. 정부는 개인 데이터를 안전하게 관리하기 위한 블록체인이 서비스 전반에 접목되며, 인공지능(AI)으로 도시를 운영하는 세계 최초 스마트시티를 목표로 조성될 예정이라고 다짐하고 있지만 실제로 생각과 행동이 일치할 수 있을지는 지켜볼 일이다.

◆클라우드보안. 관심 고조 = 최근 기업들은 디지털 트랜스포메이션의 핵심 기술로 클라우드를 꼽고 있다. 클라우드는 별도의 물리서버 없이 가상의 클라우드 인프라를 이용해 서버 환경을 빠르게 구축하는 컴퓨팅 서비스다. 물리 서버에 비해 비용 효율이 높고 관리가 용이한 장점으로 기업들은 클라우드 환경을 구축하고 있다.

포브스에 따르면, 오는 2020년 글로벌 기업의 클라우드 전환율이 83%에 이를 것으로 전망된다. 또 기업의 데이터 43%가 클라우드에 위치할 전망이다.

하지만 기업의 클라우드 전환과 관련한 전망이 마냥 밝지만은 않다. 기업들이 클라우드를 채택하는 만큼. 이를 노린 공격도 증가할 전망이다.

보안기업 파이어아이는 "클라우드 관련 문제는 2019년에도 지속되고 심화될 것으로 예상된다"며 "클라우드로의 대단위 마이그레이션에도 불구하고 대부분의 기업은 클라우드 보호에 필요한 만큼 노력을 기울이고 있지 않다"고 지적했다. 이어 파이어아이가 처리하는 사고 대응 및 침해 사례 중 약 20%가 클라우드와 연관됐다고 설명했다.

클라우드 보안이 대두되는 이유는 데이터에 있다. 보안 전문기업인 맥아피의 2019년 사이버 보안 위협 예측 보고서에 따르면, 클라우드에서 관리되는 콘텐츠의 약 21%에는 지적재산, 고객 개인 데이터 등의 기밀 데이터가 포함됐다. 따라서 취약한 응용프로그램인터페이스(API), 관리되지 않은 API 엔드포인트를 대상으로 한 공격이 발생할 수 있다.

팔로알토 네트웍스도 “클라우드로의 전환은 중요한 비즈니스 데이터와 시스템을 써드파티 사업자와 공유하는 것”이라며 “이러한 자산은 안전하게 저장·전송되어야 하며, 승인된 인력만 접근할 수 있어야 한다”고 주장했다.

무엇보다 클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없다. 데이터, 애플리케이션, 운영 체제, 네트워크 구성 등의 보안 문제를 해결해야 하는 기업과 책임을 공유해야 한다. 이러한 상호 연결된 에코시스템이 보안을 훨씬 더 복잡하게 만든다. 특히 사이버 보안 담당 인력을 관리하고 다양한 포인트 제품을 취급해야 하는 기업들의 경우 더욱 어려움을 겪게 된다는 것이 회사 측의 설명이다.

기업들의 취약한 보안 상황은 사이버 공격자들이 사이버 공격을 더욱 쉽게 할 수 있는 요인이다. 최근에는 해커들도 AI 등 신기술을 활용한 진화된 공격을 벌이고 있어 공격자와 방어자의 숨 막히는 접전이 이어질 것이라는 전망이 나오고 있다.

시만텍의 경우, 올해 공격자들이 AI를 활용해 공격을 단행할 것이라고 전망했다. 시만텍 측은 “공격자들이 AI 기술을 활용해 공격 활동을 강화할 것”이라며 “AI기반의 자동화된 시스템은 악용될만한 취약점이 있는지 찾을 수 있다”는 견해를 밝혔다.

국내 보안기업 이스트시큐리티도 “공격자들은 올해 악성코드 분석, 모니터링 방해, 다형성 악성코드 제작, 보안 솔루션 우회 등을 목적으로 AI 기술을 활용한 진화된 공격을 시도할 것”이라고 전망했다.

따라서 기업들도 이에 대응하는 지능형 보안전략을 택해야 한다는 지적이 제기되고 있다. 팔로알토 네트웍스는 "기존 IT 관리자원을 데브옵스로 전환하는 과정에서 보안을 유지하는 것이 새로운 도전과제로 떠오르고 있다"며 "기업에서는 프로세스와 기술, 그리고 시스템을 안전하게 보호하는 것에 만전을 기해야 한다"고 당부했다.

이어 "공격 라이프사이클의 모든 단계에서 알려진 위협과 알려지지 않은 위협을 탐지하고 방어하기 위해서는 통합형의 자동화된 보안 제어 전략이 필요하다"고 제언했다.

<홍하나 기자>hhn0626@ddaily.co.kr