오늘날 우리는 일상의 거의 모든 정보를 휴대전화이나 컴퓨터, 네트워크 환경에 데이터 형태로 보관해 놓는다. 민감한 개인정보부터 기업의 핵심 기술, 사업 계획서 등 기업이나 단체의 존폐를 결정지을 수 있는 수많은 기술, 정보들이 서류나 실물의 형태가 아닌 데이터의 집합체로 컴퓨터 네트워크 안에 존재하고 있다. 더구나 디지털화가 대세로 자리 잡으면서 컴퓨터 네트워크 안으로 들어가는 정보가 나날이 많아지고 있다.
일례로 우리는 스마트폰 하나에 수많은 개인정보를 보관하고 다닌다. 지인들의 연락처부터 신분증, 금융 정보, 개인 취향까지. 모든 정보를 한 곳에 보관하기에 언제, 어디서나 스마트폰 하나면 대부분의 문제를 해결할 수 있지만, 역으로 스마트폰 하나만 해킹할 수 있다면 한 사람의 모든 개인정보를 취득할 수 있게 되었다.
이처럼 모든 정보가 디지털화되면서 정보 보안과 데이터 보안이 그 어느 때보다 중요해졌다. 정보 보안은 무엇이고, 세계 각국은 이 문제에 얼마나 진심을 기울이고 있는지, 정보 보안의 현재와 미래를 살펴보았다.
정보 보안이 중요한 이유
정보 보안은 컴퓨터와 네트워크, 데이터를 비롯한 조직 자산에 대한 무단 접근을 막는 사이버 보안 전략을 의미한다. IT 환경에서 정보를 빼내기 위한 방법은 나날이 교묘하고 고도화되고 있다. 과거에는 핵심 정보를 얻기 위해 사람이 직접 데이터가 저장된 기기에 접속하는 방식이 최선이었지만, 디지털 환경이 발전하면서 보다 다양한 방식이 등장하고 있다.
웹사이트와 앱을 다운시키는 방법, 데이터센터에 랜섬웨어나 스파이웨어, 바이러스 등의 악성코드를 풀어버리는 방법, 트로이 목마를 이용해 접근 권한을 얻는 방법 등 디지털 환경의 발전에 따라 해킹 기술도 다변화되고 있는 것이다.
반대로 IT 환경에서 정보를 지키기 위한 정보 보안은 크게 4가지 카테고리로 나뉜다. 먼저 네트워크 보안이다. 인증받지 않은 사람의 네트워크 접속을 원천 차단하는 방식으로 해커의 네트워크 침입을 막는 데 활용된다.
인터넷 보안은 브라우저에서 보내고 받는 정보를 보호한다. 인터넷 트래픽에 악성코드나 원치 않는 트래픽이 포함되어 있는지를 실시간으로 감시하는 방법이다. 방화벽, 악성코드 차단, 안티 스파이웨어와 같은 형태로 서비스된다.
클라우드 보안은 최근 늘어나는 클라우드 서비스 이용자들의 보안을 위한 방법이다. 클라우드 아키텍처 내에서 데이터와 정보를 보호하도록 설계된 기술로 데이터와 애플리케이션 및 인프라 서비스를 보호한다.
마지막은 엔드포인트 보안이다. 휴대전화이나 태블릿, 노트북, 컴퓨터 등 장치 자체를 보호하는 방식이다. 장치의 소프트웨어에 보안 프로그램을 설치해 장치에서 악의적인 네트워크에 액세스하는 시도 자체를 방지하는 보안이다.
세계 각국의 정보 보안 현황은?
코로나19로 인해 전 세계적으로 재택근무를 비롯, 인터넷 기반 근무 환경이 일반화되었다. 이에 따라 정보 보안의 중요성도 덩달아 커지면서 세계 각국은 급변하는 디지털 환경에 대응하는 각종 정보 보안 관련 제도와 법을 제정하고 있다.
우리나라 역시 1986년 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’과 2005년 ‘국가사이버안전관리 규정’을 제정했으며 국가정보원 산하에 국가사이버안보센터를 개소하며 정보 보안에 대응하고 있다.
하지만 현재 제정된 법은 구속력이 약하고, 대응력이 미흡하며 컨트롤 타워가 명확하지 않다는 단점을 지니고 있다. 게다가 정보 보안 관련 법이 국가정보원을 중심으로 제정되어 있어 민간 기업이나 해외 기업에 대한 사찰이 가능하다는 불만이 제기되고 있는 상황이다. 그렇다면 해외의 사정은 어떨까?
먼저 미국의 경우, 정부와 민간 기업의 유기적인 협력을 바탕으로 정보 보안을 중대한 사안으로 관리하고 있다. 미국 연방 정부와 국방부는 매년 사이버 보안 관련 지출을 꾸준히 늘리고 있으며, 바이든 대통령은 2021년에 ‘국가의 사이버 보안 향상에 관한 행정 명령’과 ‘핵심 인프라 제어 시스템을 위한 사이버 보안 개선에 관한 국가 보안 각서’에 서명하며 정보 보안 관련 규정을 세분화시키고 있다.
일본의 경우, 2020년부터 랜섬웨어 피해가 늘어나면서 사이버 보안에 관한 각종 제도가 긴급하게 마련되고 있다. 2021년 9월 1일 디지털 개혁을 주도할 디지털청이 출범했고, 관련 법안도 6월에 통과되었다. 정부가 의욕을 가지고 정보 보안에 투자하고 있지만, 전반적으로 일본 기업 자체의 사이버 보안 의식이 낮아 뚜렷한 성과는 보이지 않고 있다. 특히 사이버 보안과 관련된 인재가 부족해 기업들이 보안 생태계의 변화를 따라가지 못하고 있는 것으로 보인다.
유럽은 2019년 EU 전체에 적용되는 사이버 보안 인증 제도를 실시하며 사이버 보안법을 시행했다. 이들은 유럽 시장의 분열과 장벽에 대한 위험을 막기 위해 공통의 사이버보안 인증 프레임워크를 구성하는 것을 목표로 하고 있다. 더불어 우크라이나-러시아 전쟁으로 인해 유럽 회원국의 강력한 사이버 위기 대응 능력을 강화하기 위한 민간과 군사 협력의 필요성을 인식하고 관련 정보 보안 능력을 보유하기 위한 노력을 이어가고 있다.
향후 정보 보안 트렌드는?
최근 주목받는 정보 보안 트렌드는 제로 트러스트다. 이름 그대로 신뢰가 없다는 뜻으로 신뢰할 수 있는 네트워크 경계는 존재하지 않는다는 가정을 기반으로 하는 정보 보안 방법론이다. 2010년에 처음 대두된 개념으로 제로 트러스트 아키텍처에서는 신뢰할 수 있는 네트워크를 만들려고 시도하지 않으며 모든 계정, 정책, 위협을 관리하는 데 일관적인 원칙을 유지한다. 최근 등장하는 정보 보안 솔루션, 기술들은 대부분 이 제로 트러스트를 기반으로 하고 있다.
2020년대 들어 주목받는 정보 보안기술의 대표주자는 인공지능과 머신러닝이다. 기존의 정보 보안 기술은 정해진 몇 가지의 사이버 공격만을 기계적으로 막아낼 뿐이었지만, 사이버 공격의 종류와 방식이 다양해짐에 따라 보다 폭넓은 보안 기술이 중요해졌다.
이에 사이버 공간에서 위협으로 기능할 수 있는 공격을 인공지능이 직접 판단해 선제적으로 대응하는 인공지능, 머신러닝 기능이 중요해졌다. 과거처럼 단순히 사이버 공격을 탐지하고 그에 맞춰 대응하는 수준이 아니라 공격자보다 앞서서 이를 방어하고, 공격 시도 자체를 방해하는 기술이 나날이 고도화되고 있는 것이다.
양자 보안 기술 역시 화제다. 양자 보안기술은 양자컴퓨터의 탁월한 연산능력으로도 뚫을 수 없는 보안 기술을 의미한다. 양자의 물리적 상태를 보안에 활용하는 기술로 양자의 가장 큰 특징인 중첩과 얽힘 현상을 활용한다.
양자는 복제될 수 없으면서도 동시에 두 개의 성질을 보유하고 있다. 이 특성을 활용해 양자 상태로 정보를 전달하면 수신자가 아닌 사람이 접근할 때 체계가 바로 붕괴되어 데이터가 훼손된다. 수신자와 발신자 외에는 누구도 정보를 열람할 수 없다는 뜻이다.
4차 산업혁명, 코로나19로 인한 디지털화 등 사회와 산업 전반에서 디지털 환경이 나날이 확대되고 있다. 클라우드 전환으로 업무 환경이 복잡해지고 네트워크 환경이 모호해질수록 해킹과 정보 유출의 위험은 시간이 갈수록 커질 수밖에 없다.
다양한 분야에서 공격 포인트가 도출되는 시기인 만큼 하나의 보안 프로그램이나, 기술, 사람에 의존하기보다는 보다 다면적이고 입체적인 정보 보안 기술, 방법론이 필요한 시점이다.
