[뉴스토마토 배한님 기자] "디지털 전환의 가속화로 인해 보안 위험이 다양해지고 고도화됨에 따라 업종의 특성을 고려하면서 위험 관리 기반의 자율적 보안을 추구하는 '면역 회복력(Resilience)'을 갖춘 디지털 보안 체계를 갖춰야 합니다."
김정덕 중앙대학교 산업보안학과 교수는 26일 제6회 IBM 시큐리티 서밋에서 코로나 뉴노멀 시대를 위한 새로운 보안 요구 사항에 대해 이렇게 말했다. 전통적 측면에서 보안이 중요시했던 데이터 보호뿐만 아니라 프라이버시·안전·믿음 등 사람과 환경까지 보호해야 한다는 것이다. 김 교수는 이를 다 합쳐서 '면역 회복력'라 불렀다. 그는 면역 회복력을 갖춘 디지털 보안을 추구하기 위한 세 가지 전략을 제시했다.
김정덕 중앙대학교 산업보안학과 교수가 26일 제6회 IBM 시큐리티 서밋에서 기조강연하고 있다. 사진/온라인 서밋 화면 갈무리
면역 회복력을 갖춘 디지털 보안 전략 세 가지는 △비즈니스 연계 보안 △데이터 기반의 보안 △인간 중심의 보안이다. '비즈니스 연계 보안'은 보안이 기술적 관점에서의 성과뿐만 아니라 그 자체로도 사업적 가치를 가질 수 있는 성과 연계성 보안이 되어야 한다는 전략이다. '데이터 기반의 보안'은 데이터를 기반으로 한 보안 자동화 전략을 뜻한다. 코로나19 이후 보안 투자와 비용에 대한 최적화를 만족하기 위해 데이터를 기반으로 특정 이벤트 기반 보안 솔루션이 아닌, 자동화된 의사결정이 이뤄지는 보안 시스템을 전략이 필요하다는 것이다.
'인간 중심의 보안' 전략은 보안이 인간의 문제임을 확인하고 인간 활동에 대해 이해하며 긍정적인 보안 활동을 유도하기 위한 전략이다. 김 교수는 이 전략으로 보안의 패러다임을 크게 바꿔야 한다고 강조했다. 보안도 사람을 위해서 존재하는 것이기 때문에 임직원의 권한과 책임을 분명히 하면서 신뢰 영역을 넓혀야 한다는 취지다.
김 교수는 "보안 관리 시스템과 체계를 구축할 때 피플(사람)·프로세스(절차)·테크놀로지(기술) 3가지 축을 세우는데, 지금까지 프로세스와 테크만 신경 쓰고, 피플은 신경 쓰지 않았다"며 "코로나19 이후로 피싱·스미싱 등이 상당히 증가하면서 인간 사회 공학적 측면을 이용한 보안 공격이 만연했는데, 이를 통해 인간 중심 보안의 필요성이 대두되고 있다"고 설명했다.
김 교수는 인간 중심의 보안 전략을 실행하기 위해 형식적인 차원의 보안 교육에서 탈피한 고차원적인 보안 인식 교육 프로그램이 개발·운영돼야 한다고 했다. 그는 "과거에는 기기의 암호화나 기본적인 하드웨어적 요소에서 보안 체계를 구축하는 '하드 트러스트'를 강조해 왔다"며 "이제는 '원칙'과 '신뢰'를 기반으로 개별 사용자의 권한·책임을 할당하는 프로그램을 개발해 하드 트러스트와 같이 유지해야 하는데, 이를 위해서는 보안 인식 교육이 특히 중요하게 요구된다"고 주장했다.
배한님 기자 bhn@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지