[더테크=전수연 기자] 2024년을 맞이해 여러 IT 기술 전망이 나오고 있는 가운데 이를 뒷받침할 수 있는 ‘보안 개발 방향 및 방법’에 대한 관심도 높아지고 있다. 특히 디도스, 랜섬웨어, 사이버 위협과 해킹 등 기업뿐만 아니라 일반인들에게도 다양한 요소의 공격 위협이 발생하고 있다.
이에 더테크는 보안 위협 관련 이슈와 정보 보호 대응 방법에 대해 알아보고자 장항배 중앙대 산업보안학과 교수와 인터뷰를 진행했다.
최근 인공지능(AI) 산업이 각광받으면서 보안이나 개인의 프라이버시 부분에 많은 관심이 쏠리고 있습니다. AI 기술과 이를 구현하는 클라우드 상의 보안 이슈도 화제입니다. 해당 부분에 대해 한 말씀 부탁드립니다.
AI 기술은 도구이고, 클라우드는 플랫폼입니다. 클라우드 위에 데이터를 담아내어 분석과 예측 서비스를 AI 기술이 수행하게 됩니다. 이러한 관계에 있어 클라우드 서비스를 운영하는 사용자와 클라우드 서비스 자체 등에 대한 보안취약점이 존재할 수 있으며, 이와 유사한 흐름으로 AI 기술을 사용하는 사용자의 악의적인 의도와 함께 AI 자체에 대한 보안취약점이 있을 수 있습니다.
미·중 갈등을 기점으로 산업 전반이 재편되고 있습니다. 이와 관련 기술 유출 등 보안 이슈가 있는데요. 이에 대한 해법이 있을까요.
무엇보다 기술에 대한 존중과 함께 가치 있는 기술에 대한 보안 투자가 중요합니다. 국가 및 기업의 의사결정자 분들은 기술에 대한 가치투자에 비해 보안에 투자는 비용으로 인식하고 있습니다. 비용, 그 자체는 줄이는 것이 최선이니 투자에 대한 우선순위에서 후 순위로 밀리고 있습니다.
이에 대한 국내 기업들의 대응이 궁금합니다. 혹은 기업들의 노력이 필요하다면 어떤 부분일까요.
보안에 대한 시스템, 그보다 기업 구성들의 보안의식 제고에 집중해야 합니다. 보안에 대한 번거로움, 불편, 통제 등의 감성에서, 보안규정을 잘 지키면 '함께 오래 갈 수 있다(지속 가능성)'라는 공감대 형성 노력이 중요합니다. 단편적인 시스템 도입과 규정 마련도 중요하지만, 윤리와 같이 기본적인 철학 수준으로 자리 잡을 수 있도록 다양한 고민이 필요합니다.
일반적으로 보안은 당연한 것 혹은 서비스 제공자의 몫이라는 인식이 지배적입니다. 개인이나 사회 인식이 재고돼야 할 부분이 있을까요.
보안은 서비스 제공자, 그리고 보안 담당자가 몫이라는 것이 대부분이었습니다. 그러나 최근은 서비스 이용자 및 일반 직원이 함께 해야 보안이 완성됩니다. 클라우드 서비스의 책임공유모델이 대표적인 사례고, 특히 개인정보보호의 경우, 정보 주체의 권리보장 관점에서 근본적으로 개인을 비롯한 사회 전반에 대한 기초적 소양으로서 보안의식이 자리 잡아야 합니다. 따라서 기술개발자가 기술에 대한 보호를 스스로 할 수 있도록 사회적 공감대 형성이 필요합니다.
개인 IT서비스의 암호, 인증 등이 보안에 취약하다는 비판도 있습니다. 해당 이슈에 대한 교수님의 의견 부탁드립니다.
물론 IT서비스 자체에 대한 보안 취약점도 있지만, 사용자의 부주의와 보안에 대한 지식 부족 등도 취약점일 수 있습니다. 암호와 인증 분야는 다른 보안 분야에 대해 상대적으로 많은 고민을 해왔던 분야이고 상대적인 기술의 수준도 높은 상태입니다. 다만 다른 서비스와 매개되면서 상호 운용성 측면에서 오류가 발생하기는 합니다만, 암호와 인증 자체에 대해서는 나름 안정성이 확보되어 있다고 생각됩니다.
클라우드 컴퓨팅 기술과 보안은 현재 어떤 관점에서 개발이 이뤄지고 있을까요.
클라우드 컴퓨팅 수준은 해외 클라우드 사업자가 월등하게 높은 기술력과 서비스 다양성을 확보하고 있기 때문에, 국내 클라우드 사업자는 한국의 비즈니스 환경에 맞도록 맞춤화된 플랫폼을 개발하고 있으며 보안도 이러한 흐름으로 운영체계 관점이 아닌 구성요소 관점에서 보안서비스가 개발되고 있습니다.
보안 업계는 중요도나 성장세에 비해 인력난에 허덕이는 분야입니다. 이에 대한 해법이 있을까요.
보안은 통제가 아니라, 지속 가능성입니다. 이러한 관점에서 보안은 모든 산업에 내재화될 필요가 있습니다. 따라서 모든 공학 분야 전공자를 대상으로 보안과목을 기본과목으로 설정할 필요가 있으며, 다른 분야에 종사하고 있는 인력(보호 대상을 잘 알고 있는 인력)에 대해 재직자 교육을 통한 보안 인력 양성도 필요합니다.
보안 인재 육성을 위한 움직임이 있다면 소개를 부탁드립니다.
학부 산업보안학과와 사이버보안 융합 전공(Virtual Department), Data & Privacy 융합 전공, 일반 대학원 융합보안학과, 그리고 특수대학원 형태의 보안대학원(직장인 대상)을 통해서 신규인력 양성과 재교육 과정을 운영하고 있습니다.
보안 업계의 발전 방향과 그 규모가 궁금합니다.
이제까지 보안에서 산업을 바라만 봐 왔기 때문에 보안 산업의 성장을 한계성이 있었습니다. 이제 산업에서 보안을 바라볼 수 있는 전환이 필요하며, 양방향의 소통과정과 활동 등을 통해 보안에 대한 가치가 공유될 수 있을 것 같습니다.
AI 개발은 세계 5위권인데 보안은 몇 위 정도로 볼 수 있을까요?
보안기술 개발도 국제적 수준에서 5위 정도로 예측합니다. 그 이유는 ICT 환경이 우수한 한국은 보안사고 대응에 있어서 다른 국가가 경험하지 못한 다양한 경험을 바탕으로 제품과 서비스 개발에 집중해왔기 때문입니다(미국, 이스라엘, 러시아, 중국). 보안기업이 보안이 중요하다는 기사와 함께 산업에서 보안의 중요성을 공유하는 사례가 많았으면 좋겠습니다.
장항배 교수는... ICT융합전문위원회와 국가과학기술자문회의 등을 거쳐 블록체인서비스연구센터 센터장을 역임했으며 현재 중앙대 산업보안학과 교수로 재직 중이다. |