[보안칼럼]자율보안 시대의 능동적 공격표면 관리

2024-11-26

코끼리를 어려서부터 사슬에 묶어서 기르면, 코끼리가 다 커서 사슬을 쉽게 끊을 힘이 생겼음에도 이를 끊어내고 자유로이 돌아다닐 생각을 하지 못하게 된다고 한다.

'일반인'들의 관점에서 과거를 되짚어 보면 최초의 인터넷뱅킹은 분명 편리한 문명의 이기였으나, 이 편리한 문명의 이기를 누리기 위해선 공인인증서와 보안 3종 세트로 불리던 방화벽·키보드보안·백신프로그램을 개인용컴퓨터(PC)에 반드시 설치해야 하는 불편함을 감수해야 했었다.

2014년 말 전자금융거래법 개정이 본격 논의되면서 액티브 엑스(Active X) 기반 보안 3종 세트를 벗어났고, 2020년 12월 말에 전자서명법이 개정되면서 공인인증서가 21년 만에 폐지돼 비로소 '안전하면서도 편리한' 보안의 세계로 한 발 내디딜 수 있게 됐다.

물론 규정이 개정됐다고 하더라도 바로 한 발을 내디딜 수 있었던 것은 아니다. 자유로이 돌아다니기 위해 새로운 방편들이 개발됐고, 안전하면서도 편리한 보안 수단이 어떤 것이 있을지 충분한 검토를 거치고 시험한 결과 최근 몇 년간 다채로운 시도가 이뤄지며 일반 사용자들에게도 선택권이 열리게 된 것이다.

금융 분야 망분리 개선 로드맵이 올해 8월 발표됐다. 바야흐로 더 큰 자유로운 길이 열리게 됐다. 이는 지금까지 나온 개정안들과는 비교할 수 없을 만큼 큰 변화를 만들어 낼 것으로 예상된다.

다만, 내부 인프라에 대한 큰 원칙의 변화이므로 자율보안 체계를 안전하게 유지하기 위한 다층보안체계(MLS)를 충분히 고려하는 것이 중요하다. 환절기에 갑작스러운 온도 차에 감기에 걸리지 않도록 조심해야 하듯이 말이다.

망분리 정책상의 변화는 기존의 일반 이용자 단말 상에서의 변화가 아닌, 은행 네트워크와 시스템 인프라에 대한 근본적인 변화이므로 '점진적인 단계적 개선'이 매우 중요하다.

혹여라도 망분리 폐지와 인공지능(AI) 서비스를 즉각 도입하지 않은 조직은 선진 보안 기술에 뒤처진 것이라는 비판이 두려워, 미처 충분한 보안 수단이 갖춰지지 않은 상태로 등 떠밀려 나아가는 우를 범하지 않아야 한다.

점진적인 단계적 개선을 위해 가장 필요한 것으론 '공격표면관리(Attack Surface Management) 시스템'을 갖추는 것이다. 이는 가트너(Gartner)의 '하이프 사이클 포 시큐리티 오퍼레이션(Hype Cycle for Security Operation) 2024'에서도 제시된 개념이다. 이를 통해 외부에 새로이 노출된 정보자산들에 대한 취약점 식별과 위협 평가를 지속적으로 관리(CTEM·Continuous Threat Exposure Management)할 수 있어 새로운 변화에 따른 위협을 최소화할 수 있게 된다.

사이버보안에 있어 정보기술(IT) 자산을 둘러싼 위협에 대한 파악과 평가를 하면서 조금씩 나아가는 것은 실제 전쟁터에서 '시야각 싸움'을 하는 것에 비유할 수 있다. 예를 들어, 챗GPT와 같은 AI 서비스를 연동하는 등 새로운 서비스 기능을 조금씩 추가할 때마다 새롭게 변경되는 공격표면을 지속 파악하고, 새로이 도입된 서비스 이후 놓치고 있던 위협을 지속적으로 가시화해 나가는 작업이 필요하다.

요컨대, 신규서비스 기획 전 아키텍처 수립과 보안성 검토를 하고 서비스를 점진적으로 개시해 가면서, 그때마다의 변화된 위협을 자동화된 공격표면관리를 통해 경감시켜 한다. 이를 기반으로 안전하면서도 편리한 보안 서비스의 시대를 맞이할 수 있게 되길 기대한다.

김휘강 고려대 정보보호대학원 교수·에이아이스페라 공동창업자 cenda@korea.ac.kr

Menu

Kollo 를 통해 내 지역 속보, 범죄 뉴스, 비즈니스 뉴스, 스포츠 업데이트 및 한국 헤드라인을 휴대폰으로 직접 확인할 수 있습니다.