[RSAC 2020] “사이버보안, ‘엘리트’ 문화에서 ‘포용’의 문화로 전환해야”

“사이버보안의 근본은 사람을 보호하는 것…승리의 이야기 공유하는 문화 필요해”

RSAC 2020 현장. RSA 로힛 가이(Rohit Ghai) 회장 키노트. “사이버 보안이 근본적으로 사람을 보호하는 것이라는 것을 인식할 때 보안업계는 더욱 성숙할 것”이라고 강조했다. (데일리시큐=샌프란시스코)

(데일리시큐=미국 샌프란시스코 RSAC 2020 현장) 올해 RSAC 2020은 핵심 테마를 ‘인적요소(Human Element)’ 즉 ‘우리(보안전문가, 사용자 등)’로 잡고 ‘사람’에게 집중했다.

여기서 ‘우리’는 데이터와 정보의 위협에 노출된 개인과 조직, 정부, 선거조작 등 인간 사회의 모든 측면에서 ‘보호’를 담당하고 있는 자들이다. 특히 ‘우리’는 개인정보보호, 윤리, 유용성, 책임에 대해 어려운 결정을 내리는 사람들이다.

“사이버보안의 근본은 사람을 보호하는 것”

RSA 로힛 가이(Rohit Ghai) 회장은 25일 키노트 자리에서 “사이버 보안이 근본적으로 사람을 보호하는 것이라는 것을 인식할 때 보안업계는 더욱 성숙할 것”이라고 강조했다.

기술이 발전하면서 보안위협도 증가한다. 그에 따른 보안기술도 발전하고 새로운 데이터 생성이 발생한다. 이어 새로운 데이터를 처리하는 기술이 발전한다. 이 모든 것에는 사람의 결정이 필요하다. 즉 어떠한 기술보다 뛰어난 인간의 통찰력이 중요하다는 것이다.

로힛 가이 회장은 “해커는 종종 ‘기술적 마법사’로 묘사되는 반면 보안담당자는 제로데이 취약점과 최첨단 위협 벡터에만 중점을 둔 기술자라고 생각한다. 실제로 사실이 아니다”라며 “사이버 범죄자는 항상 정교하지만은 않다. 실제로 기술에 정통한 해커들보다 많은 스크립트 키드가 존재한다. 다만 그들은 기술적으로 정교하지 않더라도 공격을 잘 수행 할 수 있도록 도구와 익스플로잇 키트를 만들어 내고 공유하기 때문이다”라고 설명했다.

“실패가 아닌 승리의 이야기도 널리 공유돼야”

그는 보안담당자에 대한 이야기를 바꿔야 한다고 강조했다. 실패한 이야기만 할 것이 아니라 승리한 이야기도 널리 공유되어야 한다고 말한다.

예를 들어 2018년 애틀란타시에 대한 랜섬웨어 공격 사건에서 미디어는 잘못된 부분만 지적했지만 실제로 시는 사이버 범죄자에게 랜섬머니도 지불하지 않았고 오히려 미래를 위한 강력한 비즈니스 연속성 계획을 수립하며 해커들과의 싸움에서 승리했다. 이런 우리의 승리 이야기들이 미디어를 통해 언급될 수 있도록 문화를 바꿔나가자고 강조한 것이다. 즉 사이버 보안환경에서 미디어를 잘 활용하고 실패뿐만 아니라 승리한 부분도 공유해야 한다고 주장했다.

“보안, 인적요소에서 포용의 문화 만들어 가야”

또한 그는 보안분야의 ‘엘리트’ 문화를 ‘포용’ 문화로 전환해야 한다고 강조했다. 보안의 영역은 IT에서 OT로까지 확대되고 IoT 디바이스의 급증으로 보안위협은 더욱 증가하고 있는 가운데 특정 IT보안 엘리트 집단에 편중하기 보다는 OT와 IoT 분야 인력까지 포용해 함께 성장해 가야 한다는 것이다. IT보안과 운영보안의 경계가 허물어 지고 있는 가운데 ‘인적요소’에 대한 포용성이 필요하다고 말했다.

한편 지난해 RSAC 2019 주요 테마가 △Threat actor, △Security incident, △Privacy, △Senior management, △Integrity, △Cloud, △Vulnerability, △Internet of Things, △GDPR, △Malware 등이었다.

올해 RSAC 2020 주요 테마는 △인적요소(HUMAN ELEMENT) △시큐어 프로덕트(SECURE PRODUCTS) △IT와 OT 보안(IT AND OT SECURITY) △시큐어 엔지니어링(SECURE ENGINERRTING) △프라이버시(PRIVACY) △위협 인텔리전스(THREAT INTELLIGENCE) △프레임웍스(FRAMEWORKS) △시큐리티 어웨어니스(SECURITY AWARENESS) △커뮤니케이션(COMMUNICATION) △PROFESSIONAL DEVELOPMENT 등이다. RSA 컨퍼런스 10대 테마는 스피커들이 보내온 2천400여 개 발표주제를 분류해 정해진 것들이다.

로힛 가이 회장은 “특히 클라우드를 기반으로 변화하는 비즈니스 인프라 환경을 위해 위협을 새롭게 정의하고 대응 기준을 수립하는 사람의 힘이 필요한 시대”라며 “새로운 기술에 대한 새로운 분석을 통해 의미있는 행동이 나오고 다시 새로운 기술이 탄생하는 반복되는 기술 사이클의 중심에 우리(인적요소. Human Element)가 있다”고 강조했다.

“사용자에게 친숙하고 심플한 보안 필요해”

또 다른 키노트 발표자 시스코 CISO 웬디 네더(Wendy Nather)는 “보안 제품은 전문가 위주로 개발돼 너무 복잡하고 어렵다. 친숙하게 간단하게 사용자에게 접근할 수 있어야 한다. 사용자가 쉽게 인지하고 사용할 수 있도록 해야 한다는 것이다. 보안은 보안기업, 보안전문가, 사용자 모두 공동의 일이 되어야 한다”며 “클라우드와 IoT 등 IT 환경이 오픈되면서 사고확률도 높아졌다. 전통적 방법으로 해결할 수 없다. 심플한 사용성을 생각해야 한다”고 밝혔다.

한편 RSAC 2020은 총 674개 전시부스로 지난해 648개 보다 다소 많은 기업들이 참가했으며 국가단위 전시부스는 한국, 캐나다, 독일, 이스라엘, 스페인, 영국, 일본 등이 참가했다. 중국은 이번 코로나19 사태로 인해 참석하지 못했다. 키노트와 세션 발표는 530개가 넘고 스피커만 700명에 달하는 세계 최대 규모의 정보보안 컨퍼런스다.

RSA 컨퍼런스 주최 측은 “2019 세계경제포럼에서 경고한 기후변화, 자연재해, 데이터유출, 사이버공격 등이 향후 현실적인 위협이라고 강조했듯 그 어느때 보다도 우리(인적요소. Human Element)가 필요한 시점이다. 세계는 상호 밀접하게 연결돼 있기 때문에 상호의존성이 높은 공급망에서 위협은 충격을 더욱 강화시킬 것이다. 우리가 협력하고 생산적으로 모여서 공유하고 건설해 나가야 한다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

길민권 기자 다른기사 보기