2021-01-26 05:10 (화)
[PASCON 2020] 김요셉 LH CISO, 비대면 시대 정보보호 정책 방향 제시
상태바
[PASCON 2020] 김요셉 LH CISO, 비대면 시대 정보보호 정책 방향 제시
  • 길민권 기자
  • 승인 2020.11.12 16:49
이 기사를 공유합니다

“비대면 환경에서 보안실무자, 단순 보안기술자 아닌 업무 연속성 함께 고민할 정책 파트너 돼야”
데일리시큐 주최 PASCON 2020에서 김요셉 LH CISO(사진)가 '언택트 환경에서 보안정책의 변화'를 주제로 키노트 발표를 진행하고 있다.
데일리시큐 주최 PASCON 2020에서 김요셉 LH CISO(사진)가 '언택트 환경에서 보안정책의 변화'를 주제로 키노트 발표를 진행하고 있다.

공공·금융·기업 정보보호 실무자들을 위한 하반기 최대 컨퍼런스인 PASCON 2020이 11월 10일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 한국토지주택공사 정보보안센터 김요셉 CISO는 ‘언텍트 환경의 LH 보안정책’을 주제로 키노트 발표를 진행해 보안실무자들의 큰 관심을 끌었다. 그의 발표내용을 요약하면 다음과 같다.

■예측하지 못한 현재 : 비대면 시대의 정보보안 정책

정보보안은 예측의 학문이다.

다양한 위협정보(cyber intelligence)와 행위 분석에 의한 활동의 범주에 질병은 있지 않았다.

특히 브루스 슈나이어의 “정보보안은 업무 절차이지 제품이 아니다”는 말은 책으로만 존재 할 뿐 많은 기업과 시장에서 업무 보다는 제품과 인력에 대한 관심이 컸던 것은 사실이다.

예측하지 못한 현재, 코로나 일상

사회 활동으로 문명을 발전시켜 나가야 하는 인류에게 만남의 자제는 큰 재앙이다. 또한 모임은 다양한 생산적 활동의 기본적 영역인데 이것이 부정되고 비대면이 강요된다. 코로나는 보안의 영역을 우리가 예측 할 수 없는 곳으로 사람(행위자)과 업무 자료를 이동 시키고 있다.

김요셉 CISO 강연 현장.
김요셉 CISO 강연 현장.

그렇기 때문에 비대면 시대의 정보보안 정책은 새로운 일상에 대비해야 한다.

첫째, 업무 연속성의 보장

정보보안의 핵심의 기밀자료의 보호였다. 극단 적으로 네트워크를 분리하고, 중요자료를 금고에 저장하면서 까지 핵심 업무를 내부 공간에서만 처리하도록 한다. 그러나 비대면 환경은 어느 곳에서나 업무를 할 수 있도록 요구 되고 있다.

이에 업무망을 가상화 해 어느 공간에서도 인터넷과 분리된 업무환경을 보장 할 수 있다.

둘째, 자료와 사람이 아닌 업무절차로 전환

정보보안은 접근과 인증에 사활을 건다. 승인된 사람, 허용된 자료는 예측된 공간과 시스템에서는 가능하다. 하지만 비대면 공간, 즉 가정이나 코로나로부터 안전하게 예측하지 못한 공간은 우리가 대비해 왔던 정보보호 시스템과 내부의 구축된 시스템 환경을 벗어나 업무가 진행된다.

따라서 조직마다 필요한 업무와 시스템을 정확히 분석해 업무절차의 재 설계가 필요하다. 자료와 사람이 아닌 업무절차의 접근권한과 보호대책이 절실하다.

셋째, 정보화 용역사업에 대한 관리

조직은 인력과 전문성의 부족을 용역을 통해 해결하고 있다. 이때 가장 철저한 보안 대책으로 제시된 정책은 원격작업과 자료의 관리다. 하지만 이 또한 비대면 환경은 철저히 보안정책과 반대되는 요구를 하고 있다. 원격 접속이 가능하고 통제된 안전이 필요하다.

이를 위해서도 정보화 사업망을 별도로 구축 할 필요가 있다. 이것은 업무망 가상화로 구축 된 인프라를 활용하여 별도의 정보보호 대책으로 활용이 가능하다.

넷째, 인증의 개인화 강화

정보보호 취약점의 고전은 소유된 정보의 유출 가능성에 있다. 사용자이름(ID)와 비밀번호(PW)의 사용은 가장 전통적 취약점 이지만 어떤 이유에서 인지 비밀번호를 길게 사용하라고 할 뿐 사용하지 못하도록 하는 정책은 아직 없다.

이에 향후 구축되는 시스템은 정확한 개인의 식별과 비대면 환경에서의 부인방지를 위해 생체정보를 이용한 인증의 개인화가 필요하다.

다섯째, 보안관제의 재정의

모든 기업이 시스템의 정상적 운영과 사이버 위협에 관심을 갖는다. 그래서 많은 재화와 인력을 활용하여 시스템 관제, 보안 관제 등의 업무를 하고 있다. 하지만 우리의 정의와 관점은 한정된 조직, 공간, 시스템의 특성에 국한된다.

이것을 업무가 허용되는 모든 상황과 장소, 절차로 확대가 필요하다. 단순히 취약점 기반의 로그 분석에서 현업이 갖는 업무 절차를 이해하고 대응하는 노력이 필요하다. 어찌 보면 서두에 언급한 ‘제품(product)’이 아닌 ‘절차(process)’에 집중 해야 한다는 것이다.

김요셉 CISO 발표자료.
김요셉 CISO 발표자료.

마지막 여섯번째, 정보보호관리체계의 구축

관련법이 정리되면서 가장 상단에 위치한 정보보안 조직의 역할이다. 하지만 정보보호관리체계에 대한 답을 속시원하게 할 수 있는 사람은 몇 안될 것이다.

비대면 환경에서는 정보시스템 업무관리체계가 필요하지 않을까? 정보보호 전문가가 아닌 현업을 이해한 업무 전문가가 필요하다. 각 기업은 다양한 업무절차와 사업 목표를 갖는다.

이것은 각각의 정보보안 목표도 달라야 한다는 것이다. 비대면 환경은 단순 보안 기술자가 아닌 기업을 보호하고 업무 연속성을 고민할 정책 파트너를 요구하고 있는 것이다.

김요셉 CISO는 “정보보안은 언제나 위기를 극복해 왔다. 이번 비대면 시대를 통해 초심으로 돌아가 제품과 취약점만 집착하지 않고 현업과 소통으로 업무절차 전반을 변화 시킬수록 있는 업무전문가와 조직으로 변화하길 기대한다”고 밝혔다.

김요셉 CISO의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

PASCON 2020 전시장 전경.
PASCON 2020 전시장 전경.

★정보보안 대표 미디어 데일리시큐!★