IBM Security Summit 2019 를 다녀와서

<IBM Security Summit 2019 >

오늘 신논현역 근처의 르메르디앙 호텔에서 “IBM Security Summit 2019 행사가 있어서 다녀왔습니다. 

세미나는 오전, 오후로 나뉘어 있고 세미나 순서는 아래 그림과 같습니다.

아젠다

 저는 솔직히 슈나이어라는 분과 김승주 교수님이 이야기 하는 것을 듣고 싶었고 오후에는 다른 일도 있었기에 오후 패널토의 이후에 빠져나왔습니다.

점심 식사 시간에는 슈나이어 저자 사인회가 있었는데 책을 사야 하는 줄 알았는데 무료로 나눠주고 사인도 해주어서 줄 서서 받았습니다. 사진은 부끄럽고 몰골이 별로인지라 찍지 않고 책만 받았습니다.

 오전에 들은 발표만 간단히 작성해 보면 IBM Cloud Security Service 부사장님이 현재 클라우드를 도입하는데 있어서 고민해야 하는 부분과 성공적인 클라우드를 기업에서 도입하기 위해서는 무엇을 고민하고 고려해야 하는지에 대해서 이야기해주셨는데 문제는 영어 스피치이었고 동시통역을 해주셨지만 그래도 영알못인지라 제대로 듣지는 못한 것 같습니다.

간단히 적어보면 클라우드 도입은 근본이 변화되는 것이고 그것을 도입하는데는 현재 수준과 비슷하게 보안 수준이 되기를 원하고 이것을 적용하기 위해서는 “데이터의 위치와 인증, 접근제어(IAM), 감사 가능성, 가용성, 연속성, 자료의 분류, 사고 관리, 비즈니스 연속성”을 고려하여 보안 수준을 맞추어야 한다고 하셨습니다. 그리고 중간 중간 규제당국의 규제를 지키는 것이 클라우드 환경에서 대응하기가 쉽지 않다는 것도 언급하셨습니다.

클라우드 보안은 전체 사이클을 생각하면서 진행해야하고 관리하는 보안 담당자뿐만 아니라 엔지니어, 개발자들도 자신들이 업무를 하면서 기본적으로 고려해야 하는 보안사고(취약점)는 어느 정도 예방이 가능하도록 교육이 필요하다고 하셨습니다.

현재 스타트업 뿐만 아니라 많은 기업에서 클라우드로 업무가 전환이 되고 있고 금융권에서도 클라우드를 준비 중인데 관련자들에게 유익한 내용이었습니다.

두 번째로는 슈나이어 저자분이 발표를 하셨는데,  주제는 하이버 커넥티드 시대의 보안과 생존이었지만 일반적인 보안에 대해서 생각해야 하는 내용에 대해서 발표하셨습니다. 중간에 일이 있어서 나갔다 와서 모두 듣지는 못했지만 들은 것까지만 적어보겠습니다.

현재는 모든것이 Computing화 되어 가고 있으며 그렇기 때문에 인터넷과 연결된 모든 것은 보안이 필요하고 모든 것이 보안이 적용하다고 했습니다.

1. 현재 대부분의 S/W는 경제(시장)가 저렴하고 빠른 것을 선호하기 때문에 안전하지가 않다.

2. 인터넷은 태생부터 보안을 염두되어서 개발이 되지 않았다.

3. 컴퓨터화 된 시스템의 확장성 때문에 안전하지 않으며, 모든 시스템이 진화되어 가면서 불안해졌다.

4. 복잡성이 나오면서 진화가 쉬워지고 복잡성은 보안의 최악의 적이다 이유는 공격자는 1개의 길만 공격하면 되지만 방어자는 N개의 길을 막아야 하기 때문이다.

5. 새로운 취약점은 연결될수록 많아지며, 연결이 되면서 발생되는 문제는 사소한 차이가 취약점이 될 수 있다. (이 부분을 보안의 3요소 가용성, 무결성, 기밀성으로 설명해 주셨습니다.)

이 내용 이외에 몇가지 더 이야기해주셨는데 듣지를 못해서 아쉬웠습니다.

세 번째로 고려대학교 김승주 교수님은 “4차 산업혁명 시대에 보안을 바라보는 새로운 관점”이라는 내용으로 이야기 해주셨습니다. 내용에 대해서는 현재 도메인 관점에서 진행하는 보안이 데이터 중심으로 변화가 필요하며 현재 미국 같은 경우 이미 그렇게 진행이 되고 있다고 했습니다., 사례로 들어주신 내용이 현재 공공기관과 금융권에서 진행되고 있는 망분리에 대해서 설명하셨습니다.

국내의 망분리는 영역으로 분리하여 인터넷망/업무망 이렇게 구성하도록 되어 있는데 규정에는 업무망에서는 인터넷이 연결이 되면 안 되는데 현재 산업은 클라우드를 지향하고 있어서 현재 산업과 정책 간에 맞지 않다고 하셨습니다..

이 부분에 대해서 해외도 비슷하게 망분리가 있지만, 이것은 영역이 아닌 데이터 중심으로 기밀자료과 일반자료로 구분하여 사용하고 있기 때문에 국내와 같은 현상이 나타나지 않는다고 하셨습니다.

보안 인증과 같은 부분도 현재 국내는 영역으로 구분하지만 해외는 데이터를 중심으로 진행하기 때문에 큰 문제가 없다고 하셨습니다.

그리고 Security By Design(보안 내재화)라는 내용으로 보안이 개발부터 전 단계에 기본적인 바탕으로 진행이 되어야 한다고도 하셨습니다.

오후에 패널 토의 같은 경우 금융, 제조, 학계, 기관의 각 담당자분들이 보안에 대한 각자의 생각에 대해서 발표해주셨는데 그중에서 가장 기억이 남는 부분은 금융(교보생명) 쪽 패널분이 초등 교육부터 보안 교육이 교과과정으로 시작되어서 생활의 보안화가 되었으면 좋겠다는 이야기도 하셨는데 약간은 현실성이 없는 내용이기는 했습니다.

오후 발표까지 모두 듣지는 못했지만 그래도 IBM에서 준비를 해서 그런지 진행도 깔끔했고 내용도 도움이 많이 되는 내용으로 구성이 되어 있어서 좋았습니다.