CEO인터뷰
이무성 엠엘소프트 대표, 사이버 팬데믹에 대비해야…VPN 해킹엔 제로 트러스트 정책 기반 SDP 기술이 해법(서울=NSP통신) 박유니 기자 = “최근의 VPN 해킹 사고는 시작에 불과합니다. 조만간 사이버 팬데믹이 발생할 가능성이 높은 만큼, 이에 대한 대비가 시급합니다” 보안전문가로 잘 알려진 이무성 엠엘소프트 대표이사의 일성이다.
코로나19 사태의 확산 이후 비대면이 일상으로 자리 잡으면서, ‘재택근무’ 또한 더 이상 낯설지 않은 단어가 된 지 오래다. 11월 이후 우리나라도 ‘위드 코로나’를 도입했지만, 여전히 사무실 출근 대신 재택근무를 시행하는 기업도 많다.
하지만 재택근무는 보안상의 위험성을 동반한다. 실제 지난 2년간 VPN(Virtual Private Network) 등 핵심 보안 솔루션의 해킹 피해가 속출하고 있다. 회사 밖에서 SSL 기반의 가상 사설망인 ‘SSL VPN(Secure Sockets Layer Virtual Private Network)’을 통해 망이 분리된 사내 업무 망으로 접근하는 만큼, 정보 유출의 빈도가 높아진 것이다.
전문가들은 이러한 피해가 시작에 불과하다고 우려한다. 조만간 사이버 팬데믹이 발생할 가능성이 높은 만큼, 이에 대한 대비가 시급하다는 조언까지 내놓는다.
엠엘소프트는 1995년 설립 이래 TCO(Total Cost Ownership) 콘셉트를 한국에 성공적으로 소개하고 데스크탑 통합관리 솔루션(DMS) 시장을 리딩 해왔으며, 2006년부터 네트워크 접근통제(NAC)에 대한 연구개발을 이어온 보안 전문 기업이다.
최근에는 자체 개발한 NAC 기술과 한국전자통신연구원(ETRI)로부터 이전받은 네트워크 보안 기술을 결합한 글로벌 수준의 범용 SDP(Software Defined Perimeter) 솔루션 ‘Tgate SDP’를 국내 최초로 출시하고 디지털 전환시대에 맞춰 보안 솔루션 시장을 공략하고 있다. 한국항공우주산업(KAI)등 공공기관과 하나금융투자·한국신용정보원·KDB생명 등의 금융기관이 ‘Tgate SDP’를 이미 도입, 시장에서 제품의 기술력과 우수성을 인정받고 있다.
이무성 대표는 “엠엘소프트는 20여년 간 축적한 엔드포인트 통제 기술을 기반으로 한 안정적인 SDP를 제공하고 있다”고 강조했다.
-최근 VPN 등 핵심 보안 솔루션이 뚫려 해킹 피해가 잇따라 발생한다.
VPN은 2000년 초부터 20여년 간 전용선을 대체한 최고의 범용 네트워크 보안 솔루션이었지만, 게이트웨이가 ‘퍼블릭 IP’로 노출되어 있어 필연적으로 DDoS 공격과 해커로부터의 각종 공격 등을 받을 수밖에 없는 구조로 설계되어 있다. 즉, VPN을 통해 먼저 네트워크 망에 접속한 뒤 각종 보안 인증을 내부 망을 통해 받기 때문에, 어떠한 경우로든 서버가 노출된 상태에서 끊임없는 공격을 받아야 하는 취약성을 가지고 있다.
-이러한 피해는 망 분리 등으로 막을 수 없나.
그동안 정부와 금융권에서 적극적으로 추진해 온 망 분리와 CC 인증(공통평가 기준) 등은 폐쇄 망을 기본으로 하는 정보화 시대에는 최고의 보안 정책이었다. 하지만 요즘처럼 초 연결을 기본으로 하는 지능화 시대에는 대대적 수정과 보완이 필요하다. 현재의 보안 방식은 네트워크 경계망(Perimeter) 위주로 되어있어 만약 해커가 경계망 안으로만 침입하면 권한의 횡적 이동(Lateral Movement)이 가능해 경계망 내의 모든 정보가 유출될 수 있는 치명적인 문제를 가지고 있다.
-그렇다면 어떠한 대안이 있나.
제로 트러스트(Zero Trust)다. 최근 전 세계적으로 제로 트러스트가 사이버 보안의 핵심 대안으로 떠오르는 추세다. 제로 트러스트란, ‘아무도 믿지 않는다’는 상징적인 보안의 개념이며 포괄적인 원칙을 제시하고 있다. 기술적 구현 방안으로는 미국 CSA(Cloud Security Alliance)의 SDP가 산업 표준으로 시장을 선도하고 있다. SDP는 기존의 전통적 네트워크 보안시스템인 망분리의 한계를 극복하고 망분리 중심에서 응용프로그램(Application) 또는 세션(Session) 중심으로 네트워크를 구성해 보안 수준을 획기적으로 업그레이드 해줄 기술로 꼽힌다. 그렇다고 망분리가 꼭 필요 없다는 것은 아니다. 은행에 금고가 필요하듯이 꼭 지켜할 것은 2중, 3중으로 더 강화된 망분리를 하면 된다. 정보를 보호하고자 하는 정보자원과 서비스가 우선이지 망 자체가 우선이 아니다. 현실과 가상의 경계를 넘나드는 메타버스(Meterverse)를 이야기 하면서 이미 구글과 아마존에 다 가 있을지 모르는 내 개인정보와 금융정보를 우리만 망분리 안에서 열심히 지킨다고 고집하는 것은 아닌지 생각해 볼 때이다.
-제로 트러스트는 어떤 원칙으로 작동하나.
제로 트러스트는 ‘최소한의 권한’ 등 7개의 원칙을 기준으로 제시한다. SDP는 5개의 프로토콜(보안 규약)과 6개의 아키텍처(설계방식)를 제시하며, 핵심은 ‘망 위주의 보안 지양’, ‘망 내에서 권한의 횡적 이동 금지’, ‘실시간 인증’과 ‘민첩한 동적 정책 수행’ 등이다. 사용 주체(Subject)와 정보 자원(Resource)간 가장 효율적이고 높은 수준의 보안을 유지하는 데에 주안점을 두고 있다. VPN의 경우 사용자가 먼저 통신 회선을 통해 게이트웨이 또는 서버에 접속한 후 인증을 받아 업무처리를 하는데 반해, SDP는 별도의 외부 장치에서 먼저 인증을 받고 나중에 접속을 해 서버를 은폐하는 기술로서 근본적으로 해킹을 할 수 없는 구조로 만든다. 즉, ‘선 인증 후 접속’을 하는 것으로, VPN과는 기본적인 접근 방법이 다르다.
-금융권이나 공공기관 등에서의 SDP 도입 추세는.
금융권이나 공공기관에서는 규정상 아직 VPN과 망 분리 위주의 보안을 하고 있다. 하지만 금융보안원을 중심으로 내년부터는 제로 트러스트에 대한 검토와 도입이 활발히 진행될 것으로 예상된다. 최근 발표된 금보원의 내년도 10대 과제 중 두 가지가 디지털 팬데믹에 대한 대비와 제로 트러스트 보안 정책 활성화로 되어 있다.
-금융권 및 공공기관의 보안 체계는 어떻게 변화할 것으로 전망되나.
글로벌 디지털 경제 시장에서 주도권을 잡으려면 핀테크, 마이데이터 등의 국내 산업 육성을 통해 글로벌 보안 표준을 맞춰 나가되, 핵심 중요 정보에 대해서는 보다 더 확실한 보안 대책을 병행해야 한다. 공공기관은 금융권보다 보수적이며 시간이 걸릴 것으로 예상되지만, 궁극적으로는 금융권을 모델링해 보완할 것으로 예상된다.
-새해 사이버 보안 이슈들을 전망해 본다면.
국내의 경우 대전환이 필요하다. 4차 산업혁명, 디지털 뉴딜, 클라우드, 빅데이터, 인공지능(AI) 등 미래 전략 추진에 가장 큰 걸림돌이 현재의 망 분리와 CC 인증 위주의 보안 체제다. 새로운 산업 재편이 필요한 중요한 시기에 이는 더 이상 안전하지도 않고 오히려 위험을 증가시키고 있어 산업발전에 저해요인이 될 수가 있다.
4차산업 혁명에 왜 혁명이라는 단어가 있는지 생각해 봐야 한다. 혁신은 고사하고 개선, 개혁만도 못한 혁명을 이야기 하니 벌써 식상하다는 말도 나온다. 혁명에는 필연적으로 커다란 충돌이 따르며 피할 수도 없고 피해서도 안된다. 단지 충돌 되었을 때를 대비한 국가적인 판단 기준을 잘 세우면 된다. 그 판단 기준에 따라 국가의 미래 운명이 결정될 것이다.
새해에는 우선 사이버 팬데믹에 대비해야 한다. 또 디지털 무역 등 국제 통상문제에도 전향적인 대응을 해야 한다. 보안이 더 이상 걸림돌이 되어서는 안 된다. 선제적인 조치와 함께 과감하게 디지털 영토를 넓혀야 할 때다.
NSP통신 박유니 기자 ynpark@nspna.com
저작권자ⓒ 한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.