클라우드에 대한 의견과 채택의 정도가 복잡하게 혼재된 상황에서, 클라우드로의 전환은 합리적인 이점과 더불어 중요한 정보를 클라우드에 두는 것에 대한 두려움도 동반한다. 복잡성을 높이는 요인으로는 물리적인 환경 대비 가상 환경이 제공하는 이점에 대한 오해가 여전히 존재한다는 것이다.
그럼에도 불구하고 대부분의 지표에 따르면 클라우드 도입에 대한 전망은 밝다. 많은 CIO들이 클라우드로의 전환이 디지털혁신(DT) 전략에 어떤 영향을 미치는지 이해하고 있기 때문이다.
이번 글에서는 차세대 네트워크로의 전환으로 구축된 인프라, 사물인터넷(IoT) 노드 간 연결성이 견인하는 보안위협 요소와 자동화 기술의 도입 증가, 개인정보보호 이슈와 클라우드 전환에서 발생 가능한 주요 사이버보안 이슈에 대해 알아보고자 한다.
1. 안전한 5G 시대, 보안이슈 해결이 핵심
가트너(Gartner)에 따르면 5G 무선 네트워크 인프라 매출이 2020년에는 2019년 22억달러 규모에서 89% 성장한 42억달러에 달할 전망이다. 5G의 성공적인 구축은 운송 및 공급망과 같은 분야부터 제조업에 이르기까지 경제 전반에 큰 영향을 미칠 수 있는 잠재력을 갖고 있다.
하지만 5G 네트워크가 임계 수준에 이르기까지는 아직 많은 시간이 필요하다. GSMA에 따르면 2025년까지 4G가 여전히 전세계 모바일 사용자의 68%를 차지할 것이라고 한다.
본격적인 5G 상용화에 앞서 4G 네트워크상의 수많은 취약점(스팸, 도청, 멀웨어, IP-스푸핑, 데이터 탈취, DDoS 공격 등)의 문제가 해결되지 않으면, 수백만 가입자와 써드파티 애플리케이션 및 서비스가 위험에 노출된다.
모바일 ISP가 사이버공격의 첫 번째 희생양이 될 수 있으며 안전하지 않은 IoT 시스템 등의 취약성은 5G 환경에서 기하급수적으로 증폭될 수 있다. 따라서 보안에 대한 선제적인 대응, 높은 수준의 보안 자동화 구축과 상황 인식 기반의 보안 결과 구축 및 API 보안 기능 통합 등의 새로운 접근법이 필요하다.
향후 수년 간 4G가 5G를 향한 잠재적인 게이트웨이가 되어 해커들의 주요 타깃이 될 것으로 예상되기 때문에 이는 매우 중요한 문제다.
2. 인력부족 문제의 해답은 자동화와 대체인력의 활용
2018 사이버보안 인력 연구에 따르면, 현재 아태지역에 부족한 보안 인력이 214만명에 달한다. 사이버보안에 대한 수요는 근본적인 사고방식이 바뀌지 않는 한 공급을 계속 앞지를 것이다.
이 과제를 해결하기 위해서는 자동화의 채택과 보안 전문가를 대신할 대안적인 공급원을 발굴해내야 한다.
자동화는 미래 사이버 보안의 핵심요소다. 운영자는 모든 업무를 직접 하는 대신 자동화의 힘을 빌려 스킬셋을 강화하고 문제 해결, 커뮤니케이션, 협업 등 자동화할 수 없는 고차원적 업무를 담당해야 한다.
이를 위해서는 오늘날의 SOC(Security Operating Center) 구조를 재검토하고 새로운 역할에 부합하는 전문 인력을 재배치하여 이러한 격차를 정확히 식별하고 좁혀 나가야 한다.
올해에는 IQ보다는 EQ가 높은, 특히 문제해결에 필요한 호기심을 갖춘 보안 인력이 더 훌륭한 인재로 평가받을 것으로 예상된다. 여기에는 엔지니어, 애널리스트, 커뮤니케이션 전문가 까지도 포함되며, 각 분야 인재들이 기업에 필요한 역량을 발휘할 수 있도록 스킬 향상(upskill), 교차 스킬(cross-skill)이 가능하도록 투자가 이루어져야 한다.
이와 관련하여 미 정부가 마련한 ‘국가주도 사이버보안 교육(NICE)’의 인력 운용 프레임워크를 참고하면 조직 내 사이버 보안 기술 격차를 효과적으로 파악할 수 있다.
글 : 션 두카(Sean Duca) / 최고보안책임자(CSO) / 팔로알토네트웍스