보안사고, 특정 조직만의 문제가 아닌 전사적 실행 체계로 접근해야
디지털 자산·권한·노출 현황 점검이 제로 트러스트 보안의 출발점
디지털 자산·권한·노출 현황 점검이 제로 트러스트 보안의 출발점
 |
사진 제공=AI스페라 |
글로벌 사이버 보안 기업 AI스페라(AI SPERA, 대표 강병탁)가 국내 IT 전문 방송 토크아이티(Talk IT) 웨비나에 참여해 최근 발생한 보안 사고 사례를 바탕으로 기업 보안 전략의 방향성을 제시했다.
이번 웨비나는 지난 16일 열렸으며, 최근 IT 업계에서 이슈가 된 쿠팡 해킹 사태를 비롯한 주요 보안 이슈를 다각도로 분석하고, 대응 방안을 논의하기 위해 마련됐다. AI스페라 강병탁 대표는 보안 전문가 패널로 참여해 기업 내부 권한 관리 체계와 조직 구조 전반의 구조적 문제점을 분석했다.
강 대표는 쿠팡 해킹 사고의 주요 원인으로 ‘퇴사자 권한 및 서명키(Signing Key) 관리 미흡’을 언급하며 “외부의 직접적인 침입 시도뿐 아니라, 퇴사자의 계정이나 서명키가 관리 사각지대에 놓일 경우 이를 악용한 로그인 토큰 생성이나 정보 접근 가능성이 발생할 수 있다”고 설명했다. 이어 “이는 단순한 기술적 방어를 넘어, 내부 권한 관리 체계의 정교함이 보안 수준을 좌우하는 핵심 요소임을 시사한다”고 덧붙였다.
아울러 그는 국내 기업 환경에서 보안 사고 발생 시 책임이 특정 조직에 집중되는 구조적 한계에 대해서도 언급했다. 강 대표는 “보안은 개발·인프라·운영 등 여러 조직의 협업을 통해 실행되는 영역인 만큼, 실제 실행 과정 역시 다양한 조직에 걸쳐 이뤄진다”며 “그럼에도 보안 사고 발생 시 책임이 CISO 및 보안 조직에만 집중되는 경향이 있는데, 이는 보안을 전사적 실행 과제로 정착시키는 데 한계로 작용할 수 있다”고 말했다.
ISMS(정보보호관리체계) 인증에 대해서도 현실적인 시각을 제시했다. 그는 “ISMS는 보안 관리 체계를 갖췄다는 점을 확인하는 인증이지, 침해 사고를 원천적으로 차단해 주는 보증 수단은 아니다”며 “사고 발생 후 인증 유무만을 따지는 것은 문제의 본질을 흐릴 수 있다”고 조언했다.
강 대표는 이어 제로 트러스트(Zero Trust) 보안 모델을 실질적으로 구현하기 위해서는 기업이 현재 보유한 자산과 권한, 노출 영역을 먼저 점검하는 접근이 필요하다고 강조했다. 특히 ▲퇴사자 권한 ▲클라우드 API 키 ▲방치된 디지털 자산(Shadow IT) 등 관리 사각지대에 놓이기 쉬운 영역에 대한 가시성 확보와 자동화된 관리가 필요하다고 밝혔다.
웨비나를 마무리하며 강병탁 대표는 “보안 사고를 하나의 사건이나 특정 조직의 문제로 해석하기보다, 기업이 어떤 자산을 보유하고 있고 그 자산이 어떻게 관리되고 있는지를 돌아보는 계기로 삼아야 한다”며 “보안은 단순한 솔루션 도입이 아니라, 외부로 노출된 공격 지점을 실시간으로 파악하고 관리 사각지대를 지속적으로 제거하는 실질적인 운영 체계를 갖추는 것이 본질”이라고 강조했다.
AI스페라는 최근 KBS ‘긴급진단’ 생방송 패널 토론에 보안 전문가로 출연해 쿠팡 해킹 사태를 분석했다. 위협 인텔리전스(TI)를 기반으로 한 보안 분석 및 공격 표면 관리(ASM) 관련 기술을 제공하고 있으며, 글로벌 보안 기업 팔로알토네트웍스의 ‘코어텍스(Cortex) XSOAR’와 연동되는 위협 인텔리전스 서비스도 운영 중이다. 이와 함께 유럽 유통사 닷포스(Datapos)와의 협업 등 해외 보안 기업과의 기술 협력도 진행하고 있다.
최용석 기자 duck8@donga.com
Copyright Ⓒ 동아일보. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.