<미래포럼>보안기술의 아웃소싱

류재철 충남대 컴퓨터과학과 교수 jcryou@home.cnu.ac.kr

연말이 다가옴에 따라 다른 산업분야와 마찬가지로 보안산업에 대해서도 내년도 전망에 대한 여러 가지 예측들이 나오고 있다. 미국 마이크로소프트 본사에 소재한 서버컴퓨터에 대한 해킹 등 각종 보안사고가 증가하는 가운데 보안기술의 필요성에 대한 인식이 확산되면서 내년 보안산업은 계속되는 성장세를 유지할 것으로 기대되고 있다.

이 가운데 공개키기반구조(PKI), 침입차단시스템(IDS), 무선인터넷 보안, 전자우편 보안 등 분야의 활성화에 대해서는 전문가들 사이에서도 이견이 없는 것으로 보인다. 또한 서비스거부공격(DoS), 자동화된 해킹도구의 증가 등이 내년에도 여전히 위협적일 것으로 예상되는 가운데 이에 대처할 수 있는 보안 전문인력의 부족현상이 가장 큰 문제로 지적되고 있다.

정부에서는 보안 전문인력의 확보를 위해 대학내 해킹 관련 동아리에 대한 지원, 대학과 대학원의 정보보호 관련 학과 및 전공 지원 등 여러 가지 지원 대책을 내놓고 있다. 그러나 현재 교육받은 인원이 실제 업무에 참여하는 것은 몇 년 후에나 가능하다고 볼 때 당분간은 전문인력 부족의 문제가 쉽게 해결될 것으로 보이지는 않는다.

미국의 저명한 암호학자인 브루스 슈나이어의 분석에 의하면 최근까지는 서비스거부공격과 같이 시스템 운영상의 문제나 네트워크의 취약성, 암호 알고리듬이나 보안프로토콜 문제점을 이용해서 이루어지는 공격, 즉 외형적(syntactic) 공격이 주를 이루었다고 한다. 그러나 앞으로는 거짓 정보를 유포시키거나 데이터베이스를 조작하는 형태의 공격, 즉 내용적(semantic) 공격이 보다 위협적일 것으로 보인다. 이를테면 시스템에 대한 공격은 시간이 갈수록 지능화 및 다양화 되어가고 있으며, 자칫 잘못하면 시스템이 해킹 당한 사실을 모른 채 거짓 정보를 사용할 수도 있다.

이와 같은 공격방법의 발전에 따라 이에 대처할 수 있는 보안인력의 고급화가 필연적이다. 이에 따라 최근에는 시스템을 외부의 공격으로부터 방어하는 역할뿐만 아니라 올바른 정보와 그릇된 정보를 구분하고 신속정확한 의사 결정 능력을 필요로 하는 위기관리자(crisis manager)라는 새로운 보안전문가에 대한 요구가 나타나고 있기도 하다.

현재와 같이 보안인력의 부족현상이 심각한 상황에서 일반 업체에서 위기관리자를 확보하거나 조직화 되고 대규모화 되어 가는 공격위협에 대해서 적절하게 대처할 수 있는 능력을 갖추는 것은 매우 어려워 보인다.

이에 대한 유일한 해결방안은 보안관련 업무의 적극적인 아웃소싱이라고 할 수 있다. 특히 단일 시스템에서 동작하던 침입차단 기술이나 침입탐지 기술이 점차 분산환경에서 침입정보를 서로 공유하고 1년 365일 지속적인 관리를 요구하는 형태로 변화하고 있어 전문화된 업체에 의한 보안 관리의 필요성은 갈수록 증대하고 있다.

또한 최근에는 갈수록 진화하고 있는 침입기술에 대해 완벽하게 대처하기 위해서 기업내 네트워크를 재설계하거나 초기 네트워크 설계시부터 보안요소를 고려하는 것이 권장되고 있는데 이러한 작업은 보안전문업체의 도움 없이는 불가능한 일이다.

물론 보안기술을 아웃소싱하는 것에 대해 우려가 있을 수 있다. 보안기술을 아웃소싱함으로써 사내의 기밀정보나 개인의 프라이버시가 외부로 노출되지는 않을까 걱정하고 있다. 이와 같은 우려를 씻기 위해서는 보안업체의 신뢰감 확보와 더불어 법·제도적인 장치의 뒷받침이 있어야 할 것이다.

일부 우려에도 불구하고 보안 수준의 향상을 위한 보안기술의 아웃소싱은 필연적이다. 즉, 물리적 보안을 외부 업체에 위탁하듯이 기술적 보안에 있어서도 아웃소싱의 시대는 성큼 다가오고 있는 것이다.