아이덴티티 관리(Identity management)가 지난주 미국 샌프란시스코에서 개최된 2007 RSA 콘퍼런스의 화두였다.
오늘날 유비쿼터스 환경하에서 모든 IT 인프라스트럭처나 소프트웨어 디자인이 이에 맞추어 설계되고 있고, 모든 기업과 개인이 요구하는 정보의 양이 무어의 법칙을 무색하게 하고 있다.
첫째 날 첫 번째 기조 연설자로 나온 빌 게이츠는 정보보안의 중요성과 함께 개개인이 이젠 언제, 어디서나, 원하는 정보를 가질 수 있는 시대로 빨리 변해가고 있다고 환기시켰다.
이에 이은 연사로 나온 EMC 보안사업부인 RSA의 아트 코에빌로 사장은 이러한 정보의 홍수 속에서 정보를 효율적으로 저장하고(store), 보호하며(protect), 최적화 (optimize) 시키고 결국에는 기업이나 개인이 요구하는 정보로 잘 활용(leverage)하는 것이 중요하다고 강조했다.
마치 빌 게이츠와 아트 코에빌로가 잘 연출된 각본처럼 엄청난 정보량의 빠른 증가와 이에 상응하는 정보보안의 중요성을 콘퍼런스에 참석한 1만5000여 전 세계 정보 보안 관계자들에게 부드럽지만 진지하게 전달했다.
토목 기사가 건물이나 사회간접자본(SOC)을 설계할 때 건물 안전진단에 대한 준비가 법으로 돼 있을 뿐만 아니라 우리 사회에 당연한 과정으로 인식되어 있는 데 반해, 소프트웨어 엔지니어가 새로운 제품을 설계하거나 시스템통합(System Integration)을 할 때는 요구사항에 따른 기능 위주의 설계를 이른 시간 내에 처리해야 하는 상황에 처해 있다.
그리고 반복되는 패치가 끊임없이 일어나고 있다. 이는 오늘날의 사이버 환경에서는 당연하게 받아들여지고 있다. 또한 포털 서비스를 이용하는 개개인들에게 편리성과 보안성 중 한쪽을 선택하라고 한다면 당연히 지금은 편리성을 선택한다. 그리고 개인이 여러 개의 포털에서 사용하는 아이디와 비밀번호가 거의 같은 것을 사용하는 편의성을 추구하고 있다. 물론 포털마다 로그인 후에는 그에 상응하는 보안대책을 잘 제공하고 있다. 그러나 신원 관리에 대한 보안이 철저하지 않으면 경계보안(perimeter Security)을 아무리 잘해도 문제는 이미 발생하여 있는 것이다.
이번 2007 RSA콘퍼런스에 참가한 대다수의 기업들이 아이덴티티 관리에 맞추어 제품을 전시하고 있고 또 다른 하나의 큰 트렌드는 컴플라이언스였다. 엔론 사태에서 발생한 사베인스옥슬리(Sarbanes and Oxley)입법화로 인해 기업의 IT 인프라스트럭처가 컴플라이언스를 지원해야 하는 환경이다. 이에, 기업의 회계 투명성을 위해 적절한 의사결정 과정을 IT로 규정하고 안전한 회계정보보안과 5년 이상 정보 보관을 통한 로그 매니지먼트가 중요시되고 있다.
비단 상장회사뿐만 아니라 HIPPA (Health Insurance Portability and Accountability Act), PCI (Payment Card Industry)에서도 강력하고 효율적인 컴플라이언스 관리 툴이 필요하게 됐다. 이에 따라 이번에 참가한 기업들이 많은 제품을 선보이고 있었다. 우리나라도 이에 적극적으로 투자를 해야 할 것으로 보인다.
우리가 보안을 이야기할 때, ‘현실세계든 사이버세계든 완벽한 보안은 없다’고 말한다. 중요한 것은 최대한의 보안을 위해서 얼마나 노력하고 투자를 고려할 것인지다. 서두에서 이야기한 엄청난 정보량의 증가에 따른 보안의 대책을 다 준비할 수는 없지만, 정보의 중요도에 따라 적절한 우선순위로 보안정책이 적용되어야 할 것이며 이에 아이덴티티 관리 및 컴플라이언스는 IT 투자에 중요한 화두로 자리 잡아가고 있다.
이번 2007 RSA 콘퍼런스에서 1만5000여 참가자 및 업체의 열기와 관심을 보면, 지난 25년간 IT 트렌드를 컴덱스와 세빗이 고객의 편의성에 맞추어 기능적으로 이끌어 왔다면, RSA는 세계 보안 트렌드를 보여주는 중심으로 자리 잡았다.
◆심준보 EMC 보안사업부·RSA시큐리티코리아지사장 jbshim@rsa.com
