“사이버보안은 갈수록 향상되고 있다. 해커들의 빠른 진화, 방어에 패배할지 모른다는 두려움 보다는 사이버보안에 존재하는 실버라이닝(silver linings, 구름의 가장 밝은 부분)을 보고 강점을 발전시키는데 집중하자.”

로힛 가이(Rohit Ghai) RSA 회장이 17일(현지시간) 전세계 사이버보안인들이 모인 세계 최대 보안 컨퍼런스인 ‘RSA컨퍼런스(RSAC)2018’ 첫 기조연설자로 나와 이같은 긍정의 메시지를 던졌다.

출처 : RSAConference

요즘 하루가 멀다하고 전세계 곳곳에서 사이버위협, 침해사고 이슈가 터지고 있는 상황이지만 ‘패배감’에 빠질 필요는 없다는 의미로 읽힌다.

가이 회장은 지난해 전세계를 강타해 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 사태를 비롯해 이슈화된 침해사고 사례들을 언급하면서 “작년 뉴스 헤드라인은 전례없는 디지털 위험이 존재한다는 사실을 상기시키는 것”이고 “워너크라이는 우리를 깨우는 모닝콜”이라고 표현했다. 이들 사건은 “지난 수십년간 우리가 해온 것에 문제는 없는지” 돌아보게 만드는 계기가 됐다고 해석했다.

그는 “사이버보안 업계는 (위협 방어) 실패에 대한 두려움 때문에 스스로를 견인해왔다. 사이버보안 업계가 자신의 발전 보다는 해커의 진화에 더욱 집중하고 있다”고 평가하면서 “위협의 미래가 아닌 보안의 미래, 우리가 가진 장점에 초점을 맞추자”고 지적했다.

그 장점에 대해선 “우리 보안 커뮤니티는 점점 더 강화되고 있고, 더욱 빠르게 움직이고 있다”는 점을 꼽았다. 바로 이점이 공격자와 싸우는 방어자들, 보안업계가 가진 ‘실버라이닝’이라는 것이다.

그는 “사이버보안의 실버라이닝에 집중해야 한다”라면서 “더 많은 일을 하고 더 빠르게 하는 것이다”라고 첨언했다.

“은탄 환타지는 끝났다”

가이 회장은 ‘방어 기술(technology of defense)’에만 국한하지 말자는 점도 강조했다. 대신에 ‘방어 심리(psychology of defense)’에 관심을 기울여야 한다는 것이다. “수비자의 정신은 방패만큼이나 중요하다”는 말도 덧붙였다.

“은빛총탄(silver bullet) 환상은 끝났다”는 말로 적을 완전히 제압할 수 있는 완벽한 공격수단도, 방어책도 존재하지 않는다는 현실을 직시할 것을 주문했다.


사이버보안 분야에서 최신 기술(the latest shiny gizmos)을 찾는 대신에 ‘디지털 위험을 관리하는 비즈니스 중심의 보안(Business-driven security) 접근방식’, ‘사이버보안 위생관리(security hygiene)’에 주력해야 한다고 제안했다.

“완전히 해킹 불가능해지는 시점, 완전히 제압할 수 있는 그 언젠가가 아니라 매일 조금 더 나아지고 조금씩 더 안전해지는데 주력해야 한다.”

또한 가이 회장은 “해커들도 결국 사람이고 유한한 자원을 갖고 있으며, 저항이 가장 적었던 과거(the past of least resistance)를 쫓아가고 있다”고 진단하면서 사이버방어 퀵실버 법칙(Quicksilver law of cyber defense)과 사이버보안 머피의 법칙(Murphy’s law of cybersecurity)을 언급하기도 했다.

그에 따르면, 사이버방어의 퀵실버 법칙은 “신기술은 공격과 방어 양쪽 모두를 위한 무기다. 공격자들도 우리와 동일한 기술을 갖고 있다”는 의미다. 이같은 신기술로는 자동화와 머신러닝, 인공지능(AI)을 꼽았다. 사이버보안 머피의 법칙에 대해선 “최신 기술은 최신 취약점과 같다. 무기의 표적이 된다”고 설명했다.

가이 회장은 “우리가 상대보다 먼저 공을 잡는 면에서 점점 더 좋아지고 있다”라면서 “사이버보안 분야에서 이기기 위해서는 많은 조직들 간 협력이 필요하다”고 제안했다.

아울러 “잘 설계돼 있는 보안은 강력한 힘을 갖는다”며 보안을 데브옵스(DevOps) 관점으로 중심을 이동해야 한다는 점과 강력한 보안 준비태세를 갖추기 위해서는 다른 시각을 가진 사람들이 필요하다고 강조했다.

가이 회장은 “어두운 구름(Clouds)은 잊어버리지 말고, 실버라이닝은 두 번 보자”라면서 기조연설을 마쳤다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

Similar Posts

답글 남기기

이메일 주소는 공개되지 않습니다.