펜타시큐리티 CTO가 말하는 '한국과 일본의 보안' (야후재팬 2014. 02. 17)
본지는 데이터 암호화 및 웹 보안 솔루션 전문기업 펜타시큐리티시스템㈜(대표이사/사장 이석우, www.pentasecurity.com, 이하 펜
타시큐리티) 한국 본사 CTO 김덕수 상무에게 한국과 일본의 보안 상황 전반에 대해 들어 보았다.
Q) ‘한국의 보안’이라고 하면, 2013년 3월 20일에 일어난 사이버 테러 공격이 우선 떠오른다. 해당 사건 이후 한국 보안 환경에 있어 달라진 점이 있었나? 그리고 한일 양국 보안의 근본적인 차이는 무엇이라고 보는가?
민간 온라인 뱅킹뿐 아니라 관공서의 공적 서류 처리까지도 웹을 통한 접근과 이용이 일반화된 한국에서는, 개인정보 대외연계 등 편의와 효율 추구에 따른 허점으로 인해 한곳에서 개인정보가 새면 여기저기 다 뚫리는 경우가 종종 발생한다. 그리고 조직적 그리고 악의적으로 기업 활동을 마비시키려는 불법 시도 또한 비교적 흔히 일어나는 편이다. 잇따른 대규모 보안사고 이후 기업들의 보안 의식이 높아지고 있다. 한국의 IT 풍토는 일본과는 달리 새로운 것을 빨리 받아들이려는 분위기라서 새로운 제품이 등장하는 즉시 도입하려는 경향이 있다. 빠름의 위험이 있다. 그런 풍토 때문에 WAF 등 보안 제품 시장이 성장하는 측면도 어느 정도 있는 듯하다. 반면 일본 기업은 안전을 최우선시하고 그에 따라 시스템 도입 계획을 짜는 풍토라는 점을 볼 때, 양국의 보안 상황의 차이는 시스템 구축의 철학이 근본적으로 다르다는 점인 것 같다.
Q) 한국의 보안 관련 법제는 어떠한가?
한국은 보안 관련 법규가 엄격하고, 보안사고 발생시 처벌 관련 조항 등 내용이 구체적이고, 최악의 경우 사고가 발생한 기업의 대표자가 구속될 정도로 처벌 수준이 높다. 예전에는 개인정보 유출 등 보안사고가 발생하면 보안 담당자만 따로 처벌 받는 경우가 많았으나, ‘도마뱀 꼬리 자르기’라는 지적에 따라 정보 보안의 책임 문제가 사회적 이슈가 되었고, 따라서 관련 법규가 개정되었다. 해당 법은 올 8월부터 시행될 예정이다. 사고 후 처리에 한정된 법규가 아니라, 관공서 및 금융기관 등에 대해 IT 보안 시스템 사양 선별 검사를 연간 일정 횟수로 법정 실시하는 등 사전 보안 관련 법규가 점차 구체화되고 있다. 그러한 변화에 따라, 예전에는 금융기관에서 중요하게 생각되지 않던 IT 전문가들의 위상이 상당히 많이 제고되었고 처우도 개선되고 있다.
Q) 한국과 일본의 보안, 가장 큰 차이는?
한국과 일본, 시스템의 차이보다도 보안에 대한 생각 자체가 크게 다르다. 이는 아마도 양국의 보안 관련 규제의 구체성과 엄격성의 차이 때문인 듯하다. 일본은 각종 보안 제품에 대하여 ‘얼마나 비즈니스에 도움이 되는지’를 우선 염두에 둔다면, 한국은 규제가 강화되고 있다 보니, 규제를 만족시킬 수 있는 보안 제품을 찾는 경향이 있다. 물론 장단점이 있다. 단점은 보안에 대한 적극적 태도가 저하된다는 점이고, 장점은 강제를 통해서라도 전반적인 보안 수준은 총체적으로 높아진다는 점이다. 그러한 단점을 개선하기 위한 노력과 장점을 더 살리기 위한 노력도 당연히 존재한다.
Q) 일본의 보안 환경에 대해 하고 싶은 말은?
앞서 말했듯 한국은 민간과 공공 영역 모두에서 IT 기술 활용이 매우 활발하고 적극적이다. 이에 더불어 보안 기술 또한 그러하다. 최근에는 특히 공문서 관련 웹 보안의 중요성이 부각되고 있다. 현재 일본에서 빈번히 발생하는 계정 리스트 공격 등은 한국에서 3~4년 전에 이미 유행했던 공격이다. 당시 관련 법규 정비가 진행된 결과, 복수 인증 및 일정 주기에 따른 패스워드 변경 요구 등의 규제가 의무화되었다. 일본의 현재 정보보안 상황을 보면, 각종 웹 공격이 활발해지고 있는 추세가 있다. 한국의 경우를 살펴볼 필요가 있을 것이다. 최근 사고를 살펴보면 안티바이러스 등 기존에 사용하던 보안 시스템만으로 막을 수 있는 공격 수준을 이미 초월했다. 웹 취약점 검토 및 대책 마련과 웹 애플리케이션 방화벽 도입 등 보다 종합적인 대책이 필요하다고 본다. 보안에 대한 기술적 인식과 수요가 높아져야 할 것이다. 특히 웹 보안에 있어 그러하다. 펜타시큐리티는 일본시장에서 실제적으로 도움이 되는 보안 기술과 서비스에 집중하고 있다. 이를 위해 사용자가 직접 사용해봄으로써 ‘실제적으로 필요하구나!’, ‘보안 기술을 이렇게 쉽게 적용할 수 있구나!’라고 느낄 수 있는 툴들을 제공하고 있다. 오픈소스DB환경에서의 데이터 암호화, 클라우드를 이용한 웹방화벽 등이 그러한 것이다. 실용주의적 접근이 강한 일본에서 실제적 도움이 되는 보안을 경험하게 함으로써 체험만족을 통한 도입과 확대를 기대한다.
타시큐리티) 한국 본사 CTO 김덕수 상무에게 한국과 일본의 보안 상황 전반에 대해 들어 보았다.
Q) ‘한국의 보안’이라고 하면, 2013년 3월 20일에 일어난 사이버 테러 공격이 우선 떠오른다. 해당 사건 이후 한국 보안 환경에 있어 달라진 점이 있었나? 그리고 한일 양국 보안의 근본적인 차이는 무엇이라고 보는가?
민간 온라인 뱅킹뿐 아니라 관공서의 공적 서류 처리까지도 웹을 통한 접근과 이용이 일반화된 한국에서는, 개인정보 대외연계 등 편의와 효율 추구에 따른 허점으로 인해 한곳에서 개인정보가 새면 여기저기 다 뚫리는 경우가 종종 발생한다. 그리고 조직적 그리고 악의적으로 기업 활동을 마비시키려는 불법 시도 또한 비교적 흔히 일어나는 편이다. 잇따른 대규모 보안사고 이후 기업들의 보안 의식이 높아지고 있다. 한국의 IT 풍토는 일본과는 달리 새로운 것을 빨리 받아들이려는 분위기라서 새로운 제품이 등장하는 즉시 도입하려는 경향이 있다. 빠름의 위험이 있다. 그런 풍토 때문에 WAF 등 보안 제품 시장이 성장하는 측면도 어느 정도 있는 듯하다. 반면 일본 기업은 안전을 최우선시하고 그에 따라 시스템 도입 계획을 짜는 풍토라는 점을 볼 때, 양국의 보안 상황의 차이는 시스템 구축의 철학이 근본적으로 다르다는 점인 것 같다.
Q) 한국의 보안 관련 법제는 어떠한가?
한국은 보안 관련 법규가 엄격하고, 보안사고 발생시 처벌 관련 조항 등 내용이 구체적이고, 최악의 경우 사고가 발생한 기업의 대표자가 구속될 정도로 처벌 수준이 높다. 예전에는 개인정보 유출 등 보안사고가 발생하면 보안 담당자만 따로 처벌 받는 경우가 많았으나, ‘도마뱀 꼬리 자르기’라는 지적에 따라 정보 보안의 책임 문제가 사회적 이슈가 되었고, 따라서 관련 법규가 개정되었다. 해당 법은 올 8월부터 시행될 예정이다. 사고 후 처리에 한정된 법규가 아니라, 관공서 및 금융기관 등에 대해 IT 보안 시스템 사양 선별 검사를 연간 일정 횟수로 법정 실시하는 등 사전 보안 관련 법규가 점차 구체화되고 있다. 그러한 변화에 따라, 예전에는 금융기관에서 중요하게 생각되지 않던 IT 전문가들의 위상이 상당히 많이 제고되었고 처우도 개선되고 있다.
Q) 한국과 일본의 보안, 가장 큰 차이는?
한국과 일본, 시스템의 차이보다도 보안에 대한 생각 자체가 크게 다르다. 이는 아마도 양국의 보안 관련 규제의 구체성과 엄격성의 차이 때문인 듯하다. 일본은 각종 보안 제품에 대하여 ‘얼마나 비즈니스에 도움이 되는지’를 우선 염두에 둔다면, 한국은 규제가 강화되고 있다 보니, 규제를 만족시킬 수 있는 보안 제품을 찾는 경향이 있다. 물론 장단점이 있다. 단점은 보안에 대한 적극적 태도가 저하된다는 점이고, 장점은 강제를 통해서라도 전반적인 보안 수준은 총체적으로 높아진다는 점이다. 그러한 단점을 개선하기 위한 노력과 장점을 더 살리기 위한 노력도 당연히 존재한다.
Q) 일본의 보안 환경에 대해 하고 싶은 말은?
앞서 말했듯 한국은 민간과 공공 영역 모두에서 IT 기술 활용이 매우 활발하고 적극적이다. 이에 더불어 보안 기술 또한 그러하다. 최근에는 특히 공문서 관련 웹 보안의 중요성이 부각되고 있다. 현재 일본에서 빈번히 발생하는 계정 리스트 공격 등은 한국에서 3~4년 전에 이미 유행했던 공격이다. 당시 관련 법규 정비가 진행된 결과, 복수 인증 및 일정 주기에 따른 패스워드 변경 요구 등의 규제가 의무화되었다. 일본의 현재 정보보안 상황을 보면, 각종 웹 공격이 활발해지고 있는 추세가 있다. 한국의 경우를 살펴볼 필요가 있을 것이다. 최근 사고를 살펴보면 안티바이러스 등 기존에 사용하던 보안 시스템만으로 막을 수 있는 공격 수준을 이미 초월했다. 웹 취약점 검토 및 대책 마련과 웹 애플리케이션 방화벽 도입 등 보다 종합적인 대책이 필요하다고 본다. 보안에 대한 기술적 인식과 수요가 높아져야 할 것이다. 특히 웹 보안에 있어 그러하다. 펜타시큐리티는 일본시장에서 실제적으로 도움이 되는 보안 기술과 서비스에 집중하고 있다. 이를 위해 사용자가 직접 사용해봄으로써 ‘실제적으로 필요하구나!’, ‘보안 기술을 이렇게 쉽게 적용할 수 있구나!’라고 느낄 수 있는 툴들을 제공하고 있다. 오픈소스DB환경에서의 데이터 암호화, 클라우드를 이용한 웹방화벽 등이 그러한 것이다. 실용주의적 접근이 강한 일본에서 실제적 도움이 되는 보안을 경험하게 함으로써 체험만족을 통한 도입과 확대를 기대한다.
<사진 펜타시큐리티 김덕수>