[인터뷰] 박관규 NHN클라우드 클라우드보안실 이사
디도스·APT 등 사이버 위협 대응한 실전형 훈련으로 보안 경쟁력 높여
KISA 등 기관 주도 훈련에 자체 훈련 추가해 실전에도 강한 대응력 자랑
“사이버 위협 증가하고 있지만 보안 기술 발전 속도 역시 빨라져”
8일 박관규 NHN클라우드 보안실 이사가 판교 사무실에서 자사 보안 경쟁력에 대해서 설명하고 있다. (사진=NHN클라우드 제공) *재판매 및 DB 금지
[서울=뉴시스]송종호 기자 = “클라우드가 보안에 취약하다구요? 우리는 기관이 주도하는 훈련 참여는 물론 자체 훈련까지 추가해 완벽한 침해 사고 대응력을 보유하고 있습니다.”
박관규 NHN클라우드 클라우드보안실 이사의 말이다. 그는 NHN클라우드에서 클라우드보안실을 이끌고 있는 책임자다. 클라우드 보안실은 NHN클라우드 고객을 대상으로 보안 아키텍트 상담, 설계, 기술 등을 지원한다. 또 클라우드 보안 인증에 대한 가이드 역할도 수행한다.
박 이사의 단언과 달리 여전히 일부 금융사나 공공기관 등 보안을 중요시하는 조직들은 클라우드 도입을 망설이고 있다. 이들이 주저하는 이유 가운데 하나가 클라우드 보안에 대한 막연한 불신이다. 실제로 클라우드 관리 서비스 사업자(MSP)인 베스핀글로벌이 최근 국내 기업 정보기술(IT) 담당자 405명을 대상으로 설문조사를 실시한 결과 47%가 클라우드 도입 시 느낀 어려움으로 보안 우려를 꼽았다.
NHN클라우드 보안 자신감의 근거는 ‘끊임없는 훈련’
그는 “클라우드 보안 훈련은 크게 침해대응과 재해복구로 나뉜다”라며 “재해복구 훈련은 계획을 수립하고 내부 승인을 받는 과정을 거친다”고 설명했다.
이어 “실제 데이터를 이전해서 실전과 같이 훈련을 한다”며 “훈련 후 부족한 부분은 후속조치하되, 결과나 후속조치 여부 등을 유관기관으로부터 검증받는 형태로 관리된다"고 덧붙였다. 재해복구 훈련에서는 재해, 정전 등 여러 장애가 발생했을 때 데이터를 보호하고, 손실된 기능 등을 복구하는 절차를 그대로 수행한다.
침해대응 훈련의 경우 한국인터넷진흥원(KISA) 등 기관 주도 훈련과 클라우드 서비스 사업자(CSP) 자체 훈련이 있다.
기관 주도 훈련은 다시 디도스(서비스 거부 공격)와 APT(지능형 지속 공격) 훈련으로 다시 나뉜다.
박 이사는 “디도스 훈련은 일년에 상·하반기 두 차례 진행된다”라며 “KISA 주도로 훈련이 진행된다”라고 설명했다. 이때 KISA가 공격자 역할을 맡아 NHN클라우드와 같은 CSP의 취약점을 파고든다. 박 이사는 “KISA 공격을 방어하면서 실전 대응력을 높이고 있다”라고 말했다.
실전과 같은 훈련으로 사고 대응력 높여…“위협 높아질수록 대응 기술력도 발전”
NHN클라우드의 경우 기관 주도 훈련에 그치지 않고 자체 훈련도 수시로 수행하고 있다.
다양한 업종의 고객을 보유한 CSP인 NHN클라우드가 피싱 메일에 의한 랜섬웨어 등에 감염될 경우 예상되는 피해는 치명적이기 때문이다. 실제로 최근 글로벌 보안기업 트렌드마이크로는 ‘모든 것은 연결돼 있다’라는 보고서를 통해 한 조직이 랜섬웨어에 감염될 경우 같은 공급망에 연결된 다른 파트너와 고객도 위험에 노출될 수 있다고 경고했다.
자체 훈련 중에는 임직원을 대상으로 피싱 메일 대응력 점검도 이뤄진다. 흔한 공격 수법인만큼 경각심이 느슨해질 수 있다는 판단에서다. 이에 대해 박 이사는 “실제 피싱 메일과 동일한 양식과 문구를 사용한 메일을 임직원들에게 발송한다”라며 “임직원들이 피싱 메일에 어떻게 대처하는지 살피고, 후속 방안을 마련하는 것이 목적”이라고 말했다.
그렇다면 박 이사는 클라우드 보안을 어떻게 전망할까. 그는 “어느 시스템에도 녹아들 수 있는 클라우드의 유연성은 공격자 입장에서 어디서나 공격할 수 있는 여지를 확보한 것”이라고 짚었다.
하지만 그에 따른 대응력 역시 발전하고 있다는 것이 박 이사의 분석이다. 박 이사는 “IT 보안에서 위협이 커지면 대응하는 기술력도 더 발전해왔다”라며 “이 같은 기술력의 발전을 되짚어 봤을 때 클라우드 보안 기술은 앞으로 더욱 향상될 것”이라고 말했다.
◎공감언론 뉴시스 [email protected]
