프레드 코스트 오라클 부사장…“데이터 보안은 ESG 경영 뒷받침하는 핵심 요소”
[인터뷰]정보기술(IT) 분야의 가장 중요한 환경·사회·지배구조(ESG) 과제는 개인 정보 보호와 보안 강화다. 특히 신종 코로나바이러스 감염증(코로나19) 사태의 영향으로 빠르게 비대면 사회로 이행하며 기업과 각국 정부 기관이 클라우드 채택을 늘리면서 철저한 보안 전략과 대비책 구축이 요구되고 있다.
오라클은 세계 최대 데이터베이스 업체이자 주요 클라우드 서비스 제공 업체다. 오라클은 최근 클라우드 보안 위협에 발빠르게 대처하고 있다. 프레드 코스트 오라클 크로스 플랫폼 보안 및 애널리틱스 담당 글로벌 부사장에게 오라클 클라우드 서비스의 보안 관련 과제와 사고 방지 노력에 대해 물었다.
코스트 부사장은 네트워크 보안 솔루션 업체인 익시아(Ixia)와 클라우드 데이터 암호화 업체인 하이트러스트(Hytrust)를 거쳐 2018년 오라클에 합류한 보안 전문가다. 코스트 부사장은 “클라우드 환경의 위협이 증가하고 있다“며 “기업이 이에 대해 주의를 기울일 필요가 있다”고 설명했다. 특히 클라우드사와 함께하는 ‘통합 보안’ 시스템을 구축할 것을 조언했다.
- ESG 관점에서 보안과 개인 정보 보호는 왜 중요한가.
“ESG의 핵심인 지속 가능성은 기본적으로 ‘오랫동안 유지될 수 있음’을 의미한다. ESG 경영은 조직이 사업의 영향 아래 있는 사회 구성원과 환경 전반에 대한 책임을 진다는 뜻으로 확장되고 있다. 오늘날 대부분의 기업 활동이 기술과 데이터에 기반한 만큼 보안상 이유로 조직의 IT 시스템에 오류가 발생하면 비즈니스 운영이 불가능해진다. 예를 들어 고객은 주문한 물건을 받지 못하고 공급 업체는 대금을 받지 못한다. 이는 기업 신뢰에 치명적인 영향을 미쳐 신용과 기업 평판이 위협받게 된다. 또한 기업 내에서는 생년월일, 집 주소, 신용카드, 은행 계좌 정보와 같이 고객이나 파트너 혹은 직원의 개인 정보 및 개인 식별 정보(PII) 관리가 미흡하면 신원 도용이나 자금 남용과 같은 결과를 초래할 수 있다. 이를 고려할 때 안전과 보안이야말로 지속 가능한 기업 경영의 핵심 요소이고 데이터 자산을 적극적으로 보호하는 것은 곧 비즈니스의 지속성과 신뢰를 구축하는 뒷받침 요소라고 할 수 있다.”
- 최근 클라우드 도입이 확산되면서 기업이 당면한 보안 과제도 많아지고 있다.
“재택근무가 확산되며 클라우드 도입이 대세가 되고 있다. 지난해 오라클·KPMG 클라우드 사이버 위협 보고서에 따르면 50%는 향후 2년 이내에 모든 데이터를 클라우드로 이전할 계획이라고 밝혔다. 동시에 기업·정부·개인을 겨냥하는 사이버 공격도 기록적인 증가세를 보이고 있다. 위프로의 보안 현황 보고서에 따르면 사이버 보안 공격이 전년 대비 47% 증가하고 기업의 70%가 엔드포인트 보안 문제에 직면하고 있다. 머신러닝, 인공지능(AI), 5세대 이동통신(5G)과 같은 혁신 기술의 도입과 해커 그룹의 진화로 보안 위협이 나날이 정교해지고 있다. 포브스에 따르면 현재 기업 조직은 11초마다 사이버 보안 공격을 받고 있고 이러한 현상은 앞으로도 훨씬 더 악화될 것으로 예상된다.”
- 최근의 보안 사고 유형과 이에 대한 대책은 무엇인가.
“버라이즌에서 실시한 연구 조사를 보면 실제 데이터 유출의 85%는 공격 발생 최대 1년 전에 패치 적용이 가능했던 취약점에서 발생했다. 이는 기업이 충분히 사고를 예방할 수 있었다는 것을 말해 준다. 차세대 클라우드에서 주로 제공되는 보안 자동화는 사람이 일일이 수동으로 관리하는 것보다 시간과 자원을 절약하고 오류도 최소화할 수 있다. 대표적인 국내 고객 사례로 반도체 파운드리 업체인 DB하이텍은 오라클 자율 운영 데이터웨어하우스를 기반으로 자체 보안과 자체 복구가 가능한 최신형 자율 운영 데이터웨어하우스를 운영하고 있다. 이를 통해 사이버 공격으로부터 시스템을 보다 효과적으로 보호할 수 있게 됐다. 또 오라클 자율 운영 데이터베이스와 같은 제품은 주기적인 패치와 업데이트를 자동으로 수행해 기업이 보안 패치가 나오지 않은 상태의 제로데이 취약점에 신속하게 대응한다.”
- 기업 최고보안관리자가 특히 유념해야 할 보안 사항은 뭔가.
“변화하는 IT 환경에서는 서로 다른 공급 업체의 클라우드와 기업 내부 솔루션 전반에 걸쳐 보안을 통합하는 것이 중요하다. 대부분의 조직이 여러 클라우드 제공 업체와 협력해 다수의 인프라스트럭처를 사용하고 자체적인 공유 책임 모델을 보유하고 있기 때문에 이러한 문제가 발생한다. 즉 누가 어떤 책임이나 의무를 져야 하는지 불분명해져 설정 오류, 소프트웨어 취약, 사람이 저지르는 오류, 프로세스 중복 등의 위험을 초래할 수 있다. 따라서 기업 최고보안관리자(CISO)는 진화하고 있는 비즈니스 모델과 IT의 모든 측면에 보안을 적절하게 통합하고 풍부한 클라우드 전문 지식과 역량을 갖춰야 한다. 또 사이버 보안을 담당하는 경영진은 지금이야말로 보다 지속 가능하고 강력한 정책을 만들어야 할 때라는 것을 인식해야 한다. 오라클은 일부 공급 업체가 자사 소프트웨어와 하드웨어에 보안 기능을 적절하게 탑재하지 않아 보안 절차를 너무 복잡하게 구성한 경우가 많다는 것을 수차례 경험했다.”
- 오라클이 추구하는 보안 정책의 원칙은 뭔가.
“오라클은 지난 40년간 서비스 설계에서 보안을 최우선 요소로 고려하고 있다. 오라클 클라우드의 보안 우선 접근 방식은 고유한 특성을 지닌다. 오라클은 보안이 클라우드에 자체 탑재돼야 하고 고객이 보안과 비용 사이에서 타협하기를 강요해서는 안 된다고 보고 있다. 이러한 목표를 달성하기 위해 오라클은 다음과 같은 원칙을 제시하고 있다. 첫째, 보안은 전문가의 영역에만 머무르지 않도록 더 쉬워져야 한다. 둘째, 보안은 데이터 중심적이어야 한다. 셋째, 오라클은 대부분의 핵심적인 주요 워크로드에서 요구되는 보안 수준을 제공한다. 넷째, 고객사의 데이터 주권을 보호하면서도 높은 보안 수준을 구축한다. 오라클은 클라우드 데이터센터를 컨테이너 크기로 압축해 고객의 데이터센터에 설치해 주는 서비스인 ‘오라클 전용 리전 클라우드 앳 커스터머’를 통해 고객이 데이터를 자사 데이터센터에 보관하면서 오라클의 최신 클라우드 기술을 이용하도록 하고 있다.”
- 최근 IT 보안의 트렌드인 ‘제로 트러스트’는 무엇인가.
“제로 트러스트는 민감한 데이터에 대한 보호 수준을 높이는 새로운 IT 보안 접근 방식이다. 제로 트러스트에서는 기본적으로 네트워크 내부 또는 외부 그 누구도 신뢰할 수 없는 존재로 인식한다. 따라서 이러한 접근 방식에서는 각 개별 엔터프라이즈 리소스에 대한 접근 권한을 얻으려는 모든 사용자에 대한 검증 과정을 거치게 되고 사용자 접근 권한은 접속 건별로 시스템·네트워크·데이터마다 새롭게 부여된다. 제로 트러스트는 인증 절차를 강화하기 위해 네트워크 장치와 서버에 대해 여러 단계의 고급 액세스 제어 장치 사용도 권장한다. 예를 들어 누군가 올바른 암호를 사용해 로그인을 시도했는데 접속 장소가 이상하다면 추가 인증 장치가 작동한다. 오라클도 고객에게 제로 트러스트 보안 모델을 제공하고 있다.”
- 오라클의 데이터센터(클라우드 리전)와 관련한 보안은 어떻게 이뤄지나.
“빠르게 확장 중인 오라클 클라우드 리전은 고객의 워크로드를 오라클 클라우드 인프라스트럭처에서 애플리케이션에까지 이동·구축·실행할 수 있도록 하는 안전한 환경을 갖췄다. 다른 서비스와 마찬가지로 보안을 최우선으로 설계된 만큼 서로 격리된 네트워크 가상화와 엄격한 업무 분리를 포함해 내부의 보안 제어 장치를 제공하는 데 중점을 두고 있다. 또한 자율 운영 데이터베이스와 오라클 클라우드 인프라스트럭처를 통해 데이터를 상시 암호화하는 것은 물론 사용자의 행동을 지속적으로 모니터링하는 서비스를 제공한다. 그뿐만 아니라 클라우드 가드 및 ‘아이덴티티 클라우드 서비스’와 같은 추가 서비스는 보안 위험을 더욱 낮춘다. 이와 같은 자동화된 패치와 위협 완화 기능들을 활용함으로써 사용자는 시스템 복잡성과 사람이 저지르는 오류를 줄임과 동시에 비용도 절감할 수 있다.”
구현화 기자 kuh@hankyung.com