[머투초대석]조원영 시만텍코리아 대표 "보안 전제하지 않은 IoT는 위험성을 연결하는 것"
"세계 1위 보안기업인 시만텍도 2, 3위 보안기업들과 협력합니다. 그만큼 (보안)위협이 복잡해지고 치밀해지고 있다는 겁니다. 협력을 통해 최대한 고객을 보호하는 방법을 찾아야하죠."
해커에게 국경은 없다. 미국에서 새로운 해킹 방식이 발견되면, 언제든 국내에서도 유사 사례가 발견될 수 있다. 조원영 시만텍코리아 대표이사는 보안 위협이 전세계적으로 커지고 있어서 국내외 벽을 두지 않는 협력이 필요하다고 말한다. 거세지는 해커 공격을 혼자 당해낼 수 없다는 것.
이는 외국계 보안기업들이 속속 국내에 자리잡는 이유기도 하다. 시만텍 코리아는 1997년 설립돼 오랜 기간 한국 시장에서 활동한 '보안 원년 멤버'다. 올해도 카스퍼스키랩, 래피드7이 국내에 지사를 설립했다. 국내 보안업계도 '우물 안 개구리'를 벗어나야하는 시점이 왔다.
보안업계에서 20여년간 일해온 조원영 대표는 국내 보안전문가로서 경험을 바탕으로 글로벌 기업과 국내 기업의 협력을 강조했다. 상생할 수 있는 방안이 있고, 또 그것이 한국 보안수준을 높이는데 일조할 것이라는 판단에서다.
-글로벌 보안기업 CEO로서 한국 보안시장을 어떻게 분석하십니까.
▶한국은 훌륭한 IT 인프라를 갖추고 있고, 기기 보급율과 사용률 또한 매우 높습니다. 온라인 상거래 시장 규모도 빠르게 성장하고 있죠. 세계적인 해커들에게 주요 관심국이 될 수밖에 없습니다. 반면에 보안에 대한 인식과 투자는 상대적으로 부족한 현실이죠. 사이버 공격 방법이 날로 복잡해지는데도, 상대적으로 국내에서는 통합적인 보안에 대한 준비가 부족합니다.
-올해도 카드3사, KT 등에서 정보유출 사고가 발생했습니다. 그럼에도 국내 보안산업은 커지는 기미가 없는데.
▶보안 영역에 오래 몸담았는데 미스테리입니다. 지식정보보안산업협회(KISIA) 발표를 보면 지난해 소프트웨어(SW)보안 매출은 1조6169억원 정도입니다. 그나마 매출액이 중복으로 잡히는 경우도 많죠. 보안이 ROI(투자자본수익률)가 안나온다고 생각하는 겁니다. IT예산에서 5% 투자도 안하는 것이 현실이죠. 해외는 10~20% 보안 투자를 하는데 말입니다. IT시스템을 구축할 때도 먼저 서버, 네트워크 장비를 다 해놓고 마지막에 보안을 생각합니다. 건물을 지을때 철골처럼 보안을 인식하는 외국과는 다르죠.
-보안 투자 가운데서도 '사람'에 대한 투자가 가장 중요할 것 같은데요.
▶국내 보안 인력은 많이 부족합니다. 보안은 운영체제(OS), SW, 네트워크 등 전반을 알아야하는데, 깊이 있게 아는 사람은 보안으로 안옵니다. 책임만 져야하는 자리니까요. 업계에서는 국내에 CISO(최고보안책임자) 인력풀이 100명도 안될거라고 말합니다. 스카우트 전쟁이죠. 보안 직종은 지금보다 훨씬 대우가 좋아져야합니다. 잘되면 표시가 안나는 곳이지만, 경영영속성과 재난복구에서 가장 핵심적인 요소라는 점을 인식해야합니다.
독자들의 PICK!
-국내 보안 수준을 높이기 위해 개선해야할 점이 있다면.
▶보안은 기업 자율에 맡겨야한다고 봅니다. 이런저런 가이드라인이 계속 나오는데 그러다보니 '최소한 그것만 하자' '흉내만 내자'가 돼버렸습니다. 보호대상을 명확히 하고 그걸 못하면 강력한 처벌해야합니다. 알아서 최대한 보호하고, 기업 스스로가 '우리가 정말 잘 보호하고 있다'는 점을 부각해서 고객들에게 신뢰를 많이 모을 수 있도록 분위기가 바뀌어야합니다.
-보안 문제가 테러수단으로도 확대되는 상황입니다.
▶보안 전력 수준이 곧 국력 수준이 되는 상황입니다. '총성 들리지 않는 전쟁'이 될 수도 있죠. 예를 들어 최근 외부와 완전히 분리된 이란 핵발전소가 공격당하기도 했습니다. 타격 공격으로 핵발전소 가동이 중단됐죠. 이 사례를 보면 핵발전소를 오작동시키는 일도 가능하다는 것인데, 일본 후쿠시마 원전산태 같은 일이 벌어질 수도 있다는 겁니다. 실제 철도, 항공, 발전소, 통신 등 기반시설을 집중적으로 공격하는 양상이 늘어나고 있습니다.
-시만텍 본사에서도 집중하고 있다는 사물인터넷(IoT)은 국내에서도 상당히 강조하는 부분입니다. 초기 구현부터 보안을 염두에 두지 않으면 위험한 수단이 되는 것 아닌가요.
▶ 재앙이죠. 사물끼리 통신을 하고 판단을 하는 것이 사물인터넷입니다. 매우 편하죠. 그런데 사물들이 연결된다는 것은 '편의성'이 연결되는 것이자 곧'취약성' '위협성'이 연결된다는 점을 알아야합니다. 예를 들어 자동차는 이제 40여개의 CPU(중앙처리장치)가 탑재된 '바퀴가 달린 컴퓨터' 입니다. 만약 자동차가 해킹을 당해서 갑자기 브레이크가 안 듣는다든지, 충돌이 났다는 거짓 신호로 인해 에어백을 터뜨리면 목숨과 직결됩니다. 인명피해를 불러일으킬 수 있는거죠. 개인정보도 그렇습니다. 웨어러블기기로 체온, 심장박동, 간수치 등 나의 민감한 건강정보가 다 정보로 쌓이는데, 이는 단순히 지금 유출되는 주민등록번호 수준이 아니죠.
-그렇다면 IoT 보안의 핵심은 무엇이라고 보십니까.
▶사물 인터넷은 사물에 달린 '센서'가 핵심입니다. 또 이를 통해 수집된 정보인 '빅데이터' 그리고 이를 가공하는 '분석 단계' 이용자가 쉽게 이를 이용하는 '앱형태 서비스 단계'에 이르기까지 보안이 단계별로 필요하죠. 특히 신호를 누가 보낸건지 인증하는 것과 안전한 통신은 IoT 보안의 핵심입니다. 주인이 누구인지, 장치 자체가 오작동을 하지는 않는지 확인해야 위협을 막을수 있죠.
-예비고객 입장에서 보면 보안 우려 때문에 IoT 서비스를 이용하기까지는 오랜 시간 걸릴 것 같은데요.
▶그렇습니다. 하지만 IoT시대가 위협이자 기회라고 말하는 이유가 있습니다. IoT는 제2의 인터넷 사업 붐업을 일으킬 것이라고 봅니다. 국내에서도 정부가 2019년까지 민관 합동으로 약 500억원을 투자해 IoT 유망 핵심센서, 디바이스 기술개발을 추진하는 등 관심이 날로 높아지고 있죠. 또, 우리 SW기술은 훌륭합니다. 그런데 지금은 센서와 서비스만 만들죠. 만약 국내에서 센서도 안전하고 이 서비스를 쓰면 정보도 안전하게 수집되고, 문제발생시 보상도 해준다고 한다며 쓰게 될겁니다. 즉 '보안에 기반을 둔 설계(Security by Design)'를 한다면 훨씬 경쟁력이 생기죠.
-IoT를 추진하는 기업들의 보안에 대한 자세는 어떤가요.
▶삼성, LG 등 한국에는 대표적인 제조회사가 많습니다. IoT 보안에 대해 시만텍도 국내 여러 업체와 논의하고 있죠. 업계 관계자분들도 그 중요성은 확실히 인식하고 있다고 봅니다. 이동통신사도 마찬가지죠. 통신은 IoT 인프라 핵심인데, 클라우드 서비스 등 안전성을 확보하기 위해 보안에 대한 고민을 많이 하고 있습니다.
-올해 초 취임하고 상반기에는 국내 보안관제시장 진출도 선언했습니다. 기존 국내업체들과는 어떤 차이가 있나요.
▶기존 업체들은 서버, 방화벽, SW를 보다가 침입이 들어오면 막고 알려주는 관제서비스(MSS·Managed security service)입니다. 저희는 국내 MSS시장에서 기존 주자들과 경쟁해 싸우겠다는 것은 아닙니다. 보다 고도화해 차세대 관제를 하겠다는 것으로 기존 관제업체와 협력하는 서비스를 진행하고 있습니다. SSET(Symantec Security Expert Team·시만텍 보안 전문팀)도 만들어서 국내 악성코드 빨리 대응하도록 지원하고 있습니다.