김경진 사장 "최선의 사이버 보안 전략은 '제로 트러스트'…인증·신원 철저히 검증"
“한국은 국내총생산(GDP)이 세계 10위권인 선진국입니다. 한국 정부나 기업이 사이버 범죄의 주요 타깃이 되고 있습니다.”

김경진 델테크놀로지스 한국 총괄 사장은 5일 한국경제신문과의 인터뷰에서 “대기업은 물론 방산 기업, 이들의 하청업체까지 해외에서 탐내는 정보를 많이 갖고 있다”며 “정부와 기업 차원에서 한층 더 보안을 신경 써야 하는 시점”이라고 말했다.

그는 “사이버 보안은 비용을 들일수록 손해가 줄어들지만 반대로 비용을 아주 많이 들여도 손실을 100% 없애는 것은 불가능하다”며 “감당할 수 있는 손해가 어디까지인지, 최적의 조합을 찾아야 한다”고 강조했다.

○“아무도 믿지 않는 게 최선”

김 사장은 “현재 최선의 전략은 ‘제로(0) 트러스트’ 전략”이라고 설명했다. 제로 트러스트는 말 그대로 “어떤 것도 신뢰하지 않는다”는 개념이다. 내부자 여부와 상관없이 인증과 신원 등을 철저하게 검증하고, 시스템 접속 후에도 접근 범위를 최소화한다. 그는 “쉽게 말해 입고되는 자재에 대해 경비원이 입구에서 체크하고, 창고에서 또 체크하고, 출고될 때도 체크하는 것”이라고 설명했다.

제로 트러스트는 2010년 처음 등장한 개념이지만 코로나19 이후 원격·재택근무가 늘어나면서 관심이 커졌다. 다양한 환경과 기기에서 내부망 접속이 늘어남에 따라 기존 보안체계로는 외부 공격을 모두 감당하기 어려워졌기 때문이다. 델이 조사한 결과 직원들이 원격·재택 등의 방식으로 업무를 하는 경우 사무실 근무와 비교해 보안 위협에 노출될 가능성이 47% 높은 것으로 나타났다. 김 사장은 “개인 기기와 서버, 스토리지, 네트워킹, 서비스 환경 전체에 일관된 보안을 유지해야 한다”며 “비용 문제로 모든 데이터와 앱, 네트워크 트래픽에 제로 트러스트를 적용할 수는 없지만, 최소한 기업의 핵심 데이터나 주요 서비스에는 도입해야 한다”고 말했다.

‘사이버 금고(vault)’ 시스템의 중요성도 강조했다. 사이버 금고는 물리적·논리적으로 격리된 귀중품 보관실과 같은 데이터 보관 장소를 뜻한다. 여기 저장된 데이터에 접근하려면 별도의 보안 자격 증명이 필요하다. 사이버 금고에 저장된 데이터는 인공지능(AI)을 활용해 사이버 침해 또는 공격 징후를 탐지하게 된다. 김 사장은 “고객의 계정 정보나 원장 정보, 개발 소스 등 기업 그 자체라고 할 수 있는 민감한 데이터는 사이버 공격은 물론 화재, 폭풍 같은 천재지변에도 보호받아야 한다”며 “사이버 금고는 최악의 상황을 가정한 최후의 보루와 같은 것”이라고 강조했다.

○방어 체계만큼 복원 계획도 세워야

보안 체계를 갖추는 것만큼 중요한 것은 ‘사이버 복원력’을 확보하는 것이다. 사이버 복원력은 IT 시스템이 중단되더라도 신속하게 복구하는 능력을 뜻한다. 의도적인 공격은 물론 사람의 실수, 자연재해 등 여러 가지 상황을 대비해야 한다. 김 사장은 “아무리 강력한 사이버 보안 체계를 구축했더라도 임직원 단 한 명의 실수만으로 회사 내부에 랜섬웨어가 퍼지는 등 보안 사고가 일어날 수 있다”며 “언제든 뚫릴 수 있다는 가정하에 최대한 정상으로 빨리 되돌리는 방안도 수립해야 한다”고 말했다.

그는 “뭘 지킬 것인가에 대한 명쾌한 전략이 필요하다”고 조언했다. 비용 문제로 모든 데이터를 완벽하게 지킨다는 것은 불가능하기 때문이다. 그는 공장을 예로 들어 “원자재를 담아온 컨테이너는 잃어버리면 손해지만 그렇다고 24시간 감시 인력을 둘 필요는 없다”며 “반면 생산한 물품은 CCTV도 설치하고 경비원도 배치해 지켜야 한다”고 말했다. 사이버 보안도 이와 마찬가지로 단계를 나눠 보안 수준을 다르게 하고, 복구도 중요도에 따라 다르게 진행해야 한다는 뜻이다. 그는 “비용 문제로 모든 걸 다 지킬 수는 없다”며 “지키는 재화마다 비용 대비 손실을 계산해야 한다”고 강조했다.

이승우 기자 leeswoo@hankyung.com