IBM Security Summit Seoul 2019

IBM Security Summit Seoul 2019

오랜만에 IBM 세미나에 참석했다, 집에서 가까운 신논현역 근처에 위치한 르메디앙 호텔에서 진행되었다. 

맞다 그 버닝썬이 있었던 그곳.. 생략

학교 선배형도 만나고 전 직장 선배님들도 만나고 현업에서 같이 일하는 보안 동료들을 만나서 반가웠다 :)

반가운분들과 열띤 대화를 하다가 첫 세션을 놓쳤다;

두번째 세션은 네임드 "브루스 슈나이어" 의 발표가 진행되었다. 작년부터 IBM에서 언급되고 있는 레질리언트 CTO로 재직중인 분이다

인이어로 열심히 듣고 그분의 생각과 내 생각을 복합적으로 정리해봤다

브루스 슈나이어 - 하이퍼커넥니드 시대의 보안과 생존

데이터의 위치(어디에 보관)의 중요성 강조 그리고 메이저 와 마이너 데이터의 관리 방안을 논의 

ex.) 4차 산업혁명에 앞서 향후 30년된 자동차 또는 컴퓨터의 패치는 누가 어떻게 할 것인가?

-> 생각: 메이저 회사에서 나온 제품들은 취약점이 발견 시 패치라는게 존재하지만 최근 iot 홈 서비스다 뭐다해서 쏟아지는 비 주류 제품들에 대해선 패치가 되고 있을까? 만약 된다해도 지속적으로 패치할 정도의 인력 대비 마진이 남는 구조일까?

인증범위의 변화

기존에는 "사람 -> 사물" 로 나를 증명하는 행위였다면 앞으론 "사물 -> 사물" 의 방법으로 변경될 수 밖에 없다

ex.) 4차 산업혁명 시대에서 벌어질 자율주행의 경우 자동차와 수많은 사물간의 인증 기반이 존재하고 그 인증을 통해 자율주행이 이루어지는 형태가 될 것이다

-> 생각: 눈으로 보이는 모든 사물들이 비트화되어 엄청난 크기의 빅데이터들이 성능 좋은 클라우드에 저장되고 이를 바탕으로 초 시대적인 통신을 주고 받는 행위를 통해 자율주행이 도입된다는 바탕이 깔려있다고 생각되는데 바로 첫 발걸음이 5G 시대의 탄생이라고 생각된다, 걸음마 단계에서 뜀박질 단계까지 머지 않았다고 생각된다 :)

AI시대에서 AI공격자와 AI방어자가 있다면 누가 이길것인가? 

현재 대다수 의견은 여러가지 복잡성의 이론에 근거하여 공격자 관점이 유리할 것으로 예상됨

생각: 보안은 수비적 마인드가 강한데 큰일이다.. 사고를 통한 빠른 학습과 복습만이 답일까?

비대면에서 AI가 사람을 흉내낼 경우 사람인지 AI인지 확인할 방법이 있을까? 

생각: CS 사업도 최근엔 사람에서 봇으로 대체되고 있는 상황에서 정교하게 사람처럼 흉내를 내는 AI가 있다고 하면 또다른 보이스 아니 봇 피싱이 생기지 않을까?

브루스 슈나이어님의 결론을 요약해보면 이런거 같다

미래 보안 정책으로 AI방어가 AI공격을 막아낼수 있도록 설계가 필요!! 현재는 지지만 향후엔 이겨야된다는..

기술에 있어 보안이 고려된 설계론이 중시되어야 하며 최종적으론 완성된 소프트웨어에서 보안 없이도 안정된 시스템이 돌아갈 수 있는 설계가 궁극적인 목표라고 하시는거 같다.. 어렵다, 보안인들 힘냅시다 !!

다음 세션은 내가 페북으로 열심히 눈팅을 하는 김승주 교수님의 발표였다

김승주 교수님 - 4차 산업혁명 시대에 보안을 바라보는 새로운 관점

4차 산업혁명 시대를 맞아 정책 변경 방안

키워드: 초연결사회 , 모든 영역에서 정보화가 연결되는 시대

생각: 요즘 통신사들 광고를 보면 초시대 초시대 초시대!! 라는 단어를 매우 강조하는데 초시대는 매우 중요하다고 생각된다. 글로벌 환경에서도 제약없이 끊기지 않고 통신이 된다면 과거 상상속에서만 맴돌던 아이디어들이 현실이 될날이 머지 않았다고 생각한다. 앞으론 뉴스볼때  김모모 기자 나와주세요 하면 3초뒤에 네~ 김모모 기잡니다 라는 뉴스 화면은 추억속으로 살아지게 되겠지?

Information Security 에서 Cyber Security 로 변화

정보보호 관점에서 사이버 보호 관점으로의 변화를 주목해야 함

도메인 중심의 보안에서 데이터 중심의 보안으로 패러다임 전환

망분리 영역은 4차 산업혁명 시대와 충돌, 개선 필요

ex.) 망분리 솔루션이 판매 될때 덩달아 망분리 연계 솔루션이 같이 판매되는 아이러니한 상황

Why? 도메인 보안이 중심되었기 때문에 프레임을 벗어나지 못함

생각: 정책을 잘 알진 못하지만 그래도 어깨넘어 보고 배운걸 끄집어 생각해보면 나름 내가 속한곳은 도메인이란 프레임을 벗어나 데이터 기반을 중요도에 따라 분리해 분산 구조로 보안에 중점을 두고 보고 있다고 생각했지만 내 생각이 틀릴수도 있겠단 생각이 들었다, 만약 분산되서 보고 있다고 지금 현재 정책에 위배가 된다고 지적을 받으면 어떻게 해야될것인가? 물리적 망분리는 뜨거운 감자인거 같다는 생각이 문득 들었다

평가 등급에 따른 보안제품 조달체계

해외인 미국인 경우 데이터의 중요도에 따라 솔루션 선택폭이 달라짐

도메인 중심에서 데이터 중심으로 변화되었고 데이터 중심의 보안 체계가 이루어지고 있음

Security 중심에서 Trustworthy 로 변경되어야 한다

MS의 전신인 빌게이츠가 2002년 직원에게 메일로 Trustworthy 하게 변화되어 일해야 한다고 했다고 한다, 그 이후 Windows vista 등장을 했고 비스타는 XP대비 버그 신고가 50% 나 감소한 제품이었다고 한다

Trustworthy 는 걸프전에서 미국이 얻은 교훈이라고 한다, 24시간 365일 어떤 환경에서든 보안통신이 가능해야한다는 교훈인데 실제 중동의 모래폭풍 때문에 통신상태가 엉망이 되어 작전을 제대로 하달하지 못했다고 한다, 여기서 나온게 트러스트월띄 인거 같다. 일단 통신이 되야 뭘 하든 할거 아닌가?

걸프전 이후 미국 정부에서는 1990년대 후반부터 ‘정보보호’라는 표현보다는 ‘정보보증’이라는 표현을 더 자주 사용하고 있으며 이는 점차 산업체로 확산되고 있다고 했다

정보보증이란 바로 이러한 신뢰성을 확보케 하고 이를 검증하기 위한 관리적·기술적 수단 또는 행위

생각: 트러스트월띄 밟음도 어렵고 단어도 생소했다, 믿을만한 이란 뜻인거 같은데 완벽한 보안보단 신뢰를 바탕으로한 지속성을 강조했다고 봐야할거 같다

Information security -> Information Assurance -> Cyber Security 순으로 변화되고 있는거 같은데 나도 IS 에서 CS 로 변화된 자세를 보여야겠다 :)

4차 산업혁명 보안에 있어 보안 내재화의 중요성 강조

시큐어 코딩 위주에서 탈피하여 제품을 생산하는 모든 단계에 있어 보안에 대한 고려방안을 추구해야 한다(보안 공학의 중요성 강조)

CC인증 (Common Criteria)

CC인증 내에서도 등급이 1~7 단계로 나뉨, 우리나라는 대부분 3~4단계 수준 (7 단계로 갈수록 강화)

생각: ISMS 인터뷰도 몇차례 해보고 최근엔 ISO27001 심사원 자격증도 취득했지만 CC인증에 등급이 있다니 생소했다, CC인증을 받았다는 솔루션에 대해 등급이 몇짜리 CC인증인지 물어봐야겠다는 궁금증이 생겼다

IOT 빅뱅 시대를 대비한 보안정책 

글로벌 공급망에 대한 보안대책 필요하며 글로벌 갈등을 해결하기 위한 외교적 협의가 중요

AI 의 시각 차이

미국에선 Security Automation 이 먼저 해결되야 AI를 이용한 제로데이 취약점 단계가 가능하다고 봄

생각: 작년만해도 여기저기서 AI 라는 단어가 남발되는걸 목격했는데 올해부턴 업계에서도 조금 양심이 생겼는지 덜 보이는거 같다. AI라고 설명하지만 막상 열어보면 빅데이터 기반의 평판DB가 대부분이었다. 이번 IBM에서도 AI란 단어보단 자동화와 반자동화 그리고 ML 이란 단어가 자주 보였다.

불과 2년전만해도 자동화란 단어를 내 스스로 튕겨내고 받아드리지 못했던 시절이 있었다, 하지만 직접 경험을 해보니 두리뭉실한 자동화는 있으나 마나한거 같고 간결하고 결과가 명확한 방법에 대한 자동화는 진리라고 생각된다 :) 자동화라는 단어는 거창할 수도 있지만 개인적인 생각은 어떤 행위를 통해 내가 일하는 영역이 조금이라도 편해진다면 이 또한 자동화의 쾌거가 아닐까 생각된다

버그바운티의 활용

보안의 중요성은 증대되고 있고 내부 보안 인력으로만 보안을 커버할 수 있는 한계에 도달했다

과거 미국 펜타곤에서 진행한 버그바운티 경우 불과 13분만에 취약점이 수백개 확인되었다고 한다, 정말 13분만에 취약점이 나왔을까? 아니다 이미 알고 있는 취약점을 돈을 받고 알려준거라고 생각된다, 

생각: 결국 상금이 문제인데, 고용에 들어가는 1년대비 돈과 버그바운티로 지급할 상금을 비교해보고 적절한 밸런스를 찾는게 관건이라고 생각된다. 난 연봉대비 밥값을 하고 있는지 모르겠다 ㅠ..ㅠ

결론: 김승주 교수님 말씀을 너무 잘하신다, 내용이 귀에 쏙쏙 들어왔고 강의가 끝난 후에도 스스로 많은 생각을 가지게 되었다 :)

그리고 IBM에서 주신 맛있는 점심 도시락을 먹었다

불고기에 장어에 각종 과일 채소들,,, 도시락 따봉!!

밥을 먹으면서 열띤 얘기를 하다보니 시간이 오버되어 브루스 슈나이어 싸인책 줄을 서지 못했다.. ㅠ

오후 세션에 이어진 패널 토의도 유익했다

OT 라는 단어가 많이 나와 생소했는데 Operational Technology 로써 SK하이닉스 같은 산업기반에서의 보안을 의미하는 단어였다

국내 많은 보안 업체들이 OT를 하기위해 전문가들도 구성되고 노력을 많이한다는 것을 느낄수 있었다

IT 현업에서도 백단에 EDR 같은 프로그램 또는 백신만 설치해도 부담을 느끼는게 현실인데 폐쇄망 시스템에선 더하면 더했지 덜 하진 않는다고 생각이 드는데 그래도 보안을 위해 고민해주시는 모습이 보기 좋았다 :)

가운데 풍채 좋으신 SK하이닉스 팀장님의 재치있는 토킹이 갑자기 떠올랐다, IT 와 OT 의 차이점을 일어서서 몸소 표현해 주셨던 기억이 +_+

이어서 IBM 보안 솔루션에 대한 설명이 이어졌다

박형근 실장님의 IBM 클라우드 서비스에 대한 설명을 들었고, 이중 올해 관심사인 CloudTrail +_+

AWS 를 예를 들면 계정 활동을 어떻게 모니터링하고 보관을 할 것인가에서 출발한 솔루션이라고 생각되는데 ec2 는 몇번 스윽봐서 그나마익숙하지만 데이터 보관 관점이기에 s3 를 사용해야 될거 같은데 하반기에 다시 aws 공부를 해야겠다 :)

곧이어 내가 좋아하는 나병준 실장님의 왓슨 소개

Watson 은 제작년부터 관심사이기에 변화된 관점 진화된 관점을 중점으로 설명을 들었다

지속적으로 학습을 통해 왓슨의 인공지능이 초딩에서 많이 성장한거 같았고 비 공식으로 CISSP 시험을 봤는데 합격했다고 한다. 시습 보유자로써 왓슨은 이제 더 이상 초딩이 아닌것으로!!

생각: 현재 관점의 보안관제 환경 vs 왓슨 도입의 보안관제 환경 을 듀얼로 구성해서 운영해 본다면 장단점을 알수 있지 않을까? 테스트에 필요한 비용과 정책에 대한 허들 등등 생각해볼 문제는 많지만서도..

그리고 단어가 멋있는 Orchestration +_+

개인적으로 오케스트레이션이란 단어는 음악적 단어가 먼저 떠오르지만 보안의 관점으로 볼때 연결 또는 연계를 통해 보안 활동의 일련의 통합 과정을 보여주는 것 이라는 개인적 생각인데 맞을란가? 현직에서 동료분이 보안의 오케스트레이션을 정리해서 보여준 자료를 보고 입이 쩍 벌어졌던 기억이 갑자기 떠오른다, 이 많은걸 언제 배우고 학습하고 적용해보지? 생각만 해보고 몇개 안해본거 같아서 갑자기 반성을 하게 된다..

그리고 앞서 잠깐 언급했던 OT Security Trends 에 대한 설명도 엿볼수 있었다

올만에 세미나에 참석해서 오전부터 오후까지 들었더니 뭔가 지식이 늘어난거 같고 묵혀두고 생각만 했던 기억들이 다시 떠오르는 기분이라 좋았다, 앞으로 좋은 세미나가 있으면 종종 참석해야겠다

- 19.05.09 IBM Security Summit Seoul 2019 에서 -