2018 Vol.12

2018 Vol.12

0

ISSUE&TREND

01 가짜뉴스의 원점, 가짜계정에 대한 재인식 (임문영 / 칼럼니스트)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙1

02 페이스북과 오큘러스가 말하는 가상현실 기술의 오늘과 내일 (최필식 / 기술작가)∙∙∙7

03 인터넷 산업 부문 전망을 통해 본 시사점 (최홍규 / EBS 연구위원)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙14

04 DevSecOps 현황과 전망 (진민식 / 스패로우 CTO)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙20

05 클라우드 보안 시장, CASB 주목 (유성민 / IT칼럼니스트)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙28

06 정보보안 인공지능 도입 분야 분석 및 제언 (박형근 / 한국IBM 실장)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙41

07 지능적 통합보안관제 체계의 필요성 (임문영 / 칼럼니스트)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙47

08 호주 사이버보안 정책동향 (이응용 / 애널리스트) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙53

09 중국 네트워크안전법 시대 현황 (박성림 / 타이베이간호건강대학 강사)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙64

▸ 주제 제안 및 정기 메일 신청 ⌧ kisareport@kisa.or.kr

인터넷·정보보호 관련 이슈, 현안 등 궁금한 내용을 보내주시면 선별 후 보고서 주제로 선정됩니다.

또한, KISA Report 온라인 서비스 제공을 원하실 경우 신청해주시면 매월 받아보실 수 있습니다.

2018 Vol.12

1

가짜뉴스의 원점, 가짜계정에 대한 재인식

임문영 칼럼니스트 (seerlim@gmail.com)

(前) 국회뉴스ON편집장

(前) 아이엠비씨 미디어센터장

가짜계정 삭제작업

▶ 최근 세계 최대 소셜미디어 페이스북이 6개월 동안 가짜계정 15억 개를 삭제했다고 밝혀 큰 관심을

끌었음

• 테크크런치에 따르면, 2017년 6월 기준 페이스북의 월 사용자수는 20억 명이라고 알려져 있고 삭제된

계정의 숫자는 누적 숫자로 월 사용자의 경우 액티브 사용자수(MAU)이기 때문에 셈법이 다름

• 하지만, 페이스북이 함께 삭제한 1억2,400만 개의 테러선동 콘텐츠, 6,600만 개의 음란물에 비해 삭제

된 가짜계정 15억 개는 역시 엄청난 숫자임

• 트위터도 지난 7월 7,000만 개 이상의 가짜 계정을 삭제하며, 이는 전체 계정의 6%에 해당하는 것으로

가짜 계정 삭제는 지금도 계속되고 있음

• 이 때문에 오바마 전 대통령은 300만 명, 트럼프는 34만 명의 팔로어가 감소됐으며, 한 수영복 모델은

팔로어가 77% 삭감된 것으로 알려졌음

• 인스타그램도 대대적으로 가짜계정 삭제작업에 들어가 중국의 경우 가짜뉴스를 전달하는 1인 미디어

계정을 1만 개 가까이 폐쇄했음

▶ 인터넷이 가짜뉴스와 혐오 콘텐츠로 홍역을 치르고 있는 가운데 소셜미디어 서비스들과 각국의 정책은

가짜계정 관리에 초점을 맞추는 추세로 모든 가짜뉴스와 혐오 콘텐츠, 불법 콘텐츠의 원점은 가짜계정

으로부터 시작되기 때문이나 가짜계정의 단속은 쉬운 문제가 아닌 것이 현실임

쉽게 만드는 가짜계정 상황

▶ 소셜미디어 회사들의 가짜계정 일괄 삭제 및 정리는 주로 선거 등 불공정한 정치개입 논란과 비즈니스

신뢰 위기에 따른 것으로, 트위터는 2016년 미국 대선에서 러시아와 연관된 계정 수만 개를 통해 허위

2018 Vol.12

2

정보가 유포된 사실이 드러남에 따라 수익성 악화에 시달렸음

• 페이스북 역시 선거에서 가짜뉴스의 온상이 되었다는 비난에 직면했고 정쟁의 볼모가 되기도 했음

▶ 흔히 인터넷 계정은 하나의 서비스에서 한 명의 이용자가 하나의 아이디를 갖는 것이 상식적이나, 인터

넷의 가짜계정은 여전히 쉽게 만들 수 있음

• 이메일과 휴대전화번호로만 인증할 수 있는 소셜미디어의 계정 생성은 사실상 무제한으로 열려 있는

상황으로, 한 사람이 여러 개의 이메일과 휴대전화를 사용할 수 있고 일회용 이메일 생성 서비스나

휴대전화의 듀얼메신저 앱 등을 이용해 복수의 계정을 만들 수도 있음

• 뉴욕타임즈가 밝혀낸 데부미(Devumi)라는 회사는 트위터 350만 개의 계정을 조종할 수 있고 고객의

팔로어 수를 총 2억 명까지 늘릴 수 있는 것으로 알려져있고 트위터의 가짜계정이 희화화되기도 했음

그림 1 _ 매시간마다 트윗을 올리는 빅벤봇

• 예를 들어 예약봇(scheduled bot), 매 시간마다 트윗을 올리는 빅벤봇, 다른 트위터를 실시간 관찰하는

관찰봇(watcher bot), 고객이 올린 글을 리트윗 되게 하는 확장봇(amplification bot), 미국 지질연구소의

지진소식을 자동으로 트윗하는 지진봇(Quakebot) 등이 있음

그림 2 _ 샌프란시스코 지진봇

2018 Vol.12

3

육성되고 관리되는 가짜계정

▶ 가짜계정의 더 심각한 문제는 만드는 것에서 그치지 않는다는 점임

• 이란의 해커들은 보안업체 시큐어웍스(SecureWorks)에 의해 발각된 미아 애시(Mia Ash)는 페이스북

에서 가장 유명해진 가짜계정으로, 그녀는 영국 스탠포드셔에서 태어난 사진작가로 순수미술을 전공

했고 사진 스튜디오를 소유, 500여 명의 소셜 친구와 링크드인에 경력도 올라와 있었는데 그녀는

세계 주요 국가 기업 임원들에게 접근해 대화를 나누다가 해킹을 시도함

• 국내에서도 소셜미디어 계정 관리 대행, 소셜 마케팅을 빙자하여 가짜계정을 키우고 가짜계정끼리

서로 팔로잉하거나 ‘좋아요’를 눌러 영향력을 키우는 방법이 암암리에 거래되고 있고, 국내 최대 가상

화폐거래소도 가짜계정을 만들어 1,500억 원 대 비트코인을 혼자 사고팔아 충격을 주었음

▶ 이와 같이 만들어지고 관리되는 가짜계정은 온라인에서 상당한 시간동안 신뢰를 쌓은 후 본색을 드러내기

때문에 피해가 더 큼

• 유명인을 사칭하는 가짜계정은 단골 소재로 베트남 축구감독으로 국민 영웅이 된 박항서 감독은 페이

스북 가짜계정과 인스타그램 가짜계정으로 유명세를 대신하고 있음

• 또한, 북한 외무상 리용호, 배우 김여진, 투자자 워렌 버핏 등을 사칭한 가짜계정 등 유명인들의 가짜

계정은 오히려 가짜인줄 알면서도 팔로어와 친구맺기 신청을 하는 기현상이 벌어지기도 함

그림 3 _ ia Ash의 활동 타임라인

[출처] SecureWorks

2018 Vol.12

4

가짜계정과 존재에 관한 문제

▶ 인터넷에서 개인을 표시할 수 있는 것이 ID(identification)로 사이버 공간은 기본적으로 현실 공간과

일대일로 대응되는 세상이 아닌 현실의 축약 또는 확장을 통해 현실을 재구성한 곳임

• 문제는 가상공간의 활동이 늘어나고 중요해지면서 현실 속의 사람과 가상 속의 사람을 일대일로 대응

시킬 수 없는 일이 많기 때문에 벌어지는 것임

• 현실에서는 이름을 포함해 다양한 정보가 결합된 인격체가 개인이 되지만 가상세계에서는 ID만으로

구분해야 하고, 그 ID는 극히 일부의 개인정보를 가지고 인증되는 한계를 갖고 있음

▶ 정신분석학자인 지크문트 프로이트(1856~1939)는 인간 정신이 이드와 에고, 초자아로 구성돼 있다고

주장했는데, 이 가운데 ‘이드’는 라틴어로 ID, 즉 무의식 영역을 뜻하고 우연히도 가상 세계의 가상 신분

증인 ID가 무의식 ‘이드’와 같으니 의미심장하다고 할 것임

• 가상공간에서 개인을 인증하는 방식은 경제적, 사회적, 생물학적으로 다양한 수단을 활용하며, 특히

본인임을 인증하는 방법으로 가장 많이 사용하는 휴대전화와 이메일 외에도 생물학적인 지문, 홍채,

3차원 얼굴 등을 이용하기도 함

• 가장 높은 인증과정을 거치는 카카오뱅크와 같은 인터넷은행은 본인 명의 휴대전화, 신분증 사진,

본인 명의 다른 은행계좌 입금내역 등으로 비대면 인증을 함

▶ 우리나라는 국민 개인마다 주민등록번호가 발급되어 있어 이를 인증기준으로 삼을 수 있는데, 주민등록

번호를 만드는 방법이 이미 인터넷에 공개되어 있음

• 위·변조 또는 타인의 주민등록번호를 사용하는 것은 불법이지만, 인증과정에서 이를 원천 차단할 방법이

없고, 심지어 주민등록번호는 지자체장이 발급하는 것이므로 ‘아기공룡 둘리’나 ‘달려라 하니’같은

만화 캐릭터도 주민등록번호가 있음

실명, 가명, 익명, 탈익명, 비식별화의 스펙트럼

▶ 가짜뉴스와 마찬가지로 가짜계정에 대한 정의 역시 명확하지 않으며 가짜계정은 현실 속의 인물과 일대

일로 동일하지 않은 것을 의미하지만, 계정은 한 사람이 여러 개를 만들 수도 있고 여러 사람이 하나의

계정을 공유할 수도 있음

• 만일 가상의 인물로 만들어진 계정이라 하더라도 그 인물이 완전히 상상 속의 가짜인 경우와 실제

인물을 사칭한 경우로 나눌 수 있고, 실제 인물의 계정이라고 하더라도 나이나 성별, 직업, 평판 등을

확대, 과장, 왜곡한 경우도 있어 이 역시 가짜계정이라고 해야 할 것인지 판단이 쉽지 않음

2018 Vol.12

5

▶ 인터넷 계정의 신분을 현실과 어떻게 조응시킬 것인가에 따라 계정에 대한 성격에도 실명, 가명, 익명,

탈익명, 비식별화의 다양한 스펙트럼이 존재함

• 가명은 ‘실제의 자기 이름이 아닌 이름’이며 ‘임시로 지은 이름’을 뜻하고 익명은 ‘이름을 숨기거나

숨긴 이름, 그 대신 쓰는 이름’을 뜻하며 비식별화는 개인정보에 초점을 맞춰 ‘누구인지 특정할 수

없게 만드는 것’이고 탈익명은 ‘대중 속에 숨겨있는 개인을 드러내는 것’ 정도로 해석할 수 있음

• 쇼생크탈출에서 주인공 앤디가 교도소장의 탈세를 돕는 척 하면서 만든 가짜계정은 모든 금융거래가

완벽하게 이뤄져 있지만 가공의 인물로 그는 이 가짜계정을 이용해 탈출한 뒤 교도소장의 모든 돈을

인출, 이때 가짜계정은 영화 속에서 금융거래상으로는 문제가 없는 합법적 계정으로 그려짐

• 영화 레디플레이어원에서 주인공 ‘쇼’는 뛰어난 게임 플레이어지만 11살짜리 어린 아이로 다른 게이

머들이 모두 실제의 쇼가 어린 아이라는 것을 알고 놀라지만, 가짜계정을 사용한 것이라고 할 수는 없음

• 최근 선릉역 20대 여성 살해사건은 피의자가 본인이긴 했지만, 온라인에서 남자 행세를 한 것이 범행

동기가 된 것으로 알려짐

탈익명 개념의 구체화에 주목

▶ 트위터는 “개인정보 보호와 표현의 자유를 중시하기 때문에 심각한 범죄에 연루된 경우가 아니면 개인

정보를 공개하지 않는다”는 입장으로 대부분의 온라인 게임 공간에서 사용자들은 나이나 학력 등을

공개하지 않고 게임에 필요한 정보 외 다른 정보는 오히려 숨겨야 함

• 인터넷 실명제와 같은 규제는 민주국가에서 대부분 부정적으로 표현의 자유를 지키고 개인정보를

숨겨야 할 요구와 실제 현실 속의 인물로서 사회적 책임과 인증이 가능해야 할 것이 공존하는 사이버

공간, 그 넓어진 간극을 메꾸는 현명한 대안이 무엇인지 고민이 필요함

▶ 최근 메디아티가 소개한 로이터연구소와 옥스퍼드대학교의 ‘Journalism, Media, and Technology

Trends and Predictions 2018’의 보고서 속에 있는 ‘탈익명화’는 시사하는 바가 있음

• 2018년 미디어 지형 예측을 위한 이 보고서에서 미디어 기업들은 소비자를 불특정 다수로서 대중(mass)이

아니라 구체적으로 그들의 소비자가 누구인지 밝혀내고 이들과 관계를 설정하는 일에 집중하자는 것임

• 이와 유사한 사례로 국내 주요 온라인 커뮤니티의 사례를 볼 수 있는데, 2000년 이후 다음, 네이버의

포털에서 제공하는 카페에 대항해 독립 커뮤니티로서 성격을 오랫동안 유지해온 slrclub, mlbpark,

clien, 오늘의 유머 등 사이트에서는 오랫동안 활동한 커뮤니티 사용자의 닉네임이 하나의 탈익명화된

개념으로 작용함

• 즉, 실명은 아니지만, 온라인공간에서 꾸준한 활동과 관계를 통해 온라인에서 사회적 인정을 받은

이름이 된 것으로 이는 현실 속 존재와 일치하는 실명과 허구 속 가명 사이에 존재하는 탈익명의

2018 Vol.12

6

개념으로 볼 수 있고 이 때 중요한 기준은 얼마나 오랫동안 그 계정으로 꾸준히 활동했는가가 될 것임

• 포털 서비스 네이버의 카페활동은 사용자의 ID를 모두 공개하지만 인터넷 뉴스 댓글은 4자리 이하를

익명처리하고 있으며 뉴스에 대한 댓글이 자주 논란이 되기 때문인데, 오히려 ID를 모두 공개하는

것이 댓글 커뮤니티에서 탈익명을 유도해 악플을 막을 수 있는 대안이 될 수 있음

가짜뉴스 원점으로서 가짜계정 관리의 기준 필요

▶ 과거 PC통신 초기에는 ID를 대신했던 ‘사용자번호’에 욕설이나 혐오표현이 들어가지 않도록 하는 소박한

규제가 전부였고 계정마다 비용을 내야 했던 비즈니스 모델의 특징 때문이기도 했지만, 온라인 공간에

대한 순수한 호기심들로 모여들었기 때문에 순박했던 탓임

▶ 인터넷의 비약적인 성장과 높아진 영향력은 새로운 범죄와 갈등을 일으키고 있고 특히 가짜뉴스의 대응

에서 가짜계정의 관리는 선결적으로 필요한 문제가 되며 따라서 가짜계정의 정의와 기준을 좀 더 세분

화해야 하고 또한 각 서비스 특성에 맞는 인증방식을 채택하도록 가이드라인을 만들 필요가 있음

2018 Vol.12

7

페이스북과 오큘러스가 말하는 가상현실 기술의 오늘과 내일

최필식 기술작가 (chois4u@gmail.com)

• (現) IT 블로그 'chitsol.com' 운영자

• (現) 테크G(www.techg.kr) 운영자

• (前) 월간 PC사랑 편집장

가상현실이 바꿀 미래에 승부 건 개척자

▶ 현대적이면서 대중적인 가상현실 헤드셋의 기본 형태와 룸 스케일 VR의 기초를 완성하고 차세대 가상현실 기술을

연구하기까지 가상현실이 바꾸게 될 미래의 가능성에 승부를 걸었던 선구자들이 없었다면 이렇게 빨리 진화

하지 못했을 것임

▶ 특히, 오큘러스를 인수한 이후 가상현실 업계에서 많은 이슈를 일으키고 있는 페이스북은 가상현실의

미래를 예상하며 관련된 기술을 가장 많이 연구하는 곳 중 하나임

• 오큘러스 리프트의 대중화에 큰 역할을 했던 오큘러스의 1세대 창업자들이 모두 이런 저런 이유로

페이스북과 멀어졌음에도, 페이스북은 컴퓨터 비전 분야의 과학자들과 연구자들을 오큘러스 리서치로

불러들여 차세대 가상현실 시장에 필요한 기술을 개발 중임

• 페이스북은 이들의 연구 성과를 ‘오큘러스 커넥트’라는 개발자 행사에서 대중과 공유했는데, 지난

10월에 열린 오큘러스 커텍트 5에서 3년 전의 예측했던 기술 수준을 평가하고 좀 더 뒤로 미뤄진

기술에 대한 설명도 곁들였음

2016년의 예측과 현재

▶ 거의 모든 오큘러스 커넥트 행사에서 가상현실 기술과 관련된 예측과 동향을 이야기하는 이는 기술

작가 겸 수석 과학자 마이클 애브라시(Michale Abrash)로 그는 첫 오큘러스 커넥트에서 가상현실이

세상을 바꾼다는 이야기를 꺼냈음

• 가상현실의 장밋빛 미래를 생각하는 이들은 매우 거창한 사회적 변혁을 주장하는 것을 예상할테지만,

그는 이동 환경에서 쓰는 PC를 대체하는 개인 컴퓨팅에 대한 변화를 설명했음

2018 Vol.12

8

• 이는 가상현실 같은 시각 컴퓨팅 기술이 정보에 대한 수렴 및 상호작용의 방식을 바꿔 창의적인 재능을

가진 이들이 전혀 다른 형태로 세상을 보고 창작하는 데 큰 힘이 될 것이라는 의미였음

▶ 다만 이러한 의도를 실행하기 위해선 핵심이 되는 장치인 가상현실 헤드셋에 고도의 기술을 접목해야 함

• 영화 ‘레디 플레이어 원’에서 나온 것처럼 아주 휴대가 쉬운 형태의 컴퓨팅 장치여야 하고 사람의

눈으로 구분하기 힘든만큼 망막 디스플레이를 구현하며 신체를 컨트롤러로 활용할 수 있어야 함

• 문제는 이러한 가상현실 헤드셋을 당장 만들어낼 기술이 아직 확보되지 않았기 때문에 단계적으로

목표를 설정하고 하나씩 해결해 나가는 것이 중요함

그림 1 _ 오큘러스 커넥트 3의 2021년 기술 예측보다 3년 앞당겨 적용된 디스플레이 기술

▶ 이 때문에 오큘러스는 2016년 오큘러스 커넥트 3에서 2021년에 가상현실 헤드셋에서 완성할 몇 가지

기술적 목표를 제시했음

• 4K×4K 디스플레이와 각도당 30픽셀 구현, 140도의 시야각(Field of View, FoV), 다중 심도 초점 등으로

오큘러스 리프트가 상용화되었던 2016년에는 거의 구현되기 힘든 기술들로 채워졌음

▶ 오큘러스는 사실 이 모든 조건에 맞는 가상 현실 헤드셋을 테스트 중으로, 오큘러스에서 ‘하프돔

(Half-Dome)’이라 부르는 헤드셋 시제품은 이 모든 조건을 채우고 있기 때문임

• 아직 상용화는 이른 단계지만, 2021년을 목표로 했던 기술적 과제를 이미 완수했다는 것은 그만큼

매우 빠르게 기술이 진화하고 있음을 의미함

▶ 2016년 이 목표들이 중요했던 이유는 지금 가상현실 헤드셋에서 나타나고 있는 문제부터 해결하려는

의도가 보여서임

2018 Vol.12

9

• 특히 4K 디스플레이와 시야각은 헤드셋의 크기를 줄이면서 픽셀과 픽셀 사이가 벌어지는 스크린

도어 효과를 차단하기 위한 것이었음

• 사실 사람의 눈에 완벽하게 일치하려면 각도당 픽셀(Pixel Per Degree)을 사람 망막에 해당하는 60픽

셀까지 끌어올려야 함

• 하지만 가상현실 헤드셋용 소형 디스플레이의 픽셀 수가 많아도 렌즈의 시야각에 따라 각도당 픽셀이

줄어들기 때문에 스크린 도어 효과를 거의 느끼지 못할 수 있는 수준까지 줄이려면 디스플레이 해상

도는 높이고 렌즈의 시야각은 적정한 선에서 타협해야 했던 것임

• 그나마 각도당 30픽셀까지 높인 것은 매우 진전된 부분으로, 현재 나와 있는 가장 완성도 높은 PC용

VR 헤드셋인 ‘HTC 바이브 프로’는 각도당 14픽셀에 불과한 상황임

그림 2 _ 향상된 디스플레이 기술을 탑재한 오큘러스 하프돔 시제품

▶ 오큘러스가 제시한 140도의 시야각은 4K 디스플레이에서 각도당 픽셀을 높이기 위한 제한도 있지만,

프레넬 렌즈(Fresnel Lens)의 한계도 있음

• 프레넬 렌즈는 렌즈에 미세한 홈을 여러 개 만들어 디스플레이로부터 나오는 빛을 모아 눈으로 굴절

시키며, 렌즈를 매우 얇게 만들 수 있어 헤드셋의 무게를 줄일 수 있는 반면, 렌즈와 디스플레이 사이의

초점 거리가 길고 디스플레이 해상도를 더 끌어올려도 효과가 적다는 한계가 있음

• 오큘러스는 이미 이러한 렌즈의 한계치까지 이미 구현했다는 것임

▶ 다중 심도 초점은 가변초점(Varifocal)을 이용해 가상현실의 몰입감을 높이는 초점 조절 기술임

• 지금 가상현실 콘텐츠를 볼 때 대부분의 콘텐츠에서 공간감을 느낄 수 있어도 공간 안의 원근감은

거의 느낄 수 없는 한계가 있음

• 콘텐츠 전 영역에 초점이 맞춰져 있는 상태이므로 만약 가상현실에서 어떤 물건을 눈앞까지 가까이

가져오더라도 초점이 맞지 않음

2018 Vol.12

10

• 가변초점은 이를 보완하는 기술로 물체에 따라 초점을 조절하는데, 오큘러스의 하프 돔은 콘텐츠의

접근에 따라 렌즈를 움직여 초점을 조절할 수 있는 기술까지 적용한 상태임

4~5년 뒤로 미뤄진 기술들

▶ 2021년에 보게 될 것으로 예측했던 기술들이 현재 시점에서 앞당겨 실험하게 된 것은 예상을 뛰어넘는

속도로, 물론 완성도를 높이고 충분한 컴퓨팅 환경을 갖출 때까지 더 많은 시간이 필요하지만 하프

돔에 적용된 기술만 놓고 보면 상용화 이후 진일보한 가상현실을 만날 수 있게 됨

그림 3 _ 전체 그래픽을 1/20의 픽셀만으로 구성한 뒤 눈동자 중심 부분만 채워 넣는 방식을 고민하고 있음

▶ 하지만 오큘러스 커넥트 3에서 예측한 것 가운데 모든 기술을 다 반영한 것은 아니고 눈동자 추적과 포비티드

렌더링도 2016년에 예측한 기술 가운데 하나였지만, 오큘러스는 하프돔에 이 기술까지 적용하지 않았음

• 서로 떼어 놓을 수 없을 정도로 밀접하게 연결된 두 기술은 이미 기술적으로 구현할 수 있는 수준에

올라와 있음에도 오큘러스는 두 기술을 다른 관점에서 접근하고 있음

▶ 포비티드 렌더링은 사물을 볼 때 눈 중심부와 그 주변부의 선명도를 다르게 느끼는 것에 착안한 컴퓨터

그래픽 기법임

• 가상현실에서 그래픽 전체를 선명하게 그려내면 그만큼 컴퓨터 자원을 많이 써야 하는 만큼 이를

처리할 강력한 그래픽 프로세서와 메모리 버퍼가 필요함

• 이 때문에 가상현실 헤드셋을 위한 컴퓨팅 장치를 가볍게 만들려면 컴퓨팅 자원을 낭비하지 않는

효율적인 방법으로 렌더링해야 하고, 눈 중심부만 업스케일링으로 선명하게 그려내면서 크게 인식

하지 않을 만큼 주변부의 해상도를 낮추는 포비티드 렌더링(Foveated Rendering)이 불가피함

2018 Vol.12

11

▶ 그런데 저해상도로 렌더링 한 그래픽에서 고해상도 그래픽으로 업스케일링할 때 누락된 픽셀을 채우는

방법에 대해서 고민해야 함

• 컴퓨팅 자원의 소모를 줄이려면 효율적으로 픽셀을 채우는 방식을 찾아야 하는데, 오큘러스는 이

부분에서 기계학습을 통해 생성된 픽셀로 세세한 부분을 채우는 새로운 방법을 제안하고 있음

• 일정한 패턴으로 픽셀을 제거한 뒤 기계학습으로 그 패턴을 채우는 방법을 훈련시켜 저해상도에서

고해상도 업스케일링을 하는 방법임

• 이는 실제 렌더링 된 그래픽과 다를 수 있어도 부분적으로 볼 때는 명확하게 그 차이를 알아채지

못하는 데다 원본에 비해 1/20의 픽셀만 있어도 작동함

• 그래픽 자원의 소모를 크게 줄일 수 있는 이 방식은 앞으로 4년 안에 보게 될 것이라는 것이 오큘러스의 예측임

▶ 이러한 눈 중심부 렌더링을 위해서는 눈 추적 기술이 필수임

• 2년 전에는 거의 초보적인 눈 추적 기술로 매우 불편했으나, 여전히 위험을 안고 있기는 해도 지금은

상당히 편안한 수준으로 기술이 향상됐음

• 오큘러스는 눈 추적 기술도 4년 안에 매우 높은 신뢰도를 갖게 될 것이고 상용 제품에 이를 적용하게

될 것이라고 말함

▶ 오큘러스는 2016년 가상공간에서 소리에 대한 입체적인 모델링이 유연해질 것이라고 예측했지만, 이

부분은 현재도 연구를 더 해야 할 것으로 보임

• 이미 2016년에서 머리전달함수(HRTF, Head Related Transfer Function)가 표준이 될 것이라고 했으나

이제야 첫 데모를 만들었을 정도로 아직 실험실 수준에 머물러 있는 상황임

• HRTF는 동일한 소리를 전방위에서 발생시켜 방향에 따른 주파수 반응을 측정해 3차원 함수로 정리한 것임

• 우리가 일상에서 모든 방향의 소리를 듣는 것처럼 가상현실 공간에서 들리는 소리도 똑같이 구현하는

기술이지만, 실제 스테레오 헤드폰만으로 들으려면 좀 더 기다려야 할 듯함

▶ 손으로 터치하는듯한 가상현실 인터랙션도 2016년에 예측했던 것 중 하나지만, 지금도 연구 중인 부분임

• 이미 많은 기술 연구 사례도 있고 오큘러스도 이미 장갑을 낀 손을 추적하는 기술은 갖고 있지만

가상현실과 상호 작용하는 것은 단순히 손을 움직여 가상의 물체를 잡거나 조작하는 게 아니라 가상

현실에서 물체를 잡거나 건드렸을 때 반응을 손으로 전달하느냐에 있음

• 오큘러스는 이 부분에 진동 모터로 상황마다 적절한 반응을 주는 햅틱 피드백을 적용해 상호 작용을

시험하고 있음

• 햅틱으로 가상의 객체와 상호작용하는 것은 매우 강력한 경험을 제공할 수 있지만, 실제로 쓸 수

있기까지 훨씬 긴 시간이 필요한 상황임

2018 Vol.12

12

그림 4 _ 가상현실의 느낌을 전달하기 위해 VR 장갑에 햅틱 피드백을 실험 중인 오큘러스

오큘러스의 미래 : VR 바이저

▶ 오큘러스는 가상현실의 미래를 휴대용 컴퓨터를 대체하는 개인 컴퓨팅의 진화로 방향을 잡고 관련 기술을

개발하고 있지만, 오늘날의 두껍고 무거워 휴대하기 어려운 가상현실 헤드셋으로는 그 목표에 다가설

수 없다는 사실을 알고 있음

• 하지만 오큘러스는 가상현실 헤드셋을 포기하고 다른 장치를 만들 계획은 갖고 있지 않음

• 여전히 오큘러스는 가상현실 헤드셋이 미래의 컴퓨팅 환경에 영향을 미칠 것이라는 점을 고려한 개발

을 지속하고 있음

▶ 오큘러스가 미래의 가상현실 헤드셋의 미래로 예상하는 콘셉트는 선을 연결하지 않고 사회적으로 받아

들일 수 있는 바이저 형태임

• 몰카 장치로 오해 받을 수 있는 위험성을 제거하기 전까지 여전히 잠재적 위협을 안고 있는 증강현실

헤드셋과 마찬가지 위험을 안고 있지만, 그 장벽을 넘을 수 있다면 가상현실 바이저는 어느 곳에서나

컴퓨터 비전을 활용할 수 있는 여건을 만드는 데 적합한 도구로 쓸 수 있음

• 이를 위해 오큘러스는 가상현실 헤드셋의 기술이 아니라 일부 증가현실의 기술적 특성을 접목해야

한다고 말함

• 특히 프레넬 렌즈 대신 준비하고 있는 팬케이크 렌즈로 200도의 시야각과 디스플레이 해상도 제한을

뛰어 넘어 각도당 픽셀의 한계를 벗어난 가상현실 헤드셋의 개발 이후 증강현실용 디스플레이 기술인

웨이브가이드 디스플레이(Waveguides Display)를 결합해 더 작고 가벼워 휴대할 수 있는 오큘러스는

가상현실 바이저 콘셉트 디자인이 이를 뒷받침함

2018 Vol.12

13

▶ 오큘러스가 증강현실 디스플레이를 넣은 AR 글래스 같은 증강현실 장치를 만들지 여부는 확실하지 않음

• 증강현실 기술이나 가상현실은 반도체와 오디오, 디스플레이와 컴퓨터 비전으로 구성되고 일부 응용

프로그램을 제외하면 거의 동일한 앱과 개발환경을 공유할 수밖에 없지만, 오큘러스는 가상현실에

기반한 컴퓨터 비전의 활용 가능성에 더 무게를 두는 인상이 강함

• 임의의 그래픽을 현실에 섞는 증강현실과 달리 실제 공간을 스캐닝해 맵을 만들고 가상현실 그래픽으로

재구축함으로써 이용자에게 전혀 다른 세계를 제공해 이용자가 원하는 자유롭고 환상적인 혼합현실을

구축할 수 있기를 원하고 있음

• 픽셀을 완벽하게 제어해 컴퓨터 비전의 완성도를 높일 수 있는 측면에서 VR 바이저가 더 강력하다는 것임

▶ 다만 VR 바이저와 증강현실 기술의 혼합은 아주 오랜 기간에 걸쳐 진행될 것이므로 지금 기대를 걸기에는 이른 상황

• 그저 그 시대가 올 것에 대비해 필요한 컴퓨터 비전 기술을 연구하고 다듬고 있고 흥미로운 것은

가상현실의 컴퓨터 비전도 기계학습을 활용해 더 정교해지고 있는 점임

• 특히 오큘러스는 이용자의 아바타 같은 가상인간(Virtual Human)을 실존하는 사람과 가깝게 보이도

록 기계학습을 활용해 완성해 가는 중임

그림 5 _ 웨이브가이드 같은 AR 디스플레이 기술을 접목해야 VR 바이저 같은 장치를 만들 수 있음

▶ 결국 오큘러스는 컴퓨터 비전의 완성도를 높이기 위해 픽셀을 완벽하게 제어할 수 있는 가상현실에

더욱 집중하는 것을 선택했고, 예측했던 미래에 필요한 기술을 준비하는 중임

• 물론 컴퓨터 비전에 기반한 가상현실의 내일이 어떻게 달라질지 예측할 수 없고 오큘러스의 예측대로

흘러간다는 보장은 없음

• 다만 언제나 예측한 것보다 때로는 빠르게, 때로는 느리게 필요할 수 있는 기술에 대한 대비를 하고

있는 오큘러스는 누구보다 빠르게 기회를 잡을 가능성이 높다는 사실은 부인할 수 없음

2018 Vol.12

14

인터넷 산업 부문 전망을 통해 본 시사점 - 딜로이트의 2019년 기술 산업 전망을 중심으로

최홍규 EBS 연구위원 (think.bc399@gmail.com)

• (現) EBS 미래교육연구소 연구위원

• (前) 한국인터넷진흥원 선임연구원

• 언론학 박사

• 저서 : 소셜 빅데이터 마이닝을 활용한 미디어 분석 방법(2017),

소셜 콘텐츠의 흥망성쇠(공저)(2018), 콘텐츠 큐레이션(2015) 등

클라우드 컴퓨팅/유연한 소비, 파트너십, 규제 불확실성에 대한 대안 필요

▶ 딜로이트(Deloitte)는 최근 글로벌 테크놀로지·미디어·텔레커뮤니케이션 부문장 폴 살로미(Paul Sallomi) 를

인터뷰한 ‘2019 기술 산업 전망 보고서(2019 Technologh Industry Outlook)’를 발간했고1, 아래 3개의

질문을 던지고 관련 대답을 통해 기술 관련 트렌드와 전망들을 망라함

• 2019년에는 어디에서 성장의 기회를 찾을 수 있는가?

• 기술 기업들이 성장을 촉진하기 위해 사용해야하는 전략은 무엇일까?

• 기업들이 성장을 위한 계획을 세울 때 무엇을 염두에 두어야 하는가?

▶ 위 질문들의 답변들을 통해 2019년 인터넷 산업의 예측 및 시사점을 도출해 볼 수 있고 주요 답변

내용은 다음과 같이 요약됨

▶ 2019년에는 어디에서 성장의 기회를 찾을 수 있는가?

• 클라우드 컴퓨팅과 이로 인해 사용량에 따라 비용을 지불하는 유연한 소비 모델(flexible Consumption)이

조직의 경쟁력 강화에 중요해지고 있는 추세임

• 따라서 서비스로 제공하는 시스템(Everything-as-a-service, XaaS)의 기능을 통해 신기술에 대한 고객

경험을 더욱 향상시키고 이를 통해 기업이 성장을 도모하는 일이 중요해짐

• 기업은 클라우드 기반으로 소비자들에게 유연한 소비 모델을 유도하기 때문에 비용 부담과 위험을

피할 수 있으며 이를 통해 인공지능(AI) 등 다양한 분야의 기술 채택도 더 늘어날 수 있음

1. Deloitte(2018). 2019 Technology Industry Outlook

2018 Vol.12

15

• 최근 1년간은 기업의 ‘민첩성(agility)’과 ‘혁신의 민주화(democratization of innovation)’가 IT 기업의

급속한 성장을 돕는 새롭고 전략적인 요인으로 부각되는데, 이로 인해 클라우드 기술의 가치도 더욱

주목받을 것으로 판단됨

그림 1 _ 폴 살로미의 전망보고서 설명 영상2

[출처] www2.deloitte.com

• 사내, 공공/개인 클라우드를 혼합하는 하이브리드 클라우드(hybrid cloud)도 더욱 중요해지는데, 이는

마이크로소프트의 클라우드 컴퓨팅 플랫폼인 마이크로소프트 애저(Microsoft Azure)가 지난 7월 발표

한 보고서에서도 나타나고 있음

• 보고서는 IT 전문가, 임원, 개발자 등 1,700여명을 대상으로 한 설문 내용을 다룸

- 응답자 67%는 이미 회사에서 하이브리드 클라우드를 사용 중이거나 하이브리드 클라우드는 미래를

위한 옵션으로 생각함

- 응답자 중 하이브리드 클라우드 사용자 49%는 지난 1년 동안 처음으로 하이브리드 클라우드 서비스를

적용하고 있는 것으로 나타나며, 즉 하이브리드 클라우드는 최근 클라우드를 적용하는 기업들에서

부각되고 있는 서비스임

- 하이브리드 클라우드를 이용하는 동기로는 비용(34%), 일관성(33%), 확장성(32%) 등을 꼽았는데, 즉

비용이 절감되고 지속적인 업무 일관성을 증대시키며 사업의 확장성을 위해 하이브리드 클라우드를

이용할 수 있다고 답함

- 기업들이 하이브리드 클라우드를 활용하는 용도로는 데이터 스토리지 컨트롤(71%), 데이터 백업이나

재난 대비용(69%), 클라우드 분석용(65%) 등으로 나타남

• AI 기술 구현에 대한 증가세도 이어지는데, 딜로이트가 조사한 바에 따르면 응답자의 58% 정도는

6가지 이상의 AI 기술 구현 업무를 수행했다고 밝혔고 이는 바로 직전 연도에 조사된 32%보다 큰

폭으로 증가한 수치임

• 한편, 2019년에는 블록체인도 주목되고 사람과 장치의 연결이 더욱 늘어나게 되면서 사람들은 신원이나

개인정보보호에 대한 관심이 더욱 높아지고 이러한 상황에서 블록체인은 바이오인식(Biometrics)

분야와 함께 이용자 ID 보호에 있어 강력한 방법을 도출할 것으로 기대됨

2. https://www2.deloitte.com/us/en/pages/technology-media-and-telecommunications/articles/technology-industry-outlook.html

2018 Vol.12

16

그림 2 _ 하이브리드 클라우드(hybrid cloud)에 대한 인식 조사3

[출처] azure.microsoft.com

• 블록체인으로 인해 기업들은 서비스를 더욱 안전하고 안정적으로 구축할 수 있게 되며 사용자들은

자신의 개인정보 활용에 대한 신뢰를 확보할 수 있으므로, 관련 분야에서 혁신적인 서비스 출현이

더욱 가속화 될 수 있다는 것임

▶ 기술 기업들이 성장을 촉진하기 위해 사용해야하는 전략은 무엇일까?

• 새로운 기술의 개발 속도가 점점 빨라지고 복잡한 기술들의 출현이 더욱 증가함에 따라서 기업 내외

부의 파트너십이 중요해짐

• 건전한 전략이 없는 기업들에서 비용 초과, 정보 처리 상호운용 불가능, 보안 침해 등의 문제가 발생할

수 있어서 단독으로 해결하지 못할 사안들에 대해 능력을 교환하고 이를 통해 새로운 성장 전략을

모색하고자 하는 움직임이 많아짐

• 즉, 외부 제휴는 플랫폼과 제품에 대한 새로운 시장을 형성시키는 계기를 마련할 수 있고 각 파트너가

보유한 핵심 역량으로 장애 요인들을 극복할 수 있는 이점이 있는 것으로 예를 들어 기업들은 새로운

제품 및 비즈니스 모델의 개발을 가속화하기 위하여 XaaS(Everything-as-a-service) 공급자와 파트너

십을 맺는 것을 항시 고려해야 함

• Xaas를 다룬 딜로이트 인사이트(Deloitte Insights) 보고서에 의하면([표 1] 참조), 응답자들은 XaaS가

운영효율성 측면에서 유연함이나 인력의 효율성, 비용의 감소 등의 이점을 가져올 수 있으며 비즈니스

민첩성 측면에서는 새로운 기술로의 접근성, 혁신의 가속화, 상품이나 서비스의 빠른 시장 진입 등의

이점을 가져올 수 있을 것으로 판단함

- Xaas가 잘 활용되기 위해서는 사업부서와 IT 부서 간에 원활한 협력이 이뤄져야 하는데 일부 기업에서는

IT부서가 사업부서의 요구에 느리게 반응하여 이점을 살리지 못했다는 점도 지적되는 상황임

3. Microsoft Azure(2018.7.6.). By the numbers: Hybrid cloud

2018 Vol.12

17

표 1 _ 운영상 효율성과 비즈니스 민첩성 영역에서 XaaS(Everything-as-a-service)의 목표 순위4

[출처] www2.deloitte.com

• 오늘날 정보의 중요성이 커짐에 따라 기업 내 최고정보관리자인 CIO(Chief Information Officer)가

단순히 기술 관리자의 역할에서 벗어나 전략 수립에 관여하는 파트너 역할을 해야 한다는 주장도

부각되고 있는 실정임

• 미래의 CIO는 사업 운영 방식을 변형시키거나 최고의 매출과 성장을 촉진시키는 형태로 책임이 달라

질 것으로 보이며 회사 내에서는 CIO가 정보를 기술적으로 관리하는 것뿐만 아니라 정보를 통해

사업 방향을 설정하고 의사결정 과정상 파트너로서의 역할을 해야 기업이 성장한다는 것임

그림 3 _ CIO(chief information officer) 패턴 타입5

[출처] www2.deloitte.com

• 기업들은 보안 기술 업체들과 신뢰를 형성할 필요가 많아지고 외부 제휴를 통해 플랫폼과 상품에

대한 새로운 기회를 모색할 수도 있음

• 기술 회사들은 성장을 가속화하고 경쟁사들을 피하며 틈새시장을 공략하기 위하여 소규모 기업들에

더 많은 투자를 할 것으로 전망되기도 함

▶ 기업들이 성장을 위한 계획을 세울 때 무엇을 염두에 두어야 하는가?

• 글로벌 규제 불확실성 때문에 미국의 기술 섹터는 더욱 암울해 질 수도 있고 금년도에 유럽연합에서

4. https://www2.deloitte.com/content/dam/insights/us/articles/4557_accelerating-agility-with-XaaS/DI_accelerating-agility_with-XaaS.pdf5. https://www2.deloitte.com/insights/us/en/topics/leadership/global-cio-survey.html

2018 Vol.12

18

시행한 일반개인정보보호 규정(GDPR, General Data Protection Regulation)으로 기술 기업들이 아키텍

처와 엔지니어링의 변화된 내용을 준수해야 하며 이는 기업들에게 부담으로 작용

• 다른 예로 인도는 인도에서 생성된 데이터를 국가 안에 남겨두도록 요구하는 정책을 추진할 것으로

예상되는데, 이에 따라 미국 클라우드 공급업체는 인도의 데이터센터와 스토리지를 증설하여 비용

부담을 안을 수밖에 없음

• 최근 법률이 통과된 클라우드법(CLOUD Act)은 데이터의 합법적인 해외 사용 확대를 다룬 법률로

이에 따라 미국 법 집행기관은 사용자 데이터가 저장된 위치에 상관없이 사용자 데이터를 사용자에게

넘겨줄 것을 요구할 수 있음

• 소셜미디어 이용자들이 급증하면서 소셜미디어 회사들이 짊어질 개인정보에 대한 책임은 더욱 커지고

이로 인해 이용자의 개인정보를 활용하여 수익을 창출하는데도 한계가 따를 수밖에 없음

그림 4 _ 소셜미디어의 연도별 이용률(연령대 구분)6

[출처] pewresearch.org

• 사이버 보안 이슈도 주요 관심사로 부각될 수 있는데, 사이버 보안은 선제적으로 관리해야 하는 분야

이며 잘못 관리할 경우 디지털 시대에 위험을 안겨줄 수 있기 때문임

• 조사에 따르면, 일부 기업들이 사이버 보안의 우려 때문에 AI에 대한 사업계획과 추진을 중단하기로

결정하기도 함

• 데이터에 대한 중요성이 부각됨에 따라 기업들의 데이터 분야의 최고 책임자(CDO, Chief Data

Officer)에 대한 필요성도 커지고 있는 것으로 나타나 데이터 전문인력에 대한 수요도 늘어날 것으로

예측할 수 있음

• CDO가 CIO와 마찬가지로 기업의 사업을 기획하고 방향을 설정하는데 있어 매우 중요한 의사결정자로

부각될 수 있다는 점을 보여주는 대목임

6. http://www.pewresearch.org/fact-tank/2018/03/27/americans-complicated-feelings-about-social-media-in-an-era-of-privacy-concerns

2018 Vol.12

19

딜로이트 보고서가 보여주는 시사점

▶ 복잡해지는 비즈니스 환경에 대응하기 위한 회피와 가속

• 기업들은 무엇보다 빠르고 어렵게 변화하는 기술과 이를 활용한 서비스를 개발하는데 어려움을 느낄

수 있고 점점 경쟁 환경은 복잡해져 과감하고 전폭적인 투자만이 성장전략이 될 수 없음

• 이러한 상황에서 비용을 줄이고 효율적으로 인력을 운용하는 것이 기업들의 관심사로 부각되며 이는

한편으로 비용과 인력에 대한 회피 전략이라고 할 수 있음

• 하지만 정말 필요한 비용과 인력을 활용하여 가속화된 방식으로 사업을 추진하는 전략이 병행되는

상황으로 CIO나 CDO의 책임 영역이 더욱 넓어지고 사내외 파트너십이 증가하는 이유는 빠른 의사

결정과 업무처리 능력을 확보하기 위함이라 할 수 있음

▶ 협업의 중요성 부각

• 사업부서와 IT부서 간의 갈등으로 인해 빠르게 변화하는 IT환경에서 적응하지 못한 기업들이 늘어나고 있고

한편으로 기술 공급업체를 적절한 시기에 선정하기 못한 기업들은 경쟁자들에 비해 뒤처질 수밖에 없음

• 기업들은 기술의 습득과 전파, 적용과 평가, 후속처리 등의 과정에서 사내·외 전문집단과 조직화된

형태로 업무를 처리해야 하며, 이를 통해 업무 경쟁력을 높여야 하는 실정임

• 기업의 이익을 위해서는 합법적인 수준에서 누구와도 파트너십을 맺을 수 있으며 가급적 갈등적인

상황을 피해야 한다는 것인 일반적인 기업 운영의 원칙으로 자리 잡을 수 있음

▶ 점점 까다로워지는 이용자 응대하기

• 이용자는 자신의 개인정보가 누출되는 것을 극도로 꺼리면서도 이를 활용한 서비스를 이용하는데도

흥미를 느낄 수 있고 이용자의 입맛에 맞도록 개인정보정책을 개편하면서도 서비스 이용률이 낮아지지

않도록 관리해야 함

• 까다로운 이용자에 맞춰 각국 정부의 정책들도 더욱 엄격해지고 있는 추세로 GDPR로 시작된 규제

정책들은 IT 기업들에게 좋지 않은 영향을 줄 가능성이 높음

• 기업들은 개인정보 활용과 서비스 품질 사이에서 의사결정시간을 확보해야 하며 여기서 소비되는

시간을 줄이기 위한 기술개발에 열을 올려야 하는 상황임

▶ 결국 신기술을 무리 없이 채택할 수 있도록 해당 변수들을 관리해야 함

• 클라우드, AI, 사물인터넷(IoT) 등 주목받는 기술들을 빠르게 채택하기 위해서는 기술력 확보, 규제

대응, 협업 등의 능력이 필요한 것으로 따라서 상수보다 변수들에 대한 위기관리 능력이 더욱 중요해짐

• 복잡한 상황 변화에 대응하기 위한 사업 관리 모델도 지속적으로 출현할 것임

2018 Vol.12

20

DevSecOps 현황과 전망

진민식 스패로우 CTO (msjin@sparrowfasoo.com)

• (現) 스패로우 CTO

• (前) 파수닷컴 PA사업본부 개발팀장

DevSecOps 현황

▶ DevSecOps는 정보보호와 애플리케이션 개발, 그리고 IT 운영팀 간의 지속적인 협업임

• 애플리케이션을 클라우드로 배포하는 기능의 확장성과 속도가 향상되어 애자일 및 DevOps 방법론으로

이행이 촉구됨

• 애자일 및 DevOps의 발빠른 개발환경에서 애플리케이션 보안은 부차적으로 수행되며, 가끔은 경쟁에

앞서기 위한 장애물로 인식되어 보안을 간과하는 것이 높은 리스크를 수반할 수 있어 고려가 필요함

- 2017년 3월 공개된 Apache Struts 프레임워크의 취약점을 조치하지 않아 Equifax에서 1억4,000만

건의 고객정보가 유출됨7

▶ DevOps의 자동화된 개발 주기 상에서 프로그램적으로 신원 및 접근관리, 방화벽, 취약점 진단 등의

보안기능을 수행할 수 있고 보안팀이 자유롭게 정책설정을 할 수 있음

• 개발 초기부터 자동화된 애플리케이션 보안을 수행하면 서비스 다운이나 사이버 공격으로 이어질

수 있는 잘못된 설정이나 실수를 줄일 수 있음

표 1 _ 취약점 수정 및 반영 시간(WhiteSource 조사)

검출 도구 DevSecOps 미 적용 DevSecOps 적용

동적 테스트 174일 92일

소스코드 검사 113일 51일

7. https://www.csoonline.com/article/3223229/security/equifax-says-website-vulnerability-exposed-143-million-us-consumers.html

2018 Vol.12

21

• 또한 보안 담당자가 수동으로 설정하는 보안 관련 설정을 줄일 수 있는 것이 DevSecOps의 장점임

• DevSecOps를 적용함으로써 발견된 취약점을 수정하여 반영하는 시간이 줄고 수정 비율이 높아짐

표 2 _ 취약점 수정 및 반영 비율 (WhiteSource 조사)

구분 DevSecOps 미 적용 DevSecOps 적용

전체 취약점 중 수정된 비율 15% 53%

▶ 2,076명을 대상으로 진행한 DevSecOps 커뮤니티 서베이 2018(Sonatype) 결과를 보면, DevSecOps의

적용 비율이 높은 것으로 나타남

• 25%는 성숙된 DevOps 적용 / 49%는 성숙도를 높이고 있음 / 26%는 성숙도가 낮음

표 3 _ 자동화된 애플리케이션 도구를 적용하고 있는 단계

개발 단계 DevOps 적용 팀 DevOps 미 적용 팀

디자인/설계 26% 5%

구현 52% 17%

QA/테스트 67% 31%

릴리즈 전 64% 23%

릴리즈 62% 25%

개발 프로세스 전반 57% 13%

• 개발 프로세스 전체에 적용하는 비율이 성숙된 DevOps를 적용하고 있는 조직이 DevOps를 적용하고

있지 않은 조직보다 3배 정도 높은 자동화된 보안 점검을 수행하고 있음(57% vs. 13%)

• DevOps를 적용한 팀에서 웹 방화벽 이외에도 애플리케이션 보안 도구를 중요하게 생각하며 사용함

2018 Vol.12

22

표 4 _ 애플리케이션 보안도구로 중요하게 생각하는 순서

애플리케이션 보안도구 DevOps 적용 팀 DevOps 미 적용 팀

웹 애플리케이션 방화벽 58% 42%

컨테이너 및 애플리케이션 보안 56% 23%

오픈소스 정책 44% 18%

정적 소스코드 분석 37% 12%

동적 애플리케이션 분석 33% 8%

오픈소스 취약점 점검 30% 8%

DevSecOps 구현 도구

▶ DevOps과 마찬가지로 DevSecOps를 구현하기 위해 다양한 애플리케이션 보안 점검도구를 사용함

표 5 _ 도구별 주요 적용단계

도구명 개발 주기상 주요 적용단계

SAST(Static Application Security Testing) 도구 구현, 테스트, 운영

DAST(Dynamic Application Security Testing) 테스트, 운영

SCA(Software Component Analysis) 구현, 테스트

RASP(Runtime Application Self Protection) 운영

IAST(Interactive Application Security Testing) 테스트, 운영

통합관리 환경 전 주기

▶ SAST(Static Application Security Testing) 도구

• 애플리케이션을 구성하는 소스코드를 분석해 소스코드 내의 취약점(보안 약점)을 검출해주는 도구임

• 소스코드만으로 보안 약점 검사가 가능하므로 이른 개발단계에 적용 가능하여 적은 비용으로 보안

취약점을 없앨 수 있음

2018 Vol.12

23

그림 1 _ 도구별 적용 구성 예

• 사람의 개입이 필요없어 대규모의 소스코드를 분석하여 취약점을 검출하는 것이 가능함

• 소스코드만으로 분석을 수행하여 실행환경과 상황에 대한 정보가 없어 취약점이 아닌데도 취약점이

라고 보고함(오탐 문제)

- 각 도구에서 제공하는 옵션이나 커스터마이징을 통해 오탐 문제를 최소화 할 수 있음

▶ DAST(Dynamic Application Security Testing)

• 실행 중인 애플리케이션에 취약점을 유발할 수 있는 값을 입력하여 실제 취약점이 발생하는 지 확인

하여 취약점을 검출하는 도구임

- 웹 애플리케이션을 대상으로 하는 DAST의 경우 웹 스캐너라고 불림

• 애플리케이션 개발 시 통합 테스트, 릴리즈 및 운영 중 주기적으로 사용됨

• 취약점을 유발하는 실제 입력값을 제공하므로 취약점 재현이 가능함

• 대상 애플리케이션의 기능이 다양하고 복잡할 경우(예를 들어 사이트 내의 접근 url과 링크가 많은

경우) 테스트 시간이 오래 걸림

• 최신 웹 애플리케이션 기술을 사용한 동적인 웹 애플리케이션의 경우 정상적인 테스트가 이루어지지

않을 수 있음

• 애플리케이션의 응답만을 보고 취약점 존재 유무를 판단하므로, 애플리케이션 내부에서 발생하는

취약점의 경우 탐지가 어려움

- 커맨드 인젝션 같은 경우 서버 내에서 커맨드가 정상적으로 실행되었는지 확인을 해야 하는데 DAST의

경우 서버 내에서 커맨드가 실행되었는지 확인이 불가능하므로 오탐과 미탐이 발생함

- 뒤에 소개되는 IAST(Interactive Application Security Testing) 기술로 오탐과 미탐을 줄일 수 있음

2018 Vol.12

24

▶ SCA(Software Component Analysis)

• 애플리케이션에서 사용하는 오픈소스 혹은 외부 모듈에 존재하는 알려진 취약점을 검사함

• OWASP(Open Web Application Security Project) Top 10 취약점에 포함됨

- A9 - Using components with Known Vulnerabilities

• 전사 오픈소스 사용 정책을 설정하여 허용된 오픈소스만 사용할 수 있음

• 오픈소스 취약점 점검 이외에 라이선스 위반을 확인하고 오픈소스의 완성도를 평가함

▶ RASP(Runtime Application Self Protection)

• 실행 중인 애플리케이션에 대한 외부 공격을 탐지하고 방어하는 기능을 자동으로 부여해 애플리케이

션이 실시간으로 외부의 공격을 방어할 수 있음

- 예를 들어 Struts2의 취약점8 같은 경우 실시간에 취약점이 있는 메소드가 수행되지 못하도록 설정할 수 있음

그림 2 _ SQL 인젝션을 방지하는 RASP의 개념도

※ 웹 애플리케이션이 실행될 때 RASP에 의해 기존 RequestHandler가 수정되어 외부 입력값을 검사하는 Checker로 입력값을

검사한 후 정상적인 입력값일 경우에만 비즈니스 로직을 수행함

※ 비정상적인 값일 경우 해당 요청의 수행을 중지하고 사용자에게 통보함

• 애플리케이션의 내부 데이터와 실행흐름을 확인하여 정확한 검출이 가능함

- 애플리케이션 내부에서 입력 데이터를 직접 확인 가능하기 때문에 프로토콜이나 인코딩에 관계 없이

외부 데이터를 확인할 수 있음

- 웹 애플리케이션 방화벽의 경우 url과 입력값만을 확인하므로 복잡한 설정을 하지 않으면 크로스사이트

스크립트가 발생하지 않는 기능임에도 크로스사이트 스크립트가 발생한다고 오탐이 발생할 수 있는

반면, RASP의 경우 애플리케이션 로직에서 크로스사이트가 발생할 수 있는 지점에서만 방어를 수행

하므로 오탐이 없음

8. http://blog.alyac.co.kr/1310

2018 Vol.12

25

• 주로 운영단계에서 RASP를 적용하며, 특히 레거시 시스템의 경우 보안 취약점을 수정하는 유지보수

비용 대비 효과적으로 보안 취약점을 방어할 수 있음

• RASP의 경우 공격 시도를 검출하여 방어하는 기능을 하므로 SAST/DAST와 달리 애플리케이션에 존재

하는 취약점을 사전에 알려주지는 못함

• 실행 중에 자가방어 기능이 애플리케이션에 추가되므로 성능(메모리 사용량, 실행시간)에 영향을 줌

▶ IAST(Interactive Application Security Testing)

• DAST의 한계를 보완하기 위해 서로 다른 기술인 DAST와 RASP 기술을 통합한 테스팅 방법임

• DAST의 경우 취약점 검출을 위한 입력값이 서버 내부에서 어떻게 처리되는지 확인하지 못하는 문제

를 애플리케이션 내의 데이터와 처리상황을 확인할 수 있는 RASP의 정보를 사용하여 해결함

그림 3 _ 커맨드 인젝션을 IAST로 검출하는 개념도

※ 공격 Request에 “rm /etc/aaa” 입력값이 들어 왔을 경우 RASP 기능을 사용하여 입력된 “rm /etc/aaa” 명령어가 system 함수를

통해 수행되는지 확인하여 DAST에 수행여부를 알려 줌

※ 이 정보를 사용하여 DAST에서는 커맨드 인젝션 취약점 검출을 위해 입력한 커맨드가 수행되었는지 확인 가능하여 정확하게

취약점을 검출할 수 있음

• 커맨드 인젝션, SQL 인젝션과 같은 서버 내부 정보를 알아야 정확한 검출이 가능한 취약점을 더욱

정확히 검출할 수 있음

• RASP의 기능을 사용해야 하므로 애플리케이션 내에 추가적인 코드가 삽입되어 성능 문제가 발생할 수 있음

- 테스트 단계에서 활용할 경우 성능 저하 문제가 심각한 문제가 아님

▶ 통합관리 환경

• 개발 주기 상에 다양한 취약점 도구를 사용하므로 각 도구에서 검출된 취약점을 통합 관리할 필요가 있음

• 같은 취약점이라도 도구의 종류에 따라 다른 형태의 정보를 제공함

2018 Vol.12

26

- SAST : 취약점이 검출된 소스코드의 위치

- DAST : 취약점이 검출된 url과 입력 파라미터값

- RASP : 외부 공격을 방어한 지점(call stack과 입력값)

• 각 도구에 발생하는 취약점 간의 연관관계를 분석하여 같은 취약점을 구분해 주는 기능이 필요함

• 취약점에 대한 정보가 다양해짐(소스코드 정보, 입력값 정보 등을 검출된 취약점 분석에 활용 가능함)

• 여러 도구에서 공통적으로 검출된 취약점의 경우 실제 취약점일 가능성이 높아짐

- 검출된 취약점을 제거하는 작업의 우선순위를 줄 수 있음

DevSecOps 적용 시 고려사항

▶ SAST/DAST의 경우 테스트 시간이 오래 걸려 개발 프로세스에 지장을 줄 수 있음

▶ SAST

• 개발 단계 적용 시 주로 소스코드를 저장소에 커밋 할 때 검사함

• 여러 개발자가 동시에 커밋을 수행하거나 많은 소스코드 커밋 시 검사시간이 오래 걸려 개발 프로세

스에 지장을 줄 수 있음

- 커밋 시 소스코드를 검사하지 않고 개발자가 자체적으로 수행한 소스코드 검사결과를 활용하여 검사

시간을 줄일 수 있음

- 커밋 시 일부 소스코드만 검사하므로, 함수 호출과 같은 소스코드 내 정보가 부족하여 취약점 검출

능력이 떨어지게 됨

- 기존 전체 소스코드 분석 결과를 활용하여 일부 소스코드만 검사하여도 전체 소스코드를 분석한 것과

유사한 분석능력을 제공하는 기능이 활용함

▶ DAST

• 애플리케이션 수정 시마다 테스트를 수행하면 테스트 시간이 오려 걸려 개발 프로세스에 지장을 줄

수 있음

- 자동으로 애플리케이션의 변경된 부분만 테스트하는 방법이 어려움

- 개발자가 변경된 부분을 명시하거나 기존에 검출된 취약점이 다시 검출되지 않은지 확인하는 회귀

테스트를 수행하고, 주기적으로 전체 애플리케이션을 테스트해야 함

2018 Vol.12

27

DevSecOps의 전망

▶ DevOps의 개발속도에 맞추어 DevSecOps 적용도가 확산될 전망임

• 300개 미국 기업 중에서 98%가 DevOps에 보안을 적용할 계획이거나 이미 적용하고 있음(DigiCert 조사)9

▶ DevSecOps 적용을 위해 개발자의 중요성이 증대됨

• 기능 개발뿐만 아니라 보안과 관련된 요구사항도 고려하여 개발할 필요가 있음

- 시큐어코딩과 보안 점검도구에 대한 지식 습득이 필요함

• 회사 차원에서 개발자들이 devsecops 팀으로써 업무를 수행할 수 있도록 지원이 필요

▶ DevSecOps 프로세스에 적용하기 적합하도록 기존 보안 취약점 도구들의 개선이 필요함

• SAST/DAST의 경우 테스트에 소요되는 시간과 오탐 문제를 쉽게 처리할 수 있도록 개선이 필요함

• 자동화된 프로세스에 적용할 수 있도록 다양한 인터페이스를 제공할 필요가 있음

9. https://www.digicert.com/news/survey-integrating-security-into-devops

2018 Vol.12

28

클라우드 보안 시장, CASB 주목

유성민 IT칼럼니스트 (dracon123@naver.com)

• (現) 사이언스타임즈 IT칼럼니스트

• (現) 신동아 고정필진

• (現) IT알려줌 콘텐트

• (現) 수산INT 선임연구원

• (前) KT 융합기술원 연구원

클라우드 시장 확대에 따른 보안 위협 증가

▶ 가트너에 따르면 클라우드 시장은 매년 빠른 속도로 증가할 전망임10

• 가트너의 퍼블릭 클라우드(Public Cloud)11 시장 조사에서 2018년 퍼블릭 클라우드 시장은 전년 대비

21.4% 증가할 전망임(2018년 클라우드 시장규모 : 1,864억 달러)

• 2017년부터 2021년까지 클라우드 시장은 연평균 18.48% 증가해 2021년 3,025억 달러 규모에 달할

것으로 전망됨

그림 1 _ 퍼블릭 클라우드 시장 (단위 : 10억 달러)

[출처] 가트너(표 내용을 그래프화함)

10. Gartner, ‘Gartner Forecasts Worldwide Public Cloud Revenue to Grow 21.4 Percent in 2018’, 2018.4.11. ‘퍼블릭 클라우드’는 클라우드 서비스 제공 전문업체가 제공하는 클라우드를 뜻하며, 프라이빗 클라우드(Private Cloud)는 사내에 자체적으로 구축한 클라우드를 말함

2018 Vol.12

29

▶ 국내 클라우드 시장 또한 정부 주도하에 증가할 전망임

• 국내 클라우드 시장 경쟁력은 OECD 24개 국가 중 12위에 머물고 있음(2018년 기준)12

• 이에 따라 정부는 클라우드 시장의 경쟁력 강화를 위해 ‘K-ICT 클라우드 컴퓨팅 활성화 계획 : 제1차

클라우드 컴퓨팅 발전 기본계획(2016~2018년)’을 발표함13

• K-ICT 클라우드 컴퓨팅 활성화 계획 보고서에 따르면, 2018년까지 클라우드 이용률을 30%까지 만들고

800개의 클라우드 기업을 육성해 3년간 4조6,000억 원의 시장을 창출하는 것을 목표로 함14

• 정부의 강력한 클라우드 추진으로 국내 클라우드 시장은 확대될 전망인데, 이는 한국클라우드산업협

회 보고서를 통해 확인할 수 있음15

• 국내 클라우드 시장 분석 보고서에 따르면, 2017년 국내 클라우드 시장규모는 약 1조5,000억 원으로

전년 대비 27.3% 증가함

• 2014년부터 2017년까지 연평균 30.4% 증가율을 보였는데, 이는 해외의 연평균 성장률보다 40%가량 높음

그림 2 _ 국내 클라우드 시장규모 (단위 : 10억 원)

[출처] 한국클라우드산업협회

▶ 국내·외 클라우드 산업이 성장함에 따라 새로운 보안 위협이 대두될 것으로 보임

▶ 클라우드 보안 위협의 경우 ‘데이터 유출 위협’이 가장 클 것으로 전망되는데, 해당 부분의 경우 세

가지로 나눠서 생각할 수 있음

12. https://cloudscorecard.bsa.org/201813. 정준화, ‘클라우드 컴퓨팅의 현황과 과제’, 국회입법조사처, 2017.12.14. 미래창조과학부, ‘국가사회 ICT 인프라, 클라우드로 대전환’, 2015.11.15. 한국클라우드산업협회, ‘2017년 클라우드 산업 실태조사 결과 요약 보고서’, 2017.12.

2018 Vol.12

30

▶ 첫 번째 문제는 제3자(클라우드 서비스 제공자)에게 데이터를 맡김에 따라 보안 위협이 대두될 전망

• 클라우드는 중앙 서버의 컴퓨팅 자원을 기기에 제공하는 기술로 정의할 수 있는데, 외부 클라우드

형태(퍼블릭형 클라우드)는 기관 내부에서 발생하는 데이터를 외부에 맡겨야 함

- 예를 들어 문서 파일 공유 서비스인 드롭박스(Dropbox)를 사용하는 경우 드롭박스에 저장한 문서는

드롭박스에서 제공하는 클라우드 스토리지에 저장됨

• 클라우드의 이러한 특징은 사용기관 입장에서 ‘제3자의 신뢰성’ 문제를 야기함

- 내부 기관에서 생성한 문서를 클라우드 서비스 제공자에 맡길 수 있을 정도로 보안 수준에 관한 신뢰

문제가 있음

- 클라우드 서비스 제공자가 데이터를 소유하게 되는데, 이 때 제공자가 데이터를 침해할 수 있는 신뢰

성의 위협도 있음

그림 3 _ 클라우드 컴퓨팅 개념도

[출처] Max Pixel

▶ 두 번째 문제는 클라우드 접근 비 제약성으로 인한 보안 위협이 존재함

• 클라우드 서비스에 저장하는 데이터는 이용 기기에서 저장되는 것이 아니라, 클라우드 서버에 저장됨

• 이는 사용자가 기기, 장소 등과 관계없이 계정 데이터만 있으면 해당 데이터에 쉽게 접근할 수 있게

하는데, 기관 입장에서는 새로운 보안 취약점으로 작용할 수 있음

• 회사 내부가 아닌 외부에서 데이터를 열람함에 따라 데이터가 유출될 위험이 발생하기 때문임

• 이러한 위험은 두 가지 위험 시나리오로 생각해볼 수 있음

- 첫 번째 시나리오는 보안이 안전하지 않은 장소에서 데이터를 열람함에 따라 데이터가 유출될 수 있음

- 두 번째 시나리오는 악의적인 내부 사용자가 회사 보안이 적용되지 않는 장소에서 보안 정책이 적용

되지 않는 기기로 열람해 데이터를 유출할 수 있음

2018 Vol.12

31

▶ 세 번째 문제는 ‘섀도IT(Shadow IT)’ 문제가 있음

• 섀도IT는 전산실의 승인 없이 비공식적으로 사용하는 애플리케이션을 지칭함16

• 섀도IT는 전산실에서 제공하는 애플리케이션이 아닌, 사용자에 적합한 애플리케이션을 사용함으로써

업무효율을 높일 수 있는 장점이 있으나17, 전산실의 보안 담당 부서가 관리하지 못해 보안 취약점으로

작용할 위험이 있음18

• 최근 클라우드의 애플리케이션 서비스 형태인 SaaS(Service as a Service) 등장과 함께 섀도IT가 또다시

쟁점화되고 있음

- 클라우드 서비스 제공 형태에 따라 SaaS, PaaS(Platform as a Service), IaaS(Infra as a Service)로 나뉘

는데, SaaS는 애플리케이션을 클라우드에서 제공하는 서비스임(PaaS는 플랫폼을 제공하고, IaaS는

인프라를 제공하는 클라우드 서비스 형태)

- 기관 내 SaaS를 이용하는 사용자가 늘어남에 따라 섀도IT 문제가 더욱 심각해지고 있음19

• 마이크로소프트(MS) 또한 SaaS 이용 증가에 따라 섀도IT 문제가 심각해질 것으로 전망했고, 섀도IT의

심각도를 조사함20

- 전산팀에서 관리되지 않는 섀도IT 애플리케이션 비중이 92%에 달함

- 클라우드 계정 및 이메일에 회사 데이터를 저장하는 고위 관리직 비중이 87%에 달함

클라우드 데이터 보호를 위한 보안 요구사항

▶ 클라우드 사용에 따른 데이터 유출 위협을 고려할 때 5가지 보안 요구사항을 도출할 수 있음

• 섀도IT 대응, 접근제어, 데이터 유출 방지(DLP), 컴플라이언스 준수, 악성 공격 대응이 이러한 요구사항에

해당함

▶ 섀도 IT 대응은 비 허가 SaaS 애플리케이션 사용현황을 파악할 수 있어야 함을 요구하는 항목임

▶ 접근제어는 클라우드에 저장된 데이터에 접근을 제어할 수 있어야 함을 요구하는 사항임

• 접속 단말기기, 시간대, 장소 등에 따라 데이터 접근을 설정할 수 있는 장치가 필요함

• 데이터의 중요도에 따른 열람, 편집, 복사 등의 접근을 설정할 수 있는 장치도 필요함

16. Rentrop, C. and Zimmermans, S., ‘Shadow IT-Management and Control of Unofficial IT’, In proceeding of te 6th International Conference on Digital Society (ICDS), p. 98-102

17. Gyory, A., Cleven, A., Unbernickel, F. and Brenner, W., “Exploring the shadows: IT governance approaches to user-driven innovation”, In Proceeding of the 20th European Conference on Information Systems

18. Jones, D., Beherens, S., Jamieson, K. and Tansley, E., ‘The rise and fall of shadow system: Lessons for enterprise system implementation’, In ACIS 2004 Proceedings, p. 96

19. https://www.cisco.com/c/en/us/products/security/what-is-shadow-it.html20. Microsoft, ‘Bring the Shadow IT into the Light: Simple steps for a secure digital transformation’

2018 Vol.12

32

▶ DLP는 데이터 유출을 방지할 수 있게 조치를 취할 수 있어야 함을 요구하는 사항임

• 네트워크 트래픽을 분석해 클라우드의 데이터가 외부로 유출되는지 탐지할 수 있는 장치가 요구됨

• 데이터가 유출되더라도 외부에서 열람을 제어할 수 있는 데이터 암호화 기능이 요구됨

• 데이터 유출 사건의 빠른 파악을 위한 로깅 기능도 필요로 함

▶ 컴플라이언스 준수는 회사의 중요 데이터 관리규정을 준수하고 있는지를 파악할 수 있어야 함을 요구하는 사항임

▶ 악성 공격 대응은 외부자(해커)의 공격으로 인한 데이터 유출에 대응할 수 있어야 함을 요구하는 사항임

• 외부자는 악성코드를 기관이 사용하는 클라우드에 심어 데이터를 유출할 수 있음

• 이에 따라 악성코드 및 악성 공격 행위를 탐지할 수 있는 기능이 요구됨

▶ 결국 클라우드 데이터 보호를 위해 5가지 요구사항이 충족돼야 하는데, 이러한 요구사항을 CASB(Cloud

Access Security Broker)가 충족할 수 있음

클라우드 데이터 보호 솔루션 ‘CASB’

▶ CASB는 클라우드와 기관이 통신하는 부분을 검열해 기관의 데이터 보호 관리 정책에 준수하도록 하는

보안 솔루션임21

▶ 그러나 CASB 서비스 제공업체의 개발 현황을 분석하면 이러한 정의를 벗어난 솔루션 형태를 띠고 있는데,

기존 웹 보안 게이트웨이(SWG), 침입차단시스템(IPS), 네트워크 DLP 등의 보안 솔루션이 결합한 형태를 보이고

이에 따라 네트워크 구성방식 또한 다양하고 복잡한 형태를 띰

▶ 가트너에 따르면 CASB는 4가지 기능을 제공하여 클라우드에 저장된 데이터를 보호하는데, 가시성(Visibility),

데이터 보안(Data Security), 컴플라이언스(Compliance), 위협 대응(Threat Protection)이 이에 해당함22

• (가시성) 섀도IT 대응을 위해 제공하는 기능임

- 해당 기능은 기관 내에 사용하는 비 허가 SaaS 애플리케이션을 보여주는 항목임

- 아울러 임직원이 사용하는 비 허가 SaaS 애플리케이션의 신뢰성을 평가하여 제공하기도 하는데, 주로

취약점 데이터를 분석해 알려줌

• (데이터 보안) 접근제어와 DLP의 요구사항을 충족해주는 기능

- 데이터 보안을 위해 상황(사용자, 위치, 기기 등)을 고려해 데이터 접근 권한(읽기, 편집 등)을 다르게

설정할 수 있는 기능을 제공함

21. Gartner, ‘Dont Let Shadow IT Put Your Business at Risk’, 2016.6. 22. Gartner, ‘Critical Capabilities for Cloud Access Security Brokers’, 2018.10.

2018 Vol.12

33

- 데이터가 탈취되더라도 제3자가 엿볼 수 없도록 암호화 기능을 제공함

- 사용자 등 유형별로 데이터 접근 이력을 남겨 데이터 보안 정책 강화 및 데이터 유출 대응 기능을 제공함

• (컴플라이언스) 컴플라이언스 준수 요구사항을 충족하는 항목임

- 클라우드에 저장된 데이터가 규정에 맞게 운영되고 있는지를 제공함

- CSPM(Cloud Security Posture Management) 기능과 유사한데, CSPM도 클라우드 내 데이터가 규정에

맞게 운영되고 있는지를 관리해줌

• (위협 대응) 악성 공격 대응을 충족하는 항목임

- 악성 공격 대응을 위해 악성코드를 탐지하는 기능을 제공하는데, 파일의 행위를 상세하게 분석해

악성코드를 선별하는 샌드박스(Sandbox) 기능을 제공하기도 함

- 사용자 행위 분석(UBA) 기술을 활용해 이상행위를 탐지해 악성 공격을 판별하는 기능을 제공하기도 함

- 악성 공격의 특성(IP 주소, 국가 도메인 등)을 추출해 상관관계에 있는 데이터로부터 악성 공격을

탐지하는 지능형 위협 탐지(Threat Intelligence)를 제공하기도 함

CASB 네트워크 구성방식

▶ CASB는 클라우드 데이터 보호를 위해 여러 보안 솔루션이 혼합된 형태를 보이고 있는데, 이에 따라

네트워크 구성방식이 기존 보안 솔루션보다 다양하고 복잡함

▶ 아울러 CASB는 클라우드와 기관의 네트워크 사이에 위치해 있기 때문에 기관 내에 이미 구축된 보안

솔루션과 연계한 네트워크 구조로 이뤄져 있음

▶ 네트워크 구성은 로그 수집(Log Collection), 포워드 프록시(Forward Proxy), 리버스 프록시(Reverse

Proxy), API 연동 방식이 있음23

• 네트워크 구성방식에 따라 제공할 수 있는 보안 기능 범위가 다르기 때문에 한 가지 구성방식이 아닌

복수의 구성방식을 혼합해 CASB를 제공하는 경우가 늘고 있음

그림 4 _ CASB 네트워크 구성 개념도

[출처] Max Pixel

23. Dave Hoelzer, ‘A Technical Approach at Securing SaaS using Cloud Access Security Broker’, SANS Institute, InfoSec Reading Room, 2017.8.

2018 Vol.12

34

▶ 로그수집: 비 인가된 SaaS 애플리케이션 현황을 파악해 섀도IT 대응에 적합한 네트워크 구성방식임

• 로그수집을 위해서는 기관 내의 SWG 역할이 매우 중요한데, SaaS 애플리케이션의 경우 웹을 통해

네트워크 통신이 이뤄지기 때문임(SWG가 없을 경우 웹 프록시가 이를 대신할 수 있음)24

• 해당 구성은 다음과 같은 네트워크 통신 절차를 거침

- 우선 SWG는 사용자가 주고받은 웹 트래픽을 모두 검열함

- 이러한 데이터를 커넥터 서버(Connector Server)에 로그 형태로 저장함

- CASB는 이러한 로그를 커넥터 서버에서 가져와 분석해 섀도IT 현황을 보여줌

▶ 포워드 프록시: 섀도IT 대응뿐만 아니라 클라우드 보안 정책을 실시간으로 반영하여 클라우드 서비스

이용을 실시간으로 제어할 수 있음

• SWG(혹은 웹 프록시)에서 직접 네트워크 웹 통신을 받아서 실시간으로 내용을 분석하기 때문에 로그

수집보다 좀 더 적극적으로 통신 검열에 관여함

• 이는 클라우드 서비스 이용을 실시간으로 제어할 수 있게 함

• 또한 해당 구성은 내부에서 클라우드로 접속하는 통신을 검열하기 때문에 로그수집처럼 애플리케이션

제어를 통해 섀도IT 대응이 가능함

• 해당 구성은 다음과 같은 네트워크 통신 절차를 거침

- 우선 SWG 사용자가 주고받은 웹 트래픽을 검열함

- 그리고 이러한 결과는 그대로 CASB에 전달함

- CASB는 웹 트래픽 검열을 통해 섀도IT 제어와 정책에 따른 클라우드 서비스 이용을 제어함

▶ 리버스 프록시: 데이터 보호 목적으로 활용되는 클라우드 구성도임

• 계정 및 접근 관리(IAM)을 통해 CASB로 오는 트래픽을 검열하는데, 이는 클라우드 서비스로 향하는

접근을 제어할 수 있게 함

• 참고로 IAM은 계정 데이터를 관리하는 솔루션으로 서비스 접근 제어 하는 역할을 함

• 해당 구성은 다음과 같은 네트워크 통신 절차를 거침

- 우선 사용자는 특정 서비스 접근을 위해 IAM을 거침

- IAM은 이러한 접근을 CASB에 보내 CASB가 클라우드 내에 있는 데이터에 접근할 수 있는지를 판별함

- CASB는 IAM으로부터 사용자의 계정 데이터를 받았기 때문에 이후 접근 시에는 CASB를 자동으로

거치게 됨

▶ API 연동: 클라우드 서비스 정책 데이터의 가시성 제공을 목적으로 활용되는 방식임

24. SWG의 기능 중 애플리케이션 제어가 있어 굳이 CASB에 해당 데이터를 제공하지 않아도 되지만 클라우드 데이터 보호와 관련한 거의 모든 것을 CASB에서 통합적으로 보여주는 추세라서 섀도IT 현황을 SWG와 연동해 보여주는 경우가 많음

2018 Vol.12

35

• API 연동을 위해서는 클라우드 서비스 제공자가 API를 제공해야 하는 한계가 있음

• API를 통해 클라우드 서비스 이용 현황을 파악할 수 있음

• 해당 구성은 다음과 같은 네트워크 통신 절차를 거침

- 우선 사용자가 클라우드 서비스에 접근함

- 해당 계정을 식별해 CASB에게 사용자의 이용 현황을 분석함

- CASB는 이러한 결과를 보안 관제자에게 전달할 수 있음

▶ 참고로 DLP 기능의 경우 포워드 프록시, 리버스 프록시, API 연동에 지원됨

CASB 추진 기업 사례

▶ CASB 이해를 돕고자 CASB 사업을 추진하고 있는 기업 사례를 살펴보고자 함

▶ 포스포인트(Forcepoint): 클라우드 시큐리티 스위트(Cloud Security Suite)25

• 포스포인트의 CASB 솔루션 클라우드 시큐리티 스위트는 두 가지 솔루션으로 나뉨

- 클라우드 거버넌스: 가시성과 컴플라이언스 기능을 제공하는 솔루션임(API 연동으로 구성함)

- 클라우드 감시 보호(Cloud Audit Protection) : 데이터 보호와 위협 대응 기능을 제공하는 솔루션임

(프록시 방식으로 구성함)

• 클라우드 거버넌스의 제공기능

- (가시성) 1000개 이상 SaaS 앱과 연동을 할 수 있고 앱 위험 점수를 제공함

- (컴플라이언스) 컴플라이언스 규정에 따른 데이터 관리가 가능하고, 퇴사자 등 계정 관리도 가능함

• 클라우드 감시 보호의 제공기능

- (데이터 보호) DLP 기능과 데이터 접근 로깅을 제공하며, 모바일 기기에서도 해당 기능을 제공함

- (위협 대응) UBA를 통해 이상 행위를 탐지하는 기능을 제공함

▶ 시만텍(Symantec): CloudSOC26

• 시만텍 또한 CASB의 기본적인 4가지 기능을 제공하고, 차별화 기능을 제공하는 것이 특징임

• CloudSOC 제공기능

- (가시성) 일반적인 섀도IT 기능을 제공하고 시만텍의 SWG와 연동해 애플리케이션 사용을 제어할 수 있음

- (데이터 보안) 콘텐트IQ(ContentIQ) 기능을 제공해 문서 내용을 분석하고 자동으로 분류해주는 기능을

제공하는 것이 특징임

25. FocePoint, ‘Forcepointt CASB’26. Symantec, ‘Secure Use of cloud apps & Service’

2018 Vol.12

36

- (컴플라이언스) 콘텐트IQ에서 분류한 파일 중 컴플라이언스 규정상 중요 문서를 관리할 수 있는 기능

을 제공하는 것이 특징임

- (위협 대응) 쓰레드 스코어(Threat Score)를 제공해 직원의 이상행위를 탐지하는 기능을 제공할 뿐만

아니라 스트림IQ(StreamIQ)라는 기능을 제공해 애플리케이션 내의 사용자 활동을 모니터링 할 수 있음

▶ 마이크로소프트(Microsoft): 클라우드 앱 시큐리티(Cloud App Security)27

• 리버스 프록시 혹은 API 연동을 통해 CASB 서비스를 제공함

• 제품 명칭에도 알 수 있듯이 클라우드 앱 보안에 특화된 CASB 서비스를 제공함

• EMS의 제공기능

- (가시성) 1만5,000개 이상의 애플리케이션 분석을 지원하고, 60개의 기준치와 애플리케이션의 위험도를

평가할 뿐만 아니라 사용현황을 분석해 위협 여부를 감지함

- (데이터 보안) 해당 기능을 사용하기 위해서는 정보보호(Information Protection) 서비스를 추가로

이용해야 하며, 파일에 따른 접근제어와 DLP 기능을 제공함

- (컴플라이언스) 컴플라이언스 규정에 따라 관리를 가능하게 하고, 애플리케이션에도 반영해 위험도를 평가함

- (위협 대응) 위치, 계정, 트래픽 용량 등을 고려해 이상행위를 판별함

CASB 시장 전망

▶ CASB는 신생 보안 서비스로 기존 보안 플레이어와 신흥 보안 플레이어로 나뉘는 특징이 있음28

• 기존 보안 플레이어의 경우 CASB 관련 보안 스타트업을 인수해 사업에 뛰어든 경우가 많음

- 포스포인트(2017년 스카이펜스 인수), 시만텍(퍼스펙시스와 엘라스티가 인수) 마이크로소프트(2015년

아달롬 인수), 맥아피(2017년 스카이하이 인수), 시스코(2016년 클라우드록 인수)

• 신흥 보안 플레이어 CASB 시장에서 활용하고 있음

- 가트너의 CASB 매직 쿼드런트(Magic Quadrant)29에서 리더에 위지한 4개 보안기업 중 두 곳이 신흥

보안 플레이어로 비트글래스(2013년 1월 창업), 넷스코프(2012년 창업)이 있음

▶ CASB가 보안의 새로운 시장을 형성함에 따라 보안산업에 새로운 활력을 제공할 전망이고, 특히 클라우

드가 활성화되는 국내의 경우 CASB가 보안산업의 새로운 성장동력으로 주목받을 예상됨

27. Microsoft, ‘Microsoft Cloud App Security’28. Gartner, ‘Magic Quadrant for Cloud Access Security Brokers’, 2018.10.29. 가트너 매직 쿼드런트는 실행능력(Ability Execute)과 전망성(Completeness of Vision)을 지표를 활용해 제품을 평가하는데,

리더에 해당하는 그룹이 우수한 솔루션을 보유하고 있다는 뜻임

2018 Vol.12

37

정보보안 인공지능 도입 분야 분석 및 제언

박형근 한국IBM 보안사업부 실장 (mirrk74@hotmail.com)

• (現) 시큐리티플러스 정보보안 커뮤니티 대표 운영자

• CISSP

인공지능의 개요

▶ 인공지능에 대하여 여러 학자들이 아래와 같이 다양한 정의를 내리고 있음

• 최초 정의는 1956년에 개최된 다트머스 회의에서 존 매카시(John McCarthy) 교수가 “기계를 인간이

지식에 따라 행동하는 것처럼 행동하게 만드는 것”으로 제시한 것임(The science and engineering

of making intelligent machines)

• 또 다소 현대적인 정의는 컴퓨터 과학자인 닐스 닐슨(Nils J. Nilsson)이 2010년 저서 ‘THE QUEST

FOR ARTIFICIAL INTELLIGENCE’에서 “인공지능은 기계를 지능적으로 만드는 것이고, 지능이란 어떤

개체가 주어진 환경 아래에서 예측하면서 적절하게 대응하는 자질(Artificial Intelligence is that

activity devoted to making machines intelligent, and intelligence is that quality that enables an

entity to function appropriately and with foresight in its environment)”이라고 정의한 것임

• 즉 인공지능이란 단순히 기계학습(머신러닝, Machine Learning)뿐만 아니라 인간이 다양한 환경 하에

서 지능에 기반하여 학습하고, 다양한 문제에 대해 최선의 선택을 통해 그 문제를 해결할 수 있는

시스템을 의미한다는 점에서 좀 더 포괄적인 용어임

• 인공지능은 기계학습을 포함하여 자연어 처리능력을 기반으로 한 정형/비정형 자료에 대한 분석과

지식 트리(Knowledge Tree)를 통한 지식화 능력, 인간과의 자연스런 소통을 위한 음성인식과 음성

기반의 표현능력, 데이터에 대한 이해와 추론을 기반으로 질문에 대한 답변하는 능력 등을 포괄함

▶ 현존하는 여러 상용 인공지능 중에서 가장 인지도가 높은 인공지능은 아마 인간과 인공지능 간 세기의

대결을 만든 알파고, 즉 구글의 딥마인드30가 아닐까 함

• 딥마인드는 다층 신경망(Deep Neural Network)과 큐 러닝(Q-Learning)을 조합하여 심층 인공지능

30. https://deepmind.com

2018 Vol.12

38

기술인 심층 큐 네트워크(Deep Q-network)를 독자 개발함

• 2016년 3월 이세돌 9단과 대국에서 4승 1패의 기록과 함께 인공지능의 가능성을 크게 보여주었고,

현재 딥마인드는 인공지능을 의료와 건강분야에 적용하기 위해 노력 중임

• 이 분야에서 보다 앞서 등장한 인공지능은 IBM DeepQA 프로젝트를 통해 개발된 인공지능 왓슨임.

왓슨은 자연어 형식의 질문에 대해 답변할 수 있도록 개발된 인공지능으로 현재 왓슨은 의료와 건강

분야뿐만 아니라 법, 세금, 소비자 서비스 등 17개 산업 및 학문분야에서 매우 다양하게 적용 및 활용 중임

• IBM과 구글을 포함하여 아마존, 마이크로소프트 등 다양한 클라우드 플랫폼에서 기계학습과 딥러닝

기반 인공지능 서비스 혹은 플랫폼을 제공하고 있음

• 국내에서는 KT의 기가지니, SK텔레콤의 누구라는 이름의 인공지능 플랫폼 서비스가 대표적으로, 인공

지능 비서 서비스부터 검색, 번역, 추천 서비스 등 응용과 적용 범위가 다양하며 참고로 인공지능은

현재 기계학습보다 더 넓은 영역의 기술 집합체임

오픈소스 인공지능 동향

▶ 인공지능 분야에서 오픈소스 프로젝트도 매우 다양하게 진행되고 있으며, 우선 코드 기여로 오픈소스화

된 상용 인공지능 서비스들부터 살펴봄

• 이들 프로젝트들은 인공지능의 완성도를 높이며 새로운 아이디어의 적용 등 알고리즘을 보다 발전시

키고 접근을 용이하게 만들고 있음

• 대표적인 인공지능 오픈소스로는 구글에서 코드를 기여하고 있는 텐서플로31가 국내에서는 가장 널리

알려져 있고 현재 텐서플로는 파이썬, 자바, C, Go, 자바스크립트 라이브러리, 스위프트 등의 언어와

윈도, 리눅스, 맥OS, 라즈베리파이 등 다양한 운영체제를 지원하고 있음

• 다음으로는 IBM에서 코드를 기여한 아파치 시스템ML32이 있으며 아파치 시스템ML은 빅데이터 분석

플랫폼인 스파크와 연동하여 인공지능으로 확장될 수 있도록 지원함

• 마이크로소프트도 Cognitive Toolkit(CNTK)33이라는 이름의 오픈소스 프로젝트를 시작했고. NVIDIA

의 cuDNN, DL4J, Caffe 등 다양한 딥러닝 오픈소스 관련 프로젝트들이 있음

보안 분야의 인공지능 도입 필요성

▶ 보안 분야의 인공지능 도입 필요성은 다양한 관점에서 논의될 수 있으나 여기서는 크게 2가지 관점에서

살펴보고자 함

31. https://www.tensorflow.org32. https://systemml.apache.org33. https://github.com/Microsoft/CNTK

2018 Vol.12

39

• 첫 번째는 방대한 데이터 분석 이슈가 있고 2018년 7월 기준 무선인터넷 트래픽 통계34를 보면 전년

동월 대비 21% 증가한 39만3154TB의 네트워크 트래픽의 증가를 보여 주고 있으며 매일 증가하고

있는 유·무선 네트워크 트래픽에 대해 이상 징후를 기존 방식으로 분석하기란 용이하지 않음

• 매일 엄청나게 생산되고 있는 정보보안 관련 인터넷 지식들을 모두 검색하여 이해하고 패턴화시키는

것도 매우 어려운 일이며 악성코드 증가율 역시 다양한 변종 출현과 함께 매번 기록을 갱신하고 있음

• 이러한 악성코드를 출현하는 속도에 맞춰 분석하기 쉽지 않고 즉 정보보안 분야에 있어 분석해야

할 데이터 량의 급속한 증가는 인공지능 분석의 주요 동인 중 하나임

• 두 번째는 충분히 숙련되고 지속적으로 학습하고 있는 전문가의 부족으로 정보보안 분야는 IT의 발전

에 따라 많은 연관 분야의 지식이 필요하고 그에 따른 새로운 취약점과 위협이 등장하고 있는데,

이에 대한 학습의 기회와 시간을 충분히 확보하고 있지 못함

• 2017년에 전년보다 약 31% 증가한 2만832건의 새로운 취약점이 발표되었고 올해도 그 기록을 충분히

갱신할 것으로 보이며35 또한 다양한 보안 및 해킹 컨퍼런스에서 새로운 공격기법에 대한 논의가

계속되고 있음

• 그러나 현재도 부족한 인력구조 속에서 이러한 취약점들과 새로운 공격기법을 학습할 시간의 확보는

기업의 인재 교육 프로그램 내에서 전략적으로 고려되는 것이 아니며 온전히 개인의 선택에 달려

있어 정보보호 예산을 편성한 기업이 48.1%로 전년 대비 15.6% 증가했으나 이 중 36.8%가 IT 예산

중 정보보호 예산 비중이 1% 미만이며, 정보보호 조직을 운영하고 있는 기업은 9.9%로 전년 대비

1.1% 하락함

• 또 애로사항 중 전문인력 확보가 39%로 전년 대비 5%가 증가한 것으로 나타나36 전 세계적으로도

대기업의 83%가 적절한 기술 레벨을 가진 인력을 찾는데 어려움을 겪고 있으며, 2020년까지 150만

명의 보안 인력이 부족할 것으로 예측되고 있음37

• 많은 기관과 기업이 정보보안 교육을 통한 인력양성으로 인력부족 문제를 해결하기 위해 노력하고

있지만, 지식과 함께 경험이 필요한 분야여서 공급이 수요를 따라가지 못하고 있고 이런 관점에서

부족한 경험과 지식의 격차를 메워줄 파트너로서 인공지능에 대한 고려가 당연함

인공지능 적용이 필요한 보안 분야

▶ 위협 인텔리전스

• 보안 사고를 조사하는 보안 분석가들은 사고 데이터 내 IP, 도메인이나 파일 해시값 등을 검토하며

주변의 관련 데이터들을 검색하고 다양한 검색방법과 정보들을 활용하여 새로운 악성코드나 침해

34. 무선데이터 트래픽 통계(2018년 7월), 과학기술정보통신부35. 보안뉴스, https://www.boannews.com/media/view.asp?idx=7220936. 2017년 정보보호 실태조사 결과, 과학기술정보통신부37. Ponemon: Cyber Threat Intelligence Report 2015

2018 Vol.12

40

식별 정보(IoC, Indicator of compromise)를 수집함

• 이렇게 수집된 정보들을 기반으로 사고 데이터의 분석을 확장하며 추가적인 조사를 수행하고 연구

논문, 컨퍼런스 프리젠테이션, 보안 관련 뉴스, 업계 발표, 분석 보고서, 뉴스레터, 각종 웹 사이트와

블로그, 위키, SNS, 공개된 위협 정보 등 각종 인터넷을 통해 공개되고 배포되는 수많은 정보들을

체계적으로 이해하고 분석 및 분류함

• 정제된 위협 인텔리전스로 재생산하는 과정은 통합보안관제 혹은 보안 연구가들의 많은 시간과 인원을

요구하는 일로 일반적으로 전체 인터넷을 통해 공개된 정보의 8%만 활용 가능함. 또 보안팀의 80%는

보안 사고 시 만약 위협 인텔리젼스 플랫폼을 가지고 있었다면 공격을 예방하거나 피해를 최소화했을

것이라고 생각함38

• 자연어 처리를 기반으로 인터넷 상의 자동 수집 혹은 제시된 데이터를 인공지능에 의해 정보보안의

용어로 이해 및 분석하고 이를 위협 인텔리젼스 데이터로 정제함

• 인공지능은 학습기간 동안 지도학습과 비지도학습을 반복하며, 보안 관련 문맥, 문맥과 문맥 사이의

관계, 연관된 행위 정의, 다양한 룰(Rule) 등을 정의하여 비정형 데이터로부터 정형 데이터 및 연관된

지식의 구조화된 체계를 만듦

• 재생산된 위협 인텔리전스 정보에 대해서는 근접성, 관계성과 진실성을 기반으로 평가되고, 필요하다면

재학습하는 과정을 거치게 되고 실제 이 분야의 상용 서비스인 IBM의 Watson for Cyber Security에서는

통계적인 정보와 관계성 추출 모델(SIRE, Statistical Information and Relation Extraction)을 보안 문맥

에 대한 자연어 처리와 인공지능에 대한 학습모델로 사용함

• 인공지능은 보안 연구자들이 보다 빨리 분석하고 새로운 위협을 식별할 수 있도록 도와주며 빅데이터

분석과 함께 수집된 새로운 악성 패턴을 식별함으로써 제로데이 공격을 탐지할 수 있도록 함

• 또 제로데이 인텔리전스 기반으로 탐지력을 증가시키며, 전 세계적인 위협 인텔리젼스를 활용함으로

써 지역적인 위협 동향을 예측할 수 있고 이 분야에 있어 대표적인 기업은 IBM과 SK Infosec이 있음

▶ 통합 보안 관제

• 93%의 통합보안관제센터 관리자가 모든 잠재적인 위협을 선별하지 못하고 있으며, 대기업에서 근무

중인 42%의 사이버 보안 전문가들은 ‘보안 경보의 중요한 숫자’들을 알지 못함

• 또한 보안회사의 31%는 보안 경보를 때때로 무시할 수밖에 없다고 하며, 전체 보안 경보를 관리할

수 없기 때문에 경보의 50%를 무시하게 되는 상황임39

• 첫 번째로 살펴본 인공지능 기반으로 생성된 위협 인텔리전스를 활용하여 통합보안관제 대상기업

내 IT 자산과 로그, 이벤트에 대해 데이터 마이닝으로 보안 솔루션이나 서비스에서 감지하지 못한

위협에 대해 탐지 및 식별하는 방식으로 적용하는 사례가 있음

38. Watson for Cyber Security - 보안 분석에 대한 코그너티브 보안 시대, IBM39. IBM 통합보안관제 솔루션 소개 자료

2018 Vol.12

41

그림 1 _ IBM, Cyber Security for Watson을 활용한 통합보안관제

[출처] IBM 통합보안관제 솔루션 소개자료

• 그러나 반면에 통합 보안 관제에서 다루는 각종 로그와 다양한 이벤트를 직접적으로 인공지능에 학습

시켜 관제인력이 미처 파악하지 못한 이상 로그나 이벤트, 공격의 징후를 파악 및 오탐을 줄여 주기

위한 방향으로 활용하고자 하는 사례가 있음

• 거의 대부분의 ESM 및 SIEM 솔루션 공급회사에서 매우 활발하게 연구되고 있고 ESM과 SIEM 기능

내에서 보다 향상된 상관 분석을 위해서나, 위협 판단 행위에 대한, 그리고 통계적인 베이스라인 제시

와 다차원 분석 분야에 인공지능 혹은 기계학습에 대한 기술들이 적용됨

• 인공지능을 통합 보안관제에 활용해 본 결과, 기존 위협분석보다 60배 더 빨라졌으며, 분석속도가

수 시간에서 수 분 이내로, 보안 운영의 업무 부담이 25배 절감되었으며, 식별되지 않았던 새로운

위협의 탐지가 10배 증가되었다고 함40

• 이 분야에서 대표적인 기업은 이글루, IBM, LogRhythm, SparkCognition 등이 있고 IBM에서 개발되고

있는 하빈(Havyn) 프로젝트도 매우 흥미로운 접근 방식으로 주목할 만함

• 종래의 인공지능 기반의 통합보안관제 시스템에서 하빈은 사이버 보안 영역에 대해 교육 받은 IBM

왓슨(Watson) 기반으로 인간과 대화 가능한 통합보안 관제 지원 서비스임

• 자연스러운 워크플로와 투명성, 그리고 향상된 공동 작업을 통해 위협 분석가 및 보안 관리자의 경험을

향상시키도록 설계되었고 하빈은 음성을 기본 인터페이스로 하여 문자 입력이나 클릭과 같은 사용자

입력을 받아 하빈 클라우드에 이를 전달하고, 이에 대한 답변을 표시하거나 음성으로 읽어줌

• 하빈의 활용 예를 보면 사이버 보안에 대한 음성 기반의 질문에 대해 답변하거나 자연어 기반으로

사용자가 원하는 기본 명령을 수행할 수 있음41

40. SOGETI, FIDUCIA GAD, SCANA 등 인공지능 기반 통합보안 관제 솔루션 적용 기업 피드백41. Project Havyn: Giving Cybersecurity a Voice, https://youtu.be/nVyqGKhLBcY

2018 Vol.12

42

그림 2 _ 하빈(Havyn) 프로젝트 로고와 이미지 샷

[출처] IBM 통합보안관제 솔루션 소개자료

▶ 네트워크 패킷 분석

• 전통적인 침입탐지시스템은 탐지하고자 하는 공격에 대한 정보와 시그니처가 있어야 하고, 정보와

시그니처가 없는 공격을 인지하기까지는 상당한 시간과 분석이 필요함

• 그러나 네트워크 분석 시스템의 인공지능 혹은 기계학습 기반 기술의 도입을 통해 기존 네트워크

활동을 학습시키고, 평상 시 네트워크 활동사항으로부터 이상행위를 분석 및 추론함

• 네트워크 상의 동일 디바이스들의 행위에 대한 문맥 분석과 학습, 연결 관계에 대한 통계와 추이,

정상과 비정상 행위의 판단을 위한 위험도 산정을 수행하여 네트워크 상의 이상 징후를 판단함. 침입

탐지 문제는 실시간적이고 자동화된 지식(Knowledge) 생성의 문제로 볼 수 있으며, 인공지능의 전문

가 시스템(Expert System)과 분류(Classification)의 시각으로 접근할 수 있음

• 즉 정상정인 네트워크 패킷과 각종 비정상적인 네트워크 패킷을 수집하고, 이 패킷에 다양한 기계학

습 알고리즘을 적용하여 지식을 자동으로 생성하고 이렇게 학습된 지식을 기반으로 실시간으로 발생

하는 패킷들에 대하여 정상 및 비정상 여부를 판단하는 문제로 볼 수 있음42

• 인공지능 기반의 이상행위 분석은 사용자의 활동 내역에 대해 로그, 이벤트, 수행 명령, 자산 등에

다양하게 수집된 정보에 대해 감사 데이터 저장소 및 데이터 마트를 구성하고, 다양한 규칙(Rule)과

모델을 기반으로 인공지능의 학습단계를 수행함

• 이 때 사용되는 모델로는 기본적으로 정상과 이상의 분류에 대해서는 베이지안(Bayesian), LDA(Latent

Dirichlet Allocation), Holt-Winters 모델 등이 주로 채택된 이후 실제 사용자 데이터를 분석하며 규칙

과 모델을 확인하며 이상 사용자를 탐지 혹은 위험 점수를 조정하고 이 분야에 있어 대표적인 기업은

다크트레이스, 크로니클, 벡트라 등이 있음

42. 인공지능 기법을 이용한 네트워크 기반 침입탐지 기술 동향, 이창훈(건국대학교 정보통신대학 컴퓨터공학부 교수)

2018 Vol.12

43

▶ 악성코드 분석

• 새로운 악성코드와 이에 대한 변종은 AV-TEST 통계 기준으로 하루에 평균 39만 개가 넘으나 이에

대한 악성코드 분석가들의 시의적절한 대응이 매우 어려움

• 또 각종 분석을 돕기 위한 자동화 도구와 샌드박스 등을 활용하긴 하지만, 이에 대한 회피기술 또한

발전하여 이에 대한 탐지가 점점 더 어려워지고 있음

• 기존 안티 바이러스는 파일 혹은 데이터 서명 및 패턴 분석을 사용하여 잠재적인 악성 활동을 이전 사례들과

비교하고 즉 안티 바이러스는 악의적인 파일을 탐지하여 시스템을 감염시키지 않도록 신속히 대응함

• 그러나 파일 혹은 데이터 서명 및 패턴을 갖고 있어야 탐지 및 대응이 가능함. 수없이 증가하고 있는

새로운 악성코드에 대해 발견하고 이를 파일 혹은 데이터 서명 및 패턴으로 만드는 작업 간의 시간

간격은 계속 도전과제가 되고 있음

• 물론 전통적인 안티 바이러스에서도 행위 분석이라든가 위협 정보를 활용한다든가 하는 보완 기술을

적용하고 있지만, 서명 및 패턴 업데이트에 크게 의존하고 있다는 기존 한계점은 여전히 존재함

• 인공지능 혹은 기계학습을 악성파일과 정상파일 구분에 적용하고자 하는 시도는 이러한 한계점을

극복하기 위한 방안이 되고 실제 인공지능을 악성코드 분야에 활용한다고 하더라도 속도 면에서 가장

빠른 전통적인 안티 바이러스의 시그니처 기반의 진단은 가장 먼저 활용됨

• VirusTotal과 같이 클라우드 기반 멀티 안티 바이러스 엔진을 통해 현재 확보된, 알려진 악성코드에

대한 진단으로 진단이 필요한 코드와 그렇지 않은 코드를 식별해 냄

• 첫 번째 안티 바이러스 엔진을 통과한 알려지지 않은 악성코드에 대해 자동화된 안티 리버싱으로

프로그램 코드화한 다음 ▲취약점 공격 로직(Exploit) ▲감염 및 전파 로직(Infect) ▲시스템 호출 변경

및 가로채는 로직(Hook) ▲동적 프로그램 삽입(Injection) ▲비정상 시스템 자원 접근 로직(Access)

▲정보 유출 로직(Theft) 등 6개의 악성 로직 혹은 그에 대한 변이를 포함하는지 분석함

• 또 이러한 분석에도 탐지되지 않는 경우에는 샌드박스 내에서 시스템 혹은 브라우저 행위 기반 분석을

함께 수행하고 악성코드의 위협 모델을 기반으로 다양한 이상행위와 IoC(Indicator Of Compromise),

블랙 IP 리스트, C&C IP 리스트와 같은 인텔리전스 정보를 활용하여 악성코드에 대한 비정상 여부

판별을 수행함

• 이 분야의 대표적인 기업은 사이랜스, Deep Instinct, 아바스트, 마이크로소프트, 세이트시큐리티 등이 있음

▶ 사용자 이상행위 분석

• 사용자의 이상행위 분석은 광범위한 IT와 보안 인프라에 대한 분석과 비즈니스 혹은 사용자 패턴에

대한 이해라는 어려움으로 인해 인공지능에 대한 관심이 높은 영역 중 하나임

• 사용자의 평소 업무 패턴과 비교하여 사용자의 이상행위가 악의성이 있는지에 대한 판단은 장기간의

분석과 함께 같은 그룹의 사용자와의 비교 등이 요구되며 정해진 규칙을 기반으로 하기에는 기준치가

없기 때문에 인공지능을 통한 위험 점수 기반 시스템이 가장 일반적으로 채택되고 있음

2018 Vol.12

44

• 인공지능 기반의 이상행위 분석은 사용자의 활동 내역에 대해 로그, 이벤트, 수행 명령, 자산 정보

등 다양하게 수집된 정보에 대해 감사 데이터 저장소 및 데이터 마트를 구성하고, 다양한 규칙(Rule)과

모델을 기반으로 인공지능의 학습단계를 수행함

• 이 때 사용되는 모델로는 베이지안(Bayesian), LDA(Latent Dirichlet Allocation), Holt-Winters 모델

등이 주로 채택된 이후 실제 사용자 데이터를 분석하며 규칙과 모델을 확인하며 이상 사용자를 탐지

혹은 위험 점수를 조정함

• 이상 사용자의 중요 카테고리는 동일 그룹 내에서 거의 보이지 않는 새로운 패턴의 발생, 비정상적인

많은 패턴, 이전에 보이지 않던 새로운 패턴, 비정상적인 에러 패턴 등을 정의할 수 있음

• 또한 인공지능의 판단 결과에 대해 이상 사용자로 구별된 이유와 행위들이 근거로 제시될 수 있어야

하고 이 분야의 대표적인 기업은 IBM, 스플렁크 등이 있음

▶ 사용자 인증과 사기(Fraud) 탐지

• 사용자 식별과 사기(Fraud) 탐지에 있어 인공지능의 활용은 매우 새로운 접근방법임. 스마트폰 혹은 데스

크톱의 여러 사용 패턴을 학습하여 사용자의 행위 기반 아이덴티티를 만들기 위해 인공지능을 활용함

• 사용자의 평소 마우스 움직임, 클릭, 클릭 시의 압력, 클릭과 클릭 사이의 시간 등의 여러 사용 패턴들

을 데이터화하여 사용자의 행위 기반 아이덴티티를 만듬

• 이렇게 생성된 아이덴티티로 사용자에게는 매우 쉬운 단순 인증 방식을 사용하면서도 실제 그 사용자

가 아니면 시스템과 서비스에 접근하기 매우 어려운 시스템을 만들 수 있음. 사용자의 행위 특성,

세션과 트랜잭션 모니터링, 접근 디바이스 특성 등이 인공지능의 분석대상이 됨

• 인공지능은 행위 생체 모델을 기반으로 사용자를 이해하고 세션과 트랜잭션의 비정상 여부를 식별하

기 위해 세션을 평가하며 악성코드나 조작된 비정상 앱에 의한 요청인지를 판단하기 위해 디바이스

활동을 분석, 관련된 위협 인텔리젼스를 수집하고 자동적인 보호 활동을 수행함

• 로그인과 세션을 통해 사용자의 아이덴티티를 드러나지 않고 자연스럽게 평가하며, 여러 증거들을

기반으로 한 사기 지표(Fraud Indicator)를 갖고 행위 기반 생체 분석의 결과를 실시간으로 상관 분석

하고 이를 토대로 탐지의 효과를 최대화해 오탐을 줄이고, 사용자의 불편을 최소화하면서도 위험을

줄이기 위한 강력한 생체인증을 최적화하여 적용할 수 있음. 이 분야의 대표적인 기업은 IBM임

그림 3 _ 사용자 행위 기반 특성 식별 학습 그래프(왼쪽)와 사용자 행위 기반 바이오 식별 정보의 활용 예(오른쪽)

[출처] Trusteer, User Behavior Biometric(왼쪽), IBM(오른쪽)

2018 Vol.12

45

▶ 취약점 분석 및 모의 해킹

• 애플리케이션 개발 초기, 그리고 반복적인 취약점 분석은 이후 수정 비용을 절감할 수 있고 인공지능

분석과 기계학습을 적용하여 다양한 애플리케이션 소스에 대해 취약점 진단 결과의 자동 분석과 검토

를 통해 비지도 학습과 보안 전문가에 의한 지도 학습을 병행함

• 또 다양한 언어와 프레임워크에 대해서도 자동화된 학습을 통해 동일한 애플리케이션 취약점 진단이

가능하도록 지원함

• 애플리케이션 취약점을 분석하기 위해서는 프로그래밍 언어를 이해하고, 데이터의 입·출력과 취약점

이 발현되는 포인트에 대해 정확히 분류하고 취약점을 찾아야 함. 또 발견된 취약점을 검토하고 이 중

오탐과 의미 없는 결과를 제외하고 중복된 취약점을 축약하고 최적의 해결방안을 제시해야 함

• 이 모든 것이 인공지능에 의해 수초, 수분, 혹은 그 이전에는 생각지 못할 만큼 빠르고 광범위하게

취약점 진단을 수행하고 결과와 해결 방안을 제시하고 실제 인공지능 기반으로 프로그램을 진단해

본 결과, 98.6%의 정확도로 프로그램의 구조 파악(데이터 입·출력 및 취약점 발현점 탐지) 및 분류가

가능했으며, 98.91%로 오탐을 감소할 수 있음43

• 대상 애플리케이션에 대해 인공지능 기반으로 취약점 진단, 불필요/중복 탐지 정제와 수정 권고 사항

에 대한 테스트 결과는 [그림4]와 같으며 이와 유사하게 애플리케이션을 포함하여 IT 인프라 전반에

걸친 취약점을 탐지하고, 이를 공격하는 다양한 시나리오를 제공하고 실행하는 인공지능이 있음

• 이들은 이전과 달리 시스템의 보안 약점을 경고하는 차원에서 직접 공격을 수행하여 증명하는 데

초점이 맞춰져 있고 더 나아가 사이버 무기로써 개발되고 인공지능 기반 웹 애플리케이션 보안 취약점

진단 분야의 대표적인 기업은 IBM, High-Tech Bridge, 스패로우 등이 있음

그림 4 _ 인공지능 기반 웹 애플리케이션 취약점 진단 결과

[출처] IBM

43. IBM AppScan의 인공지능 모듈인 ICA(Intelligent Code Analytics)와 IFA(Intelligent Finding Analytics)의 테스트 결과 인용

2018 Vol.12

46

결론 및 시사점

▶ 지금까지 인공지능과 상용화된 솔루션, 서비스를 중심으로 보안 분야에서의 적용 방향에 대해 살펴보았

는데, 2016년 3월 9일부터 15일까지 국내 IT 업계와 바둑계는 알파고라는 인공지능과 인간 이세돌의

세기 대결인 바둑 대국을 보며 인공지능이 펼치는 새로운 바둑의 세계에 경탄과 함께 창의적인 인공

지능에 대한 막연한 두려움을 가지게 되었음

▶ 사실 인공지능은 아직 인간의 창조적 지능에 접근하지 못했으나 김성룡 9단이 알파고의 50국 기보를

보고 말한, "알파고는 바둑의 격언이 얼마나 우리를 구속했는지 알게 했고, 사람의 바둑에 대한 생각에

자유를 주었다"라는 의견에는 크게 공감이 감

• 편견과 관습들이 더 크게 발전해 나가는데 얼마나 큰 장애와 방해가 되는지, 인공지능은 그러한 편견

과 고정된 패턴 없이 데이터를 기반으로 그 상황에 맞는 최선의 선택이 무엇인지를 보여줌으로써

창의적이고 놀랄만한 다양한 방식을 제시해 주고 있음

▶ 항상 인공지능의 보안 분야에 대한 적용을 얘기하자면, 먼저 인공지능의 기술에 대해 얘기를 하게 되지만,

이미 인공지능에 대한 기술적인 논의는 알파고와 이세돌의 대국 이후 끝났음

• 인공지능은 인간을 흉내 내서 그런지 인공지능 자체의 우수성보다는 무엇을 하려고 하는가와 그것을

이루기 위한 다양한 데이터가 더 중요해지고 있어 인생은 속도보다는 방향으로 보안 분야에 있어서의

적용 역시 인공지능 자체보다는 보안 분야에서 달성하려고 하는 것이 무엇인지, 그리고 그것을 이뤄

내기 위한 충분한 데이터를 확보하고 있는지를 먼저 살펴봐야 할 것임

▶ 그런 관점에서 보안만이 아닌, 다양한 분야의 산업들과 소통 및 융합해야 함. 또 국내 특화된 데이터는

전 세계 어디를 둘러 봐도 우리가 가장 많이 보유하고 있고 우리나라 내에서라도 이를 수집, 정제, 공유

하고 전 세계 위협 인텔리전스와의 협업과 함께 인공지능의 학습 데이터로 활용될 수 있도록 해야 함

▶ 딥러닝과 같은 인공지능 알고리즘을 활용하여 프로그래밍 할 줄 아는 인력 양성도 중요하지만, 기반

데이터에 대한 관리와 인공지능 활용방안에 대해 조언 받을 수 있는 전문가 풀, 그리고 투자에 대한

지원이 이뤄질 때 국내에서도 보다 많은 인공지능을 활용한 다양한 솔루션과 서비스가 개발되고 활용될

수 있고, 이를 통해 앞으로 보안 분야에 있어서도 보다 다양한 인공지능을 활용한 창의적인 접근방식이

많이 만들어지길 기대함

2018 Vol.12

47

지능적 통합보안관제 체계의 필요성

임문영 칼럼니스트 (seerlim@gmail.com)

(前) 국회뉴스ON편집장

(前) 아이엠비씨 미디어센터장

머리말

▶ 인터넷이 처음 만들어지던 인터넷 원시시대에는 보안이라는 것을 별로 생각하지 않았고 인터넷에 사람

들이 모여들기 시작하고 더 많은 정보와 가치가 흐르면서 이를 악용하는 범죄가 늘기 시작하며 뚫는

자와 막는 자가 생겼고 뚫는 방법과 막는 방법도 발전했음

▶ 시스템이 점점 복잡해지고 다양한 활동이 전개되다 보니 수많은 보안 시스템이 만들어졌고, 그 속에서

나오는 보안 메시지의 홍수에 파묻혀 정작 보안이 안 되는 현상까지 벌어질 상황임

사이버 보안과 보안관제의 개념 정의

▶ 사이버 보안은 허락되지 않은 접근, 수정, 노출, 훼손, 파괴 등의 다양한 사이버 상의 위협으로부터 기관

이나 기업의 정보를 보호하는 것임

• 사이버 공간에서 정보보호의 보안 정책을 수립하고, 위협에 대한 예방책을 세우며, 시스템에 대한

접근 및 운영을 통제하고 외부의 침입이 발생했을 때 빠르게 탐지해 대응하거나 손상된 시스템을

복구하는 등의 다양한 활동을 모두 포함함

▶ 보안관제는 ‘불법 해킹이나 바이러스로부터 시스템과 네트워크 자원의 손상을 막기 위해 사이버 보안

관제가 필요한 모든 시스템을 실시간으로 모니터링하여 즉각 대응할 수 있도록 하는 일련의 활동’이라고

정의할 수 있고 즉 보안관제는 사이버 상의 위협으로부터 정보를 보호하기 위한 일련의 모든 활동을

총칭하는 것임

2018 Vol.12

48

보안관제의 주요 업무

▶ 구체적으로 보안관제는 PC·서버 등 정보 시스템에 저장되어 있는 정보 자료나 시스템 정보의 절취를

노린 해킹을 탐지·차단하고 홈페이지나 네트워크를 마비 또는 장애를 유발시켜 인터넷 서비스 등 정보

통신의 정상적인 운영을 방해하는 공격행위를 탐지·차단하며 악성코드를 채증·분석하여 탐지기술

(Signature)을 제작, 관제 시스템에 적용함으로써 동 악성코드에 의한 사이버 공격을 탐지·차단하는 일을 함

• 이를 위해서는 시간과 장소에 구애받지 않고 수시로 발생하는 사이버 공격에 대해 24시간 365일

중단 없이 수행하여야 하는 무중단 원칙이 지켜져야 하고, 전문 기술력을 갖춘 보안관제 인력과 첨단

시설 등 전문성을 갖추어야 함

• 또 사이버 공격으로 인한 피해가 타 기관으로 확산되는 것을 방지하기 위하여 관계 법령에 위배되지

않는 범위에서 보안관제 관련 정보를 서로 공유하여야 함

구체적인 보안관제 내용

▶ 보안관제에는 에이전트라는 프로그램이 있고 이는 각종 보안 장비 및 서버, 네트워크에 설치돼 해당

시스템에 맞게 설정된 로그 정보를 수집하고 전처리하여 중앙관제센터에서 실시간 전송된 각종 로그를

쉽게 모니터링하고 분석할 수 있도록 정보를 제공해 주는 프로그램임

• 이 정보들은 정보수집 서버에 보내져 DB에 저장되고 여기서 에이전트에 대한 Health Check를 통한

모니터링과 분석에 필요한 리포팅 소스가 제공됨

▶ 보안 담당자는 이 때 이기종 시스템에 설치된 에이전트를 통해 중앙에서 일관된 정책을 적용하고 통합

관리로 보안장비에 대한 위험 요소를 최소화하는 업무를 담당하고 예방활동뿐만 아니라 실시간 감지,

정보자산의 관리환경에 대한 구성 등을 관리함

• 그 중에서도 가공 이벤트 로그에 대한 분석은 가장 핵심적인 업무임

• 다양하게 수집되고 분석된 정보를 종합하고 상황을 분석하여 관제요원들이 신속하게 정보를 파악하고

대처하도록 하는 것이 임무임

현황 및 문제점

▶ 인터넷 초기에는 방화벽이 보안의 전부인 경우도 있었으나 지금은 IT기술의 발전과 4차 산업기술 등으로

기업 또는 기관의 정보서비스는 양적, 질적으로 엄청난 성장을 이뤘음

• 이는 역설적으로 해커 등 외부 침입자의 다양한 침투경로를 제공하기도 하는데, 이러한 정보서비스

발전에 따른 다양한 사이버위협에 대응하기 위해 서비스별, 업무단위별 다양한 보안시스템과 솔루션

2018 Vol.12

49

이 필요하게 됨

• 따라서 보안관제의 영역에 있어서도 관제대상 시스템 및 서비스 영역이 덩달아 늘어나게 된 것임

그림 1 _ Web Watcher 통합관제 및 정보보호 솔루션

[출처] ibizsoftware.net

▶ 이기종 로그 포맷

• 특히 이 중에서 이기종 보안 시스템에서 발생하는 로그 포맷의 다양성이 문제임

• 보안관제는 기본적으로 보안시스템 및 프로그램을 포함하여 네트워크, 서버 등 다양한 정보시스템에

서 제공하는 이벤트 로그를 기준으로 업무를 수행하는데, 이러한 정보시스템은 매우 다양한 벤더에서

제공하고 있음

• 즉, 각 벤더별 시스템에서 제공하는 이벤트의 정보는 각 벤더간 로그 포맷을 표준화하지 않는 한

데이터 포맷이 일정할 수 없음

• 데이터 속성이 제각기 다르다 보니 보안관제 인력이 각 장비를 개별적으로 감시해야 하는 비효율성이

커질 뿐만 아니라 실제 침입을 인지하지 못하고 누락하는 경우도 발생함

▶ 비정형 이벤트 로그

• 두 번째는 비정형 이벤트 로그의 문제로 보안관제서비스를 제공하는 보안관제 전문업체들은 이기종

정보시스템의 보안관제 효율성 및 탐지 정확성을 높이고자 자사 중심의 통합보안관제시스템을 구축

하고자 함

2018 Vol.12

50

• 각 보안관제전문업체들은 결국 자사 중심의 관제용 에이전트(프로그램)를 개발하게 되고, 이를 각

정보시스템에 설치하여 시스템 단위별로 아예 정보를 가공하여 정형화한 다음 수집서버로 보내는

서비스를 제공하게 되었음

• 그런데 보안관제전문업체별로 에이전트가 달라 보안전문업체가 바뀔때마다 에이전트 프로그램을

재설치해야 하는 등 불편이 커지고 있음

• 또한 운영비용의 증가뿐만 아니라 외산 제품이나 특정 OS를 구동중인 정보시스템(네트워크 또는

슈퍼컴 등)에는 설치가 안되는 경우가 있어 별도 수집서버를 통해 2차 가공하거나 해당 정보시스템의

감시를 포기하는 등 보안사각지대가 발생하는 것임

• 이런 문제를 해결하고자 일부 기업이나 기관에서는 관제업체의 에이전트 의존에서 벗어나기 위해

자체 에이전트를 또 개발하거나 에이전트 없이 모든 비정형 데이터를 수집서버에 저장하고 별도의

정형화된 DB 테이블을 구축하여 통합관제시스템을 개발하려는 시도도 생기게 됐음

• 하지만 보안분야의 전문인력이 오랫동안 투입되어야 하며 개발·구축비용 또한 만만치 않고 많은 기업

이나 관제 전문업체 모두 이기종 이벤트 로그의 효율적 관리를 위한 다양한 시도들을 하고 있으나

통합보안관제를 위한 이벤트 로그 통합의 이슈는 여전히 풀어야할 숙제임

▶ 보안 이벤트 임계값 정의

• 또한 중요한 문제는 이벤트의 임계값 정의로 보안관제에서 중요한 요소는 침입시도가 몇 번 이상

중복 발생하면 탐지경보를 보안담당자에게 알려줄 것인지 정하는 기준이 탐지 임계치 또는 임계값이

라고 이야기하며 탐지 임계값은 모든 보안시스템, 네트워크관리시스템(NMS), 서버관리시스템(SMS)

에 필요함

• 보안시스템은 특정 IP가 보호대상 IP로 반복해 비정상행위를 할 경우 몇 번 이상 반복하면 경보를

울릴 것인가에 대한 정의를 말하고, 네트워크 및 서버관리시스템은 자원의 상태, 즉, CPU가 몇 %

이상이면 메모리가 몇 % 이상 차지하면 경보를 울릴 것인가에 대한 정의임

• 각 벤더에서 제공하는 시스템은 경보를 울리는 임계값이 기본적으로 낮게 설정되어 있고, 이유는

보호해야하는 기업이나 기관의 IT서비스 구성이나 형태가 제 각기 다르기 때문에 임계값을 특정할

수 없고, 타 제품보다 놓치는 탐지정보가 없어야 하기 때문에 매우 보수적으로 임계값을 설정함

• 공격 탐지율을 높이자니 정상을 공격으로 탐지하는 오탐의 확률도 높아지는 부담이 있고 오탐은 보안

담당자나 관제요원에게 불필요한 정보를 많이 봐야하는 부담을 주고 정작 공격 시에는 이를 무시하게

할 수가 있어 마치 양치기 소년이 “늑대가 나타났다”고 계속 외쳐대는 것과 같음

• 그렇다고 일일이 각 시스템별로 임계값을 정의하는 것도 매우 어려운 일이어서 벤더별 보안정책은

수시로 업데이트 되어 현행화 관리가 어렵고 잘못 정의할 경우 아예 공격을 탐지 못할 수 도 있기 때문임

• 이런 이유로 대부분 기업에서는 기본 임계값 수정 없이 모든 로그데이터를 별도의 수집서버로 전송하여

쌓아놓고 수집서버에서 불필요한 정보를 가공하거나 분석해서 통합관제시스템으로 전송하게 한 후

2018 Vol.12

51

통합관제시스템에서 비슷한 이벤트를 통합(Concatenate)하거나 연계(Correlation)하여 별도의 임계

값을 정의함

• 즉 최종 공격을 탐지하는 것은 보안담당자 또는 보안관제요원이기 때문에 최대한 가시성 있게 경보를

발생시켜야 하는데, 2차 수집서버에서의 가공, 3차 통합관제시스템에서 재가공 과정에서 이벤트의

축약과 임계값의 조정이 발생하게 됨

• 그런데 여기에도 여전히 어려움이 있고 이벤트를 현격히 줄여 시각적이고 효율적인 운영은 향상시켰

지만 여전히 공격을 탐지하지 못하거나 정밀분석을 어렵게 만들며 또한 임계값을 정의하는 사람이

거의 대부분 용역관계인 보안관제요원에 의하여 수행되어지고 보안관제요원의 성과관리는 보안이벤

트를 신속히 탐지하고 처리하는 것에 있으므로 관제요원의 주관적 심리에 달려 있음

• 이처럼 보안임계값의 정의는 정보시스템 제공업체나 보안전문업체 및 인력의 역할에 비추어 볼 때

각 업체별 기준은 있겠으나 전체적 관점에서 통일된 표준 없이 이루어지기 때문에 외부 침입에 완벽

하게 대응하기에는 항상 허점이 존재함

다양한 노력

▶ 정보서비스의 제공경로가 다양해지고 확대될 수록 네트워크 및 서버시스템은 증가하고 다양한 공격

시도도 증가할 것임

• 동시에 사이버 공격유형이 발견될 때마다 이를 탐지하고 차단하기 위한 보안시스템과 프로그램도

늘어날 것임

• 각 정보시스템에서 발생시키는 다양한 로그는 방대해지고 분석 및 가공을 위한 수집서버는 점점 많은

성능을 요구하며 그 로그정보의 데이터 포맷은 각기 다름

▶ 최근 빅데이터 기술의 발전으로 대용량의 비정형 데이터 분석까지 가능한 분석시스템들이 많이 등장했고

그러나 보안분야에서 일반적인 빅데이터 기술을 적용하는 것에는 한계가 있음

• 보안분야에서는 아주 적은 데이터에서 가치를 찾아야 할 경우도 많기 때문임

• 또한 빅테이터 분석시스템을 운영하기위해서는 제공업체에서 제공되는 정규식 표현기법이나 별도의

SQL 언어를 배워야 하는 경우도 있어 쉽지 않음

• 결국 보안전문가나 보안관제요원에게 또 다시 의존하게 되는 것을 되풀이 할 뿐이고 이 같은 상황에서

프로세스 마이닝이나 인공지능 정보검색 같은 새로운 시도에 관심을 가질 필요가 있음

▶ 프로세스 마이닝

• 프로세스 마이닝은 BPM, ERP, CRM, SCM 등 다양한 기업의 업무처리시스템에서 기록되는 빅데이터의

이벤트 로그를 분석하여 ‘의미 있는 정보를 찾아내는 것’을 목적으로 함

2018 Vol.12

52

• 프로세스 마이닝의 가장 핵심적인 기술은 이벤트 로그에서 프로세스 모델을 도출하는 기술이라 할

수 있으며, 이를 통해 기업 내에 아직 가시화 되지 않은 프로세스를 찾는데 유용하게 쓰일 수 있고

현재 기계나 반도체, 의료계 및 팩토리 분야에는 이미 많이 도입되어 성과를 나타내고 있음

• 이를 공격유형별 프로세스와 이기종 정보시스템에서 발생하는 이벤트를 프로세스로 정의하여 분석한

다면 프로세스를 벗어나는 것에 대한 이벤트를 공격탐지에 적용할 수 있지 않을까 싶음

▶ 인공지능 정보검색(ML based Information Retrieval)

• 현재 정보검색 분야에서는 인공지능 기반의 자연어 처리(NLP) 연구나 기술이 많이 진전을 이루고

있고 특히 구글의 특허 및 문헌검색이나 번역에 이르기까지 그 정확도는 매우 높아지고 있음

• 인공지능 기반의 정보검색을 위해서는 문장에서 단어 의미를 파악해야 하는 것이 중요하고 NLP 영역

에서 word2vec 모델을 이용하여 단어의 색인화, 단어 간 의미유사도를 벡터값으로 변환하여 CNN

또는 RNN을 통한 정보검색이 뛰어난 성능을 보이고 있는 연구 논문들이 많이 나오고 있음

• 이러한 인공지능 기반의 정보검색을 보안분야에도 적용할 수 있을 것으로 이기종 보안시스템 별로

발생하는 이벤트 로그를 별도의 문장으로 보고 각 필드의 속성을 단어로 구분하여 학습을 시키면

공격 또는 정상으로 정의된 모델에 의해 이벤트를 발생시킬 수 있을 것임

• 어쩌면 어디선가 이미 상용화하거나 개발해서 적용하고 있을 지도 모르며 현재는 기술의 개념적 정의에

기반을 두고 아이디어 차원에서 제시된 것으로, 두 기술의 효용성에 대해서는 좀 더 깊은 연구와

실험이 필요함

• 만약 적용이 가능해서 이벤트를 축약하거나 임계값의 주관적 임의 조작 없이 1차 정보시스템의 로그

정보를 바로 분석할 수 있다면 관제시스템 구성의 간소화, 탐지 정확도 향상, 인력운영 및 비용 등의

효율화에서 큰 성과를 가져올 것으로 기대됨

2018 Vol.12

53

호주 사이버보안 정책동향

이응용 ICT&Security 애널리스트 (david9631@gmail.com)

• (現) University of Victoria 석사과정(통신&정보보안)

• (現) ICT&Security 애널리스트

• (前) KISA 조사분석팀장

• (前) KISA 수석연구원(인터넷/정보보호 정책개발)

• (現) 데이콤 연구원(네트워크/SW개발방법론)

호주 사이버보안 정책 배경

▶ 인터넷 기반 경제가 타 경제 분야에 비해 2배의 속도로 빠르게 증가

• 인터넷 기반 경제 환경에서 신뢰할 수 있는 사이버보안은 경제적 기회를 제공하고,

국가경제의 번영을 위한 초석이 될 수 있음

• 반면, 호주 시민의 80%가 매일 인터넷에 접속하는 상황에서 사이버보안 미흡은 사이버공간에

대한 신뢰를 저하시키고 인터넷 기반 경제 발전을 위협할 수 있음

▶ 호주는 사이버공간에서 경제적 기회를 빠르게 포용하고 있으며, 2014년의 경우 인터넷 기반

경제가 국가 GDP의 기여도가 5.1%(790억 달러)에 도달44

• 냉장고, 자동차 등 사람들이 이용하는 것들의 인터넷 연결이 확대되면서 새로운 비즈니스

기회의 발전 속도가 가속화

• 인터넷의 국가 GDP 기여도는 보다 많은 기기와 서비스들이 온라인으로 인터넷과

연결되면서 2020년에 GDP의 7.3%(1,390억 달러)에 도달할 전망

그림1 _ 호주의 온라인 연결현황

[출처]gov.au

44. Australian Government, Australia’s Cyber Security Strategy, 2016.4.

2018 Vol.12

54

▶ 이용자들과 시스템의 상호연결성이 점증하고, 온라인 정보의 규모와 가치가 증가하면서,

온라인 정보에 대한 도난과 오남용의 위험이 증폭

• 호주의 공공 및 민간 정보인프라는 적대적 국가나 단체가 후원하는 행위자에 의한 침해

위험이 증가(연간 호주 내 사이버범죄로 인한 비용이 10억 달러 이상)

• 특히, 호주의 정부기관, 통신, 자원, 에너지, 국방, 금융 부문이 사이버범죄와 적대국의 주요

공격 목표로 작용

▶ 호주 정부는 2016년에서 혁신, 성장, 번영에 초점을 맞추어 2020년까지의 4개년 국가사이버

보안전략(Cyber Security Strategy)을 수립하여 적극적으로 추진 중

• 호주는 인터넷이 직면한 사이버위협에 대응 관련 글로벌 리더로 발전할 수 있는 기회를

확대하고, 인터넷이 공개적이고, 자유롭고 안전할 수 환경 추구

• 사이버보안전략은 ‘국가 사이버 협력’, ‘강력한 사이버방어’, ‘글로벌 책임성 및 영향력’, ‘성장

및 혁신’, ‘사이버 스마트 국가’의 4개 영역으로 구분하고 영역별로 목표와 우선적 과제 제시 ‘

표1 _ 2020년까지 중점 추진 과제45

영역 목표 우선적 과제

국가 사이버 협력

(A national cyber

partnership)

정부, 산업계, 연구계는 협력하여

호주의 사이버보안 개선

l 정부와 산업계의 협력 리더쉽

l 강력한 협력관계 구축

l 비용과 효과를 이해

강력한 사이버방어

(Strong cyber defences)

국가의 네트워크와 시스템은

사이버공격 대응력/복원력 구비

l 탐지, 억제, 대응

l 대응장벽 강화

글로벌 책임성 및 영향력

(Global responsibility and

influences)

정부는 공개적이고, 자유롭고,

안전한 사이버공간 촉진

l 공개적이고, 자유롭고, 안전한

인터넷 구현 주도

l 사이버범죄/악의적 공격 행위 차단

l 사이버공격 대응 역량 강화

성장 및 혁신

(Growth and innovation)

산업계는 사이버보안 혁신을

통한 성장과 번영

l 사이버 보안 혁신

l 사이버보안 산업계의 개발 및 확장

l 사이버보안 연구개발 활성화

사이버 스마트 국가

(A cyber smart nation)

시민들은 디지털 시대에 대비한

사이버보안 스킬/지식 습득

l 적정한 스킬과 경험지식 개발

l 국가적인 사이비보안 인식 제고

45. Australian Government, Australia’s Cyber Security Strategy, 2016.4.

2018 Vol.12

55

호주 사이버보안 전담조직(ACSC) 강화

▶ 호주 국방부 정보국(Australian Signals Directorate: ASD) 산하의 호주사이버보안센터

(Australian Cyber Security Centre: ACSC)가 국가 전반의 사이버보안 전담기관 역할을 수행

• 호주 정부는 2014년 사이버보안운영센터를 개편하며 호주사이버보안센터(ACSC)를 설립

• 호주 정부는 2017년 독립 정보 검토(Independent Intelligence Review)에서 사이버보안 기능 향상과

사이버보안 조언과 지원의 단일 창구의 필요성 제기

• 이에 따라 2018년 7월에 기존의 사이버보안 관련 조직을 통합하며, ACSC 조직을 확대 개편하여

사이버보안 단일창구의 역할을 수행하도록 하고, 국방부의 ASD의 조직으로 편재

▶ ACSC는 호주형사정보위원회, 호주연방경찰, 호주보안정보조직, 국방정보조직의 직원을

포함하며, 내무부의 사이버보안 정책부문과 사이버보안 정책 관련 협력

• ACSC는 사이버범죄를 분석, 조사, 보고하고 사이버범죄, 사이버테러, 사이버전쟁에 대한 국가

보안 기능과 작전에 대한 조정 등 사이버보안 관련 범정부적인 허브 역할 수행

▶ ACSC는 주요기반시설, 정부, 기업, 시민 산업 전반의 사이버복원력을 구축하고, 민관협업,

사이버침해 예방과 대응 등의 역할을 수행

• 호주 컴퓨터응급대응팀(Computer Emergency Response Team, CERT)으로서 사이버보안

위협과 사고에 대응

• 민간 및 공공 부문과 협력하여 위협에 대한 정보를 공유하고 복원력 제고

• 정부, 업계, 커뮤니티와 협력하여 사이버보안 인식 제고

• 모든 호주 시민에게 사이버보안 정보를 제공하고, 필요한 자문과 지원을 수행

▶ ACSC는 2018년 조직 개편에 따라 웹사이트(Cyber.gov.au)를 신규 구축

• (개인) ‘Stay Smart Online’ 프로그램을 통해 개인이 온라인에서 자신을 보호하는 방법에 대한 간단한

도움말과 조언을 제공

- ‘Stay Smart online’ 프로그램은 2006년에 처음 설립되어, 현재 온라인 보안 정보공유에 관여하는

8만 명 이상의 개인과 단체가 참여

- ‘Stay Smart Online’은 가정 인터넷 이용자와 중소기업이 소프트웨어 취약성, 온라인 사기, 악의적

활동, 위험한 온라인 행동 등 사이버위협으로부터 자신을 보호하고 위험을 줄이는 방법에 대한

주제별, 적시적 정보 제공

- 시민들은 은행, 교육, 통신 등 일상생활에서 인터넷 의존도가 증가하면서 ‘Stay Smart Online’은 호주

시민들에게 디지털 시대에 보안을 향상할 수 있도록 기술과 지식을 제공

2018 Vol.12

56

• (기업) 기업을 대상으로 주요 위협정보, 지침을 제공하고, 다양한 사이버보안 프로그램을

제공하며 ‘Stay Smart Online’을 통해 기업에 대한 다양한 유용한 가이드와 자료를 제공

• (정부) 정부기관을 대상으로 위협정보를 제공하고, 기술적 자문과 사이버보안 프로그램을

제공, 주요 프로그램에는 공동사이버보안센터(JSCS), 전국훈련프로그램, OnSecure 포털 및

호주정부 정보보호 매뉴얼(ISM), 8대 필수사항(Essential Eight), 연간 ACSC 위협보고서 발행

등이 있음

표2 _ 기업 대상 주요 프로그램46

프로그램 주요내용

공동사이버보안센터

(JSCS)

*Joint Cyber Security

Centres

l 주정부 및 준주정부, 호주정부 기관과 공동으로 기업 및 연구

커뮤니티에 대한 개방적이고 협력적인 환경을 조성

※ JCSC는 호주 전역으로 확장(2017년 2월 브리즈번에서 첫 번째 JCSC가

개소, 2017년 10월에 멜버른에 개소 등)

전국훈련프로그램

(National exercise

program)

l 호주 전역의 사이버보안 체계를 검증하고 강화

l 모든 조직이 사고대응 계획을 수립하고 주기적으로 검토 및

테스트하여 사이버사고에 대한 효과적 대응과 신속한 복구 보장

OnSecure 포털

l 사이버보안 문제에 관한 정보의 접근과 공유를 위해 온라인 포털인

OnSecure를 통해 정보 제공

※ 제공 정보: 최신 사이버보안 뉴스, 사이버보안 정책, 도구 및 지침,

사이버보안 토론, 정보공유 포럼, 발간물 정보 등

호주정부정보보호매뉴얼

(ISM)

*Australian Government

Information Security

Manual

l ISM은 조직이 위험관리 프레임워크를 사용하여 정보 및 시스템을

사이버위협으로부터 보호할 수 있도록 지원

l ISM내의 사이버보안지침은 ACSC와 정보국(ASD)의 경험을 기반으로 제공

l ISM은 CISO, CIO, 사이버보안전문가, 정보기술관리자를 대상으로 제공

※ ISM 예시: 사이버보안역할 지침, 사이버보안사고 지침, 보안 문서화

지침, 물리적 보안 지침, 인력 보안 지침, 미디어 관리 등

8대 필수조치

(Essential Eight)

l 8대 필수조치는 사이버보안 사고 완화전략의 8대 필수 완화

전략에 대한 개요 제공

※ 8대 필수조치: 1) 응용프로그램 화이트리스트 작성, 2) 응용 프로그램 패치

3) MS Office 마크로 구성환경 설정, 4) 이용자 응용프로그램 제한 강화,

5) 관리자 권한 제한, 6) 운영체제(OS) 패치, 7) 다중인증(Multi-factor

authentication), 8) 일일 백업

46. https://cyber.gov.au/about-this-site/; 웹사이트 내용 발췌

2018 Vol.12

57

• (CIP) 주요기반시설을 대상으로 위협정보, 자문정보, 사이버보안 프로그램 등을 제공하고,

JCSC, 전국훈련프로그램, ACSC 파트너십 등의 이니셔티브 등을 통해 사이버보안 지도자들과 산업계를

지원하며, 8대 필수조치 완화전략과 ‘통제시스템 보호’ 방법에 대한 조언

표3 _ 통제시스템 보호 주요 내용47

구분 주요내용

개요

l 2018년 8월, ACSC는 일상생활에 필수적인 전기, 수도 등에

사용되는 산업용 제어시스템 사이버보안 강화를 위해 지침(Protecting

control system) 발행

산업용제어시스템 관련

도전과제

l 엔지니어링 프로토콜의 보안성 부족

l 업그레이드 후 엔지니어링 시스템에 대한 재시험 필요성

l 긴 수명주기(20~50년)

l 네트워크 시간 프로토콜 및 주소 확인 프로토콜 등 많은 IT 프로토콜들

l 제어 환경 장치가 표준 IT 디버깅과 분석 도구의 메시지를 수신이나 응답할

수 있도록 설정되지 않을 수 있음

위험 완화 지침

1, 제어시스템 네트워크에 대한 외부 접근을 강력히 통제하고 방지하며,

제어시스템 네트워크를 기업 네트워크, 인터넷과 같은 다른 네트워크와 분리

2. 기업 또는 외부 네트워크로부터 시도하는 권한이 있는 계정 및 접근 시도에

대해 이중인증을 구현

3. 제어 시스템 장치에서 사용되지 않는 외부 포트를 비활성화

4. 조직 고유의 안티 탬퍼 스티커(anti-tamper sticker)로 제어시스템 환경 내의

권한 승인 과정을 직접 확인

5. 시스템 구성내용을 정기적으로 백업하고 격리해서 보관하며, 복원 절차를

테스트하고 백업 무결성을 주기적으로 확인

6. 정기적으로 방화벽 설정 검토가 예상된 상태를 유지하는지 확인

7. 제어시스템 네트워크 내의 기기가 회사 네트워크나 인터넷에 연결되지

못하도록 방지

8. 제어시스템 기기에 대한 로그 기능을 활성화하고, 로그를 저장하며,

비정상행위가 적시에 탐지, 수사, 관리되도록 정기적 모니터링과 사고대응

9. 외부 소프트웨어와 패치를 제어시스템에 도입하기 위한 프로세스를

정의하며, 필요한 경우(핵심적인 구성요서에 대해), 코드와 화이트리스트

승인 사항 검토

10. 공급업체가 지원하는 응용프로그램 및 운영체제를 사용하고 관련 보안

취약점에 대해 적시에 패치 실행

47. Protecting control systems; https://cyber.gov.au/infrastructure/guides/protecting-control-systems/

2018 Vol.12

58

호주의 사이버보안 정책 동향

▶ 2018년 3월, 호주사이버보안센터(ACSC)는 정부기관에 IT 제품을 공급하는 도급업체에 대한

사이버위협이 증가함에 따라 도급업체를 대상으로 사이버보안 지침(Cyber Security for

Contractors) 개정48

• 호주는 적대자들이 경제적 또는 전략적 이득을 획득하기 위해 정기적으로 정부의 계약업무와 관련된

도급업체가 보유 중인 호주 정부의 정보를 공격하는 상황을 우려

- 호주정부의 최대 사이버위협은 해외정보기관들로 해외 공격자들은 호주정부의 안보 정보와 기업

정보를 획득하여 경제적·전략적 이익을 추구

• 이에 따라 ACSC는 호주정부와 계약한 도급업체가 운영하는 시스템에 저장 중인 호주 정부의

정보에 대한 사이버보안을 강화하기 위해 목적으로 지침 마련

• 도급업체 사이버보안 지침은 도급업체들이 사이버사고를 방지하기 위해 다음과 같은 8대

주요조치 사항을 준수하도록 규정

표4 _ 사이버사고 방지를 위한 8대 조치

8대 조치 주요내용

1. 응용프로그램

화이트리스트 작성

l 악성 프로그램 실행을 방지하기 위해 승인하거나 신뢰할 수 있는

응용프로그램 화이트리스 작성

2. 응용프로그램 패치 l 48시간 이내 심각한 위험을 초래할 가능성이 있는 취약점이 있는

컴퓨터에 대한 패치 실행

3. Microsoft Office 매크로

구성환경 설정

l 인터넷에서 매크로를 차단하도록 Microsoft Office 매크로 구성환경

설정, 쓰기 권한 제한으로 안전한 위치에서 사용하거나 전자적

서명한 확인된 매크로만 허용

4. 이용자 응용프로그램 제한

강화

l 인터넷에서 플래시, 광고를 차단하도록 웹브라우저 구성 설정

- MS Office, 웹 브라우저, PDF 뷰어에서 불필요한 기능을 비활성화

5. 관리자 권한 제한l 사용자 권한을 기반으로 운영체제와 응용프로그램 관리 권한 제한

- 전자메일 읽기, 웹 검색 권한을 보유한 계정 사용 금지

6. 운영체계 패치

l 48시간 이내 심각한 위험을 초래할 수 있는 취약점이 있는

컴퓨터와 네트워크 기기에 대한 패치

- 최신 운영체제 버전 사용 및 미 지원 버전 사용 금지

7. 다중 인증 l VPN, RDP, SSH, 기타 원격 접근, 모든 이용자가 권한 있는 작업을

수행하거나 중요한 데이터 저장소를 접근하는 경우 다중인증

8. 일일 백업 l 새로운 또는 중요한 데이터, 소프트웨어, 구성 설정에 대한 일일

백업, 분리 저장, 최소 3개월 이상 보관

48. ACSC, Cyber Security for Contractors; 2018.3

2018 Vol.12

59

• 도급업체 사이버보안 지침은 도급업체들이 기본적인 8대 조치뿐만 아니라 정기적 취약점

점검, 교육 프로그램, 보안사고 보고 등 주요 사이버보안 사항을 규정

표5 _ 도급업체의 주요 사이버보안 규정

주요 규정 주요내용

정기적 취약점

평가 수행

l 정기적으로 시스템의 보안 취약점(특히 중대한 변경사항) 검토

- 기업 자체적으로 취약성을 평가하거나 독립적 외부업체를 활용하여 취약성

평가를 수행할 수 있음

교육 프로그램

구현 검토

l 교육 프로그램은 직원 및 도급업체가 사회공학적 전자우편, 악성 웹사이트,

암호정책 위험 등 일반적 사이버위협에 대한 이해를 증진할 수 있도록 지원

악의적

내부자 인지

l 공격자들은 종종 도급업체 직원을 활용하여 호주 정부의 정보에 접근하거나

전략목표를 달성하기 위해 정보시스템에 대한 악의적 행위 수행

l 내부자 위험을 축소하기 위해 직원(특히 접근 권한이 높은 직원)에 대한

지속적 검토, 기업 시스템으로부터 호주 정부의 정보를 분리, 종합적

사이버보안 감사 등을 수행할 수 있음

사이버 보안사고

조기/빈번히 보고

l 호주정부의 정보를 잠재적으로 위협하는 사이버보안 사고에 대해

호주사이버보안센터(ACSC)에 보고

- 사고 조기 시점에 ACSC에 지원을 요청하는 경우에 잠재적으로 위험하고

대처가 어려운 피해를 완화하고 축소할 수 있음

- ACSC에 사이버보안 사고 발생하는 경우에 신속히 보고함으로써 ACSC가

신속히 지원함으로써 호주정부의 정보를 보호할 수 있음

사이버보안

가용자원 활용

l 국방산업보안프로그램(Defence Industry Security Program: DISP),

공동사이버보안센터(JCSC) 등의 이니셔티브는 도급업체에 대한 자문과 지원

l DISP 국방 후원업체들은 도급업체에게 적정한 보안지침 제공

- DISP 회원 자격을 보유한 국방 도급업체는 국방보안매뉴얼(Defence Security

Manual, DSM) 이용 가능

2018 Vol.12

60

▶ 2018년 12월, 호주사이버보안센터(ACSC)는 호주 전역의 사이버사고의 범위, 영향, 심각성을

감소시키기 위해 호주정부를 위한 사고관리규정49(Cyber Incident Management Arrangements:

CIMA) 마련

• CIMA는 국가 전반의 사이버사고에 관련된 위험에 대응하기 위한 호주 중앙정부,

지방정부들의 협업에 관한 지침을 제공

- CIMA의 국가 사이버 사건에 대응하기 위한 호주 정부의 협력을 위한 사법적 절차를 조정, 역할과

책임, 원칙 등을 제시

• 국가사이버사고는 여러 호주 관할권에 큰 영향을 미치거나 중대한 영향을 끼칠 가능성이 있는 경우에

해당하며, 다음과 같은 국가 전반의 사이버 사고를 포함

- 여러 관할 지역과 관련된 조직이 손상되는 사이버사고

- 중요한 서비스를 지속적으로 중단시키거나 국가안보를 위협할 가능성이 있는 중요한 국가 인프라에

영향을 미치는 악의적인 사이버 활동

- 지리적 영향의 원인과 잠재적 범위가 불확실한 악의적인 사이버 활동

- 여러 관할권의 시민과 조직에 영향을 끼치는 민감한 데이터에 대한 대규모 정보시스템 침해

• CIMA는 호주의 국가위기관리규정을 보완하며, 국가의 사이버사고가 위기 수준에 도달하면,

CIMA는 호주정부위기관리체계를 지원

• ACSC는 사이버사고가 발생하는 경우 위험수준을 평가하고 위험이 중대한 경우,

국가사이버사고 발생을 선언

- 호주의 주정부, 준주정부들은 ACSC에게 국가사이버사고를 선언을 요청할 있음

- ACSC가 국가사이버사고를 선언하면, 국가사이버사고규정의 조항들이 실행되도록 함

• 국가사이버사고가 선언되면, 국가사이버보안위원회(National Cyber Security Committee:

NCSC)는 사이버사고 대응을 위한 조정역할을 수행

- 국가사이버보안위원회는 사이버보안 조정 역할을 수행하는 최고의사결정 조직으로

정보의 사이버보정 정책 및 운영 기능에 대한 전략적인 감독 및 조정 역할 수행

• 국가사이버사고의 위험상황을 종료된 경우에 ACSC는 국가사이버사고 해제를 선언

• 국가사이버사고에 대한 강력하고 전략적인 관할기관 간의 협력조정은 상황인식, 사고예방,

효율적 자원 활용, 일관된 정보 등 다양한 장점을 지님

- 관할기관들의 사이버사고에 대한 대응의 효과성과 적시성 향상

- 국가 사이버 사고가 국가 위기로 확대되는 것을 방지

- 관할 구역 대응 자원의 효율성 개선

- 호주 정부로부터 기업 및 지역 사회에 일관성 있는 공개 정보를 제공하여 자신감을 높이고 사이버

사건의 잠재적 확산을 방지

49. ACSC, Cyber Incident Management Arrangements for Australian Governments, 2018.12

2018 Vol.12

61

• 국가사이버사고 관련 주/준주정부, 연방정부 부처, ACSC 등의 역할 및 책임은 다음과 같음

표6 _ 국가사이버사고 관련 역할 및 책임

조직 역할 및 책임

주/준주 정부

(State and Territory

Governments)

l 사고에 대한 자신의 관할 구역 내 대응 통제

l 사고에 대한 조정되고 일관된 공개 정보를 제공

l NCSC를 통한 사법 관할권의 사고 조정을 지원

l ACSC가 전국적으로 공유할 수 있도록 사이버위협, 취약성, 완화 전략에 대한

정보를 ACSC에 제공

l 필요한 경우 지방 정부와 연락

l 국가사이버 사고에 대한 법 집행기관 지원

내무부

(Department of Home

Affairs)

l 호주 정부의 국가사이버보안 정책을 개발 및 구현하기 위한 통합 조정

호주사이버보안센터

(ACSC)

l 실행가능한 경우, 관할 기관들에게 국가사이버사고 대응을 위해 필요한

역량을 향상시키도록 기술적 자원과 경험지식을 제공

l 호주정부, 기업, 커뮤니티와 함께 사이버위협, 영향, 완화전략 등에 대한

정보를 수집, 분석하고, 공유

l 호주정부를 대신하여 공공 정보 제공을 주도하고, 권할 기관들에게 제공할

정보를 개발하고 보급

l 호주 정보기관들, 연방 법집행기관, 해외 관할기관들이 국가적 대응을

지원할 수 있도록 의사소통

공동사이버보안센터

(JCSC)

l 정부와 기업 간 신속한 정보 공유를 촉진

l 조직들이 복잡한 사이버보안 문제를 사로 공유하고, 공동으로 해결할 수

있도록 지원

산업계 및 커뮤니티

(Business and the

community)

l 산업계 및 커뮤니티는 국가사이버사고 기간 중에 자신의 보유하고 있는

정보시스템의 정보를 악의적인 사이버행위로부터 보호할 책임이 있음

l 국가사이버사고의 상황, 잠재적인 위험 완화 및 해결 전략 등에 관해 호주

정부가 제공한 정보를 공공적인 정보를 고려

산

2018 Vol.12

62

• 국가사이버사고 대응 관련 국가전반의 추진체계는 다음과 같음

그림2 _ 호주정부의 국가사이버사고(CIMA) 추진체계

정책 시사점

▶ 호주정부는 인터넷 기반 경제의 신뢰향상에 대한 중요성을 인식하고, 2020년을 목표로

호주사이버보안전략을 수립하여 적극 추진 중

• 호주사이버보안전략은 사이버위협 대응을 위한 혁신, 성장, 번영에 초점을 맞추어 추진되며,

호주가 사이버보안 분야에 글로벌 리더로 발전하고, 공개적이고, 자유롭고 안전한 인터넷

환경을 추구

• 호주사이버보안전략은 ‘국가 사이버 협력’, ‘강력한 사이버방어’, ‘글로벌 책임성 및 영향력’,

‘성장 및 혁신’, ‘사이버 스마트 국가’의 4개 영역으로 구분하고 영역별로 목표와 우선적

과제를 선정하여 중점적으로 추진

2018 Vol.12

63

▶ 호주 정부는 국가전반의 사이버보안 기능 향상과 사이버보안에 대한 조언과 지원의 단일 창구의

필요성이 제기되면서, 기존 사이버보안조직을 사이버보안전담기관인 호주사이버보안센터(ACSC)로

통합하는 등 사이버사고 대응체계를 강화

• ACSC는 주요기반시설, 정부, 기업, 시민 산업 전반의 사이버복원력을 구축하고, 민관 협업,

사이버침해 예방과 대응 역할을 수행

• ACSC는 2018년 조직 개편에 따라 웹사이트(Cyber.gov.au)를 구축하고, 개인, 기업, 정부,

주요기반시설로 보호 대상을 분류하고, 각 보호대상에 대해 위협정보와 지침을 제공하고,

전문적 자문을 제공

▶ 호주사이버보안센터(ACSC)는 적대국의 사이버공격 위험 및 국가 전반의 중대한 사이버사고

위험이 증가함에 따라 지속적으로 사이버보안 규정 등을 발행

• 2018년 3월, ACSC는 정부기관에 IT 제품을 공급하는 도급업체를 대상으로 한 사이버공격

위험이 증가로 도급업체를 위한 사이버보안 지침(Cyber Security for Contractors) 개정

• 2018년 12월, ACSC는 호주 전역의 사이버사고의 범위, 영향, 심각성을 감소시키기 위해

국가사이버사고 정의, 관련 조직별 책임과 역할, 추진체계, 대응절차 등을 담은 호주정부를

위한 사고관리규정50(Cyber Incident Management: CIMA) 마련

50. ACSC, Cyber Incident Management Arrangements for Australian Governments, 2018.12

2018 Vol.12

64

중국 네트워크안전법 시대 현황 : 법제 및 시장현황

박성림 국립타이베이간호건강대학 교양교육센터 강사 (sunglimpark@naver.com)

• (現) 국립타이베이간호건강대학 교양교육센터 강사

• (現) 국립정치대학(대만) 정치학연구소 박사과정 수료

• (前) 주타이베이 한국대표부 연구원

중국의 네트워크안전법 하위법령 제정 현황 및 시사점

▶ 중국은 2016년 11월 네트워크안전법을 제정했으며, (1)정보보호 (2)센서십뿐 아니라 (3)인공지능(AI),

블록체인, 빅데이터 등 첨단기술진흥 등의 법제 제정 및 진흥정책이 활발히 추진되고 있음

• 통상적인 사이버보안(정보보안, 산업진흥) 외에 정치적 안정 차원의 센서십(사이버상 게시 콘텐츠

및 서비스사) 법제 및 정책이 제정 및 집행되고 있으며, 인공지능 진흥정책이 눈에 띄게 증가한 반면,

블록체인의 경우 구체적인 행보가 확인되지 않음

• 또한, 과대광고, 불법 게시물 미처리, 기업 이익을 위한 댓글부대 동원 등이 처벌된 사례가 있는 반면,

개인정보 중국 내 저장 및 국외이전 관련 사례는 확인되지 않음

네트워크보안법 시대의 법령 및 정책

▶ 네트워크보안법 제정 후 △네트워크 제품 및 서비스 △주요 정보통신 기반시설 보호 △네트워크 보안

보호등급제도 △사고대응 △블록체인 법령 및 정책이 발표되고 있음

▶ (주요 정보통신 기반시설 보호) 주요 정보통신 기반시설 보호조례(2017. 7.) 및 사이버보안보호등급제도

(2018. 7.)에 관련 법률이며, 여기에서 주요 정보통신 기반시설(CII, Critical Information Infrastructure)은

(1)정보서비스, 에너지, 교통, 수력, 금융, 공공서비스 및 전자정부, 교육, 의료 (2)공공 정보통신서비스

기관 (3)국방, 화학, 식품의료 연구 및 생산기관 (4)언론사 (5)기타 중점기관(보호조례 제18조)을 말함

• 국가인터넷판공실과 해당 부처에서 주요 정보통신 기반시설에서 사용되는 제품 및 서비스의 리스크

평가를 담당하고, 매년 1회 이상 리스크 평가를 추진해 결과를 인터넷판공실에 보고해야 함

2018 Vol.12

65

• 또 사업자는 수집된 개인정보 및 중요 데이터를 반드시 중국 내 서버에 저장해야 하고, 업무상 이유로

해외 이전 시 정부의 리스크 평가와 데이터 주체의 동의를 취득해야 함

표 1 _ 2017-2018 네트워크 보안 주요 법령 및 정책 제정 현황51

제정기관 및 날짜 명칭 분류

국가인터넷판공실

2017. 4. 11.

개인정보 및 중요데이터의 국외이전리스크 평가방법(국외이전 방법)

个人信息和重要数据出境安全评估办法（征求意见稿）52법규

국가인터넷판공실

2017. 5. 2.

네트워크 제품 및 서비스 보안심사 방법(보안심사방법)

(网络产品和服务安全审查办法)53법규

국가인터넷판공실

2017. 6. 27.

국가 네트워크보안사고 대응예비방안

(国家网络安全事件应急预案)54정책

국가인터넷판공실

2017. 7. 11.

주요정보통신기반시설 보안보호조례(의견청취버전, ‘CII 보호조례’)55

关键信息基础设施安全保护条例（征求意见稿)정책

공업정보화부

2017. 11. 23.

공공인터넷 네트워크 돌발보안사고 대응방안

(公共互联网网络安全突发事件应急预案)56정책

전국인민대표대회

2018. 8. 31.

전자상거래법

(电子商务法)57법규

공안부

2018. 4.

공안기관의 인터넷 안전 감독 검사 규정

(公安机关互联网安全监督检查规定)법규

공안부

2018. 7.

네트워크보안 보호등급제도(의견청취버전, 2018. 7.)

(网络安全等级保护条例,)법규

국가인터넷판공실

2018. 10.

블록체인 정보서비스 관리 규정

(区块链信息服务管理规定)법규

▶ (개인정보보호) 국외이전방법에는 중국에서 인터넷사업을 영유하는 사업자는 중국 내에서 생산 및

수집한 개인정보 및 데이터를 중국 내에서 저장(국외이전방법 제2조)해야 하고, 국외 이전 시에는

개인정보 주체에 이전목적, 범위, 내용 및 수신자, 수신국가에 관한 설명 및 동의취득 의무(제4조)를

51. 네트워크 보안법 제정 이전 중요 법률, 조례 및 해석(판결성)으로는 다음과 같다. (1)전국인민대표대회, 《전국인민대표대회 상무위원회의 네트워크 정보보호에 관한 결정(2012)》 中华人民共和国工业和信息化部, 2016-04-07 , 《全国人民代表大会常务委员会关于加强网络信息保护的决定》 http://www.miit.gov.cn/n1146295/n1146557/n1146619/c4700513/content.html52. 中国网信网, 2017.4.11., 国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法（征求意见稿)》公开征求意见的通知 http://www.cac.gov.cn/2017-04/11/c_1120785691.htm53. 中国网信网, 2017年05月02日, 网络产品和服务安全审查办法(试行), http://www.cac.gov.cn/2017-05/02/c_1120904567.htm54. 中国网信网, 2017年06月27日, 中央网信办关于印发《国家网络安全事件应急预案》的通知  http://www.cac.gov.cn/2017-06/27/c_1121220113.htm55. 中国网信网,2017年07月11日,国家互联网信息办公室关于《关键信息基础设施安全保护条例（征求意见稿)》 公开征求意见的通知 http://www.cac.gov.cn/2017-07/11/c_1121294220.htm56. 工业和信息化部,2017.11.23.,工业和信息化部关于印发《公共互联网网络安全突发事件应急预案》的通知 http://www.miit.gov.cn/n1146290/n4388791/c5925936/content.html57. 中国人大网， 2018年8月31日, 中华人民共和国电子商务法, http://www.npc.gov.cn/npc/xinwen/2018-08/31/content_2060172.htm

2018 Vol.12

66

지는 한편, 인터넷 감독부처의 리스크 평가(제5조, 7조)를 거쳐야 하는 등의 의무 및 절차를 규정함

• 또한 △개인정보 주체 동의 미획득 및 개인이익 침해 △국가안보, 정치, 경제, 과학기술, 국방에 영향을

주는 경우 △유관부처에서 금지 시 이전이 불허됨

▶ (리스크평가) 보안심사방법에는 국가안보 및 공공 정보시스템 담당자의 리스크 평가 통과제품 및

서비스 구매 의무화(보안심사방법 제2조), 보안심사 의무화(제5-6조), 심사항목(생산자의 제품 및 서비스

불법통제, 간섭, 운영중단, 이용자 정보수집, 국가안보 위배), 주요 정보통신 기반시설 중점심사(제9조)

및 동 시설에 대한 국가안보 영향 여부(제11조) 등이 포함됨

▶ (전자상거래법) 2018년 10월 제정된 전자상거래법에 (1)위챗 비즈니스맨(위챗을 통한 상품 및 서비스

판매)을 전자상거래 경영자의 범주에 포함 (2)경영자의 납세 및 소비자 권리보호 의무(일정한 처리를 한

빅데이터 이용 가능) 등이 포함됨58

▶ (사이버보안 사고) 공공인터넷 네트워크 돌발보안사고 대응방안은 인터넷 네트워크 사고 발생 시

사고대응 지휘체계, 사고대응, 사후평가, 사고예방, 역량구축 등의 내용이 담겨있으며, 공업신식화부

사이버보안 및 정보화영도소조(업무 지휘)→사이버보안 긴급대응판공실(총괄 및 조율)→사이버보안

관리국(세부 업무처리)에서 지휘 및 세부업무를 담당하고, 지역 통신관리국에서 역내 행정기관과 함께

사이버사고 예방, 모니터링, 보고 및 처리를 담당 등의 내용을 규정하고 있음

▶ (공안기관) 공안부(우리의 경찰청)는 2018년 4월 공안기관이 관할지역 내 인터넷 법제 준수 및

사이버범죄 및 사고대응에 관한 감독권을 갖는 ‘공안기관의 인터넷 안전 감독 검사 규정’59 초안을

발표하고, 올해 11월부터 시행 중임

• 감독대상: 공안기관은 사이버보안 리스크 증가 및 방어 필요시 (1)인터넷 접속, 데이터센터, 콘텐츠

전파, 도메인 서비스 (2)인터넷 정보서비스 (3)공공인터넷접속서비스 (4)기타 인터넷서비스 제공자

및 사용자를 감독함(제8-9조)

• 감독사항: △네트워킹 준비수속 처리 및 사용자 정보 변경 확인 △네트워크보안 관리제도 준수 △사

용자 정보 보존 △컴퓨터 바이러스 및 사이버공격 대응 △현행법에서 금하는 정보 전송 △국가안보,

테러리즘, 범죄모의 관련 기술지원 및 협조 여부 △사이버보안 등급제고 규정의무 준수여부 관련

검사를 받음(제10조, 제12조)

• 또한 접속기록(인터넷접속서비스제공자), 이용자정보(데이터센터), 도메인신청 및 변동정보(도메인서

58. 한국무역협회 베이징지부, 2018.10, 《2019년부터 적용되는 중국 전자상거래법 해설》59. 公安部, 2018年9月15日, 公安机关互联网安全监督检查规定（公安部令第151号） http://www.mps.gov.cn/n2254314/n2254409/n4904353/c6263180/content.html

2018 Vol.12

67

비스제공자), 콘텐츠 발표 네트워크 및 콘텐츠 원본 네트워크간의 대응현황(콘텐츠서비스제공자), 국

가표준 네트워크 및 정보보호기술적 조치준수(인터넷공공망서비스제공자) 여부를 조사함(제11조)

• 위협증가기간: 관할 공안기관은 중요한 네트워크보안보호기간 동안 국가 중요 네트워크 보안관련

기구에 대해서는 기구 내 업무종사자 관할책임, 리스크 평가 및 취약점, 긴급상황 대응훈련 시나리오

준비 및 효율에 관해 감독함(제12조)

• 처벌규정: 네트워크 안전 관리제조, 바이러스 및 네트워크 공격, 관련기록 보관, 불법 콘텐츠 전파, 테러리즘,

내부관리자 감독규정 위반 사항이 발견시 네트워크안전법 해당 규정에 따라 처벌함(제21조, 제24조)

기술적 보호 가이드라인 제정 현황

▶ 또한 (1)개인정보보호 (2)주요 정보통신 기반시설 (3)리스크 평가 및 네트워크 보안등급 기술적 보호조치

가이드라인이 다수 제정되었으며, 개인정보보호(비식별화, 영향평가, 보호) 가이드라인 제정에는 기존

정보보안표준화기술위원회(2015년)뿐 아니라 공안부 버전도 제정된 것이 특이함

▶ 2018년 11월 30일에 발표된 ‘인터넷 개인정보보호 가이드라인’은 ‘개인정보보호규범, 정보통신보안등급 보호

기본요구’에 기반해 제정되었으며, (1)개인정보 수집자(기업)의 관리 메커니즘(내부통제시스템 및

직원직무분담) (2)기술적 보호조치 (3)개인정보 처리과정 각 단계별 보호 의무 조치 규정을 포함한 것이 특징임

• 네트워크보안법 제151조에는 공안기관의 직무범위 내 네트워크보안보호 및 감독권한 부여에 관해

명시했으며, 금번 가이드라인은 제151조를 참조해 제정된 것으로 보이고, 향후 관련 세칙에 구체적인

타법관계와 직무범위 및 권한이 포함될 것으로 전망됨

• 또한 기존 개인정보보호가이드라인의 적용대상이 개인정보보호 소지자였다면, 금번에는 소지자뿐

아니라 통제자, 처리자까지 포함됨

인터넷 콘텐츠 감독

▶ 비단 네트워크 보안뿐 아니라 ‘인터넷뉴스정보서비스 관리규정(2017. 8.)’60, ‘인터넷 커뮤니티서비스 관리규정(2017. 8.)’61,

‘인터넷 댓글서비스관리규정(2017. 8.)’62 등 인터넷상 콘텐츠 게시 및 논평에 관한 법률이 제정됨

• 여기에는 인터넷상 뉴스, 인터넷 웹사이트, 커뮤니티 APP, 인터넷방송, 기타 뉴스 및 언론 속성의

전파 플랫폼, 게시판, SNS상 현행법상 금지된 콘텐츠 게시 및 논평 게시 금지 및 사용자 계정정지,

블랙리스트 구축 등이 포함되어 인터넷상에서 사용자의 의견 표출의 공간이 크게 축소됨

60. 中国网信网, 2017年05月02日, 互联网新闻信息服务管理规定 , http://www.cac.gov.cn/2017-05/02/c_1120902760.htm61. 中国网信网, 2017年08月25日, 互联网论坛社区服务管理规定, http://www.cac.gov.cn/2017-08/25/c_1121541921.htm 62. 中国网信网 , 2017年08月25日, 互联网跟帖评论服务管理规定 , http://www.cac.gov.cn/2017-08/25/c_1121541842.htm

2018 Vol.12

68

표 2 _ 2017-2018 사이버보안 가이드라인 및 기술표준 제정 현황63

제정기관 및 날짜 명칭 분류

전국정보보안표준화

기술위원회

2017.5.24

《정보보안기술 네트워크보안사고대응훈련 일반가이드라인》

(信息安全技术 网络安全事件应急演练通用指南)

가이드

라인

전국정보보안표준화

기술위원회

2017.8.30

《정보보안기술 개인정보비식별화 가이드라인》

(信息安全技术 个人信息去标识化指南)

《정보보안기술 주요정보통신기반시설 보안보장평가지표체계》

(信息安全技术 关键信息基础设施安全保障评价指标体系)

《정보보안기술 데이터국외이전 리스크평가 가이드라인》

(信息安全技术 数据出境安全评估指南)

전국정보보안표준화

기술위원회

2018。1.19

《정보보안기술 정보보안제품분류 및 코드》

(信息安全技术 信息安全产品类别与代码)

《정보보안기술 정보보안 리스크평가 규범》

(信息安全技术 信息安全风险评估规范)

《정보보안기술 네트워크보안등급결정 가이드라인》

(信息安全技术 网络安全等级保护定级指南)

전국정보보안표준화

기술위원회

2018.6.13

《정보보안기술 전자문서암호화 응용 가이드라인》

(信息安全技术 电子文件密码应用指南)

《정보보안기술 악성코드사건예방 및 처리 가이드라인》

(信息安全技术 恶意软件事件预防和处理指南)

《정보보안기술 개인정보보안영향평가 가이드라인》

(信息安全技术 个人信息安全影响评估指南)

《정보보안기술 주요정보통신기반시설 보안통제조치》

(信息安全技术 关键信息基础设施安全控制措施)

《정보보안기술 주요정보통신기반시설 네트워크보호요구사항》

(信息安全技术 关键信息基础设施网络安全保护要求)64

국가시장감독관리총국

국가표준화관리위원회65

2018.10.10

《스마트시티 정보기술운영 가이드라인智慧城市 信息技术运营指南》

《정보보안기술 공민네트워크 전자신분식별보안기술 요구사항

信息安全技术 公民网络电子身份标识安全技术要求》

주택도시농촌건설부66

2018.10.10

《인터넷 네트워크보안시설 기술표준(의견청취버전)

联网网络安全设施技术标准（征求意见稿）》（下称《征求意见稿》

기술

표준

공안부

2018.11.30

《인터넷 개인정보보안보호 가이드라인 联网个人信息安全保护指引

(의견청취버전)》67

가이드

라인

63. 네트워크 보안법 제정 이전의 중요 가이드라인은 다음과 같다. (1)정보보안사고분류 가이드라인(信息安全事件分类分级指南) 中华人民共和国国家质监督检验检疫总局, 中国国家标准化管理委员会, 2007-06-14,《信息安全技术  信息安全事件分类分级指南》 http://www.djbh.net/webdev/file/webFiles/File/cpzg/2012261621.pdf64. 전국정보보안표준화기술위원회에서 제정한 가이드라인은 다음 페이지에서 확인할 수 있음 https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=1065. 人民日报, 2018年10月11日, 二十三项国家标准发布包括智慧城市、信息安全、循环经济等领域

2018 Vol.12

69

첨단기술 및 산업진흥

▶ (인공지능) 중국은 네트워크 보안 법령 제정뿐 아니라 이를 뒷받침하는 기술개발 및 산업진흥에도

노력을 경주하고 있으며, 2015년 인터넷과 산업 경제간의 융합을 통한 시너지 창출을 추진하는

‘인터넷플러스’ 정책에 인공지능을 포함했으며, 2015년 5월 ‘인터넷플러스 인공지능 3개년 추진계획

방안(이하 추진계획)’68 및 2017년 7월 ‘인공지능진흥 규획(이하 규획)’69이 공개됨

• 인공지능산업은 2015년부터 연간 30%를 상회하는 성장세를 구가하며 2017년에는 전년 대비 약

51.2% 성장한 152억1,000만 위안(한화 약 2조5000억 원)에 육박했으며, 바이두, 알리바바, 텐센트 등이

커넥티트카 및 의료분야의 연구개발을 주도하는 한편, 하이얼의 U+브레인에 기반한 OS로 인간-가전,

가전-가전, 가전-외부환경을 연결한 사물인터넷(IoT) 제품을 출시70하고 있음

• 추진계획, 규획에 따르면, 중국은 2030년까지 현재 기초 및 산업기술을 세계적인 수준으로 도약시키는

한편, 산업규모를 100조 위안(한화 약 16,000조 원)대로 확대시키고, 정책 및 법규, 윤리규범 체계를

더욱 체계적으로 구축하고자 하며, (1)인공지능 과학기술 혁신체계 구축(이론 및 기술연구) (2)산업기술

연구 (3)인공지능 혁신 플랫폼 구성 (4)기초과학 및 산업응용 융합형 인재육성71 등을 구체적인 실행

계획으로 제시함

• 공업정보화부는 올해 11월 18일 인공지능 산업진흥 및 3개년 실행계획 추진을 위해 기술혁신 및

효율이 높은 인공지능 제품 및 서비스 개발을 지원하는 ‘차세대 인공지능산업혁신 중점추진업무방안’을

제정72했다고 발표함

http://paper.people.com.cn/rmrb/html/2018-10/11/nw.D110000renmrb_20181011_2-09.htm66. Herbert Smith Freehills LLP, November 28 2018, 中国网络安全与数据保护：每月动态 - 2018年11月号

https://www.lexology.com/library/detail.aspx?g=2e0d4cf3-ba94-436f-8c76-0053aa0650eb&utm_source=lexology+daily+newsfeed&utm_medium=html+email+-+body+-+general+section&utm_campaign=lexology+subscriber+daily+feed&utm_content=lexology+daily+newsfeed+2018-11-30&utm_term=

67. 全国互联网安全管理服务平台，2018年11月30日,公安部网络安全保卫局发布 《互联网个人信息安全保护指引（征求意见稿）》面向社会征求修改意见       http://www.beian.gov.cn/portal/topicDetail?id=80&token=a889b14a-63b7-47d3-871c-c99c6f56c9f168. 工業和信息化部, 2016-05-25, 四部门关于印发《“互联网+”人工智能三年行动实施方案》的通知 http://www.miit.gov.cn/n1146290/n1146392/c4808445/content.html69. 国务院，2017年7月8日， 国务院关于印发新一代人工智能发展规划的通知, http://www.gov.cn/zhengce/content/2017-07/20/content_5211996.htm70. 산업연구원 《중국산업경제브리핑》, 2018.5.31., 김삼수, 〈중국 인공지능 및 블록체인산업 현황과 한중 협력방안〉. http://www.kiet.re.kr/kiet_web/?sub_num=679&state=view&idx=5429371. 中國政府網，2017年7月8日，国务院关于印发新一代人工智能发展规划的通知国发〔2017〕35号 http://www.gov.cn/zhengce/content/2017-07/20/content_5211996.htm72. 工业和信息化部， 2018-11-14，工业和信息化部办公厅关于印发《新一代人工智能产业创新重点任务揭榜工作方案》的通知 http://www.miit.gov.cn/n1146290/n4388791/c6489400/content.html

2018 Vol.12

70

표 3 _ 차세대 인공지능산업혁신 중점추진업무방안 추진 분야

분류 지원항목

실용분야커넥티트카, 스마트 로봇, 스마트무인기, 의료영상보조진단시스템,

화상신분확인시스템, 언어식별시스템, 번역시스템, 스마트가전

산업산업용 스마트감응기기, 신경네트워크 반도체칩, 금융 개방형 플랫폼,

스마트 제조, 핵심 기술장비, 표준 측정 및 지식재산권 서비스 플랫폼

업계훈련자원 데이터베이스 언어 및 시각 식별, 산업, 의료, 금융, 교통 분야 훈련자원이

집약된 데이터베이스 구축

스마트화 네트워크 기반설비 5G, 산업인터넷망, 커넥티트카

네트워크 안전 보장체계 산업, 가정용 네트워크 보안제품 혁신

• 또한 국가발전개혁위원회와 과학기술부는 각각 인공지능혁신발전 및 디지털경제 시범 프로젝트

(2017.)73, 차세대 인공지능 중요 프로젝트((2018.)74를 통해 기업 및 연구소의 AI 연구개발을 지원하고 있음

▶ (블록체인) 중국은 2016년 12월에 발표한 제13차 5개년 규획에서 ICT 기술발전 내용에서 ‘블록체인

개발’을 언급75한바 있으며, 2018년 5월 ‘중국 블록체인 산업백서 2018年区块链发展报告’은 블록체인

기술은 기존 플랫폼 방식이 주는 거래비용을 절감시키는데 도움이 되고, 특히 위·변조 방지 및 출처

확인 기술로 금융분야를 시점으로 사회신용, 문화, 엔터테인먼트, 유통, 물류 등 다방면에서 이용될

것이라고 전망함76

※ ‘규획’은 기존 ‘계획’보다 장기적, 전략적, 지도적 측면을 강조하며, 특히 경제성장에서 정부의 역할을 지도적인

측면으로 국한(김동하, 곽복선, 2017)77시키는 것으로 보이지만, 시진핑 집권 이래 경제성장에서 정부의 역할이

더욱 주도적으로 변모했다는 점에서 이에 반론을 제기하는 학자들도 있음

• 중국과학원에서 2018년 5월 30일 주최한 학술회의에서 국가 차원의 블록체인 연구개발 인프라 구축이

논의된 바 있으며, 중국 국무원의 광동자유무역지구 개혁에 관한 행정명령(5월 24일) 내 블록체인

기술개발이 언급된 외 중앙정부 차원의 법령, 정책, 진흥 프로젝트가 발표된 바 없음

73. 国家发展改革委，2017年12月27日 2018年“互联网+”、人工智能创新发展和数字经济试点重大工程拟支持项目名单公示 http://www.ndrc.gov.cn/gzdt/201712/t20171227_871813.html74. 科技部， 2018年10月12日， 科技部关于发布科技创新2030—“新一代人工智能”重大项目2018年度项目申报指南的通知 http://www.most.gov.cn/mostinfo/xinxifenlei/fgzc/gfxwj/gfxwj2018/201810/t20181012_142131.htm75. [S&T GPS]중국, 블록체인 기술 높이 평가하며 보안체계도 구축 , 2018.7.24.

https://www.now.go.kr/ur/poliTrnd/UrPoliTrndSelect.do?screenType=V&poliTrndId=TRND0000000000034056&pageType=003&currentHeadMenu=1&currentMenu=12

76. 中國大數據產業觀察，2018年6月25日，《2018年区块链发展报告》发布（91页完整版） http://www.cbdio.com/BigData/2018-06/13/content_5735623.htm77. 김동하, 곽복선.(2017). “중국 5개년 경제개발 `계획̀의 `규획̀으로의 변화와 함의에 관한 연구”, 《중국지역연구》 제4권 1호, 109-142.

2018 Vol.12

71

• 중국 남부의 광동성 광저우시는 웨이신(微信·위챗)에 등록된 이용자 계정을 활용해 ‘전자신분증’ 발급

사업을 2017년 연말부터 추진하고 있으며, 북부의 허난성 란카오현은 공안부 및 국가발전 및 개혁위

원회와 함께 블록체인 기반 ‘롄신퉁(链信通)’이라는 전자신분증을 발급하고 있고,78 이는 기존 호적제

도의 미비에 따른 신분증 발급 및 본인확인의 어려움을 해결하는데 도움이 됨

• 현행 감독규정으로는 국가인터넷판공실에서 제정한 ‘블록체인 정보서비스 관리 규정(의견청취버전,

2018)’79이 있으며, (1)서비스제공자 등록 및 감독절차(제4-6조) (2)감독 부처(제7조) (3)서비스 제공자

자율준수(콘텐츠 및 사용자 정보 관리, 사고대응, 제9조; 업무기록 보존(제14조)), 기술표준준수(제11

조), 법률상 금지 콘텐츠 전송금지(제13조) (4)신규서비스 및 제품 출시 시 관할 인터넷판공실에서

리스크 평가(제16조) (5)처벌조항(제17-21조) 등이 포함됨

처벌 사례 및 벌과금

▶ 국가인터넷판공실은 2017년 8월 11일 네트워크보안법 위반을 들어 위챗(WeChat, 텐센트의 SNS

메신저서비스), 시나(Sina), 바이두(Baidu) 게시판에 대한 조사를 단행함

• 바이두는 제대로 확인하지 않고 의료기관 광고를 게시해서 환자들의 불편을 야기했으며, 이로 인해

2.8만 위안(한화 약 457만 원)의 벌금이 부과되었고 시나는 허위광고 게시로 1.03만 위안(한화 약

170만 원)의 벌금을 부과받았음80

• 또한 공안부는 2018년 12월 마이크로블로그, 위챗 공식계정, 사이트 및 SNS 그룹을 통해 대량 댓글,

정보 발표로 기업, 상품 비방, 광고를 한 혐의로 혐의자 67명 체포, 관련 사이트 31개를 폐쇄하고,

이에 관련된 기업은 80개에 달함81

• 광고회사가 고용한 ‘콘텐츠 작성자’와 ‘살포자’들은 일반 소비자로 위장해 온라인쇼핑몰, 마이크로블

로그 등에서 콘텐츠 작성, 댓글 등의 방식으로 위탁기업을 광고하고, 상대측을 비방해 경제적 이득을 취함

시사점 및 향후 전망

▶ (사이버보안위협과 사회적 안정의 동시 추구) 네트워크보안법 제정 이래 CII 보호, 사고대응,

개인정보보호 등 세부적인 분야의 법규가 제정되고 있고 또한 마이크로블로그를 비롯한 광범위한

인터넷 콘텐츠 서비스 제공 및 이용에 대한 감독규정 강화는 인터넷상 의견 제시 및 공개적 논의가

78. 중국전문가포럼, 백권호, 2018.5.8., <중국 블록체인 발전 현황과 전망 및 시사점> https://csf.kiep.go.kr/expertColr/M004000000/view.do?articleId=2956479. 中国网信网,2018.10.19.,国家互联网信息办公室关于《区块链信息服务管理规定（征求意见稿）》公开征求意见的通知  http://www.cac.gov.cn/2018-10/19/c_1123585598.htm80. 新华社, 2017.3.9., 百度、搜狗未尽广告发布法律义务被处罚, http://www.xinhuanet.com/legal/2017-03/09/c_1120598991.htm81. 人民網，姜天驕， 2018年12月11日， 公安部：重拳打擊自媒體違法犯罪 http://capital.people.com.cn/BIG5/n1/2018/1211/c405954-30457845.html

2018 Vol.12

72

사회적 안정에 위협이 될 수 있다는 중국 정부의 인식이 잘 드러나는 대목임

• 2015년 네트워크보안법 초안 발표 이래 미국, 유럽 상공회의소, 기업인들은 중국 내 데이터 저장의무

및 국외 이전 시 리스크 평가 등 항목에 대해 공개항의 및 비공개회의를 통해 의견을 개진해왔으나

중국 정부의 인터넷은 해당 국가의 감독 영역이라는 인식이 바뀌지 않는 한 법률 개정이 뒤따를 가능

성은 높지 않음

• 또한 인공지능 기술 및 산업육성 정책방향, 실행계획, 지원 프로그램은 기타 블록체인, 클라우드 컴퓨팅,

커넥티트카에 대한 정책 및 지원을 능가하는 수준으로 방대하고 이에 비해 블록체인의 경우 제13차

5개년 규획에 언급되었다는 점에서 중국 정부의 육성의지를 보여주는 반면, 정확히 어떤 부처에서

주관하고, 지원 정책, 프로그램 등은 아직 공식화되지 않은 것으로 확인됨

▶ (개인정보보호법 제정전망) 전국인민대표대회(우리의 국회)는 2018년 9월 10일 제13기 전국인민대표대회

상무위원회 입법 규획에 69개 법안을 우선 결의대상에 포함하는 내용이 명시82되었으며, 《개인정보보호법》과

데이터보호법》이 포함된 바 2019년 내에 상기 법안의 법률 제정 가능성이 어느 때보다 높아졌음

• 특히 기존 개인정보보호 가이드라인이 존재함에도 불구하고 공안부에서 2018년 11월에 제정한 것은

개인정보보호 분야에 대한 높아진 관심과 더불어 부처 간의 경쟁을 보여주는 사례임

▶ (우리 기업에 주는 시사점) 네트워크 보안법 시행 이래 처벌사례는 과대광고, 인터넷 댓글을 통한 기업이득

취득사례가 눈에 띄며, 현재까지 개인정보 중국 내 저장 및 국외 이전(리스크 평가, 개인정보주체 동의 취득),

네트워크 보안 제품 및 서비스 검사 등 기존 논쟁이 된 이슈는 아직 확인되지 않고 있음

• 개인정보 및 중요정보의 중국 내 저장의무 조항은 중국 내 사업을 영유하는 해외기업뿐 아니라 중국

기업도 비용 문제를 들어 쉽게 받아들이기 어려운 문제이지만, 현재까지 이 조항을 위반해 처벌된

사례는 언론에서 확인되지 않고 있음

• 중국 정부는 사이버공간 또한 국가의 감독 영역이며, 이에 대한 감독을 확고히 하고자 중국 내 저장의

무를 제시한 것인 바 이같은 조항이 완전히 개정될 가능성은 높지 않고, 현실적으로 방대한 기업

및 고객 데이터의 중국 내 저장이 기업의 비용 증대를 가져온다는 점에서 기업과 중국 정부간의 비공개

회의를 통해 기한 유예를 얻어내는 것을 고려할 필요가 있음

• 미국과 중국은 무역, 지재권, 인권 뿐 아니라 사이버공간에 대한 이용 및 감독에 관해서도 입장차가

첨예하며, 양측의 갈등이 크게 촉발될 가능성을 고려할 때 정부의 공식 개입은 보다 신중할 필요가 있음

82. Sohu，2018.9.20.,让隐私不再泄露！个人信息保护立法，这次终于迈出实质性一步, http://www.sohu.com/a/255073900_407736

2018 Vol.12

73

2018년 Vol.01 – CES 2018편 2018년 Vol.02

이슈 & 트렌드

• 돌아보는 CES 2018: 진화하는 가전의 미래 (최호섭)

• 인공지능 기술의 대중화 시대를 예고한 CES 2018 (한상기)

• CES 2018을 통해 본 최신 뷰티케어 제품 동향 (윤대균)

• CES 2018이 제시하는 자율주행 및 스마트카의 미래 (정구민)

• 현실로 다가온 드론택시 시대 (이석원)

• CES 2018로 보는 올해의 VR 헤드셋 트렌드 (최필식)

ICT 동향

이슈 & 트렌드

• 2017년 실적 발표로 본 주요 소셜미디어 기업의 과제 (한상기)

• 자율주행을 위한 새로운 센서들의 등장 (정구민)

• 평창 동계올림픽과 네트워크의 의미 (최호섭)

• 와퍼가 말해주는 망중립성 논란 (이석원)

• 평창 동계올림픽의 숨겨진 승자, ‘인텔’ (최필식)

• 평창에서 다시 불붙은 동영상 플랫폼 경쟁

: NBC의 전략과 그 주변 상황들이 보여주는 것 (최홍규)

• 사용자 정보 유출 가능한 CPU 취약점(Meltdown

& Spectre) 발견

• Wi-Fi 얼라이언스, WPA3 표준 출시 계획 발표

• 2018년 비즈니스 사이버보안을 변화시킬 10가지 트렌드

• 중국 바이두, 인공지능(AI) 개발 조직 강화

• 러시아 미국 대통령 선거 개입 논란 확산

ICT 동향

• 산업제어시스템(ICS) 보안 취약성 경고

• 악성 크롬 확장프로그램을 이용한 세션 재생 공격 주의

• 美, 에너지부 산하 사이버 보안 담당 기관 설립

• 독일 정부, 인터넷망 현대화에 150억 달러 투입

• 우주탐험 ‘블록체인’ 기술 적용한다

2018년 Vol.03 2018년 Vol.04 RSA Conference 2018

이슈 & 트렌드

• 리테일 산업의 미래를 이끄는 인공지능 기술 (한상기)

• 유튜브는 위키피디아를 통해 음모론을 막을 수 있나 (최홍규)

• 브로드컴의 퀄컴 인수 불발, 그 배경과 시사점 (윤대균)

• MWC 2018 스마트카 주요 동향 (정구민)

• 게임‧증강현실‧자율주행…지도 비즈니스 뜬다 (이석원)

• MWC 2018, 스마트폰의 변화를 봐야 할 때가 왔다 (최필식)

이슈 & 트렌드

• RSA 컨퍼런스 2018 이슈 및 트렌드 (김인섭)

• RSA 컨퍼런스 2018과 개인정보보호 트렌드 (김대환)

• RSA 컨퍼런스 2018의 엔드포인트 보안 트렌드 (권혁재)

• RSA 컨퍼런스 2018로 본 위협 인텔리전스와 SOC & AI (정일옥)

• RSA 컨퍼런스 전시회 글로벌 보안 트렌드 (홍동철)

• 하드웨어 보안 동향과 특징 (황수익)

ICT 동향

• 영국정부, 보안 위협으로부터 스마트 디바이스를

안전하게 사용하기 위한 지침 발표

• 5백만 대의 유명 안드로이드 스마트 기기에 악성

코드가 사전 설치된 것으로 밝혀져

• 국제 앰네스티 “트위터는 여성에게 유해한 환경”

• 블록체인 통한 불법자료 유통 위험성 대두

이슈 & 트렌드

• 구글 I/O 2018 : 인공지능의 대중화 (최호섭)

• 구글 듀플렉스 기술이 제시하는 사회적 과제 (한상기)

• 페이스북 F8 2018에서 꼭 챙겨봐야 할 5가지 발표 (최필식)

• GDPR의 국내 영향력 분석 (조수영)

• 블록체인의 이해와 바람직한 미래를 위한 제언 (김승주)

• 북한의 보안과 남북 협력 방안 (강진규)

2018년 Vol.05

2018 Vol.12

74

2018년 Vol.06 2018년 Vol.07

이슈 & 트렌드

• 사이버보험의 현황과 과제 (유진호)

• 2018 평창 동계올림픽 : 사이버보안 이렇게 준비했다 (신화수)

• 버그바운티 A to Z (양하영)

• WWDC2018 달라진 것, 새로워진 것 (최호섭)

• 개발자 측면에서 본 애플 WWDC2018 (김정)

이슈 & 트렌드

• 공공부문 디지털트랜스포메이션 현황과 전망 (강동식)

• 데이터 전송 프로젝트의 의의와 주요 시사점 (한상기)

• 블록체인 기술을 표방한 미디어 서비스 (최홍규)

• 블록체인과 개인정보보호 쟁점과 이슈 (오현옥)

• 캘리포니아주 소비자 개인정보보호법과 EU GDPR 비교 및

시사점 (고환경)

• 사이버 공격의 지능화 현황 및 전망 (박태환)

2018년 Vol.08 2018년 Vol.09

이슈 & 트렌드

• 인공지능의 악용, 딥페이크의 문제 (한상기)

• 가짜뉴스 선제적 차단의 의미와 방안 모색 (임문영)

• 미국 데프콘 컨퍼런스 리뷰 (김경곤)

• 미국의 사이버보안 정책 분석 – DHS·DOE·DOJ를

중심으로 (이응용)

• 동아시아 정보통신 시설의 법제 현황 및 시사점 (박성림)

• 양자 내성 암호 기술 개발 어디까지 (한상근)

• 스마트 팩토리 기반의 융합보안 이슈와 해결방안 (한근희)

• 생태계 플랫폼에서 양면시장을 아우르는 플랫폼으로 (이승훈)

이슈 & 트렌드

• 금융 생태계를 변혁하는 AI의 확산 및 시사점 (이응용)

• 오큘러스가 시도하는 교육 파일럿 프로그램 (최홍규)

• 바이오인식 기술 현황 및 전망 (이승재)

• 5G 기반 보안의 양자정보통신기술 (곽승환)

• 오픈소스 보안 현황과 시사점 (김혜영)

• 바다로 간 사이버 범죄 사례 및 전망 (조용현)

• 스중국의 사이버보안 정책 현황 및 시사점 (박성림)

• IFA 2018의 인공지능은 어떤 풍경이었을까? (최필식)

2018년 Vol.10 2018년 Vol.11

이슈 & 트렌드

• O2O서비스가 노동시장에 미치는 영향 분석 및 시사점 (강준모)

• 페이스북 이용자 해킹 사건 및 대응 이슈 (최홍규)

• 스마트 장치에 보안 칩 넣은 구글 (최필식)

• 생체정보 개인정보보호 현황 및 전망 (전명근)

• 영상정보 개인정보 이슈 및 시사점 (박윤하)

• 해외직구 개인정보 이슈 및 대응 방안 (채상미)

• 클라우드 보안서비스(SECaaS) 동향 분석 및 전망 (윤승원)

• 머신러닝 기반의 정보보호 제품 현황과 전망 (최대선)

• 캐나다의 사이버보안 정책 동향 및 시사점 (이응용)

이슈 & 트렌드

• 페이크 뉴스 또는 허위정보 판별 연구현황 (한상기)

• 심전도 탑재한 ‘애플 워치 4’의 의미 (최필식)

• 닌텐도 스위치와 유튜브의 만남에 대하여 (최홍규)

• 해외 기업·서비스 해킹, 개인정보 유출사건 분석 (강진규)

• 의료 데이터의 개인정보보호 이슈 및 전망 (한근희)

• 자동차 보안 기술의 현황 및 시사점 (심상규)

• 발전소 위협 현황과 블록체인 연계 모델 가능성 (유성민)

• EU 사이버보안 인증 프레임워크 검토 및 시사점 (박태훈)

• 영국 사이버보안 정책 동향 및 시사점 (이응용)

• 중국 사이버보안 R&D 현황 및 시사점 (박성림)

2018 Vol.12

75

발 행 일 2018년 12월

발 행 한국인터넷진흥원

기획및편집 한국인터넷진흥원 미래정책연구실 미래정책팀

발 행 처 전라남도 나주시 진흥길 9 Tel 1544 - 5118

▶ 본지에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

▶ KISA Report의 내용은 무단 전재를 금하며, 가공 · 인용할 경우 반드시 「한국인터넷진흥원, KISA Report」라고 출처를 밝혀주시기 바랍니다.