빅 데이터의 화룡정점은 ‘빅 보안’

2012년 08월 27일 (월)

ⓒ ITWorld, Bernard Golden | CIO

빅 데이터가 성장세가 계속되는 가운데, 무엇이든지 상상할 수 있다. 이를 테면, 조립 라인에 있는 자동차를 어떻게 바뀔 지, 그에 따라 우리의 삶이 어떻게 바뀔 지 한번 상상해 보자. 빅 데이터를 안전하게 유지하는 것은 혁신적인 접근을 요구할 것이다. CIO닷컴의 칼럼니스트 버나드 골든은 이를 ‘빅 보안’이라고 명명하며 아직 업계가 이에 대해 준비돼 있다고 생각하지 않는다고 밝혔다.

지금 디지털 세계는 격동기의 변화가 정점에 달했다는 데는 의심의 여지가 없다. 모든 분야에서 아날로그에서 디지털로의 거침없는 변화가 이뤄지고 있다.

이런 추세를 보여주는 사례들은 다음과 같다.

• 뉴욕 타임즈는 최근 한층 빠르면서 민첩한 새로운 세대의 로봇 제조 방식에 대해 장문의 기사를 개재했다. 이 기사는 잔잔하면서도 강력한 주제를 전달하고 있다. 제조업 분야의 생산성이 크게 향상되겠지만, 고용이 악화될 수 있다는 것이다. 이들 로봇은 환경에 어울러져 더욱 민첩한 생산을 할 수 있는 역량을 구비하고 있으며, 지금껏 사람의 손을 거쳐야만 가능했던 분야에서 활용될 잠재력을 갖고 있다.

• 무인 자동차가 가시화되고 있다. 필자는 지난주 고속도로에서 '무인 자동차(Self-Driving Car)'라는 로고가 새겨진 자동차 한대를 직접 목격하기도 했다. 그러나 아직까지는 무인 자동차가 갖는 단점에 시선이 모아져 있다. 무인 자동차가 번잡한 도로와 같이 복잡한 환경에 어떻게 대처할 것인지, 사람이 운전하지 않는 상황에서 책임은 누구에게 물을 것인지 등이다. 물론 무인 자동차가 혜택을 가져다 줄 것이라는 사실 또한 분명하다. 필자는 앞으로 10년 내에 무인 자동차에 대한 인식이 빠르게 전환될 것이라고 생각한다.

 

필자는 고속도로를 주행하는 무인 자동차를 직접 목격하고는 우리의 상상 이상으로 미래가 더 빨리 다가오고 있다고 생각했다.

빅 보안, '새로운 패러다임+기존 제품' 이상을 의미

이런 사례를 만든는 원동력은 데이터센터를 벗어나 환경 전반에 보급되는 컴퓨팅 기술이다. 앞서 설명한 무인 자동차에는 이 새로운 세상에서 수집되는 방대한 데이터가 사용된다. 그리고 이러한 '빅 데이터'는 수많은 정보와 이를 분석하기 위한 솔루션으로 이어진다.

필자는 이러한 추세가 생각보다 더 빨리 진행될 것이라고 생각하고 있다. 기업들은 아주 빠른 속도로 클라우드 컴퓨팅과 빅 데이터를 환경에 통합해나갈 전망이다. 그러나 도입의 정도는 눈에 띌 만큼 증가하지는 않을 것이다. 단편적으로 도입이 이뤄지기 때문이다. 재미있는 사실은 통합적인 관점에서 봤을 때는 현저하다는 것이다.

이런 변화에서 가장 큰 도전 가운데 하나는 IT가 새로운 환경을 관리하는데 필요한 역량을 갖추고 있다는 것이다. 수동 프로세스와 같은 기존 방식으로는 방대한 새로운 세상을 관리하기란 매우 어렵다. 이는 드라마 루시 볼의 초콜렛 공장 편에 나온 내용을 떠올리면 된다. (분명히 해두자면, 이는 IT에 대한 '탄식'은 아니다. 그보다는 현재 솔루션이 새 변화의 규모에 적합한지에 대한 질문이다).

그리고 클라우드 컴퓨팅에서 가장 많이 우려하는 부분은 보안이다. 여러 설문조사 결과에 따르면, 클라우드 서비스 제공자가 제공하는 클라우드 도입에 가장 큰 저해 요소는 보안이다. 그러나 필자의 경험으로는 이런 우려에도 불구하고 도입이 가속화될 것으로 판단된다.

불행히도, 필자가 알고 있는 솔루션의 대부분은 클라우드 환경에 기존의 수동 방식 솔루션을 적용하고 있다. 자동화로의 전환을 늦추고 기존 절차를 적용하는 방법으로 보안 문제를 해소하려는 의도다. 그러나 앞에서 설명한 이유 때문에 성공 확률은 낮고, 보안 침해 사고가 발생하기 쉽다. 희망과는 달리 일종의 임시방편일 뿐이다.

빅 보안의 6가지 핵심 특징

필자는 클라우드를 다룰 수 있도록 개발된 새로운 솔루션(프로세스)과 완전히 새로운 방법이 필요하다고 믿는다. '빅 보안'이라는 이름을 붙일 수 있는 방법이다.

그렇다면 빅 보안은 무엇일까? 달리 말해, 빅 보안에 수반되는 핵심 특징은 무엇일까? 여기 몇 가지 제안을 하고자 한다.

통합 제품으로 개발. 새로운 세상에서 보안이 성공할 수 있는 기회를 잡으려면 환경과 애플리케이션의 일부가 돼야 한다. 나중에 평가하는 방식인 별개의 제품과 프로세스가 돼서는 안 된다. 데브옵스(DevOps)와 같이 최초 사용자 접촉에서 데이터 무결성 점검, 부정 행위 탐지까지 애플리케이션 전반에 걸쳐 융합돼야 한다.

통합. 몽상인지도 모르겠다. 그러나 보안 솔루션은 통합돼야 한다. 다른 말로 설명하면, 여러 솔루션이 아닌 단일 솔루션으로 도입될 수 있어야 한다. 단일 업체가 제공하는, 필자가 '프랑켄슈타인' 솔루션이라고 부르는 솔루션일 경우에도 마찬가지다. 여러 이질적인 솔루션을 설치 및 통합하기 위해서는 전문성이 필요하다. 최종 사용자는 여기에 압도당하곤 한다. 최종 사용자가 시스템을 제대로 설치하거나 업데이트하지 못해 시스템에 문제가 발생한다는 점이 이를 뒷받침해 준다.

확장성. 필자는 이미 이 문제를 언급한바 있다. 그러나 필자를 포함해 IT업계 전체는 가까운 장래에 직면하게 될 변화의 정도를 크게 과소평가하고 있다. 자동차 산업의 역사를 돌아보기 바란다. 필자를 포함해 많은 사람들이 대량 생산이 가져올 변화를 지적하고 있지만, 자동차가 어떻게 우리의 일상을 바꾸고 사회를 지배할지를 생각하고 있는 사람의 수는 이보다 적다. 포디즘(Fordism)에 입각한 대량 생산이 시작됐을 때 상상했던 수준 이상일 것이다.

향후 현재보다 수백 배나 다양한 환경에서 제 역할을 하는 보안이 필요할 전망이다. 이런 환경이 세상에 확산될 것이다. IT보안 베테랑인 데이브 애스프리에 따르면, 이들의 일부가 이른바 앰비언트 클라우드(ambient cloud)다. 또 Nike+ FuelBand 같이 데이터 수집과 분석 허브가 서로 연결된 분산형 애플리케이션 환경이 될 전망이다. 인간의 신체조차 네트워크에 속하게 되는 환경이다.(필자는 이 환경과 관련해 최근 읽은 책 3권에 크게 영향을 받았다. 다니엘 수아레즈의 ‘킬 디시전(Kill Decision)’, 윌리엄 허틀링(William Hertling)의 ‘아보가드로 주식회사(Avogadro Corp.) 및 ‘A.I. 아포칼립스(A.I. Apocalypse)’다. 데이터를 대량으로 처리, 연결하는 가까운 미래를 그린 스릴러 소설이다.)

이러한 IT환경은 현재의 보안 솔루션이 다룰 수 있는, 심지어는 상상할 수 있는 수준을 넘어선다. 이 IT세상을 충족하기 위해서는 완전히 새로운 세대의 보안 제품이 필요하다.

자동화. 새로운 보안 환경은 자동화돼야 한다. 수동 개입이 필요 없는 방식으로 클라우드 인스턴스와 프로그램에 보안 솔루션을 설치해야 한다.

하지만 자동화만으로는 충분하지 않다. 미래에는 환경을 분석해, 어떤 보안 수단을 적용해야 하는지 판단하고, 이를 자동으로 이행할 수 있는 보안 서비스에 가입할 필요가 있다. (칩 생산과 같은) 제조업 분야에서 자동화가 인간의 수동화 작업을 대체했듯이, 정보 시스템 보안 분야에서도 자동화가 인간을 대신해 복잡한 환경을 이해하게 될 전망이다.

미래 환경의 규모는 수동 설정 등에 기반을 둔 인적 작업을 제압할 가능성이 높다. 그럼에도 불구하고 수동 방식의 보안을 유지한다면 결국 취약성을 피하지 못하게 될 전망이다.

학습. 감시하고 있는 애플리케이션과 환경에서 어떤 상호작용이 발생하고 있는지 끊임없이 평가해, 이에 맞게 조정하는 보안 시스템이 필요하다. 다시 말하지만, 이런 환경에서 사람이 조사하고, 이해하고, 설정을 하는 방법은 효과가 없다. 신용 카드 등급 및 사기 방지 시스템을 보면 알 수 있다. 모두 인공 지능 시스템에 기반을 두고 있다. 시스템이 행동을 추적하고, 더 많은 행동 데이터를 축적해가면서 규칙을 수정하도록 돼 있다.

정책 기반. 보안 관리자는 자신이 종사하고 있는 기업이나 단체에 적합한 보안 방법을 규정한 후, 이를 정책으로 수집하고, 이렇게 수집한 정책 규칙을 보안 시스템에 적용하는 역할을 하게 될 전망이다. 수천 가지를 수동으로 설정하는 방식은 사람의 역량을 넘어선다. 결국 사람이 기대하는 결과를 정하고, 보안 소프트가 그 결과에 입각해 방법을 이행하는 것이다.

다시 말해, 이와 관련해 가장 긴급한 이슈 가운데 하나는 인간이 시스템 설정과 관련된 결정을 점검하려 하는 것이다. 누군가 보안 설정 프로세스에 개입을 한다면, 전반적인 보안 수준이 감소하게 된다.

대부분의 사람들은 여기에서 제시한 아이디어를 믿지 않는다. 당연한 반응이다. 대부분은 비현실적이고, 기술적 또는 문화적으로 너무 많은 문제가 있다고 생각할 것이다. 하지만 10년 전으로 돌아가보자. 만약 2012년에 무인 자동차가 도로를 달리고 있다고 말한다면 누구나 비웃었을 것이다. 하지만 현재 미국 네바다 주에서는 무인 자동차가 합법이다. 교훈은 간단하다. 상상보다 더 빨리 변화가 진행되고 있다는 사실이다. 빅 보안 또한 가시화되고 있다.

*Bernard Golden은 클라우드 관리 소프트웨어 업체인 엔스트라투스네트워크(enStratus Networks)에서 기업용 솔루션을 담당하는 부사장이다.

※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지

[원문출처 : http://www.ciokorea.com/news/13767]