[Daily IT News] IoT, 개인정보보호, 클라우드 보안

신기술이 나오게 되면 전세계적으로 주도권 경쟁이 치열한데요, 그 경쟁에서 우위를 가지기 위해 하는 일 중 하나가 표준입니다. 최근 스마트 홈 IoT 관련해서 이러한 표준에 대한 이야기가 많이 나오고 있는데요, 그 중 삼성이 매터(Matter)에 대한 표준을 주도하려고 하는 움직임입니다.

금일(2022.04.26. 화) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(NW) IoT	삼성전자, 하반기 TV·냉장고에 스마트홈 표준 '매터' 첫 지원	>> 26일 관련 업계에 따르면 삼성전자는 이르면 10월부터 스마트 TV, 냉장고, 스마트 모니터 신제품에 매터를 적용한 IoT 기기 연동·제어 기능을 제공할 계획이다. 매터는 인터넷 프로토콜(IP) 기반 홈 IoT 통신 표준이다. 구글, 아마존, 삼성전자, 애플, 샤오미, 필립스, 테슬라, LG전자, 텍사스인스트루먼트 등 300개 가까운 다양한 기업이 표준 제정에 참여했다. 표준 적용 시 구글 인공지능(AI) 스피커 '구글홈'에만 연동되던 기기도 아마존 '알렉사'나 애플 '홈팟'에서 작동할 수 있다​. 플랫폼 종속성을 해소한 완전한 스마트홈 환경을 구현할 열쇠로 평가받는다. ​ 삼성전자는 올해 출시한 네오 QLED TV 등 스마트 TV 신제품과 패밀리 허브 냉장고, 스마트 모니터 등 'IoT 허브' 기능을 탑재한 제품을 대상으로 매터 지원을 준비 중이다. 기존 IoT 허브는 주로 자사 공기청정기나 에어컨, 스마트폰, 태블릿 등만 연동·제어가 가능했다. 추후 매터 표준을 적용한 스마트 전구, 스마트 도어, 온도 조절계, 스마트 커튼 등 다양한 타사 IoT 기기까지 연동·제어 가능한 서비스를 제공할 계획이다. ​ >> 매터 개발을 주도하는 민간 표준단체인 CSA(Connectivity Standards Alliance)는 오는 9월께 표준을 발표할 예정이다. 이에 맞춰 삼성전자는 기술검토 후 이르면 10월부터 대상 TV와 냉장고, 스마트 모니터에 소프트웨어(SW) 업데이트를 진행할 것으로 보인다. ​ 삼성전자는 홈 IoT 플랫폼 '스마트싱스'를 내세워 구글, 아마존 등과 스마트홈 시장 3강을 형성하고 있다. 매터는 사용자의 플랫폼 종속성을 해소하면서 기업 간 무한경쟁을 예고한다. 상대적으로 압도적인 사용자를 보유한 구글과 아마존이 경쟁 우위를 점한 가운데 삼성전자는 기기간 연결성의 핵심인 IoT 허브를 확대해 사용자 확보에 나선다. 시장 선두인 TV와 냉장고(프렌치도어)를 IoT 기기 연결 거점으로 삼아 가전 사용자를 스마트홈 서비스 사용자로 묶어두겠다는 전력이다.
(보안) 개인정보보호	[보안칼럼]끊임없는 개인정보 유출사고 어떻게 막을 것인가	>> 우리나라는 개인정보 보호 강화를 위한 노력을 지속했다. 2011년 3월 개인정보보호법을 제정하고 여러 차례의 보완을 거쳤다. 2020년 1월에는 4차 산업혁명 시대를 맞아 이른바 '데이터 3법'으로 불리는 '개인정보보호법, 정보통신망법, 신용정보보호법' 동시 개정을 통해 개인정보 보호체계를 일원화했다. 그 결과 2021년 12월 EU GDPR 적정성 결정이 최종 통과돼 개인정보 보호 우수 국가로 인정받았다. 그런데 정말 우리나라는 개인정보가 안전하게 관리되고 또 이용되고 있을까. 유감스럽게도 '그렇다'고 자신있게 대답할 수 없는 것이 현실이다. 최근까지도 개인정보 관리 소홀로 말미암은 사건 사고가 끊이지 않고 있기 때문이다. 공공기관·법인·단체 등 개인정보 처리자의 과실로 인한 대량의 개인정보 유출사고는 물론 업무담당자 등 개인정보 취급자에 의한 개인정보 유출사고도 증가 추세에 있다. 유출된 개인정보는 2차 범죄에 악용되기도 해 국민의 불안을 가중시키고 있다. ​ >> 무엇이 문제일까. 이러한 대책은 당연히 필요하고 지속적으로 보완·강화돼야 하지만 근본적이고 현실적인 대책을 고민해야 할 시점이다. 필자는 개인정보 보호 산업 현장의 오랜 경험을 바탕으로 그동안 생각한 몇 가지 정책적 제언을 하고자 한다. ​ 첫째 개인정보 보호 전담 인력의 확충 및 전문성 강화다. '2021 개인정보보호실태조사'에 따르면 개인정보 보호 전담 인원이 절대 부족(공공기관 0.5명, 민간기업 0.0명)할 뿐만 아니라 있다고 해도 업무 경력이 매우 짧아(공공기관 3년 미만 67.3%) 전문성을 확보하기가 곤란한 상황이다. 둘째 개인정보 보호 예산의 확충이다. 앞의 조사에 따르면 개인정보 보호 예산 규모는 1억원 미만이 대다수(공공기관 82.6%, 민간기업 99.9%)이다. 이마저도 서비스사용료, 직원 교육비 등을 제외하면 제대로 된 보안솔루션 하나 도입하기 어려운 실정이다. 셋째 개인정보 보호 전문 솔루션의 도입 및 활용 확대다. 인력과 예산 공백을 메우고 보안체계를 강화하기 위해서는 적합한 기능을 갖춘 보안솔루션을 도입해서 활용하는 것이 좋은 방법이다. 넷째 개인정보 유출을 막을 수 있는 이중·삼중의 보호 장치가 필요하다. 개인정보 처리자, 개인정보 취급자, 정보 주체 등 다각적인 측면에서 개인정보 유출 징후를 상시 감시할 수 있도록 시스템을 보완해야 한다. ​ 개인정보취급자 측면에선 '모든 개인정보 부정 사용은 반드시 적발된다'라는 인식을 할 수 있도록 개인정보 취급자의 이상 행위를 효율적이고 체계적으로 관리·처리할 수 있는 시스템 도입이 필요하다. 개인정보 취급자가 조회한 개인정보 현황과 자신이 발생시킨 위험 행위 등의 정보를 알려줘 경각심을 불러일으키고, 개인정보 취급자의 소속 부서장도 개인정보 취급자의 이상 행위를 모니터링하고 필요시 소명을 받을 수 있도록 하는 개인정보 취급자 대상 보안시스템을 제공할 필요가 있다. ​ 정보 주체 측면에선 개인정보 사용 내역을 정보 주체가 확인할 수 있도록 하고, 개인정보 사용 사실을 정보 주체에게 알려주는 시스템 구축이 필요하다. 정보 주체가 '내 개인정보를 언제, 누가, 왜, 어떻게 사용했는지'를 구체적으로 확인할 수 있게 하고, 정보 주체의 개인정보가 조회되는 경우 지체 없이 그 사실을 정보 주체에게 알려주는 시스템이다. ​ >> 데이터경제가 새로운 경제 성장과 변화 동력으로 대두되면서 관심 및 투자가 활발하게 이뤄지고 있다. 데이터는 흔히 미래산업의 쌀로 비유되고 있는데 개인정보는 이러한 데이터의 씨앗에 해당한다고 할 수 있다. 씨앗을 잘 보관·관리하지 않으면 좋은 쌀을 얻을 수 없듯이 개인정보에 대한 안전성과 신뢰성이 확보되지 않은 상태에서 이룩되는 데이터경제는 사상누각에 불과할 수 있다. 개인정보 보호에 대한 관심과 투자가 선행되고 확대돼야 하는 이유다.

[참고] 스마트홈 표준 '매터'

● 보안뉴스

구분	헤드라인	설명
(보안) 클라우드 보안	퍼블릭·하이브리드·프라이빗 클라우드, 각 환경별 보안전략 수립방안은?	>> 최근 도입이 급속도로 확산되고 있는 클라우드는 각 기업마다 조성 환경이 다르다. 퍼블릭 클라우드에서부터 온프레미스와 클라우드를 결합한 하이브리드 클라우드, 그리고 프라이빗 클라우드 등 각각의 편의성과 효율성에 맞춰 구축하고 있다. 보안 역시 마찬가지다. 어떤 클라우드 환경이냐에 따라 보안전략을 다르게 세워야 보안위협에 효과적으로 대응할 수 있다. 이에 본지는 퍼블릭 클라우드, 하이브리드 클라우드, 프라이빗 클라우드 등 각 환경에 따라 보안전략을 어떻게 세워야 하는지 클라우드 전문가에게 들어봤다. ​ >> 퍼블릭 클라우드, 편의성·간소화로 보안도 ‘엣지있게’ 원격근무는 물론 외근과 출장이 잦은 기업의 업무 환경에서는 편의성과 효율성을 높이기 위해 언제 어디서나 인터넷을 접속해 기업내 문서를 볼 수 있도록 주로 퍼블릭 클라우드(Public Cloud), 오픈 인터넷(Open Internet), SaaS(Software as a Service) 시스템을 운영하고 있다. 하지만 편리한 만큼 보안 위협도 커지기 때문에 기업 내 웹 시스템의 보안 서비스가 구축돼야 하고, 동시에 내부 사용자의 안전한 외부 인터넷 사용이 지원돼야 한다. 특히, 이러한 환경에서는 업무 편의성과 효율성을 저해하지 않으면서 보안성을 높이는 게 핵심이다. ​ 모니터랩 박호철 수석연구원은 편의성을 고려한 보안으로 △웹 요청의 경우 기업 정책과 비교해 위험한 프로그램 및 웹사이트 접근 제한 △직원들을 Office 365 및 Salesforce와 같은 SaaS 애플리케이션에 연결 △직원들을 온프레미스(On-premise: 소프트웨어를 서버에 직접 설치해 쓰는 방식) 데이터센터 또는 클라우드에서 실행되는 기업 애플리케이션에 연결하는 것 등을 제시했다. ​ 이어 보안의 최적화와 간소화를 위해 미국 시장조사기관 가트너가 제시한 SASE(Secure Access Service Edge) 플랫폼 기반의 클라우드 보안을 제시했다. SASE는 클라우드에 식별된 사용자 신원 기반의 네트워킹과 보안 통합 아키텍처(컴퓨터 시스템 전체의 설계 방식)로 SWG(Secure Web Gateway), ZTNA(Zero Trust Network Access), CASB(Cloud Access Security Broker) 등을 기업 보안정책에 맞게 선택해 구성할 수 있다. 즉, 다양한 보안 요소를 하나의 패키지로 만들어 쉽고 간편하게 통합 보안을 구현할 수 있다는 얘기다. ​ >> 하이브리드 클라우드​, 통합 보안으로 ‘레벨업’ 온프레미스와 외부 퍼블릭 클라우드를 함께 사용하는 하이브리드 클라우드(Hybrid Cloud) 환경은 IT 환경이 기존 온프레미스에서 클라우드 환경까지 확장돼 좀더 세밀한 보안전략이 요구된다. ​ 에스지에이솔루션즈 정진환 부장은 하이브리드 클라우드 환경에서의 통합 보안의 중요성을 강조하며 △보안 가시성 확보와 신속한 대응 △클라우드 워크로드 보안 △클라우드에서의 네트워크 보안 △클라우드 플랫폼에서의 보안 극대화 전략에 대해 설명했다. 정진환 부장은 “기존 온프레미스 환경과 클라우드 환경에서 동일한 보안 수준이 제공돼야 하고, 유동적으로 운영되는 클라우드 서버의 효율성 향상과 안정적인 운영이 요구된다. 특히, 클라우드 서버 간, 애플리케이션 간의 통신이 빈번하게 발생한다. 이러한 특성은 악성행위 확산의 우려가 있어 횡적(East-West) 트래픽 통제가 필요하다”고 설명했다. ​ 이어 그는 “클라우드 플랫폼에서의 보안 극대화 전략으로는 정책기반 보안 강화, 유연성 보장, 내부자 위협 차단, 시그니처 기반 보안 강화, 알려진 보안위협과 알려지지 않은 보안위협의 차단, 우회접근 및 실행 차단 등을 통한 멀티 보안으로 복잡해진 하이브리브 환경에서 보안 가시성을 확보해야 한다”고 덧붙였다. ​ >> 프라이빗 클라우드, 지능형 보안관제 체계로 신뢰성↑ 그렇다면 프라이빗 클라우드 환경에서의 보안은 어떻게 해야 할까? 기업내 보안인력의 책임이 결부된 만큼 보다 체계화된 보안정책이 필요하다. 특히, 기업 대다수가 보안인력이 턱없이 부족해 정확한 탐지와 함께 자동화 시스템을 갖추는 게 무엇보다 중요하다. ​ 이글루시큐리티 이록석 수석부장은 “퍼블릭 클라우드 환경에서의 보안은 외부에 맡기는 경우가 많으나, 프라이빗 클라우드 환경은 자체적으로 보안을 책임져야 하기 때문에 많은 기업들이 프라이빗 환경에서의 클라우드 보안을 어려워한다”며 “프라이빗과 퍼블릭 클라우드 간 워크로드에서 구성 오류 등 보안 문제가 발생하고, 네트워크 내부의 트래픽에 대한 횡적 가시성이 미흡하다. 보안체계가 제대로 잡혀 있지 않고, 솔루션을 활용할 수 있는 보안전문 인력이 부족하기 때문에 보안인력 부족으로 인한 보안 취약성은 어찌보면 당연하다”고 말했다. ​ 이를 위한 대응방안으로 첫째, 클라우드 가시성 확보 및 보안관제 자동화를 통한 지능형 보안관제체계 구축 둘째, 식별(Identify)-예방(Protect)-탐지(Detect)-대응(Respond)-복구(Recover)-관리(Management) 등 SOC 보안관제 프레임워크의 체계적인 관리 및 지속적인 평가와 개선이 병행돼야 한다는 의견을 제시했다. ​ 이어 이 수석부장은 “보안관제 영역은 보안관제, 침해대응, 보안진단, 위협분석, 보안운영 등 분야별 전담팀 운영으로 보안관제센터 운영체계를 확립하고 자동대응 영역을 통해 경보이벤트의 보안장비 차단, 대응결과 이력관리 등 반복적인 대응업무를 자동화해야 한다”며, “수집 영역은 빅데이터·인공지능 분석을 통해 유의미한 인사이트(경보 이벤트)를 추출하고, 운영탐지 영역에서는 클라우드 운영환경의 가시성을 확보하고 개선해 보안역량을 확대해야 한다”고 말했다.

---

금일 주목할 기사는 보안관련 기사입니다.

개인정보보호와 클라우드 보안관련한 기사는 보안영역에서는 아주 중요하게 생각하는 그런 부분이 아닐까 생각이 듭니다. 이에 각 전문가가 생각하는 방향등을 잘 보시고 답안에 녹여 주시는 것도 한가지 방법이십니다. 그리고 클라우드 보안 같은 경우 우리가 공부한 보안 토픽들에 대해서 어떻게 사용되는지 같이 눈여겨 보시기 바라겠습니다.