설치형 보안 프로그램의 시대가 변하고 있다
몇 년 전까지만 해도 관공서나 금융권 사이트에 접속하려면 필수적으로 설치해야 하는 보안 프로그램 때문에 PC가 느려지는 경험을 누구나 한 번쯤 해봤을 것이다. 하지만 최근에는 클라우드 기반의 간편인증이나 제로트러스트 모델이 도입되면서 상황이 조금씩 달라지고 있다. 매번 별도의 액티브엑스나 실행 파일을 깔지 않아도 카카오페이나 네이버 인증서 같은 간편인증만으로 보안을 유지할 수 있는 환경이 늘어난 덕분이다. 물론 여전히 특정 환경에서는 하드웨어 기반의 보안 솔루션이나 복잡한 소프트웨어를 요구하기도 하지만, 사용자 입장에서는 설치의 번거로움이 확실히 줄어든 체감이다.
제로트러스트와 신뢰 기반 접근 제어
최근 보안 업계에서 자주 언급되는 ‘제로트러스트’는 ‘아무것도 신뢰하지 않는다’는 원칙에서 출발한다. 예전에는 네트워크 내부망에 들어오기만 하면 안전하다고 믿었지만, 이제는 외부뿐만 아니라 내부 사용자도 매번 검증한다. 과기정통부와 오픈AI가 논의 중인 사이버 보안 프로그램들도 이러한 맥락이다. 검증된 사용자에게만 AI 모델을 분석하고 방어할 수 있는 접근 권한을 제한적으로 열어주는 식인데, 이는 기업의 기밀을 보호하면서도 보안 전문가들이 취약점을 분석할 수 있게 하는 효율적인 절차다.
버그바운티를 통한 보안 생태계 구축
최근 금융권이나 가상자산 거래소들이 시행하는 ‘버그바운티’는 보안 강화의 핵심이다. 보안 취약점을 발견한 일반인이나 전문가에게 포상금을 지급하는 방식으로, 보안을 기업 내부의 문제로만 두지 않고 외부의 감시와 기여를 적극적으로 활용한다. 실제로 포상금이 최대 1,000만 원에 달하는 경우도 있어 참여 열기가 높다. 이는 단순한 프로그램 설치를 넘어, 실제 사용자가 시스템의 허점을 찾아내도록 유도하는 능동적인 보안 체계라 볼 수 있다.
하드웨어와 소프트웨어의 경계가 무너지는 보안
기업용 보안 환경에서는 포티게이트와 같은 차세대 방화벽 솔루션이 여전히 중요하다. 네트워크 단에서부터 트래픽을 정밀하게 제어해야 하기 때문이다. 정보보안산업기사 자격증을 준비하거나 CCE(공통기준) 인증 등을 접하는 전문가들은 소프트웨어 단일 보호보다 네트워크와 클라우드 전체를 아우르는 통합 보안에 집중한다. 최근에는 대학생들의 해커톤에서도 보이스피싱을 막는 보안 프로그램을 직접 개발하는 등, 보안 기술이 단순 방어에서 사용자 안전을 도모하는 실질적인 서비스 형태로 진화하고 있다는 점이 흥미롭다.
여전히 남은 사용자의 체감 편차
모든 영역이 최신 보안 방식으로 빠르게 바뀌고 있지만, 여전히 일부 환경에서는 구형 보안 프로그램을 요구하는 경우가 있다. 특히 금융 업무나 무인경비업체 시스템 연동 시에는 보안 호환성 문제로 인해 최신 브라우저와 충돌이 발생하기도 한다. 매달 수십만 원의 유지비를 내는 클라우드 바우처 서비스를 이용하는 기업들도, 이런 레거시 프로그램과의 충돌을 해결하는 데 상당한 시간을 쓴다. 결국 보안은 완벽한 자동화보다는 매번 업데이트되는 위협에 맞춰 정책을 관리하는 꾸준한 노력이 더 중요한 분야인 것 같다.
저도 버그바운티 제도가 보안에 큰 도움이 된다고 생각해요. 개인의 참여를 유도하는 방식이 기존 보안 시스템과는 다른 관점에서 흥미로운 것 같습니다.
클라우드 인증 방식이 바뀌면서 PC 속도 문제도 많이 줄었네요. 특히 기업 환경에서는 통합 보안이 더 중요해지는 것 같아요.