보안 내재화(Security by Design)
김인순 보안 전문기자
카카오뱅크가 세간의 이목을 집중시켰다. 기존의 모바일 뱅킹에서 당연시해 온 보안 절차는 사라지고 단순한 인증과 이체가 눈길을 끌었다. 사용자는 물론 경쟁 은행도 놀랐다. 여기저기서 카카오뱅크 보안의 비밀을 파헤쳤다. 어떤 보안 솔루션을 썻는지를 찾기에 급급했다. 그런데 이렇다 할 제품을 찾을 수 없었다.
기술이 아니라 프로세스를 바꿨기 때문이다. 서비스 설계 처음부터 보안을 고려했다. 보안 내재화(Security by Design)다. 그동안 국내 기업은 특정 서비스나 제품을 만들 때 보안을 고려하지 않았다. 우선 서비스를 만들고 내부나 외부 해커를 이용, 취약점을 찾았다. 이후 구멍 난 부분을 메꿨다. 구멍은 계속 발견되고, 그때마다 이를 보완하기에 급급했다. 서비스는 점점 누더기가 됐다.
카카오뱅크는 우선 가장 튼튼한 집을 지을 수 있는 별돌과 진흙을 골랐다. 틈을 만들지 않는 설계를 하고, 벽돌을 쌓아 올렸다. 가능한한 재료의 특성을 최대한 활용하면서 틈을 만들지 않는 형태를 고려했다. 서비스 설계부터 보안팀과 개발팀이 함께 편의성, 안전성을 고민했다. 선 개발 후 보안 방식을 버렸다. 운용체계(OS)와 단말기의 보안 기능을 최대한 활용, 서비스를 구현했다.
뱅킹은 물론 사물인터넷(IoT)은 반드시 보안을 먼저 고려해야 한다. 보안이 안 된 IoT는 재앙을 부른다. IoT기기는 저전력에다 메모리 용량도 작다. 한 번 설치되면 프로그램 업데이트 등 사후 관리가 어렵다. 보안 내재화는 선택이 아닌 필수다.