IT Solutions/Security

최신 보안위협에 대한 대응 방안은?

2017.03.27 09:40

최근, 언론을 통해 보안사고 관련 기사를 자주 보셨을 것입니다. 사실, 기사를 못 보신 날이 없을 만큼, 보안사고는 우리 일상 속에서 자주 일어나고 있는데요. 그만큼, 조직 내 보안담당자와 정보보호 최고책임자(Chief Information Security Officer, CISO)의 고민은 깊어질 수밖에 없는 것 같습니다. 보안담당자는 항상 이런 고민을 하게 됩니다.

 

‘지속적인 투자는 진행하고 있지만, 보안사고는 계속 발생되고… 

현재 우리 회사는 정말 안전한 것인가?’

‘보안사고를 예방할 수 있는 효과적인 방법은 없을까?’


본 기고에서는 최근 보안의 ‘Trend’를 살펴보면서 이러한 고민을 해결할 수 있는 실마리를 같이 고민해 보고, 대응 방향을 제시하고자 합니다.



 보안 Risk 관리는 어떻게 해야 할까?

먼저, 우리가 보호해야 할 대상이 어떻게 변화하고 있는지에 대한 이해가 필요합니다. 최근 4차 산업혁명이 화두가 되면서, 인공지능(Artificial intelligence, AI), 로봇공학, 사물 인터넷(Internet of Things, IoT), 무인 운송 수단(무인 항공기, 무인 자동차), 3차원 인쇄, 나노 기술과 같은 6대 분야에서 새로운 기술 혁신이 이루어지고 있는데요.

이에 따라 기업 내에서는 새로운 형태의 생산 방식과 비즈니스에 대한 검토와 전환이 빠르게 이루어지고 있습니다. 특히, IoT Device의 확산에 따라 기업 내에서 보호•관리해야 하는 대상이 기하급수적 증가하고 있어서 비즈니스 형태에 따라 보안 관리 범위가 기하급수적으로 증가할 수도 있는 상황에 처해 있습니다.

Gartner에서 발표한 자료에 따르면, IoT Device는 전세계적으로 2017년 84억대에 이르고, 2020년에는 200억대 이상으로 증가할 것으로 예상하고 있습니다.
 


이에 따라 각 기업의 보안담당자와 CISO는 신기술 도입에 의한 보안 Risk와 새로운 비즈니스에 대한 보안 Risk 등에 대해 빠르게 검토를 진행하여야 합니다. 또한, 기업 전반의 변화에 따른 보안 Risk의 변화를 지속적으로 모니터링하고, 신속하게 대응 방안을 준비해야 하는 상황이기도 합니다.



 보안 위협 요소 예측

다음으로 우리 주변의 위협 상황이 어떻게 변화하고 있는지 살펴볼 필요가 있습니다. 국내외 보안 관련 기관 및 업계에서는 2017년의 주요 보안 위협을 다음과 같이 전망하고 있습니다.


2017년에도 공통적으로 APT(Advanced Persistent Threat), 랜섬웨어와 같은 사이버 공격의 지속적인 발생을 전망하고 있는데요. 특히, 국내 기관 및 업계는 5월 대선 등 정치적 일정에 따라 사이버테러 등의 발생을 경고하고 있습니다. 또한, IoT Device 확산에 따라 생활정보의 유출 등과 같이 개인 정보 유출로 인한 피해의 확산에 대한 경고도 눈에 띄는 부분이라고 할 수 있습니다.


랜섬웨어와 같은 사이버 인질극에서 볼 수 있듯이, 이러한 사이버 공격은 점점 더 현실 세계 범죄를 모방하거나, 현실 세계의 범죄(사기, 강절도 등)를 지원하는 수단으로 더욱 빠르게 변화될 것으로 예측됩니다.



아울러, 빅데이터(Big Data) 확산과 AI의 도입 등으로 인해 대량의 데이터를 가공하고 분석하는 일이 가능해 졌습니다. 이를 토대로 의사결정을 진행하는 형태의 기술이 빠르게 확산되고 있는데요. 


이에 따라 APT 공격은 지금과 같은 직접적인 피해(개인정보 유출, 핵심기술 유출, 서비스 중지 등)를 일으키는 방식에서 변화하여, 대량의 Data를 지속적으로 조직 내에 유포하는 의사결정을 왜곡하는 보이지 않는 공격(Invisible attack)이 가능할 것으로 예측됩니다. 



 보안 위협에 대한 대응 방안은?

이와 같은 지능화된 공격에 대응하기 위해 최근 머신 러닝(machine learning, 기계학습), AI 등을 활용한 지능화된 보안 솔루션이 출시되고 있습니다. 이를 적용하기 위한 검토 작업도 활발하게 진행되고 있는 추세입니다. 그러나, 아직 기술적인 성숙도가 원하는 수준에 이르지 못하여, 각 기업의 보안담당자와 CISO의 고민은 깊어질 수밖에 없는 상황인 것 같습니다.


이러한 내외부의 변화를 종합해 볼 때, 현재는 기업의 보안관리체계를 근저에서부터 재검토하여 재설계해야 할 시점이며, 이러한 보안관리체계 재설계를 위한 세 가지 대응 방향을 제시하고자 합니다.


① 보안 Risk 를 근원적으로 차단하는 형태의 관리체계를 검토해야 합니다.


과거부터 우리는 운영하는 IT 인프라(서버, 네트워크, 애플리케이션, DB, End Point 장비 등)의 취약점을 어떻게 효과적으로 관리할 것인가 고민해 왔습니다. 물론, 지금도 대부분 시간을 여기에 투자하며 관리체계를 설계하고 있습니다.


즉, 현황 분석을 통해 취약한 부분을 찾고, 이를 개선하는 형태로 관리체계를 설계해 왔다고 볼 수 있는데요. 이러한 형태의 관리체계는 지금과 같이 보호 대상이 폭발적으로 증가하고 있는 상황에서는 많은 비용과 인력이 필요할 수 밖에 없습니다. 사각지대가 발생할 수 있는 가능성이 높아질 수 밖에 없는 것이죠.


이를 예방하기 위해서는 취약점을 개선하는 것이 아닌, 보안 Risk를 근원적으로 차단하는 방법을 먼저 고민하는 형태로 관리체계를 설계하여야 합니다. 이러한 형태의 대표적인 대책이 망분리일 것 같습니다. 인터넷으로부터의 공격을 차단하기 위해 업무망을 인터넷 사용 환경과 분리하여 인터넷으로부터의 위협 자체를 제거하는 방식입니다.



스마트폰으로 인한 정보 유출이 고민이 된다면, 스마트폰을 사용하지 않도록 하는 방안을 먼저 고민하는 것이죠. 혹은 방문자로 인한 위협이 고민이 된다면, 방문자가 없는 환경을 어떻게 만들 것인가를 먼저 고민해 보자는 것입니다.

 

다시 말해, 위협의 근원을 제거하는 방법을 보안 관리체계 설계 시 우선적으로 고민하여야 한다는 말입니다. 물론, 위협의 근원을 제거할 수 없는 환경에서는 지금까지와 같이 취약점을 제거하거나 관리하는 형태의 대책을 적용해야 합니다.



② 실질적인 Risk 평가와 관리가 필요한 시점입니다.


이제는 제대로 Risk를 평가하여 조직 내에서 집중적으로 관리해야 할 영역을 선택하여야 합니다. 즉, 기업의 사활이 걸린 정보가 무엇인지 파악하여, 정보 유출의 Risk를 근원적으로 예방할 수 있는 대책을 수립해야 합니다. 기업의 브랜드에 치명적인 영향을 줄 수 있는 요소는 무엇인지 분석하여, 기업 내 대외홍보 조직과 연계하여 어떻게 대응할 것인지를 검토하여야 합니다.


현재 진행 중인 사업과 관련하여 검토해야 할 준수(Compliance) 요건이 무엇인지 기업 내 법무 조직과 함께 대응책을 수립해야 합니다. 이제 서버, 응용시스템 취약점 점검 결과로 Risk를 평가하고, 취약점을 개선하는 식의 형식적인 Risk 평가와 관리는 지양해야 합니다. 이제는 조직 전반에 걸쳐 보안 Risk를 평가하고, 대응할 수 있는 틀을 마련해야 할 시점입니다.


③ 실행력을 높여야 합니다.


아무리 좋은 솔루션과 프로세스가 있더라도, 운영하는 사람이 제대로 원칙을 지키지 않고 책임을 소홀히 할 때, 보안사고는 발생합니다. 그렇기 때문에, 보안규정과 원칙을 철저히 준수할 수 있도록 실행력을 높이는 것이 중요합니다. 이를 위해서는 우선 조직 전반적으로 보안규정을 준수하는 문화가 만들어져야 합니다.

보안은 사람을 변화시키는 과정입니다. 즉, 패스워드를 주기적으로 바꾸지 않는 사람을 주기적으로 바꾸는 사람으로 변화시키는 것입니다. 일회성 교육과 홍보만으로 사람은 변화되지 않기 때문에 장기적인 관점에서 조직 내 인사 부서와 같이 조직문화를 어떻게 보안 친화적으로 바꿀 것인가를 고민해야 할 시점입니다. 


이제 더 이상 보안정책과 지침은 책이 되어서는 안 됩니다. 집안 한 귀퉁이에 있는 장서용 도서처럼 기업 내 보안담당자도 제대로 읽어보지 않는 규정이 되어서는 안 된다는 이야기입니다. 단 하나의 규정이라도 조직 내 모든 사람이 지킬 수 있도록 해야 합니다.


다음으로, 실행력을 높이기 위해서는 기존에 잘 운영되고 있는 다양한 관리 프로세스 내에 보안관리 프로세스를 내재화시켜야 합니다. 예를 들면, 기존 제품의 품질관리 프로세스에 보안관리 항목을 반영시켜, 제품의 보안성을 높이는 형태를 고민해야 합니다. 이처럼, 조직 전반에 걸쳐 보안관리 프로세스를 내재화시키는 방안을 차근차근 검토해야 할 것입니다. 


현재는 기업의 보안관리체계를 근저에서부터 재검토하여 재설계해야 할 시점입니다. 빠르게 변화하고 있는 내부 비즈니스 환경과 지능적으로 변화하고 있는 외부 위협 환경에 효과적으로 대응할 수 있는 보안관리체계의 설계를 지금 시작해 봅시다!



글 | LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로