본문 바로가기

사이버보안

[보안동향] 효율적인 ‘방화벽 정책 관리’ 두 가지만 기억하세요! 2편 지난 글에서는 방화벽 정책 관리의 주요 문제점을 알아보았습니다. 이번 글에서는 방화벽 정책의 효율적인 관리 방안을 살펴보겠습니다. 그렇다면 방화벽 정책의 효율적인 관리 방안은 무엇일까요? 1. 먼저 기업, 기관의 업무환경에 맞는 정책관리 기준과 절차를 수립하고 이행하는 것입니다. 기업과 기관에서는 수년간 운영해오던 수많은 방화벽 정책에서 단 한개의 잘못된 삭제가 서비스 중단으로 이어지진 않을까 하는 불안감 때문에 정책 관리를 포기할 수 있습니다. 이러한 사태를 예방하기 위해, 네트워크 Zone 분리를 위한 내/외부 방화벽 서비스 용도에 맞은 운영 기준을 설정해야 합니다. 또한, 서비스, 관리/운영, 테스트, 차단 룰 등의 룰 관리 정책을 수립하고 정기적으로 적정성 검토를 수행하는 절차가 필요합니다. 아래.. 더보기
사이버 보안의 대세는 ‘Zero Trust’, 7가지 기본 원칙을 살펴보자! 제로 트러스트(Zero Trust)를 구현하는 기본적인 내용은 단순합니다. 사용자는 정책결정포인트(Policy Decision Point, PDP)에서 인증한 ID와 연관된 여러 가지 상황에 따라, 정책집행포인트(policy Enforcement Point, PEP)가 부여한 최소한의 권한으로 자원에 접근합니다. 또한, 권한을 부여한 이후에도 ID와 컨텍스트(Context)를 지속해서 검증해 접근을 허용하거나 차단하는 형태로 구현합니다. 미국 국립표준기술연구소(NIST)는 2020년 ZTA(Zero Trust Architecture)를 실현하기 위한 기본 원칙을 7가지로 정리해 발표했습니다. 원칙은 이상적인 목표이지만, 모든 원칙이 Zero Trust에 순수하게 반영될 수 없다는 걸 인정해야 한다는 전제.. 더보기
아무것도 신뢰하지 않는 보안 전략, ‘Zero Trust’ 제로트러스트(Zero Trust)는 '아무것도 신뢰하지 않는다'는 것을 기본 전제로 삼는 보안 개념입니다. 2010년, 세계 3대 리서치 기업 중 하나인 포레스터 리서치의 분석가 존 킨더백(John Kindervag)이 기업 내 보안 및 액세스 컨트롤을 설명하기 위해 사용하면서 주목받기 시작했죠. 전통적인 보안 시스템은 액세스 지점에서 신뢰하는 사용자나 단말기를(내부 네트워크) 인식해 권한을 확인합니다. 반면, Zero Trust는 신뢰하는 내부자나 단말기의 여부와 상관없이 철저하게 검증하고 권한을 부여한 뒤에도 접근 범위를 최소화합니다. Zero Trust는 한동안 추상적이고 신선하지 않은 개념으로 여겨졌습니다. Zero Trust 실현에 필요한 시스템 중 하나인 싱글 사인 온(Single Sign O.. 더보기
[보안동향] 치밀하게 접근하는 ‘디도스’ 공격, 이렇게 대응하세요! 지난 글에서는 랜섬 디도스와 주요 디도스 공격 유형에 관해 살펴보았습니다. 이번 글에서는 디도스 공격에 어떻게 대응해야 하는지 함께 알아보도록 하겠습니다. 디도스 공격에 대한 대응 방안으로는 자체 방어와 디도스 대응 서비스를 통한 방법이 있습니다. 첫째로, 자체 방어는 자체 디도스 방어 솔루션과 내부 보안 인력을 통해 대응하는 방법인데요. 내부 업무, 서비스에 대한 세밀한 분석을 통해서 최적화된 보안정책을 적용해 비정상적인 외부 트래픽에 대응할 수 있어야 합니다. 또한, 사전에 디도스 공격에 대응하기 위한 충분한 회선과 자원 용량 대비와 함께 디도스 발생 시 대응할 수 있는 대응 프로세스를 수립해 놓아야 합니다. 이러한 대응 프로세스는 주기적으로 자체 또는 외부 기관(민간업체, 금융보안연구원, KISA .. 더보기
[보안동향] 놓칠 수 없는 ESG 트렌드, ‘정보보안’을 잡아라! 2019년 8월, 애플과 아마존 등 미국을 대표하는 180여 개 기업의 CEO를 대변하는 비즈니스 라운드 테이블(BRT)은 '기업의 목적에 대한 성명'을 발표했습니다. 이를 통해 기업의 주주뿐만 아니라 근로자와 고객, 사회 등 기업의 다른 이해관계자에 대한 사회적 책임을 이행하겠다는 의지를 내보였죠. 최근 몇 년 사이 기업에 대한 사회적 책임에 대한 목소리가 커지면서, ESG(Environment, Social and Governance) 경영을 도입하고 있는 기업이 점차 늘고 있습니다. 자본주의가 시작된 이후 기업의 목적은 이윤 추구로 여겨졌는데요. 기후 위기와 코로나 19 팬데믹을 겪으며 기업의 사회적 책임이 중요해지면서 많은 투자기관에서는 ESG를 투자의 중요한 평가지표로 활용하고 있습니다. ESG.. 더보기
2022년 가트너가 주목한 IT 전략 기술 트렌드, 지금 바로 확인! 2편 지난 콘텐츠에서는 가트너가 발표한 2022년 IT 전략 기술 트렌드 1~6까지 소개해드렸습니다. 이번 콘텐츠에서는 2022 IT 전략 기술 트렌드 7~12를 알아보겠습니다. 하이퍼오토메이션(Hyperautomation) 즉, 하이퍼자동화는 가능한 한 많은 비즈니스 및 IT 프로세스를 신속하게 판별, 조사, 자동화하기 위한 비즈니스 기반 접근법으로, 가장 최적화된 경로를 제안할 수 있는 기술입니다. 이를 달성하기 위해서는 작업 품질 개선, 비즈니스 프로세스 속도 가속화 및 의사결정의 민첩성 등의 영역에 집중해야 한다고 밝혔습니다. 가트너 연구 결과에 따르면 뛰어난 하이퍼오토메이션 팀은 업무 품질 향상, 비즈니스 프로세스 속도 향상, 의사결정의 민첩성 향상이라는 세 가지 핵심 우선순위에 초점을 맞추고 실천한.. 더보기
2022년 가트너가 주목한 IT 전략 기술 트렌드, 지금 바로 확인! 1편 IT분야의 연구와 자문을 담당하고 있는 미국 시장조사 기업 '가트너(Gartner)'는 매년 비즈니스에 중요한 기술 전략들을 발표해왔습니다. 많은 기업과 정부들이 가트너가 발표한 전략 기술 트렌드를 참고하고 있죠. 가트너는 올해도 향후 3~5년 동안 디지털 비즈니스와 혁신의 원동력이 될 것으로 예상되는 2022년 디지털 기술 트렌드를 발표했습니다. 신뢰 구축(Engineering Trust), 변화 형성(Sculpting Change), 성장 가속(Accelerating Growth)이라는 세 가지 주제 아래 12가지 트렌드를 제시했죠. 지금부터 2022년 전략 기술 트렌드 TOP 12를 통해 올해 어떤 IT기술 트렌드가 떠오를지 함께 살펴보겠습니다. 첫 번째는 데이터 패브릭(Data Fabric) 입니.. 더보기
[보안동향] 일상 속에 스며든 ‘블록체인’, 안전하게 도입하려면? 2편 지난 콘텐츠에서는 블록체인 기술의 보안 이슈와 블록체인 도입에 있어 사이버 보안의 역할에 대해 알아보았습니다. 이번 글에서는 중요한 보안 권장 사항과 함께 안전한 블록체인 도입을 위한 10단계 프로세스를 소개하겠습니다. 블록체인 기술이 실제 비즈니스 니즈를 해결하는데 합당한 솔루션이라는 긍정적인 비즈니스 평가가 이루어지면, 조직은 보안 고려사항을 포함한 주요 성공 요소에 주의를 기울여야 합니다. 성공적인 보안 사례로 이끄는 10단계의 안전한 도입 가이드를 살펴보겠습니다. 1 단계: 블록체인 보안 전문가 확보 블록체인 도입을 고려하기 전, 가장 중요한 첫 번째 단계는 블록체인 보안 전문가를 확보하는 것입니다. 조직의 리소스와 블록체인 서비스의 중요도 및 목적에 따라 전문가를 아웃소싱 하거나 신뢰할 수 있는.. 더보기