데이터가 자산이라는 말이 나온 지 한참인데, 아직 우리는 데이터 중심의 사고를 어려워하고 있다. 이 부분이 RSA에서도 지적이 되고 있다. 이에 CISO들이 모여 데이터 중심의 사고를 조금 더 쉽게 만들어 줄 프레임워크를 발표했다.
[보안뉴스 문가용 기자] 데이터보안성숙도모델(Data Security Maturity Model, DSMM)을 만든 전문가 모임인 사이버헤이븐(Cyberhaven)이 두 번째 보안 프레임워크를 올해 RSA에서 발표했다. 이를 적용할 경우 데이터 유출을 보다 효과적으로 예방할 수 있을 것이라고 한다. 사이버헤이븐은 보안 업체 주피터원(JupiterOne)의 CISO인 유순일(Sounil Yu) 씨가 이끌고 있으며, 수많은 기업들로 구성되어 있다. 사이버헤이븐에 참여하고 있는 전문가들 중 네 명이 RSA 패널 토의에 나와 사이버 보안 프레임워크에 대한 이야기를 나누었다.
[이미지 = utoimage]
먼저 DSMM은 NIST의 사이버보안 프레임워크(Cybersecurity Framework)와 사이버방어매트릭스(Cyber Defense Matrix)와도 맥락을 같이 하고 있으며, 데이터를 위주로 한 보안의 개념을 정립하는 장치라고 볼 수 있다. DSMM이 정의하는 데이터 보안의 5요소는 다음과 같다.
1) 식별과 분류 : 데이터 보안 프로그램에서 다뤄지는 모든 종류의 데이터를 찾아내고 항목별로 나눈다.
2) 보호 : 민감한 데이터에 대한 접근 규칙과 방법을 설정해 노출을 최소화 한다.
3) 탐지 : 데이터를 위협하는 요소들을 수집하고 분석해 보안 사고 및 정책 위반 상황을 파악한다.
4) 대응 : 사고로 이어질 만한 것을 3)단계에서 탐지했다면 즉각적으로 취할 수 있는 행동들이 무엇인지 파악하고 실시한다.
5) 복구와 향상 : 공격 이전 상황으로 되돌리는 것 뿐만 아니라 비슷한 사고의 재발을 막기 위해 보안을 강화한다.
그렇다면 이번에 발표된 두 번째 프레임워크는 이 첫 번째 원칙들에 비해 어떤 점에서 달라졌을까? 간단히 말해 기존의 다섯 가지 항목을 좀 더 세분화 하여 설명하고 있다. 어떤 상황과 맥락에서 이 다섯 가지 원칙이 어떤 식으로 적용될 수 있는지를 상세하게 분석함으로써 원칙이 하나의 좋은 이론으로 남아있지 않고 실제 현장에서 실용적으로 활용될 수 있도록 한 것이다.
데이터와 디지털 전환이 가져오는 문제
먼저 패널 중 한 명이자 모토롤라모빌리티(Motorola Mobility)의 CISO인 리차드 러싱(Richard Rushing)은 “디지털 전환이 모든 기업들의 과제인 지금 시점에서 생성되는 모든 데이터가 항상 안전할 수 있도록 보호 장치를 마련하는 것은 반드시 필요한 일”이라며 “이전처럼 기업이 각개전투를 벌이는 방식으로는 이뤄낼 수 없다”고 강조했다.
“데이터를 장비와 애플리케이션, 네트워크의 부산물로 바라보는 시각을 가지고는 지금 시대에 맞는 정보 보안을 구축할 수 없습니다. 데이터 자체가 보안의 한 중심에 있어야 합니다.” 그러면서 그는 “데이터를 보안의 핵심으로 받아들인다는 건, 결국 보안이 데이터 활용을 더 활성화시키는 역할을 해야 된다는 뜻”이라고 설명을 덧붙였다. “이런 개념은 보안에 대한 사고방식 자체를 뒤집는 것이라 실제 현장에서 적용되는 게 쉽지 않습니다.”
그러면서 그는 ‘데이터 중심의 보안’이 시급하게 다뤄야할 문제는 데이터의 양적 팽창이라고 짚기도 했다. “데이터는 글자 그대로 ‘기하급수적’으로 늘어나고 있습니다. 제가 올해 생성하는 모든 데이터는 내년에 2.5배 늘어날 겁니다. 그런 식입니다. 우리는 데이터를 미친 듯이 많이 만들어내고, 닥치는 대로 저장소에 쑤셔넣고 있습니다. 그걸 데이터 수집이나 보관이라고 칭하면 안 되죠. 막무가내로 일단 쌓고 보는 거니까요. 그러니까 보호도 되지 않는 것이고요. 데이터 보안의 출발점은 바로 데이터에 대한 개념 정립부터일지도 모릅니다.”
제품 발표회를 예로 들면서 러싱은 설명을 이어갔다. “새로운 제품을 출시할 때, 우리 어떻게 하나요? 제일 먼저는 그 새 제품에 대해서 아무도 모르게 하죠. 심지어 보도자료를 배포할 때에도 엠바고를 걸어요. 새 제품의 공식 출시일 이전까지는 모든 정보가 ‘지적 재산’에 해당하니까요. 기업 전체가 바짝 긴장해서 이 비밀을 지키죠. 그리고 대망의 발표일이 지납니다. 어떻게 되나요? 갑자기 아무도 그 비밀을 지키지 않게 됩니다. 아니, 비밀이었다는 사실을 기억조차 못하는 것처럼 마구 정보를 다루죠. 데이터 중심의 보안이라는 것은 세상에 발표되기 전의 신제품 정보를 간수하는 태도를 말합니다.”
새 프레임워크
러싱은 이번에 발표된 새로운 프레임워크는 “데이터 수집과 관리에 대한 지금의 혼란스러운 형국을 바꾸기 위한 것”이라고 정리한다. “데이터를 잘 모으고 잘 관리하는 것부터가 보안의 시작입니다. 마구잡이식 저장, 더는 안 됩니다.” 또한 대기업이든 중소기업이든 모두 실질적으로 적용할 수 있을 만한 원칙과 내용들을 담아내는 데 신경을 많이 썼다고 그는 강조했다. “보안은 이론만으로는 아무 의미를 갖지 못합니다. 실제 구현되어야 합니다.”
그렇다고 이번 프레임워크 하나만 있으면 데이터 보안에 대한 고민이 끝난다는 건 아니라고 그는 강조했다. “만병통치약이 보안에 있을 수 없다는 건 이미 십수 년째 증명되어 온 사실입니다. 저희도 프레임워크를 준비하며 그런 욕심을 내지 않았습니다. 대신 거의 모든 IT 환경을 상정하며 누구나 유연하게 이 프레임워크를 구현할 수 있도록 했습니다.”
러싱은 “이번 프레임워크의 가장 큰 의미는 ‘데이터 중심의 사고방식으로 지금 당장 전환하기 시작하자’는 메시지를 전파하고 있다는 것”이라고 결론을 내린다. “분명히 시간이 걸리는 일입니다. 사고방식 자체를 바꾸는 것이 원래 그렇지요. 처음부터 다 잘 될 수도 없고요. 그러니 더더욱 지금 시작해야 하는 겁니다.”
3줄 요약
1. 디지털 전환이 진행되는 시대, 데이터 중심의 사고방식이 필요.
2. 이를 위해 사이버헤이븐이라는 CISO 조직에서 새로운 프레임워크를 발표.
3. 데이터는 시스템과 네트워크 운영의 부산물이 아님.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 데이터보안성숙도모델(Data Security Maturity Model, DSMM)을 만든 전문가 모임인 사이버헤이븐(Cyberhaven)이 두 번째 보안 프레임워크를 올해 RSA에서 발표했다. 이를 적용할 경우 데이터 유출을 보다 효과적으로 예방할 수 있을 것이라고 한다. 사이버헤이븐은 보안 업체 주피터원(JupiterOne)의 CISO인 유순일(Sounil Yu) 씨가 이끌고 있으며, 수많은 기업들로 구성되어 있다. 사이버헤이븐에 참여하고 있는 전문가들 중 네 명이 RSA 패널 토의에 나와 사이버 보안 프레임워크에 대한 이야기를 나누었다.
[이미지 = utoimage]
먼저 DSMM은 NIST의 사이버보안 프레임워크(Cybersecurity Framework)와 사이버방어매트릭스(Cyber Defense Matrix)와도 맥락을 같이 하고 있으며, 데이터를 위주로 한 보안의 개념을 정립하는 장치라고 볼 수 있다. DSMM이 정의하는 데이터 보안의 5요소는 다음과 같다.
1) 식별과 분류 : 데이터 보안 프로그램에서 다뤄지는 모든 종류의 데이터를 찾아내고 항목별로 나눈다.
2) 보호 : 민감한 데이터에 대한 접근 규칙과 방법을 설정해 노출을 최소화 한다.
3) 탐지 : 데이터를 위협하는 요소들을 수집하고 분석해 보안 사고 및 정책 위반 상황을 파악한다.
4) 대응 : 사고로 이어질 만한 것을 3)단계에서 탐지했다면 즉각적으로 취할 수 있는 행동들이 무엇인지 파악하고 실시한다.
5) 복구와 향상 : 공격 이전 상황으로 되돌리는 것 뿐만 아니라 비슷한 사고의 재발을 막기 위해 보안을 강화한다.
그렇다면 이번에 발표된 두 번째 프레임워크는 이 첫 번째 원칙들에 비해 어떤 점에서 달라졌을까? 간단히 말해 기존의 다섯 가지 항목을 좀 더 세분화 하여 설명하고 있다. 어떤 상황과 맥락에서 이 다섯 가지 원칙이 어떤 식으로 적용될 수 있는지를 상세하게 분석함으로써 원칙이 하나의 좋은 이론으로 남아있지 않고 실제 현장에서 실용적으로 활용될 수 있도록 한 것이다.
데이터와 디지털 전환이 가져오는 문제
먼저 패널 중 한 명이자 모토롤라모빌리티(Motorola Mobility)의 CISO인 리차드 러싱(Richard Rushing)은 “디지털 전환이 모든 기업들의 과제인 지금 시점에서 생성되는 모든 데이터가 항상 안전할 수 있도록 보호 장치를 마련하는 것은 반드시 필요한 일”이라며 “이전처럼 기업이 각개전투를 벌이는 방식으로는 이뤄낼 수 없다”고 강조했다.
“데이터를 장비와 애플리케이션, 네트워크의 부산물로 바라보는 시각을 가지고는 지금 시대에 맞는 정보 보안을 구축할 수 없습니다. 데이터 자체가 보안의 한 중심에 있어야 합니다.” 그러면서 그는 “데이터를 보안의 핵심으로 받아들인다는 건, 결국 보안이 데이터 활용을 더 활성화시키는 역할을 해야 된다는 뜻”이라고 설명을 덧붙였다. “이런 개념은 보안에 대한 사고방식 자체를 뒤집는 것이라 실제 현장에서 적용되는 게 쉽지 않습니다.”
그러면서 그는 ‘데이터 중심의 보안’이 시급하게 다뤄야할 문제는 데이터의 양적 팽창이라고 짚기도 했다. “데이터는 글자 그대로 ‘기하급수적’으로 늘어나고 있습니다. 제가 올해 생성하는 모든 데이터는 내년에 2.5배 늘어날 겁니다. 그런 식입니다. 우리는 데이터를 미친 듯이 많이 만들어내고, 닥치는 대로 저장소에 쑤셔넣고 있습니다. 그걸 데이터 수집이나 보관이라고 칭하면 안 되죠. 막무가내로 일단 쌓고 보는 거니까요. 그러니까 보호도 되지 않는 것이고요. 데이터 보안의 출발점은 바로 데이터에 대한 개념 정립부터일지도 모릅니다.”
제품 발표회를 예로 들면서 러싱은 설명을 이어갔다. “새로운 제품을 출시할 때, 우리 어떻게 하나요? 제일 먼저는 그 새 제품에 대해서 아무도 모르게 하죠. 심지어 보도자료를 배포할 때에도 엠바고를 걸어요. 새 제품의 공식 출시일 이전까지는 모든 정보가 ‘지적 재산’에 해당하니까요. 기업 전체가 바짝 긴장해서 이 비밀을 지키죠. 그리고 대망의 발표일이 지납니다. 어떻게 되나요? 갑자기 아무도 그 비밀을 지키지 않게 됩니다. 아니, 비밀이었다는 사실을 기억조차 못하는 것처럼 마구 정보를 다루죠. 데이터 중심의 보안이라는 것은 세상에 발표되기 전의 신제품 정보를 간수하는 태도를 말합니다.”
새 프레임워크
러싱은 이번에 발표된 새로운 프레임워크는 “데이터 수집과 관리에 대한 지금의 혼란스러운 형국을 바꾸기 위한 것”이라고 정리한다. “데이터를 잘 모으고 잘 관리하는 것부터가 보안의 시작입니다. 마구잡이식 저장, 더는 안 됩니다.” 또한 대기업이든 중소기업이든 모두 실질적으로 적용할 수 있을 만한 원칙과 내용들을 담아내는 데 신경을 많이 썼다고 그는 강조했다. “보안은 이론만으로는 아무 의미를 갖지 못합니다. 실제 구현되어야 합니다.”
그렇다고 이번 프레임워크 하나만 있으면 데이터 보안에 대한 고민이 끝난다는 건 아니라고 그는 강조했다. “만병통치약이 보안에 있을 수 없다는 건 이미 십수 년째 증명되어 온 사실입니다. 저희도 프레임워크를 준비하며 그런 욕심을 내지 않았습니다. 대신 거의 모든 IT 환경을 상정하며 누구나 유연하게 이 프레임워크를 구현할 수 있도록 했습니다.”
러싱은 “이번 프레임워크의 가장 큰 의미는 ‘데이터 중심의 사고방식으로 지금 당장 전환하기 시작하자’는 메시지를 전파하고 있다는 것”이라고 결론을 내린다. “분명히 시간이 걸리는 일입니다. 사고방식 자체를 바꾸는 것이 원래 그렇지요. 처음부터 다 잘 될 수도 없고요. 그러니 더더욱 지금 시작해야 하는 겁니다.”
3줄 요약
1. 디지털 전환이 진행되는 시대, 데이터 중심의 사고방식이 필요.
2. 이를 위해 사이버헤이븐이라는 CISO 조직에서 새로운 프레임워크를 발표.
3. 데이터는 시스템과 네트워크 운영의 부산물이 아님.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
