[3줄 요약]
1. “IT 조직 보안 정책 누락으로 사고나도 책임은 보안 조직만”
2. 해외처럼 인프라 운영 조직에도 보안 책임 역할 부여해야
3. “개발만 잘하면 된다” 인식 개선돼야
[보안뉴스 강현주 기자] 쿠팡 이용자 3370만명의 개인정보가 유출된 역대급 사고가 발생하면서, 최고정보책임자(CIO)와 최고기술책임자(CTO)의 보안 책임을 강화해야 한다는 여론이 다시 불붙고 있다.
16일 보안 전문가들 사이에서는 이번 쿠팡 사고를 계기로 CIO가 이끄는 IT 조직의 보안 책임 강화를 위한 역할 분담이 이뤄져야 한다는 목소리가 높다. IT 인프라의 보안 운영은 IT 조직과 보안 조직이 협업하는데, 사고 책임은 오롯이 정보보호최고책임자(CISO)가 이끄는 보안 부서에만 몰리는 국내 문화가 비합리적이라는 여론이다.
[자료: 연합]
보안 정책 반영한 인증 업무 이행 주체는 ‘IT 부서’
이번 쿠팡 사고는 인증 관련 업무를 담당했던 전직원의 소행으로 수사 초점이 맞춰진 것으로 알려졌다. 시스템 ‘출입증’에 해당하는 인증토큰을 발급해주는 서명 키를 가지고 있던 전직원이, 퇴사 후에도 이 서명 키를 이용해 내부 시스템에 접근할 수 있었던 것으로 추정된다.
이에 따라 내부통제 문제와 함께 인증 프로세스 관리 미흡 문제가 이번 사고가 던진 화두다. 시스템 내부에 접근할 수 있는 인증 업무는 IT 조직의 주요 업무라는 면에서 IT 조직 보안 책임 강화론이 다시금 부상하는 것이다.
다수 보안 전문가들에 따르면, 기업에서 서명 키와 인증 방식 프로세스는 IT 조직이 개발하는 경우가 많다. 다만 이에 대한 보안 정책을 정하는 것은 보안 부서다. IT 조직은 해당 보안 정책을 반영해 인증 프로세스를 개발하고 이행하는 형태가 일반적이다.
문제는 이렇게 설정된 인증 프로세스의 실무를 IT 조직이 이행하는 과정에서 일부 정책을 누락하거나 오설계할 가능성이 존재한다. 또는 편의나 필요에 따라 고의적, 또는 실수로 보안 부서에서 전달한 정책의 변형이 일어나도 보안 부서에는 공유가 안되는 경우가 다반사다.
쿠팡 사고의 경우 정확한 원인은 조사 및 수사 결과가 밝혀지기 전에는 속단할 수 없다. 다만 그동안 밝혀진 정황으로 추정해보면, 인증 업무 관련 특정 보안 정책 누락이나 오설계가 발생했어도 제대로 인지되지 못했을 가능성이 크다는 게 전문가들의 설명이다. 특히 쿠팡은 보안 조직 대비 거대한 IT 부서에서 내부 개발자와 외주 개발자, 해외 개발자들이 일하고 있다. 운영상의 실수나 고의적 미흡의 탐지가 더욱 어려웠을 것이라는 추정이다.
유통 분야 보안 전문가 A씨는 “IT 조직과 보안 조직 운영 구조가 대동소이한 다수 기업들에게도 유사한 위험이 존재한다”며 “보안 정책을 IT 조직에서 누락해도 보안 조직에는 공유가 안되고, 결국 사고가 벌어지면 오로지 CISO에게만 책임이 전가되는 구조는 개선이 필요하다”고 말했다.
해외처럼 IT 조직도 보안 책임 같이 지는 구조 필요
이에 따라 기업의 보안에 대해 CISO뿐 아니라 인프라를 실제로 운영하는 CIO나 CTO에게도 보안 정책 관련 기술적 조치의 이행과 점검 역할을 정책을 통해 부여해야 한다는 목소리가 나온다.
어느 기업이라도 개발과 수정, 업데이트가 매일매일 수없이 일어나는 IT 부서의 인프라 운영상황을 전부 실시간으로 모니터링할 순 없다. 이 때문에 애초에 IT 부서에 보안을 위한 역할이 정해져 있어야 책임으로 이어질 수 있다는 얘기다.
A씨는 “IT 부서는 개발만 잘하면 된다는 인식이 있어 보안을 홀대하고 그 결과 사고가 나면 그 책임은 보안 부서에만 전가되는 악순환이 끊어지지 않으면 대형 사고는 끝없이 일어날 것”이라며 “CIO와 CTO에게도 보안 책임을 강화하는 실질적 역할을 부여해야 하며, CISO와 공동책임제로 가야할 것”이라고 강조했다.
실제로 미국 등 해외에서는 CIO나 CTO의 보안 책임이 국내 대비 강화돼 있다고 보안 전문가들은 설명한다.
국내와 미국에서 기업 보안을 담당했고, 현재 공격표면관리(ASM) 플랫폼 기업을 운영하는 강병탁 AI스페라 대표는 “기업에서 인증 토큰 발행과 인증 프로세스를 설계하는 것을 IT 부서 개발자가 대신 맡는 경우가 많으며, 보안 부서는 이에 대한 보안성 검토를 하고 보안 지침을 전달하는 역할을 한다”며 “이 과정에서 설령 IT 조직이 보안 부서의 지침을 지키지 않았다 해도 이것이 보안 부서에 실시간으로 공유되는 구조가 아니라는 게 대부분 기업들의 실정”이라고 설명했다.
강 대표는 “미국의 경우 이 같은 현실을 반영해 보안 사고가 나면 CIO나 CTO도 함께 책임을 지우는 제도적 근거가 있다”며 “반면 CISO에게만 책임을 묻고 있는 국내의 보안 체계는 개선돼야 한다“”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. “IT 조직 보안 정책 누락으로 사고나도 책임은 보안 조직만”
2. 해외처럼 인프라 운영 조직에도 보안 책임 역할 부여해야
3. “개발만 잘하면 된다” 인식 개선돼야
[보안뉴스 강현주 기자] 쿠팡 이용자 3370만명의 개인정보가 유출된 역대급 사고가 발생하면서, 최고정보책임자(CIO)와 최고기술책임자(CTO)의 보안 책임을 강화해야 한다는 여론이 다시 불붙고 있다.
16일 보안 전문가들 사이에서는 이번 쿠팡 사고를 계기로 CIO가 이끄는 IT 조직의 보안 책임 강화를 위한 역할 분담이 이뤄져야 한다는 목소리가 높다. IT 인프라의 보안 운영은 IT 조직과 보안 조직이 협업하는데, 사고 책임은 오롯이 정보보호최고책임자(CISO)가 이끄는 보안 부서에만 몰리는 국내 문화가 비합리적이라는 여론이다.
[자료: 연합]
보안 정책 반영한 인증 업무 이행 주체는 ‘IT 부서’
이번 쿠팡 사고는 인증 관련 업무를 담당했던 전직원의 소행으로 수사 초점이 맞춰진 것으로 알려졌다. 시스템 ‘출입증’에 해당하는 인증토큰을 발급해주는 서명 키를 가지고 있던 전직원이, 퇴사 후에도 이 서명 키를 이용해 내부 시스템에 접근할 수 있었던 것으로 추정된다.
이에 따라 내부통제 문제와 함께 인증 프로세스 관리 미흡 문제가 이번 사고가 던진 화두다. 시스템 내부에 접근할 수 있는 인증 업무는 IT 조직의 주요 업무라는 면에서 IT 조직 보안 책임 강화론이 다시금 부상하는 것이다.
다수 보안 전문가들에 따르면, 기업에서 서명 키와 인증 방식 프로세스는 IT 조직이 개발하는 경우가 많다. 다만 이에 대한 보안 정책을 정하는 것은 보안 부서다. IT 조직은 해당 보안 정책을 반영해 인증 프로세스를 개발하고 이행하는 형태가 일반적이다.
문제는 이렇게 설정된 인증 프로세스의 실무를 IT 조직이 이행하는 과정에서 일부 정책을 누락하거나 오설계할 가능성이 존재한다. 또는 편의나 필요에 따라 고의적, 또는 실수로 보안 부서에서 전달한 정책의 변형이 일어나도 보안 부서에는 공유가 안되는 경우가 다반사다.
쿠팡 사고의 경우 정확한 원인은 조사 및 수사 결과가 밝혀지기 전에는 속단할 수 없다. 다만 그동안 밝혀진 정황으로 추정해보면, 인증 업무 관련 특정 보안 정책 누락이나 오설계가 발생했어도 제대로 인지되지 못했을 가능성이 크다는 게 전문가들의 설명이다. 특히 쿠팡은 보안 조직 대비 거대한 IT 부서에서 내부 개발자와 외주 개발자, 해외 개발자들이 일하고 있다. 운영상의 실수나 고의적 미흡의 탐지가 더욱 어려웠을 것이라는 추정이다.
유통 분야 보안 전문가 A씨는 “IT 조직과 보안 조직 운영 구조가 대동소이한 다수 기업들에게도 유사한 위험이 존재한다”며 “보안 정책을 IT 조직에서 누락해도 보안 조직에는 공유가 안되고, 결국 사고가 벌어지면 오로지 CISO에게만 책임이 전가되는 구조는 개선이 필요하다”고 말했다.
해외처럼 IT 조직도 보안 책임 같이 지는 구조 필요
이에 따라 기업의 보안에 대해 CISO뿐 아니라 인프라를 실제로 운영하는 CIO나 CTO에게도 보안 정책 관련 기술적 조치의 이행과 점검 역할을 정책을 통해 부여해야 한다는 목소리가 나온다.
어느 기업이라도 개발과 수정, 업데이트가 매일매일 수없이 일어나는 IT 부서의 인프라 운영상황을 전부 실시간으로 모니터링할 순 없다. 이 때문에 애초에 IT 부서에 보안을 위한 역할이 정해져 있어야 책임으로 이어질 수 있다는 얘기다.
A씨는 “IT 부서는 개발만 잘하면 된다는 인식이 있어 보안을 홀대하고 그 결과 사고가 나면 그 책임은 보안 부서에만 전가되는 악순환이 끊어지지 않으면 대형 사고는 끝없이 일어날 것”이라며 “CIO와 CTO에게도 보안 책임을 강화하는 실질적 역할을 부여해야 하며, CISO와 공동책임제로 가야할 것”이라고 강조했다.
실제로 미국 등 해외에서는 CIO나 CTO의 보안 책임이 국내 대비 강화돼 있다고 보안 전문가들은 설명한다.
국내와 미국에서 기업 보안을 담당했고, 현재 공격표면관리(ASM) 플랫폼 기업을 운영하는 강병탁 AI스페라 대표는 “기업에서 인증 토큰 발행과 인증 프로세스를 설계하는 것을 IT 부서 개발자가 대신 맡는 경우가 많으며, 보안 부서는 이에 대한 보안성 검토를 하고 보안 지침을 전달하는 역할을 한다”며 “이 과정에서 설령 IT 조직이 보안 부서의 지침을 지키지 않았다 해도 이것이 보안 부서에 실시간으로 공유되는 구조가 아니라는 게 대부분 기업들의 실정”이라고 설명했다.
강 대표는 “미국의 경우 이 같은 현실을 반영해 보안 사고가 나면 CIO나 CTO도 함께 책임을 지우는 제도적 근거가 있다”며 “반면 CISO에게만 책임을 묻고 있는 국내의 보안 체계는 개선돼야 한다“”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
