.gif)
사이버 보안은 하루아침에 자라는 잭이 콩나무 같은 것이 아니다. 매일 물을 주고 햇볕을 쬐게 자리도 옮겨주고 말도 걸어야 하는 평범한 꽃화분이다. 하지만 그 꽃은 단순 관상용이 아니다.
[보안뉴스=라구 난다쿠마라 산업 솔루션 책임, 일루미오] 사이버 위협이 끊임없이 진화하고 있으며, 그에 따라 공격의 기법들이 점점 복잡해지는 것은 물론 고도화 되고 있으며, 심지어 빈번해지고 있기까지 하다. 이 때문에 기업과 기관들은 방어에 좀 더 만전을 기해야 하는 상황에 처하게 됐으며, 이전보다 능동적이며 선제적인 보안을 추구해야 한다. 데이터센터 주위로 가상의 성벽을 쌓는 방식은 더 이상 유효하지 않다. 금고와 같았던 데이터센터는 점점 사라지고 클라우드가 대세로 자리를 잡아가는 중이기 때문이다.
[이미지 = gettyimagesbank]
하지만 기업 입장에서는 보안만 생각할 수 없다. 기업은 이윤을 만들어내야 하는 단체이기 때문이다. 투자자본수익률(ROI)이 고민의 압도적 1순위다. 하지만 ROI라는 것은 최신 기술과 도구를 공수해 생산성과 효율성을 높이는 것만으로 오르는 것이 아니다. 사이버 보안에 대한 투자로도 충분히 극대화시킬 수 있다. ‘돈 버는 보안’을 위해 다음 다섯 가지를 제안한다.
1. 목표의 설정
보안에 본격적으로 투자를 시작하기 전에 제일 먼저는 보안 투자를 통해 얻고자 하는 것이 무엇인지를 정하고 이해해야 한다. 기술적으로 얼마나 첨단을 달리든, 기술 그 자체로 대단한 변화를 일으킬 수는 없다. 중요한 건 그 기술을 활용하는 전략이다. 그 전략이라는 건 다시 말해 구체적이고 가시화시킬 수 있는 목표 지점을 보유한다는 뜻이 되기도 한다. 예를 들어 네트워크 가시성을 어느 정도나 높일 것인지, 랜섬웨어 방어력을 어느 수준으로 향상시킬 것인지, 사건 대응 시간을 몇 시간으로 줄일 것인지를 분명히 하는 게 좋다.
2. 통합적 위험 평가의 실시
목표를 설정했다면 다음을 중요한 게 현재의 위치를 파악하는 것이다. 현재를 알아야 목표로 가기 위한 첫 걸음을 올바로 뗄 수 있다. 평가는 주로 자문 자답의 과정을 통해 이뤄지는데, 필요한 질문들은 다음과 같다.
1) 가장 시급하게, 그리고 가장 중대하게 우리를 위협하는 것은 무엇인가?
2) 우리가 가진 자산들 중 공격자들이 가장 탐내할 만한 것은 무엇인가?
3) 공격자들이 우리의 현재 방어막을 침투하려면 어떤 경로로 들어올 가능성이 높은가?
여기에 답이 나왔다면 그 답들을 가지고 ‘정량적’ 평가를 수행해야 한다. 쉽게 말해 ‘점수를 매겨야 한다’는 것이다. NIST에서 제안한 여러 가지 프레임워크가 이 과정에서 매우 유용할 수 있다. 그 외에도 위험 평가에 대한 여러 가지 방법론이나 도구, 애플리케이션들이 있으니 조직 상황에 가장 잘 맞는 것을 찾아 적용하는 게 중요하다. 이런 정량적 평가 결과를 들고 있으면 보안 투자를 위해 CEO나 CFO를 설득하는 게 조금은 더 쉬워진다.
3. 사이버 보안의 목표 = 전체 사업 방향
사이버 보안은 독립적으로 의미를 갖는 기능일 수 없다. 회사 전체의 사업 방향과 일치했을 때 가치를 갖는다는 것이다. 기업은 이 방향으로 가야 하는데, 보안이 오로지 이상적인 안전을 위해서 결사 반대를 외친다면 어떻게 될까? 회사의 경쟁력이 약화되고 결국 시장에서 도태될 수도 있다. 그렇다면 그것은 회사를 보호한 것인가, 아니면 더 거대한 위험에 처하게 한 것인가? 단순한 문제다. 실천은 어렵지만.
게다가 보안의 목표를 사업적 목표에 맞춘다는 건 보안에 있어서도 좋은 전략이다. 그래야 임원진들로부터 예산을 확보하기가 쉬워지기 때문이다. 또한 보안을 기업 전체의 문화로서 가져가는 데에도 더 원활한 협조를 받을 수 있게 된다. 그랬을 때 보안을 ‘방해자’가 아니라 ‘활성자’로서 홍보할 수도 있게 되며, 이는 장기적으로 조직 전체의 ‘보안력’을 강화하는 데에도 큰 도움이 된다.
4. 실질적이고 구체적인 평가 방법 수립
‘단 한 방에 모든 문제를 해결해 주는 보안 솔루션’이라는 문구가 풍기는 매력은 부정하기 힘들다. 거부하기도 힘들다. 하지만 현실화 하는 것도 힘들다. 기업 전체의 보안을 강화한다는 건 꾸준히, 한 걸음 한 걸음 정해진 목표를 향해 쉬지 않고 걸어간다는 뜻이다. ‘돈 버는 보안’의 지점에 도달하는 것 역시 이러한 과정을 거쳐야만 허락된다. 그리고 그 한 걸음들이 제대로 진행됐는지 매번 뚜렷한 기준에 의해 점검하지 않으면 목표에 도달하는 게 힘들어진다. 6개월 등 현실적인 기간을 정해두고, 그 안에서 구체적이면서 확실한 목표를 이루기로 해가며 전진해가면 어느 덧 단단하면서 수익이 되는 보안이 완성된다.
5. 벤더들의 꼼꼼한 평가
이제 보안은 ‘우리 회사’만의 문제가 아니다. 온갖 서드파티 침해 사건이 발생한다는 것을 기억하라. 그러므로 당장 우리 회사에서 사용하고 있는 모든 서드파티 프로그램이나 플랫폼, 솔루션 혹은 하드웨어에 대한 위험 평가를 실행하는 게 중요하다. 각 기술들이 가진 문제나 위험성은 무엇인지, 그걸 만든 벤더사들이 보안에 대해 어떠한 태도를 보이고 있는지, 문제가 발생했을 때 벤더사와 우리 회사의 책임 배분은 어떻게 이뤄지는지, 벤더사가 어떤 기술적 지원을 해주기로 되어 있는지 등을 명확히 확인하고 둘 사이에 다시 한 번 정립하는 게 중요하다.
사이버 보안은 한 번 점검하고 문제를 해결하는 식으로 끝나는 과업이 아니다. 매일 확인하고 매일 업데이트 하고 매일 점검하여 팀웍을 맞추는 식으로 조직 전체를 점점 더 튼튼케 하는 일이다. 조직을 안전하게 보호하는 것이 전부인 것도 아니고, 오히려 기업의 경쟁력을 단단히 뒷받침해 주는 사업적 기능에 가깝다. 그러니 지금처럼 경제가 불안할 때 오히려 더 아낌없이 투자해야 할 것이다.
글 : 라구 난다쿠마라(Raghu Nandakumara), 산업 솔루션 책임, Illumio
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=라구 난다쿠마라 산업 솔루션 책임, 일루미오] 사이버 위협이 끊임없이 진화하고 있으며, 그에 따라 공격의 기법들이 점점 복잡해지는 것은 물론 고도화 되고 있으며, 심지어 빈번해지고 있기까지 하다. 이 때문에 기업과 기관들은 방어에 좀 더 만전을 기해야 하는 상황에 처하게 됐으며, 이전보다 능동적이며 선제적인 보안을 추구해야 한다. 데이터센터 주위로 가상의 성벽을 쌓는 방식은 더 이상 유효하지 않다. 금고와 같았던 데이터센터는 점점 사라지고 클라우드가 대세로 자리를 잡아가는 중이기 때문이다.
[이미지 = gettyimagesbank]
하지만 기업 입장에서는 보안만 생각할 수 없다. 기업은 이윤을 만들어내야 하는 단체이기 때문이다. 투자자본수익률(ROI)이 고민의 압도적 1순위다. 하지만 ROI라는 것은 최신 기술과 도구를 공수해 생산성과 효율성을 높이는 것만으로 오르는 것이 아니다. 사이버 보안에 대한 투자로도 충분히 극대화시킬 수 있다. ‘돈 버는 보안’을 위해 다음 다섯 가지를 제안한다.
1. 목표의 설정
보안에 본격적으로 투자를 시작하기 전에 제일 먼저는 보안 투자를 통해 얻고자 하는 것이 무엇인지를 정하고 이해해야 한다. 기술적으로 얼마나 첨단을 달리든, 기술 그 자체로 대단한 변화를 일으킬 수는 없다. 중요한 건 그 기술을 활용하는 전략이다. 그 전략이라는 건 다시 말해 구체적이고 가시화시킬 수 있는 목표 지점을 보유한다는 뜻이 되기도 한다. 예를 들어 네트워크 가시성을 어느 정도나 높일 것인지, 랜섬웨어 방어력을 어느 수준으로 향상시킬 것인지, 사건 대응 시간을 몇 시간으로 줄일 것인지를 분명히 하는 게 좋다.
2. 통합적 위험 평가의 실시
목표를 설정했다면 다음을 중요한 게 현재의 위치를 파악하는 것이다. 현재를 알아야 목표로 가기 위한 첫 걸음을 올바로 뗄 수 있다. 평가는 주로 자문 자답의 과정을 통해 이뤄지는데, 필요한 질문들은 다음과 같다.
1) 가장 시급하게, 그리고 가장 중대하게 우리를 위협하는 것은 무엇인가?
2) 우리가 가진 자산들 중 공격자들이 가장 탐내할 만한 것은 무엇인가?
3) 공격자들이 우리의 현재 방어막을 침투하려면 어떤 경로로 들어올 가능성이 높은가?
여기에 답이 나왔다면 그 답들을 가지고 ‘정량적’ 평가를 수행해야 한다. 쉽게 말해 ‘점수를 매겨야 한다’는 것이다. NIST에서 제안한 여러 가지 프레임워크가 이 과정에서 매우 유용할 수 있다. 그 외에도 위험 평가에 대한 여러 가지 방법론이나 도구, 애플리케이션들이 있으니 조직 상황에 가장 잘 맞는 것을 찾아 적용하는 게 중요하다. 이런 정량적 평가 결과를 들고 있으면 보안 투자를 위해 CEO나 CFO를 설득하는 게 조금은 더 쉬워진다.
3. 사이버 보안의 목표 = 전체 사업 방향
사이버 보안은 독립적으로 의미를 갖는 기능일 수 없다. 회사 전체의 사업 방향과 일치했을 때 가치를 갖는다는 것이다. 기업은 이 방향으로 가야 하는데, 보안이 오로지 이상적인 안전을 위해서 결사 반대를 외친다면 어떻게 될까? 회사의 경쟁력이 약화되고 결국 시장에서 도태될 수도 있다. 그렇다면 그것은 회사를 보호한 것인가, 아니면 더 거대한 위험에 처하게 한 것인가? 단순한 문제다. 실천은 어렵지만.
게다가 보안의 목표를 사업적 목표에 맞춘다는 건 보안에 있어서도 좋은 전략이다. 그래야 임원진들로부터 예산을 확보하기가 쉬워지기 때문이다. 또한 보안을 기업 전체의 문화로서 가져가는 데에도 더 원활한 협조를 받을 수 있게 된다. 그랬을 때 보안을 ‘방해자’가 아니라 ‘활성자’로서 홍보할 수도 있게 되며, 이는 장기적으로 조직 전체의 ‘보안력’을 강화하는 데에도 큰 도움이 된다.
4. 실질적이고 구체적인 평가 방법 수립
‘단 한 방에 모든 문제를 해결해 주는 보안 솔루션’이라는 문구가 풍기는 매력은 부정하기 힘들다. 거부하기도 힘들다. 하지만 현실화 하는 것도 힘들다. 기업 전체의 보안을 강화한다는 건 꾸준히, 한 걸음 한 걸음 정해진 목표를 향해 쉬지 않고 걸어간다는 뜻이다. ‘돈 버는 보안’의 지점에 도달하는 것 역시 이러한 과정을 거쳐야만 허락된다. 그리고 그 한 걸음들이 제대로 진행됐는지 매번 뚜렷한 기준에 의해 점검하지 않으면 목표에 도달하는 게 힘들어진다. 6개월 등 현실적인 기간을 정해두고, 그 안에서 구체적이면서 확실한 목표를 이루기로 해가며 전진해가면 어느 덧 단단하면서 수익이 되는 보안이 완성된다.
5. 벤더들의 꼼꼼한 평가
이제 보안은 ‘우리 회사’만의 문제가 아니다. 온갖 서드파티 침해 사건이 발생한다는 것을 기억하라. 그러므로 당장 우리 회사에서 사용하고 있는 모든 서드파티 프로그램이나 플랫폼, 솔루션 혹은 하드웨어에 대한 위험 평가를 실행하는 게 중요하다. 각 기술들이 가진 문제나 위험성은 무엇인지, 그걸 만든 벤더사들이 보안에 대해 어떠한 태도를 보이고 있는지, 문제가 발생했을 때 벤더사와 우리 회사의 책임 배분은 어떻게 이뤄지는지, 벤더사가 어떤 기술적 지원을 해주기로 되어 있는지 등을 명확히 확인하고 둘 사이에 다시 한 번 정립하는 게 중요하다.
사이버 보안은 한 번 점검하고 문제를 해결하는 식으로 끝나는 과업이 아니다. 매일 확인하고 매일 업데이트 하고 매일 점검하여 팀웍을 맞추는 식으로 조직 전체를 점점 더 튼튼케 하는 일이다. 조직을 안전하게 보호하는 것이 전부인 것도 아니고, 오히려 기업의 경쟁력을 단단히 뒷받침해 주는 사업적 기능에 가깝다. 그러니 지금처럼 경제가 불안할 때 오히려 더 아낌없이 투자해야 할 것이다.
글 : 라구 난다쿠마라(Raghu Nandakumara), 산업 솔루션 책임, Illumio
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
