누군가 실수하면 보안에 구멍이 생긴다. 그걸 잡아내는 게 보안 담당자들이다. 그런데 그 보안 담당자들도 실수를 한다. 그 중에는 대단히 고질적이고 치명적인 것들도 있다. 그 중 대표적인 것들을 짚어보면 다음과 같다.
[보안뉴스= 아마드 사데딘 CEO, Corgea] 필자는 이 분야에서 활동하는 동안 감사하게도 수많은 보안 팀 및 담당자들과 이야기를 나눌 기회를 가질 수 있었다. 그러면서 그들이 공통적으로 하는 실수들도 엿볼 수 있었다. 가장 흔하고 가장 치명적인 실수는 ‘도구를 사는 마음가짐’이었다. 새로운 프로젝트를 시작할 때 새로운 장비나 도구를 마련하는 팀들은 십중팔구 이런 마음이었다. ‘이 도구가 프로젝트를 성공으로 이끌리라!’ 그러면서 그 도구가 프로젝트의 주인공이 되어버리는 경우가 많았다.
[이미지 = gettyimagesbank]
도구는 말 그대로 도구일 뿐이고 프로젝트의 일부 요소일 뿐인데 그 도구가 세상의 중심이 되어 프로젝트 전체의 한계와 방향을 정하는 경우가 지금도 정말 많다. 그 외에 우리도 모르게 저지르는 실수들은 셀 수 없을 지경이다. 이런 실수들이 쌓이고 겹치면 프로젝트 실패로 이어지고, 이것이 이어지면 사업 실패로까지 나아갈 수 있다. 그 중에서도 시급하게 해결해야 하는 세 가지 대표적인 실수를 꼽아보았고, 이를 통해 보안 전략을 강화할 수 있기를 바란다.
사이버 보안 도구들에 대한 선입견과 한계
먼저, 어떤 솔루션이나 도구를 사용하더라도, 그 도구가 사용될 프로젝트의 처음과 끝을 꼼꼼하게 계획하는 게 제일 중요하다. 예를 들어 위협 탐지라는 측면에 있어서 세상 그 어떤 도구보다 월등한 솔루션을 구매했다고 보안 문제가 해결되지 않는다는 걸 알아야 한다는 뜻이다. 탐지만 하고 그걸 해결하지 않으면 보안 문제는 그대로 남는다.
탐지 도구들 중 대응과 리포팅까지 전부 다 해 주는 도구들은 얼마나 될까? 우리는 너무 많은 자리에서 좋은 보안 도구 하나 구매해놓고, 그 도구가 보안 문제를 다 해결할 거라고 혹은 보안 관련 업무를 모든 면에서 편하게 해 줄거라고 기대한다. 처음부터 끝을 아우르는 계획이 없으면 요소 하나에 흔들리게 된다.
사이버 보안 도구들은 보안 담당자들을 유혹하기 위해 만들어진 제품이다. 그래서 대시보드와 인터페이스의 디자인도 나날이 매끄러워지고 있고, 호환성의 측면에 있어서도 눈 부시게 발전하고 있으며, 요즘 디지털 기술의 핵심 중 핵심인 API 관련 기능도 출중하게 갖추고 있다. 여러 언어를 지원한다. 그래서 혹한다. 탐지도 잘 할 거 같고, 대응도 잘 할 거 같고, 전체적인 보안성을 높일 것도 같다. 그러나 잘 생각해보라. 방금 언급된 모든 것들은 사실 보안과 본질적으로는 상관이 없다. ‘내가 왜 이 도구를 고르는가?’를 객관적으로 생각할 필요가 있다.
이미 알려진 취약점들
소프트웨어 취약점을 하나 수정하려면 수주에서 수개월이 걸리는 게 현실이다. 즉각 패치해야 좋다고 보안 업계가 수십 년 동안 말해왔지만 아직 현장에 정착되지는 않고 있다. 그래서 나타나는 결과가 무엇이냐면, 보안 침해 사고의 1/3이 ‘이미 해결책이 나와 있는’ 취약점을 통해서 일어난다는 것이다. 취약점이 이미 발견되어 알려지고, 이에 대한 패치가 수개월 전에 나와도, 여전히 그 취약점은 공격자들의 좋은 무기가 될 수 있다는 뜻이다.
왜 이런 일이 일어날까? 취약점 관리 체제가 제대로 작동하지 않기 때문이다. 취약점 관리 체제는 왜 제대로 작동하지 않는 걸까? 정말 고쳐야 하고, 정말 의미 있는 취약점들을 가려낼 만한 관리 기능과 능력이 없기 때문이다. 취약점 패치라는 것을 그저 ‘기술적 패치 행위’ 그 자체로만 생각한다면 큰 그림에서의 관리나 우선순위 설정과 같은 것들을 놓치게 되고, 이는 ‘해결책을 알려줘도 당하는’ 사태로 이어지게 된다.
보안 프로그램을 구성할 때 이해관계자를 고려하지 않는다
이해관계자라는 사람들은 보안 프로그램을 구성할 때 가장 중요한 고려 대상 중 하나여야 한다. 시장에 아무리 좋은 도구가 있고, 아무리 좋은 기술이 존재해도 결국 이해관계자들이 관심을 보이지 않고 움직이지 않으면 그것들은 진열장 너머에 있는 전시품에 불과하게 된다. 엔지니어들을 섭외하지 못해 기술적으로 불완전하게 되는 것이나, 이해관계자들을 포섭하지 못해 아무런 구매력도 갖추지 못하는 것이나 비슷하다.
반대로 이해관계자가 움직이면 모두가 사이버 보안의 중요성에 대해 (싫어도) 알게 된다. 당연하지만 모호한 부분들도 얼른 교통정리가 된다. 각자가 할 일과 각자의 역할이 무엇인지 분명해지고, 따라서 보안을 지키는 데 있어 기준도 명확해지고 속도도 빨라진다. 보안 강화에 직접적으로 참여하지 못하는 사람이라고 하더라도 의외의 영향력을 발휘할 수 있음을 이해한다면, 의외의 도움을 받을 수 있다.
글 : 아마드 사데딘(Ahmad Sadeddin), CEO, Corgea
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 아마드 사데딘 CEO, Corgea] 필자는 이 분야에서 활동하는 동안 감사하게도 수많은 보안 팀 및 담당자들과 이야기를 나눌 기회를 가질 수 있었다. 그러면서 그들이 공통적으로 하는 실수들도 엿볼 수 있었다. 가장 흔하고 가장 치명적인 실수는 ‘도구를 사는 마음가짐’이었다. 새로운 프로젝트를 시작할 때 새로운 장비나 도구를 마련하는 팀들은 십중팔구 이런 마음이었다. ‘이 도구가 프로젝트를 성공으로 이끌리라!’ 그러면서 그 도구가 프로젝트의 주인공이 되어버리는 경우가 많았다.
[이미지 = gettyimagesbank]
도구는 말 그대로 도구일 뿐이고 프로젝트의 일부 요소일 뿐인데 그 도구가 세상의 중심이 되어 프로젝트 전체의 한계와 방향을 정하는 경우가 지금도 정말 많다. 그 외에 우리도 모르게 저지르는 실수들은 셀 수 없을 지경이다. 이런 실수들이 쌓이고 겹치면 프로젝트 실패로 이어지고, 이것이 이어지면 사업 실패로까지 나아갈 수 있다. 그 중에서도 시급하게 해결해야 하는 세 가지 대표적인 실수를 꼽아보았고, 이를 통해 보안 전략을 강화할 수 있기를 바란다.
사이버 보안 도구들에 대한 선입견과 한계
먼저, 어떤 솔루션이나 도구를 사용하더라도, 그 도구가 사용될 프로젝트의 처음과 끝을 꼼꼼하게 계획하는 게 제일 중요하다. 예를 들어 위협 탐지라는 측면에 있어서 세상 그 어떤 도구보다 월등한 솔루션을 구매했다고 보안 문제가 해결되지 않는다는 걸 알아야 한다는 뜻이다. 탐지만 하고 그걸 해결하지 않으면 보안 문제는 그대로 남는다.
탐지 도구들 중 대응과 리포팅까지 전부 다 해 주는 도구들은 얼마나 될까? 우리는 너무 많은 자리에서 좋은 보안 도구 하나 구매해놓고, 그 도구가 보안 문제를 다 해결할 거라고 혹은 보안 관련 업무를 모든 면에서 편하게 해 줄거라고 기대한다. 처음부터 끝을 아우르는 계획이 없으면 요소 하나에 흔들리게 된다.
사이버 보안 도구들은 보안 담당자들을 유혹하기 위해 만들어진 제품이다. 그래서 대시보드와 인터페이스의 디자인도 나날이 매끄러워지고 있고, 호환성의 측면에 있어서도 눈 부시게 발전하고 있으며, 요즘 디지털 기술의 핵심 중 핵심인 API 관련 기능도 출중하게 갖추고 있다. 여러 언어를 지원한다. 그래서 혹한다. 탐지도 잘 할 거 같고, 대응도 잘 할 거 같고, 전체적인 보안성을 높일 것도 같다. 그러나 잘 생각해보라. 방금 언급된 모든 것들은 사실 보안과 본질적으로는 상관이 없다. ‘내가 왜 이 도구를 고르는가?’를 객관적으로 생각할 필요가 있다.
이미 알려진 취약점들
소프트웨어 취약점을 하나 수정하려면 수주에서 수개월이 걸리는 게 현실이다. 즉각 패치해야 좋다고 보안 업계가 수십 년 동안 말해왔지만 아직 현장에 정착되지는 않고 있다. 그래서 나타나는 결과가 무엇이냐면, 보안 침해 사고의 1/3이 ‘이미 해결책이 나와 있는’ 취약점을 통해서 일어난다는 것이다. 취약점이 이미 발견되어 알려지고, 이에 대한 패치가 수개월 전에 나와도, 여전히 그 취약점은 공격자들의 좋은 무기가 될 수 있다는 뜻이다.
왜 이런 일이 일어날까? 취약점 관리 체제가 제대로 작동하지 않기 때문이다. 취약점 관리 체제는 왜 제대로 작동하지 않는 걸까? 정말 고쳐야 하고, 정말 의미 있는 취약점들을 가려낼 만한 관리 기능과 능력이 없기 때문이다. 취약점 패치라는 것을 그저 ‘기술적 패치 행위’ 그 자체로만 생각한다면 큰 그림에서의 관리나 우선순위 설정과 같은 것들을 놓치게 되고, 이는 ‘해결책을 알려줘도 당하는’ 사태로 이어지게 된다.
보안 프로그램을 구성할 때 이해관계자를 고려하지 않는다
이해관계자라는 사람들은 보안 프로그램을 구성할 때 가장 중요한 고려 대상 중 하나여야 한다. 시장에 아무리 좋은 도구가 있고, 아무리 좋은 기술이 존재해도 결국 이해관계자들이 관심을 보이지 않고 움직이지 않으면 그것들은 진열장 너머에 있는 전시품에 불과하게 된다. 엔지니어들을 섭외하지 못해 기술적으로 불완전하게 되는 것이나, 이해관계자들을 포섭하지 못해 아무런 구매력도 갖추지 못하는 것이나 비슷하다.
반대로 이해관계자가 움직이면 모두가 사이버 보안의 중요성에 대해 (싫어도) 알게 된다. 당연하지만 모호한 부분들도 얼른 교통정리가 된다. 각자가 할 일과 각자의 역할이 무엇인지 분명해지고, 따라서 보안을 지키는 데 있어 기준도 명확해지고 속도도 빨라진다. 보안 강화에 직접적으로 참여하지 못하는 사람이라고 하더라도 의외의 영향력을 발휘할 수 있음을 이해한다면, 의외의 도움을 받을 수 있다.
글 : 아마드 사데딘(Ahmad Sadeddin), CEO, Corgea
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
