[보안뉴스 조재호 기자] “시작이 반이라는 말처럼, 기본만 지켜도 절반입니다. 보안 사고를 줄이려면 투자만큼 취약점을 관리할 방법도 중요합니다.”
강봉호 파수 본부장은 22일 서울 여의도 페어몬트 앰배서더 호텔에서 열린 ‘FDI 2025 심포지엄’ 메인 세션인 ‘보안 투자 늘리고, 불안한 이유?’에서 이같이 밝혔다.
▲강봉호 파수 본부장이 세션 발표를 진행하고 있다. [자료: 보안뉴스]
‘보안 투자는 계속 느는데, 왜 보안 사고가 지속되는가’라는 물음에, 강 본부장은 ‘기본’을 강조했다. 최근 많이 발생하는 취약점에 대처하기 위해 △훈련 △백업·암호화 △취약점 분석 △태세 관리 등의 네 가지 분야에 고루 투자해야 한다고 강조했다. 보안 투자가 한 방향으로 쏠리면 놓치는 부분을 쉽게 볼 수 있기 때문이다.
훈련은 보안의 가장 약한 고리인 ‘사람’에 대한 부분이다. 보안 인프라 투자와 함께 지속적인 임직원 교육이 필요하다. 보안 훈련은 회차를 거듭할수록 효과가 커진다. 파수의 mind-SAT 훈련 지표에 따르면, 1회 교육서 악성 메일 링크 접속률은 50%를 기록했다. 이 수치는 4회차 반복 훈련을 거치며 10.5%까지 떨어졌다.
백업·암호화는 데이터를 안전하게 보관하는 방식이다. 최신 데이터를 실시간 복사해 저장하는 것으로, 사용자 관여 없이 자동화할 것을 권장한다. 백업은 보험 성격을 지닌 만큼 사고 발생 시 최대한 빠르게 복구할 수 있는지도 중요 체크포인트다. 또 암호화 대상을 면밀히 살피고 빈틈이 없도록 늘려가는 것을 목표로 한다.
취약점 분석은 기존 자산과 도입하려는 인프라 및 솔루션의 조합을 살펴 취약점을 파악하는 일이다. 대다수 기업이 컴플라이언스에 많은 투자를 하면서도 이 과정에서 기존 자산을 포함하지 않는다. 누락된 부분을 살펴 점진적으로 개선하고, 샘플링 형태의 진단도 전수 검사 형태로 서서히 변경해야 한다.
태세 관리(SPM·Security Posture Management)는 기업 자산의 취약점을 진단하고 이를 보완하는 것을 말한다. 기업의 보안 인프라를 관리하는 방식이다. 데이터를 관리하는 DSPM이나 애플리케이션 관리 솔루션인 ASPM이 대표적이다. ‘Fasoo DSPM’처럼 멀티 클라우드 데이터 보안을 관리하는 솔루션도 있다.
▲파수의 보안 솔루션 라인업 [자료: 보안뉴스]
강 본부장은 “최근 기업 환경이 복잡해지면서 서너 개 보안 솔루션만으로 커버하기 쉽지 않다”며 “이런 복잡한 환경에서 보안 태세 관리(SPM)에 관심을 가져보길 권한다”고 말했다.
한편 파수는 보안뉴스·시큐리티월드가 선정한 2025 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2024년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
강봉호 파수 본부장은 22일 서울 여의도 페어몬트 앰배서더 호텔에서 열린 ‘FDI 2025 심포지엄’ 메인 세션인 ‘보안 투자 늘리고, 불안한 이유?’에서 이같이 밝혔다.
▲강봉호 파수 본부장이 세션 발표를 진행하고 있다. [자료: 보안뉴스]
‘보안 투자는 계속 느는데, 왜 보안 사고가 지속되는가’라는 물음에, 강 본부장은 ‘기본’을 강조했다. 최근 많이 발생하는 취약점에 대처하기 위해 △훈련 △백업·암호화 △취약점 분석 △태세 관리 등의 네 가지 분야에 고루 투자해야 한다고 강조했다. 보안 투자가 한 방향으로 쏠리면 놓치는 부분을 쉽게 볼 수 있기 때문이다.
훈련은 보안의 가장 약한 고리인 ‘사람’에 대한 부분이다. 보안 인프라 투자와 함께 지속적인 임직원 교육이 필요하다. 보안 훈련은 회차를 거듭할수록 효과가 커진다. 파수의 mind-SAT 훈련 지표에 따르면, 1회 교육서 악성 메일 링크 접속률은 50%를 기록했다. 이 수치는 4회차 반복 훈련을 거치며 10.5%까지 떨어졌다.
백업·암호화는 데이터를 안전하게 보관하는 방식이다. 최신 데이터를 실시간 복사해 저장하는 것으로, 사용자 관여 없이 자동화할 것을 권장한다. 백업은 보험 성격을 지닌 만큼 사고 발생 시 최대한 빠르게 복구할 수 있는지도 중요 체크포인트다. 또 암호화 대상을 면밀히 살피고 빈틈이 없도록 늘려가는 것을 목표로 한다.
취약점 분석은 기존 자산과 도입하려는 인프라 및 솔루션의 조합을 살펴 취약점을 파악하는 일이다. 대다수 기업이 컴플라이언스에 많은 투자를 하면서도 이 과정에서 기존 자산을 포함하지 않는다. 누락된 부분을 살펴 점진적으로 개선하고, 샘플링 형태의 진단도 전수 검사 형태로 서서히 변경해야 한다.
태세 관리(SPM·Security Posture Management)는 기업 자산의 취약점을 진단하고 이를 보완하는 것을 말한다. 기업의 보안 인프라를 관리하는 방식이다. 데이터를 관리하는 DSPM이나 애플리케이션 관리 솔루션인 ASPM이 대표적이다. ‘Fasoo DSPM’처럼 멀티 클라우드 데이터 보안을 관리하는 솔루션도 있다.
▲파수의 보안 솔루션 라인업 [자료: 보안뉴스]
강 본부장은 “최근 기업 환경이 복잡해지면서 서너 개 보안 솔루션만으로 커버하기 쉽지 않다”며 “이런 복잡한 환경에서 보안 태세 관리(SPM)에 관심을 가져보길 권한다”고 말했다.
한편 파수는 보안뉴스·시큐리티월드가 선정한 2025 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2024년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
