오늘 만든 방패도 내일은 뚫린다...‘완벽’ 대신 ‘리스크 최소화’ 추구해야
[보안뉴스=김동혁 기술사/SC제일은행] “완벽(完璧)”은 흠이 없고 완전한 상태를 의미한다. 사이버 보안에서 100% 완벽한 보안은 가능할까?
이에 대한 답을 찾기 위해, 흠이 없고 완전한 상태의 대상이 무엇인지 먼저 정의해 보자. 그 출발점은 해커가 이득을 취하기 위해 공격 대상으로 삼을 자산이다. 중요한 정보를 많이 보관하고 처리하는 자산일수록 공격자가 얻을 이득도 많다. 이 때문에 한층 더 완벽함을 요구받는다. 무단으로 자산에 접근해 중요 정보를 알아내고, 훼손하거나 파괴하는 행위를 막아야한다. 어떻게 하면 될까?
[자료: 생성형 AI 활용]
가장 안전하다고 할 수 있는 폐쇄망을 살펴보자, 외부와의 연결이 완전히 차단되고 시건 장치가 있는 금고에 중요 정보를 보관한다. 해당 장소에 출입과 반출입되는 자산은 보안 요원이 직접 확인하고 철저하게 감시하도록 한다. 또, CCTV를 설치해 24시간 365일 모니터링하고, 지문 인식이나 홍채 인식과 같은 강력한 인증을 적용한다. 이렇게 물리적인 접근 외에는 어떤 접근도 허용하지 않는다면 100% 뚫리지 않는다고 장담할 수 있을까?
안타깝게도 답은 No다. 위험도는 낮지만, 다음과 같은 시나리오가 가능하기 때문이다.
△보안 요원과 인증 시스템 관리자를 매수해 출입 통제를 통과한다.
△정당한 권한이 부여된 정보 자산 관리자를 매수해 정보를 훔쳐 온다.
△출입통제 시스템의 취약점을 악용해 출입 통제를 통과한다.
심지어 위 시나리오는 공격 경로가 금고의 출입구로 제한된 특수한 상황이다. 인터넷을 통해 누구나 상시 접속 가능한 서비스를 제공하는 디지털 환경에서는 더 많은 위협 시나리오가 존재하고 가능성도 높다.
오늘날 비즈니스 경쟁력의 원천은 편리하고 다양한 서비스를 저렴한 가격으로 빠르게 제공하는데 달려 있다. 이를 위해 더 많은 정보가 수집되고 연결됐다. 제삼자와의 협력도 강화되고 있다. 인공지능과 클라우드, 모바일 등의 디지털 신기술은 언제 어디서나 원하는 서비스를 이용할 수 있도록 편의성을 높였지만, 보오해야 할 자산의 수와 범위도 늘렸다. 해커들이 뚫고 들어올 공간은 더욱 넓어졌고, 이를 보호할 방패는 만들기 더욱 어려운 환경이 됐다.
완벽 ≒ 지속적인 관리 + 시의 적절한 대응 = 리스크 최소화
오늘 만든 강력한 보안 체계도 내일 등장하는 새로운 공격 앞에선 속수무책이 될 수 있는 사이버 보안에서는 ‘완벽’을 추구하기보다 ‘지속적인 관리’와 ‘시의 적절한 대응’을 핵심으로 삼아야 한다. 무엇보다 해커가 노리는 공격 표면(Attack Surface)을 파악하고 빠르게 대응해 리스크를 최소화하는 것이 중요하다. 즉, 지속적인 관리를 통해 공격 표면을 줄이고, 시의 적절한 대응으로 인한 피해를 최소화하는 것이 완벽한 보안에 가까워지는 길이라고 할 수 있다.
지속적인 관리는 빌드→배포→운영을 최적화해 공격 표면을 줄이는 활동
빌드는 애플리케이션과 인프라를 구축하는 단계다. 빌드 표준이 필요한데, 각종 보안 요구사항을 포함한다. 인증, 접근제어, 암호화 및 로깅 등 빌드 표준을 준수해 개발 및 인프라 구성이 되어야 한다. 제삼자 제품을 도입할 경우, 제품 자체의 안전성 외에도 해당 기업의 정보보호 관리 체계까지 검증하는 기준이 있어야 공급망 공격 리스크를 완화할 수 있다. 중요도가 높은 개인정보나 기밀정보 처리 등의 자산일수록 더 높은 보안 요구사항이 필요하고, 구매 및 프로젝트 관리 프로세스와도 연계되어야 한다.
두 번째로 배포는 빌드 표준에 따라 개발 및 구성이 되었는지 검증을 완료하고, 식별된 취약점들을 모두 조치한 후 진행되는 단계다. 빌드(Continuous Integration) 및 배포(Continuous Deployment) 파이프라인에 자동화 점검 및 배포 도구를 연계하면 보안성과 안전성을 모두 높일 수 있다. 검증되지 않은 코드가 임의로 운영환경에 배포되지 않도록 관리하는 것이 핵심이다.
세 번째로 운영은 배포된 애플리케이션과 인프라에서 식별된 결함, 추가적인 업무 요건과 보안 취약점을 지속적으로 개선하고 반영하는 단계다. 사이버 보안 환경은 변화무쌍하고 예측 불가능한 것이 특징이므로 추가적인 보안 통제를 적용하고, 더 안전한 제삼자 제품으로 변경해야 할 수 있다. 이를 위해 지속적인 변경과 최적화를 유연하게 처리할 수 있는 DevSecOps 환경 구축이 필요하며, 리스크 관리 프레임워크와 연계해 리스크 평가를 통한 개선 활동이 지속적으로 이루어지도록 관리해야 한다.
시의 적절한 대응은 모니터링→탐지→대응을 최적화해 피해를 최소화하는 활동
모니터링은 잠재적인 침해 행위로 이어질 수 있는 보안 이벤트를 감시하는 단계다. 내부 보안 이벤트 외에도 외부 위협 동향도 모니터링 범위에 포함해야 한다. 내부 보안 이벤트 모니터링을 위해서는 애플리케이션, 서버, DB, 네트워크, 보안 장비 등 정보 자산에서 발생하는 모든 로그를 SIEM(Security Information & Event Management) 장비로 수집하는 것이 선결되어야 한다.
제로 트러스트(“절대 신뢰하지 말고, 항상 검증하라”) 원칙에 따라 신뢰할 수 있는 내부자를 통해 발생한 행위도 정당성 검증이 필요하다. 해커에 의해 내부자 계정이 도용되었을 수도 있고, 내부자가 악의적인 행위를 할 수 있기 때문이다. 속성기반 접근제어(ABAC·Attribute Based Access Control)를 적용해 접속하는 단말, 장소, 시간 등 속성 정보를 종합적으로 고려해 접근을 제한하고 모니터링을 강화해야 한다.
외부 위협 동향 모니터링은 해킹 그룹들이 목표로 삼고 있는 국가, 산업, 자산, 악용하는 취약점, 공격에 사용하는 악성코드 및 공격 방법 등의 동향 정보를 능동적으로 파악하는 활동이다. 수집된 위협 동향 정보를 바탕으로 잠재적인 취약점을 선제적으로 진단 및 식별하고 예방 조치를 함으로써 보안 사고를 예방할 수 있다.
두 번째로 탐지는 모니터링 과정에서 식별된 이벤트를 적시에 확인하는 단계다. 수많은 로그에서 의심되는 이벤트를 탐지하고 정·오탐 여부를 빠르게 검증하는 것이 핵심이다. 이를 위해서는 탐지 시나리오를 최적화하고, 정·오탐 검증의 정확도를 높이는 것이 중요하다. 과거에는 모니터링 담당자의 경험과 숙련도, 지식에 의존했다면 최근에는 AI를 접목하려는 시도가 이뤄지고 있다. 수집되는 로그의 범위 및 양이 증가하면서, 사람이 판단하기에 한계에 도달했기 때문이다.
세 번째, 대응은 정탐으로 식별된 이벤트를 조사하고 조치하는 단계다. 공격자의 IP를 차단하고, 새롭게 탐지된 공격 패턴을 업데이트하는 활동이 주가 된다. 침해 사고가 의심되먄, 침해된 자산을 격리하고 내외부 사고 대응 조직을 동원해 상세 조사를 수행한다. 각 이벤트의 유형에 따라 신속하고 정확한 대응을 할 수 있도록, 점검 및 대응 방법을 상세하게 정의한 플레이북(Playbook)이 필요하다. SOAR(Security Orchestration, Automation & Response) 장비를 도입하면 체계적이고 자동화된 방식으로 대응 역량을 높일 수 있다.
사이버 보안 면역 체계 구축을 위해 범국가적 거버넌스 체계 강화 필요
오늘은 모든 창을 막을 수 있는 방패가, 내일이면 창에 뚫리는 것이 사이버 보안의 현실이다. 따라서 지속적인 관리를 통해 방패의 표면을 단단하게 유지하고, 시의 적절한 대응을 통해 창이 뚫고 들어온 환부를 빠르게 식별하고 치료하는 사이버 보안 면역 체계를 구축하는 것이 중요하다.
지속 가능하고, 효과적인 사이버 보안 면역 체계를 구축하기 위해서는 DevSecOps를 통한 배포 자동화와 SIEM, SOAR 등을 통한 탐지·대응 체계를 운영할 수 있는 시스템이 필요하다. 경영진과 이사회 차원에서의 관심과 지원, 통제 환경 그리고 구축-운영-평가-개선을 위한 프로세스 및 조직 그리고 리스크 관리 프레임워크를 핵심으로 하는 거버넌스 체계를 말한다.
사이버 보안 역량이 기업과 국가의 경쟁력이 된 오늘날, 완벽한 보안에 대한 책임은 정보보안 담당자만의 전유물이 아니다. 기업 내에서는 임직원 모두가 방패가 되어 각자의 자리에서 역할하고, 국가적으로도 전 국민 모두가 경각심을 가지고 개인 단말을 관리하고, 안전하게 서비스를 이용할 수 있는 성숙한 문화가 조성되어야 한다. 범국가적 차원에서 사이버 보안 거버넌스 체계가 강화되어야 한다.
[글_김동혁 기술사]
필자 소개_
- SC제일은행 정보보안본부 총괄(CISO)
- 정보관리기술사, 컴퓨터시스템응용기술사, ISMS-P 인증심사원, 정보보안기사
[보안뉴스=김동혁 기술사/SC제일은행] “완벽(完璧)”은 흠이 없고 완전한 상태를 의미한다. 사이버 보안에서 100% 완벽한 보안은 가능할까?
이에 대한 답을 찾기 위해, 흠이 없고 완전한 상태의 대상이 무엇인지 먼저 정의해 보자. 그 출발점은 해커가 이득을 취하기 위해 공격 대상으로 삼을 자산이다. 중요한 정보를 많이 보관하고 처리하는 자산일수록 공격자가 얻을 이득도 많다. 이 때문에 한층 더 완벽함을 요구받는다. 무단으로 자산에 접근해 중요 정보를 알아내고, 훼손하거나 파괴하는 행위를 막아야한다. 어떻게 하면 될까?
[자료: 생성형 AI 활용]
가장 안전하다고 할 수 있는 폐쇄망을 살펴보자, 외부와의 연결이 완전히 차단되고 시건 장치가 있는 금고에 중요 정보를 보관한다. 해당 장소에 출입과 반출입되는 자산은 보안 요원이 직접 확인하고 철저하게 감시하도록 한다. 또, CCTV를 설치해 24시간 365일 모니터링하고, 지문 인식이나 홍채 인식과 같은 강력한 인증을 적용한다. 이렇게 물리적인 접근 외에는 어떤 접근도 허용하지 않는다면 100% 뚫리지 않는다고 장담할 수 있을까?
안타깝게도 답은 No다. 위험도는 낮지만, 다음과 같은 시나리오가 가능하기 때문이다.
△보안 요원과 인증 시스템 관리자를 매수해 출입 통제를 통과한다.
△정당한 권한이 부여된 정보 자산 관리자를 매수해 정보를 훔쳐 온다.
△출입통제 시스템의 취약점을 악용해 출입 통제를 통과한다.
심지어 위 시나리오는 공격 경로가 금고의 출입구로 제한된 특수한 상황이다. 인터넷을 통해 누구나 상시 접속 가능한 서비스를 제공하는 디지털 환경에서는 더 많은 위협 시나리오가 존재하고 가능성도 높다.
오늘날 비즈니스 경쟁력의 원천은 편리하고 다양한 서비스를 저렴한 가격으로 빠르게 제공하는데 달려 있다. 이를 위해 더 많은 정보가 수집되고 연결됐다. 제삼자와의 협력도 강화되고 있다. 인공지능과 클라우드, 모바일 등의 디지털 신기술은 언제 어디서나 원하는 서비스를 이용할 수 있도록 편의성을 높였지만, 보오해야 할 자산의 수와 범위도 늘렸다. 해커들이 뚫고 들어올 공간은 더욱 넓어졌고, 이를 보호할 방패는 만들기 더욱 어려운 환경이 됐다.
완벽 ≒ 지속적인 관리 + 시의 적절한 대응 = 리스크 최소화
오늘 만든 강력한 보안 체계도 내일 등장하는 새로운 공격 앞에선 속수무책이 될 수 있는 사이버 보안에서는 ‘완벽’을 추구하기보다 ‘지속적인 관리’와 ‘시의 적절한 대응’을 핵심으로 삼아야 한다. 무엇보다 해커가 노리는 공격 표면(Attack Surface)을 파악하고 빠르게 대응해 리스크를 최소화하는 것이 중요하다. 즉, 지속적인 관리를 통해 공격 표면을 줄이고, 시의 적절한 대응으로 인한 피해를 최소화하는 것이 완벽한 보안에 가까워지는 길이라고 할 수 있다.
지속적인 관리는 빌드→배포→운영을 최적화해 공격 표면을 줄이는 활동
빌드는 애플리케이션과 인프라를 구축하는 단계다. 빌드 표준이 필요한데, 각종 보안 요구사항을 포함한다. 인증, 접근제어, 암호화 및 로깅 등 빌드 표준을 준수해 개발 및 인프라 구성이 되어야 한다. 제삼자 제품을 도입할 경우, 제품 자체의 안전성 외에도 해당 기업의 정보보호 관리 체계까지 검증하는 기준이 있어야 공급망 공격 리스크를 완화할 수 있다. 중요도가 높은 개인정보나 기밀정보 처리 등의 자산일수록 더 높은 보안 요구사항이 필요하고, 구매 및 프로젝트 관리 프로세스와도 연계되어야 한다.
두 번째로 배포는 빌드 표준에 따라 개발 및 구성이 되었는지 검증을 완료하고, 식별된 취약점들을 모두 조치한 후 진행되는 단계다. 빌드(Continuous Integration) 및 배포(Continuous Deployment) 파이프라인에 자동화 점검 및 배포 도구를 연계하면 보안성과 안전성을 모두 높일 수 있다. 검증되지 않은 코드가 임의로 운영환경에 배포되지 않도록 관리하는 것이 핵심이다.
세 번째로 운영은 배포된 애플리케이션과 인프라에서 식별된 결함, 추가적인 업무 요건과 보안 취약점을 지속적으로 개선하고 반영하는 단계다. 사이버 보안 환경은 변화무쌍하고 예측 불가능한 것이 특징이므로 추가적인 보안 통제를 적용하고, 더 안전한 제삼자 제품으로 변경해야 할 수 있다. 이를 위해 지속적인 변경과 최적화를 유연하게 처리할 수 있는 DevSecOps 환경 구축이 필요하며, 리스크 관리 프레임워크와 연계해 리스크 평가를 통한 개선 활동이 지속적으로 이루어지도록 관리해야 한다.
시의 적절한 대응은 모니터링→탐지→대응을 최적화해 피해를 최소화하는 활동
모니터링은 잠재적인 침해 행위로 이어질 수 있는 보안 이벤트를 감시하는 단계다. 내부 보안 이벤트 외에도 외부 위협 동향도 모니터링 범위에 포함해야 한다. 내부 보안 이벤트 모니터링을 위해서는 애플리케이션, 서버, DB, 네트워크, 보안 장비 등 정보 자산에서 발생하는 모든 로그를 SIEM(Security Information & Event Management) 장비로 수집하는 것이 선결되어야 한다.
제로 트러스트(“절대 신뢰하지 말고, 항상 검증하라”) 원칙에 따라 신뢰할 수 있는 내부자를 통해 발생한 행위도 정당성 검증이 필요하다. 해커에 의해 내부자 계정이 도용되었을 수도 있고, 내부자가 악의적인 행위를 할 수 있기 때문이다. 속성기반 접근제어(ABAC·Attribute Based Access Control)를 적용해 접속하는 단말, 장소, 시간 등 속성 정보를 종합적으로 고려해 접근을 제한하고 모니터링을 강화해야 한다.
외부 위협 동향 모니터링은 해킹 그룹들이 목표로 삼고 있는 국가, 산업, 자산, 악용하는 취약점, 공격에 사용하는 악성코드 및 공격 방법 등의 동향 정보를 능동적으로 파악하는 활동이다. 수집된 위협 동향 정보를 바탕으로 잠재적인 취약점을 선제적으로 진단 및 식별하고 예방 조치를 함으로써 보안 사고를 예방할 수 있다.
두 번째로 탐지는 모니터링 과정에서 식별된 이벤트를 적시에 확인하는 단계다. 수많은 로그에서 의심되는 이벤트를 탐지하고 정·오탐 여부를 빠르게 검증하는 것이 핵심이다. 이를 위해서는 탐지 시나리오를 최적화하고, 정·오탐 검증의 정확도를 높이는 것이 중요하다. 과거에는 모니터링 담당자의 경험과 숙련도, 지식에 의존했다면 최근에는 AI를 접목하려는 시도가 이뤄지고 있다. 수집되는 로그의 범위 및 양이 증가하면서, 사람이 판단하기에 한계에 도달했기 때문이다.
세 번째, 대응은 정탐으로 식별된 이벤트를 조사하고 조치하는 단계다. 공격자의 IP를 차단하고, 새롭게 탐지된 공격 패턴을 업데이트하는 활동이 주가 된다. 침해 사고가 의심되먄, 침해된 자산을 격리하고 내외부 사고 대응 조직을 동원해 상세 조사를 수행한다. 각 이벤트의 유형에 따라 신속하고 정확한 대응을 할 수 있도록, 점검 및 대응 방법을 상세하게 정의한 플레이북(Playbook)이 필요하다. SOAR(Security Orchestration, Automation & Response) 장비를 도입하면 체계적이고 자동화된 방식으로 대응 역량을 높일 수 있다.
사이버 보안 면역 체계 구축을 위해 범국가적 거버넌스 체계 강화 필요
오늘은 모든 창을 막을 수 있는 방패가, 내일이면 창에 뚫리는 것이 사이버 보안의 현실이다. 따라서 지속적인 관리를 통해 방패의 표면을 단단하게 유지하고, 시의 적절한 대응을 통해 창이 뚫고 들어온 환부를 빠르게 식별하고 치료하는 사이버 보안 면역 체계를 구축하는 것이 중요하다.
지속 가능하고, 효과적인 사이버 보안 면역 체계를 구축하기 위해서는 DevSecOps를 통한 배포 자동화와 SIEM, SOAR 등을 통한 탐지·대응 체계를 운영할 수 있는 시스템이 필요하다. 경영진과 이사회 차원에서의 관심과 지원, 통제 환경 그리고 구축-운영-평가-개선을 위한 프로세스 및 조직 그리고 리스크 관리 프레임워크를 핵심으로 하는 거버넌스 체계를 말한다.
사이버 보안 역량이 기업과 국가의 경쟁력이 된 오늘날, 완벽한 보안에 대한 책임은 정보보안 담당자만의 전유물이 아니다. 기업 내에서는 임직원 모두가 방패가 되어 각자의 자리에서 역할하고, 국가적으로도 전 국민 모두가 경각심을 가지고 개인 단말을 관리하고, 안전하게 서비스를 이용할 수 있는 성숙한 문화가 조성되어야 한다. 범국가적 차원에서 사이버 보안 거버넌스 체계가 강화되어야 한다.
[글_김동혁 기술사]
필자 소개_
- SC제일은행 정보보안본부 총괄(CISO)
- 정보관리기술사, 컴퓨터시스템응용기술사, ISMS-P 인증심사원, 정보보안기사
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
