지속적인 보안 경영 위해 보안통제 성능 및 보안 수준 측정 필요
[보안뉴스=임채호 KAIST 초빙교수] 중국과 북한에 의한 APT가 극성을 부리고 있다. 보안제품은 알려진 악성코드를 탐지·분석으로 대응한다. 정부는 사이버 보안 강화를 위해서 보안업체에 의존하기 보다는 선도적으로 보안위협을 탐지하고 막아야 한다. 기반보호를 위한 정보시스템보안관리체계(ISMS) 취약성 분석 등도 조직이 지불해야 하는 비용과 효과를 무시함으로써 보안 거버넌스를 상실하고 있다.
.jpg)
APT, 즉 신종 악성코드는 중국·북한 등이 자동으로 생성한다. 샘플을 입력하면 수많은 신종을 생산한다. 컴퓨터 백신, IDS 등의 기존 보안 제품은 이미 알려진 것들만 탐지한다. 마치 지문 인식기가 등록되지 않은 지문을 인식하지 못하는 것과 같다. 이제 공격자는 신종 악성코드를 어떻게 목적지에 침투시키고 감염시킬 것인가에 치중한다. 공격전략은 단순하다. 매번 악성코드를 변경하듯, 수시로 악성 웹과 C&C를 변경하는 것으로 전략을 바꾼다. 대부분 악성코드나 악성웹을 이메일에 첨부해 사람을 속이는 방법을 사용하는데 최근에는 모바일로 투입 전략을 바꾸고 있다.
‘비정상행위’는 APT만으로 이루어지는 것이 아니다. 무작위로 국민들의 PC를 감염시킨 후, 2차 공격을 수행한다. 정상적이었던 PC도 비정상적인 공격에 참여한다. 돈벌이를 위한 국내 범죄자들도 같은 수법을 사용한다. 하지만 보안전문가조차도 이를 탐지하는 솔루션을 이용하면 된다고 착각하고 있다. 기업·대학·정부 등 모든 비즈니스마다 각자의 정상행위와 비정상행위가 있으며, 비정상행위 탐지 솔루션은 그 환경에 적용해 업데이트될 뿐, 수동으로 실행하기엔 다량의 데이터에 적용하는 것은 어려운 일이다.
최근 라인 게임에 유입되는 데이터는 일일 평균 2억8000만 건으로, 이를 빅데이터 기반의 ‘AIR(Active Incident Response)를 구축해 비정상 행위를 탐지·분석·처리하고 있다. 이는 기업 적합 보안(Business Impact Security)인 것이다.
조직의 보안수준은 위험을 최소화한 지속적인 운영을 보장해 조직의 비즈니스에 적합한 보안을 수행해야 한다. 이를 실무 보안통제 수행척도에 따라 측정해 A등급 수준, 즉 최고의 보안수준이 된다면, 이는 조직이 적용한 모든 보안통제의 평균치가 90점 이상이 되어야 함을 말한다. 단, 조직은 일률적인 것이 아닌 해당 조직이 선택한 보안통제이어야 한다. 보안통제는 정보자산의 취약성을 지속적으로 대응하는 결과에 따라 수준이 측정되어야 한다. 이들은 다음 사항을 기반으로 점검되어야 한다.
- Effective, 적절한 보안 통제 동작 정도
- Efficient, 운영이 비용 효율 정도
- Compliance, 법적 준수사항을 만족 정도
모든 조직은 투자대비 보안의 적절성을 알아야 하며, 매년 투자 비용대비 효과성, 즉 비용효과적인 보안을 해야 한다. 점차 보안이 향상된다는 것은 지속적인 보안통제의 운영, 데이터 적절성, 개선이 반복되며 수준이 향상되어야 함을 의미한다. △모든 보안통제의 운영과 자료 수집은 실무자 △수준 평가를 위한 분석과 통계 등은 보안담당자 △결과 낮은 수준의 보안통제에 향상을 위한 투자는 경영자가 진행하는 것이다.
다음 그림에서 보여 주듯 Tier 3, 즉 낮은 수준은 ‘정보시스템 보안’으로서 실무자들이 보안통제를 지속적으로 운영하는 환경이다. Tier 2, ‘비즈니스 적합 보안’은 비즈니스 및 어플리케이션 보안이며, Tier 1, ‘조직보안’은 경영자의 역할이다.
.jpg)
▲ 보안 계층 구조
조직의 보안은 경영자가 결정하고 진행하며 책임져야 하는 경영보안인 것이다. 그림은 많은 것을 시사하고 있다. 실무 데이터(Raw Data), 즉 정보시스템 보안 데이터가 매우 중요하다. 이를 통해 보안 거버넌스가 이루어진다. 이 데이터를 기반으로 조직의 보안 전략을 운영하고 투자가 가능한 것이다.
보안이 계속 뚫리는데 누구도 보안 투자를 하지 않는가 하면, 또 어떤 문제점을 파악해(Accountability) 개선이 되어야만 투자가 이루어질 수 있다. 이러한 기업의 모든 보안 활동은 경영대표가 책임을 지는 것이고 보안담당자는 기업의 보안현황을 보고해야 한다.
성능 측정은 기업의 보안수준을 향상시키는 방법이다. 보안실무자들은 각자 맡은 보안통제를 기획하고 운영하며 운영결과를 수집한다. 부족한 보안 분야가 있다면 예산·인력 투자, 시설보완, 업무절차 개선 등을 통해 보안수준이 향상되는 것이다.
정보시스템에 대한 보안통제와 정보보안 프로그램에 대한 효과성(Effectiveness)을 확인하는 측정방법은 조직의 정보시스템과 정보보안 통제 프로그램에 대한 구현, 효과성과 관련 성능에 관한 데이터를 수집, 분석 및 보고를 통해 의사결정, 성능개선, 책임추적성(Accountability)의 향상 등을 발휘할 수 있다. - NIST SP-55
적절하지 못한 보안통제 데이터로 성능측정이 미비할 수 있다. 이는 실무 담당자의 실수나 고의로 발생한다. 수집 보안 통제의 도메인을 잘못 정하거나 점수화하는 공식의 오류, 점검빈도의 오류도 있을 수 있다. 또한, 수집하는 보안 운영통제 결과 데이터의 수집 과정에서의 오류도 있을 수 있다. 하지만 이 성능 측정 업무를 꾸준히 수행하면서 지속적인 갱신의 노력이 필요하다. 또한, 점차 성실한 데이터로 바뀌게 되고 필요하면 감사과정을 거칠 수 있다.
이러한 실무 데이터를 기반으로 보안담당자는 다음과 같은 그래프를 얻게 된다. 조직의 보안 성능이 향상됨을 알 수 있다. 이 그래프는 2005년 10월, 2006년 4월, 2006년 10월, 2007년 4월, 2007년 10월 측정값을 보여준다.
▲ 보안 성능 측정 결과
이 그래프는 2005년 F에서 2007년 A등급 수준으로 향상된 모습을 보인다. 이는 수준 향상은 보안위험도(Risk)의 하락을 의미하며 소요비용의 하락을 의미한다. 보안수준의 향상은 실천경험(Security Practice)의 증가이므로 보안담당자의 능력이 증가한 것을 뜻한다. 이 사례는 미국 예산관리청(OMB, Office of Management Budget) 이 각 정부기관 측정치를 향후 연재에서 보여줄 예정이다.
사이버 환경에서 원하지 않는 위험은 너무나 많다. APT 공격 뿐만 아니라, 외부든 내부든 많은 범죄자가 존재한다. 또한 개발자의 실수뿐만 아니라 관리자, 일반 사용자의 실수와 의도적인 스파이 행위까지 존재한다. 이렇듯 보안은 어떤 기업이든 조직의 영원한 경영보안의 하나이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(chlim@kaist.ac.kr)]
[보안뉴스=임채호 KAIST 초빙교수] 중국과 북한에 의한 APT가 극성을 부리고 있다. 보안제품은 알려진 악성코드를 탐지·분석으로 대응한다. 정부는 사이버 보안 강화를 위해서 보안업체에 의존하기 보다는 선도적으로 보안위협을 탐지하고 막아야 한다. 기반보호를 위한 정보시스템보안관리체계(ISMS) 취약성 분석 등도 조직이 지불해야 하는 비용과 효과를 무시함으로써 보안 거버넌스를 상실하고 있다.
APT, 즉 신종 악성코드는 중국·북한 등이 자동으로 생성한다. 샘플을 입력하면 수많은 신종을 생산한다. 컴퓨터 백신, IDS 등의 기존 보안 제품은 이미 알려진 것들만 탐지한다. 마치 지문 인식기가 등록되지 않은 지문을 인식하지 못하는 것과 같다. 이제 공격자는 신종 악성코드를 어떻게 목적지에 침투시키고 감염시킬 것인가에 치중한다. 공격전략은 단순하다. 매번 악성코드를 변경하듯, 수시로 악성 웹과 C&C를 변경하는 것으로 전략을 바꾼다. 대부분 악성코드나 악성웹을 이메일에 첨부해 사람을 속이는 방법을 사용하는데 최근에는 모바일로 투입 전략을 바꾸고 있다.
‘비정상행위’는 APT만으로 이루어지는 것이 아니다. 무작위로 국민들의 PC를 감염시킨 후, 2차 공격을 수행한다. 정상적이었던 PC도 비정상적인 공격에 참여한다. 돈벌이를 위한 국내 범죄자들도 같은 수법을 사용한다. 하지만 보안전문가조차도 이를 탐지하는 솔루션을 이용하면 된다고 착각하고 있다. 기업·대학·정부 등 모든 비즈니스마다 각자의 정상행위와 비정상행위가 있으며, 비정상행위 탐지 솔루션은 그 환경에 적용해 업데이트될 뿐, 수동으로 실행하기엔 다량의 데이터에 적용하는 것은 어려운 일이다.
최근 라인 게임에 유입되는 데이터는 일일 평균 2억8000만 건으로, 이를 빅데이터 기반의 ‘AIR(Active Incident Response)를 구축해 비정상 행위를 탐지·분석·처리하고 있다. 이는 기업 적합 보안(Business Impact Security)인 것이다.
조직의 보안수준은 위험을 최소화한 지속적인 운영을 보장해 조직의 비즈니스에 적합한 보안을 수행해야 한다. 이를 실무 보안통제 수행척도에 따라 측정해 A등급 수준, 즉 최고의 보안수준이 된다면, 이는 조직이 적용한 모든 보안통제의 평균치가 90점 이상이 되어야 함을 말한다. 단, 조직은 일률적인 것이 아닌 해당 조직이 선택한 보안통제이어야 한다. 보안통제는 정보자산의 취약성을 지속적으로 대응하는 결과에 따라 수준이 측정되어야 한다. 이들은 다음 사항을 기반으로 점검되어야 한다.
- Effective, 적절한 보안 통제 동작 정도
- Efficient, 운영이 비용 효율 정도
- Compliance, 법적 준수사항을 만족 정도
모든 조직은 투자대비 보안의 적절성을 알아야 하며, 매년 투자 비용대비 효과성, 즉 비용효과적인 보안을 해야 한다. 점차 보안이 향상된다는 것은 지속적인 보안통제의 운영, 데이터 적절성, 개선이 반복되며 수준이 향상되어야 함을 의미한다. △모든 보안통제의 운영과 자료 수집은 실무자 △수준 평가를 위한 분석과 통계 등은 보안담당자 △결과 낮은 수준의 보안통제에 향상을 위한 투자는 경영자가 진행하는 것이다.
다음 그림에서 보여 주듯 Tier 3, 즉 낮은 수준은 ‘정보시스템 보안’으로서 실무자들이 보안통제를 지속적으로 운영하는 환경이다. Tier 2, ‘비즈니스 적합 보안’은 비즈니스 및 어플리케이션 보안이며, Tier 1, ‘조직보안’은 경영자의 역할이다.
▲ 보안 계층 구조
조직의 보안은 경영자가 결정하고 진행하며 책임져야 하는 경영보안인 것이다. 그림은 많은 것을 시사하고 있다. 실무 데이터(Raw Data), 즉 정보시스템 보안 데이터가 매우 중요하다. 이를 통해 보안 거버넌스가 이루어진다. 이 데이터를 기반으로 조직의 보안 전략을 운영하고 투자가 가능한 것이다.
보안이 계속 뚫리는데 누구도 보안 투자를 하지 않는가 하면, 또 어떤 문제점을 파악해(Accountability) 개선이 되어야만 투자가 이루어질 수 있다. 이러한 기업의 모든 보안 활동은 경영대표가 책임을 지는 것이고 보안담당자는 기업의 보안현황을 보고해야 한다.
성능 측정은 기업의 보안수준을 향상시키는 방법이다. 보안실무자들은 각자 맡은 보안통제를 기획하고 운영하며 운영결과를 수집한다. 부족한 보안 분야가 있다면 예산·인력 투자, 시설보완, 업무절차 개선 등을 통해 보안수준이 향상되는 것이다.
정보시스템에 대한 보안통제와 정보보안 프로그램에 대한 효과성(Effectiveness)을 확인하는 측정방법은 조직의 정보시스템과 정보보안 통제 프로그램에 대한 구현, 효과성과 관련 성능에 관한 데이터를 수집, 분석 및 보고를 통해 의사결정, 성능개선, 책임추적성(Accountability)의 향상 등을 발휘할 수 있다. - NIST SP-55
적절하지 못한 보안통제 데이터로 성능측정이 미비할 수 있다. 이는 실무 담당자의 실수나 고의로 발생한다. 수집 보안 통제의 도메인을 잘못 정하거나 점수화하는 공식의 오류, 점검빈도의 오류도 있을 수 있다. 또한, 수집하는 보안 운영통제 결과 데이터의 수집 과정에서의 오류도 있을 수 있다. 하지만 이 성능 측정 업무를 꾸준히 수행하면서 지속적인 갱신의 노력이 필요하다. 또한, 점차 성실한 데이터로 바뀌게 되고 필요하면 감사과정을 거칠 수 있다.
이러한 실무 데이터를 기반으로 보안담당자는 다음과 같은 그래프를 얻게 된다. 조직의 보안 성능이 향상됨을 알 수 있다. 이 그래프는 2005년 10월, 2006년 4월, 2006년 10월, 2007년 4월, 2007년 10월 측정값을 보여준다.
▲ 보안 성능 측정 결과
이 그래프는 2005년 F에서 2007년 A등급 수준으로 향상된 모습을 보인다. 이는 수준 향상은 보안위험도(Risk)의 하락을 의미하며 소요비용의 하락을 의미한다. 보안수준의 향상은 실천경험(Security Practice)의 증가이므로 보안담당자의 능력이 증가한 것을 뜻한다. 이 사례는 미국 예산관리청(OMB, Office of Management Budget) 이 각 정부기관 측정치를 향후 연재에서 보여줄 예정이다.
사이버 환경에서 원하지 않는 위험은 너무나 많다. APT 공격 뿐만 아니라, 외부든 내부든 많은 범죄자가 존재한다. 또한 개발자의 실수뿐만 아니라 관리자, 일반 사용자의 실수와 의도적인 스파이 행위까지 존재한다. 이렇듯 보안은 어떤 기업이든 조직의 영원한 경영보안의 하나이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(chlim@kaist.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpeg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
