.gif)
데이터로의 접근 경로 차단할 때 물리적인 접근도 고려해야
“고양이 목에 방울을 달 수 없으면, 고양이 동선에라도 달아야”
[보안뉴스 문가용] IT 기술 산업 및 관련 부서들은 계속되는 공격에 두들겨 맞고 있다. 맞고 맞다가 지금 가지고 나온 방안은 ‘데이터 자체의 보안’이다. 더 좋은 암호를 사용하자, 데이터 접근을 엄격하게 관리하자, 암호화를 필수로 도입하자 등 많은 방법들이 데이터를 보호하기 위해 개발되고 또 주장되었다. 하지만 아무도 데이터의 물리성에 대해서는 이야기하지 않고 있다.
‘내 일 아니야’ 신드롬 극복하기
IT팀이나 정보보안 팀은 ‘네트워크’, ‘엔드포인트’, ‘외부자의 공격’이라는 개념의 틀 안에서 사고한다. 이런 부분들에 들어가는 취약점과 위협에 대해 걱정한다. 그러나 이것에 몰두하면 큰 그림을 놓치게 된다. 인터넷이란 공간은 매우 넓고 공격자의 창의력이란 매우 집요하다. 게다가 요즘의 IT 환경이라는 게 물리적인 건물처럼 딱딱 나뉘고 구분된 개념이 아니다. 그렇기에 역설적이게도 물리 보안 요소가 데이터 보안에 있어 더욱 중요해지고 있다.
이를 이해하기 위해서는 기본으로 돌아가야 한다. 물론 취약점을 파헤치고 그 피해를 최소화시키는 건 매우 중요한 일이다. 하지만 애초에 개방형 시스템 간 상호 접속(Open Systems Interconnection, OSI)이 물리적인 층위부터 시작한다는 걸 기억할 필요가 있다. 보안, 더 나아가 안전은 물리나 가상을 가리지 않는다. 아무런 네트워크가 없어도 위협은 존재한다.
물리보안을 염두에 두라는 건 단순히 전선과 케이블이 잘 연결되어 있는지, 전력 공급이 잘 설치되어 있는지, 다른 기기들이 안전한 곳에 놓여 있는지 확인하라는 것이 아니다. 서버 문을 확실히 잠갔는지, 주요 데이터를 모아두는 캐비닛의 나사들이 바짝 조여져 있는지, CCTV 영상이 잘 녹화되고 저장 공간도 충분한지도 점검해야 한다. 이런 일들을 IT 보안 부서에 맡기면 이런 말이 돌아온다. “그걸 왜 내가 해?” 그러나 생각해보면, 이런 시설들을 가장 효율적으로 점검할 수 있는 사람들은 IT 보안 부서 사람들뿐이다.
물리보안과 데이터 보안 합하기
물리보안이라고 하면 때 지난 분야라고 생각하는 경향이 없지 않은데, 물리보안 없이는 정보보안도 말짱 헛것이다. 소니 사건을 떠올려보면 이는 극명하게 드러난다. 소니 직원들 및 ‘공격에 가담했다고 주장하는 인물들의 말’ 중엔 “소니는 회사 문을 잠그지 않는다”는 증언이 반드시 나올 정도로 소니는 물리보안이 허술했다. 물리보안에서부터 보안에 구멍이 생기면 다시 복구하는 것이 훨씬 더 힘이 든다.
다행히, 위에서도 언급했지만, IT 보안 부서에서 다루는 툴들은 대부분 물리보안에도 사용이 가능하다. 디스크 암호화는 이미 여러 산업에서 활용이 되고 있는 기술이며, 보안 플랫폼 모듈(Trusted Platform Module, TPM)을 통해 물리 보안에도 적용할 수 있다. 암호화와 네트워크 환경 설정을 적정히 혼합하면 승인되지 않은 자들이 절대로 데이터에 접근하지 못하도록 할 수 있다. 설사 시스템이 물리적으로 장악되었다고 해도 말이다.
또한 서버실 문을 잠그고 ID 정책을 강력하게 도입하고 덫처럼 작용할 수 있는 소프트웨어를 설치하면 물리적인 위협이 작용할 여지를 크게 줄일 수 있다. 모바일 기기 관리 솔루션을 활용하거나 위치정보를 활성화시켜서 사용자를 관리하면서 물리 포트를 꼭 필요한 것만 열어두는 것 또한 사용자에게 별다른 부담을 주지 않고 데이터 보안을 높이는 방법이다. 즉, 물리보안의 구멍을 정보보안의 접근으로 커버할 수 있다는 것이지 물리적인 대응으로 안전을 꾀하는 것만이 방법은 아니라는 것이다.
결국 총체적인 접근
피싱이든 ID 도난이든, 스파잉이든, 혹은 네트워크 침입을 통한 공격이든, 기업의 데이터는 상상하기 힘든 경우의 수에 노출되어 있다. 그만큼 방어도 다각도로 접근해야 한다. 데이터가 가지고 있는 약점은 논리적인 취약점만이 아니다. 세상 모든 것에는 접근 각도에 따라 다양한 약점이 존재하고 데이터도 마찬가지다. 해킹 좀 해봤다 하는 사람들이라면 누구나 생각할 수 있는 그런 취약점 말고 총체적인 약점을 파악할 수 있어야 한다.
총체적인 접근은 보다 더 부지런한 생각과 행동으로 실현 가능해진다. 또한 ‘진짜’ 보안업무에 집중할 수 있도록 환경도 조성되어야 한다. 사실 공격방법이 다양해졌다고는 하지만 결국의 종착지는 데이터다. 데이터 보안의 장점은 바로 이 점이다 - 지킬 것이 단순해진다는 것. 물론 업무가 단순해지는 건 아니지만, 그 모든 복잡함을 한 가지 목적으로 집중시킬 수 있다는 것은 충분히 장점이라고 할 만 하다.
이제 그 ‘데이터’로의 접근을 물리적인 관점에서도 생각해야 한다. 그리고 각종 장애물을 설치해두어야 한다. 고양이 목에 방울을 달 수 없다면, 고양이의 동선에라도 방울을 달아야 한다. 다시 한 번 강조하지만 이는 보안 담당자가 가장 효율적으로 할 수 있다. 보안의 지식을 물리적으로 활용하라.
글 : 토드 티보도(Todd Thibodeaux)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
“고양이 목에 방울을 달 수 없으면, 고양이 동선에라도 달아야”
[보안뉴스 문가용] IT 기술 산업 및 관련 부서들은 계속되는 공격에 두들겨 맞고 있다. 맞고 맞다가 지금 가지고 나온 방안은 ‘데이터 자체의 보안’이다. 더 좋은 암호를 사용하자, 데이터 접근을 엄격하게 관리하자, 암호화를 필수로 도입하자 등 많은 방법들이 데이터를 보호하기 위해 개발되고 또 주장되었다. 하지만 아무도 데이터의 물리성에 대해서는 이야기하지 않고 있다.
‘내 일 아니야’ 신드롬 극복하기
IT팀이나 정보보안 팀은 ‘네트워크’, ‘엔드포인트’, ‘외부자의 공격’이라는 개념의 틀 안에서 사고한다. 이런 부분들에 들어가는 취약점과 위협에 대해 걱정한다. 그러나 이것에 몰두하면 큰 그림을 놓치게 된다. 인터넷이란 공간은 매우 넓고 공격자의 창의력이란 매우 집요하다. 게다가 요즘의 IT 환경이라는 게 물리적인 건물처럼 딱딱 나뉘고 구분된 개념이 아니다. 그렇기에 역설적이게도 물리 보안 요소가 데이터 보안에 있어 더욱 중요해지고 있다.
이를 이해하기 위해서는 기본으로 돌아가야 한다. 물론 취약점을 파헤치고 그 피해를 최소화시키는 건 매우 중요한 일이다. 하지만 애초에 개방형 시스템 간 상호 접속(Open Systems Interconnection, OSI)이 물리적인 층위부터 시작한다는 걸 기억할 필요가 있다. 보안, 더 나아가 안전은 물리나 가상을 가리지 않는다. 아무런 네트워크가 없어도 위협은 존재한다.
물리보안을 염두에 두라는 건 단순히 전선과 케이블이 잘 연결되어 있는지, 전력 공급이 잘 설치되어 있는지, 다른 기기들이 안전한 곳에 놓여 있는지 확인하라는 것이 아니다. 서버 문을 확실히 잠갔는지, 주요 데이터를 모아두는 캐비닛의 나사들이 바짝 조여져 있는지, CCTV 영상이 잘 녹화되고 저장 공간도 충분한지도 점검해야 한다. 이런 일들을 IT 보안 부서에 맡기면 이런 말이 돌아온다. “그걸 왜 내가 해?” 그러나 생각해보면, 이런 시설들을 가장 효율적으로 점검할 수 있는 사람들은 IT 보안 부서 사람들뿐이다.
물리보안과 데이터 보안 합하기
물리보안이라고 하면 때 지난 분야라고 생각하는 경향이 없지 않은데, 물리보안 없이는 정보보안도 말짱 헛것이다. 소니 사건을 떠올려보면 이는 극명하게 드러난다. 소니 직원들 및 ‘공격에 가담했다고 주장하는 인물들의 말’ 중엔 “소니는 회사 문을 잠그지 않는다”는 증언이 반드시 나올 정도로 소니는 물리보안이 허술했다. 물리보안에서부터 보안에 구멍이 생기면 다시 복구하는 것이 훨씬 더 힘이 든다.
다행히, 위에서도 언급했지만, IT 보안 부서에서 다루는 툴들은 대부분 물리보안에도 사용이 가능하다. 디스크 암호화는 이미 여러 산업에서 활용이 되고 있는 기술이며, 보안 플랫폼 모듈(Trusted Platform Module, TPM)을 통해 물리 보안에도 적용할 수 있다. 암호화와 네트워크 환경 설정을 적정히 혼합하면 승인되지 않은 자들이 절대로 데이터에 접근하지 못하도록 할 수 있다. 설사 시스템이 물리적으로 장악되었다고 해도 말이다.
또한 서버실 문을 잠그고 ID 정책을 강력하게 도입하고 덫처럼 작용할 수 있는 소프트웨어를 설치하면 물리적인 위협이 작용할 여지를 크게 줄일 수 있다. 모바일 기기 관리 솔루션을 활용하거나 위치정보를 활성화시켜서 사용자를 관리하면서 물리 포트를 꼭 필요한 것만 열어두는 것 또한 사용자에게 별다른 부담을 주지 않고 데이터 보안을 높이는 방법이다. 즉, 물리보안의 구멍을 정보보안의 접근으로 커버할 수 있다는 것이지 물리적인 대응으로 안전을 꾀하는 것만이 방법은 아니라는 것이다.
결국 총체적인 접근
피싱이든 ID 도난이든, 스파잉이든, 혹은 네트워크 침입을 통한 공격이든, 기업의 데이터는 상상하기 힘든 경우의 수에 노출되어 있다. 그만큼 방어도 다각도로 접근해야 한다. 데이터가 가지고 있는 약점은 논리적인 취약점만이 아니다. 세상 모든 것에는 접근 각도에 따라 다양한 약점이 존재하고 데이터도 마찬가지다. 해킹 좀 해봤다 하는 사람들이라면 누구나 생각할 수 있는 그런 취약점 말고 총체적인 약점을 파악할 수 있어야 한다.
총체적인 접근은 보다 더 부지런한 생각과 행동으로 실현 가능해진다. 또한 ‘진짜’ 보안업무에 집중할 수 있도록 환경도 조성되어야 한다. 사실 공격방법이 다양해졌다고는 하지만 결국의 종착지는 데이터다. 데이터 보안의 장점은 바로 이 점이다 - 지킬 것이 단순해진다는 것. 물론 업무가 단순해지는 건 아니지만, 그 모든 복잡함을 한 가지 목적으로 집중시킬 수 있다는 것은 충분히 장점이라고 할 만 하다.
이제 그 ‘데이터’로의 접근을 물리적인 관점에서도 생각해야 한다. 그리고 각종 장애물을 설치해두어야 한다. 고양이 목에 방울을 달 수 없다면, 고양이의 동선에라도 방울을 달아야 한다. 다시 한 번 강조하지만 이는 보안 담당자가 가장 효율적으로 할 수 있다. 보안의 지식을 물리적으로 활용하라.
글 : 토드 티보도(Todd Thibodeaux)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
