정해진 틀 없이 시시각각 변하는 IT 네트워크 환경
시스템 하나하나, 위협 요소 하나하나에 대한 이해도가 필요
[보안뉴스 문가용 기자] 보안 전문가들은 힘들게 하는 것 두 가지는 무수히 늘어나는 사이버 위협과 시장으로 날마다 쇄도하는 솔루션들이다. 새로운 기술의 발전이나 현상의 유행과 더불어 알아야 할 용어들도 증가하고 있으며, 보안 전문가들은 특별히 용어의 정의뿐만 아니라 그런 기술들이 가지고 있는 보안 위협 요소들도 이해해야 한다. 그러나 공부가 어디 그렇게 뚝딱 해결 되는가. 그래서 보안 전문가들은 가시성을 더 중요시하게 되었고, 이를 기반으로 새로운 접근법을 모색하기 시작했다.
현대 기업들의 네트워크 환경을 묘사하는 표현은 크게 두 가지인데, 바로 ‘역동성’과 ‘경계 없음’이다. 내부적으로도 외부적으로도 가상의 연결고리가 끝없이 이어져있어 명확한 형태가 없는데다가 각종 모바일, 사물인터넷 기기가 떨어졌다 붙었다를 반복하니 어제의 네트워크와 오늘의 네트워크가 같지 않은 상태다. 그러니 공격이 가능한 표면이 고무줄처럼 늘어났다 줄어들었다 한다. 보안 구멍이 점점 더 커질 수밖에 없는 환경이다. 이렇게 고무줄처럼 왔다갔다 하는 공격면에는 크게 여섯 가지 요소가 있다.
1. 전통적인 자산 : 기업의 물리적인 공간 내에서 보관되고 있는 데이터나 기기 등을 말한다. 서버, 데스크톱 컴퓨터 등이 있는데, 이런 요소들 역시 아무리 네트워크가 현대화 되어도 값어치 있는 공격 대상이 된다.
2. 클라우드 인스턴스 : 클라우드라는 결정타로 전통적인 형태(개념)의 네트워크는 이제 완전히 ‘옛 것’이 되어버렸다. 이제 그런 네트워크는 현존하는 것들 외에 더 생겨나지 않을 것이 거의 분명하다. 특히 네트워크의 ‘외곽’이라고 한다면 현대에 와 멸종했다고 봐도 무방하다. 최근의 기업들은 대부분 사무 공간 외에도 ‘서버’ 역할을 하는 뭔가를 여러 개 두고 있다. 그래서 자신들의 데이터가 어느 정도 위험에 처해져 있는지 정확히 파악하기가 매우 어렵다.
3. 모바일 : 이제 모바일 기기 한 대 보유하지 않는 직원, 파트너사 직원, 계약직 근무자가 없다고 봐야 하는 때다. 눈에 보이지 않지만 그들의 호주머니 속에는 분명 모바일 기기가 원격 연결 기술로 내 네트워크에 접속해 있을 가능성이 그렇지 않을 가능성보다 훨씬 높다. 이게 허용되는 이유는 당연히 업무 효율이 높아지기 때문이다. 안전성은 떨어지지만.
4. 사물인터넷 기기 : 소비자 가전기기, 회의실용 시설물, 주차장에 주치된 자동차, 스마트 빌딩 내에 적용된 여러 기술들, 물리보안 시스템 등 우리가 보고도 지나치는 사물인터넷 기기들이 주변에 이미 많이 설치돼 있다. 게다가 편리하고 성능도 좋기 때문에 인기가 높아지고 있다. 네트워크를 매일 더 복잡하게 만들어 위협 가시성을 좀처럼 확보하기 힘들게 하는 주범이다.
5. 데브옵스/콘테이너 : 데브옵스 개발 프로세스를 도입하는 업체들이 늘어나고 있다. 제품 개발이 더 빠르고 편리해지기 때문이다. 그런데 이 와중에 IT 자산에 대한 소유권이 불분명하게 된다. 대부분 개발자가 가지게 되는데, 개발자는 보안에 큰 신경을 쓸 수가 없다. 그러므로 데브옵스 환경에서는 개발자가 가진 IT 자산이 위험하게 되고, 보안 전문가들은 개발자들에게서 자산을 협조 받아 보안을 점검해야 한다.
6. 웹 애플리케이션 : 우리가 사용하는 여느 소프트웨어에도 그렇듯 웹 애플리케이션들에도 취약점이 있다. 상당히 많이 존재한다. 하지만 기업들로서는 웹 애플리케이션 사용을 멈출 수 없다. 사업 운영에 있어 매우 혁신적이고 새로운 방법들로서 각광받고 있기 때문이다. 다양한 통계자료를 수집하기 위해, 고객과의 관계를 더 탄탄히 하기 위해, 업무 효율을 높이기 위해, 많은 기업들이 애플리케이션을 적극 검토하고 있다.
고무줄 같은 IT 환경, 어떻게 보호할까
보안 팀이 관리해야 하는 IT 환경이 한 마디로 고무줄처럼, 혹은 아메바처럼 모양이 제멋대로라는 게 큰 문제다. 여기에는 좀 더 다른, 현대적인 접근이 필요하다. 형태와 규격이 명확했던 이전 네트워크를 관찰하던 때와 같은 방법을 사용해서는 ‘답이 없다.’ 이전과 다른 접근법이 추구하는 건 다음 두 가지 질문에 대한 답이다. “우리 회사는 얼마나 노출되어 있나?”, “위험요소를 줄이기 위해 내가 할 수 있는 일은 무엇인가?”
1. 기본은 IT 구성 요소에 대한 깊은 이해도다. 어떤 시스템이 있으며, 각 시스템이 어떤 위협에 노출되어 있는가를 꿰고 있어야 한다. 예전에는 네트워크의 외곽만 신경 썼다면 이젠 내부의 모든 시스템에도 지식이 닿아야 한다. 보안 팀이 해야 할 가장 첫 번째 임무라고 볼 수 있다.
2. 그 다음은 위에서 파악한 각 시스템이 어떤 식으로 연결되어 있으며, 그것이 전체적으로 어떤 그림을 그려내는지 이해해야 한다. 물론 고무줄처럼 늘었다 줄었다 형태가 불분명하지만, 기본 골격이나 ‘디폴트 형태’ 정도는 만들어낼 수 있다. 그래서 가장 치명적인 부분 혹은 시스템을 파악해내고 우선순위를 정해야 한다. 이는 전 부서, 전 직원과의 협업을 의미한다. 보안은 절대로 고립된 섬이 아니다.
3. 시스템과 네트워크 구성 요소들에 대한 깊은 이해만으로는 문제가 해결되지 않는다. 그 이해를 바탕으로 행동을 취해야 하는데, 쉽게 말해 조직 내 보안 위생 청결 문화를 뿌리내려야 한다. 데이터 유출 사고의 85%가 이미 널리 알려지고 보안 전문가들의 귀에 못이 박힌 취약점을 통해 발생한다는 건, 어떻게 보면 다행인 소식이다. 보도가 되고, 커뮤니티 내 알려지는 취약점들만 잘 고쳐내도 대부분의 공격을 막을 수 있다는 뜻이기 때문이다. 보안 위생 청결은 표현이 좀 막연해서 그렇지, 사실은 패치 잘 하는 것에서부터 출발한다.
글 : 아밋 요란(Amit Yoran)
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
시스템 하나하나, 위협 요소 하나하나에 대한 이해도가 필요
[보안뉴스 문가용 기자] 보안 전문가들은 힘들게 하는 것 두 가지는 무수히 늘어나는 사이버 위협과 시장으로 날마다 쇄도하는 솔루션들이다. 새로운 기술의 발전이나 현상의 유행과 더불어 알아야 할 용어들도 증가하고 있으며, 보안 전문가들은 특별히 용어의 정의뿐만 아니라 그런 기술들이 가지고 있는 보안 위협 요소들도 이해해야 한다. 그러나 공부가 어디 그렇게 뚝딱 해결 되는가. 그래서 보안 전문가들은 가시성을 더 중요시하게 되었고, 이를 기반으로 새로운 접근법을 모색하기 시작했다.
현대 기업들의 네트워크 환경을 묘사하는 표현은 크게 두 가지인데, 바로 ‘역동성’과 ‘경계 없음’이다. 내부적으로도 외부적으로도 가상의 연결고리가 끝없이 이어져있어 명확한 형태가 없는데다가 각종 모바일, 사물인터넷 기기가 떨어졌다 붙었다를 반복하니 어제의 네트워크와 오늘의 네트워크가 같지 않은 상태다. 그러니 공격이 가능한 표면이 고무줄처럼 늘어났다 줄어들었다 한다. 보안 구멍이 점점 더 커질 수밖에 없는 환경이다. 이렇게 고무줄처럼 왔다갔다 하는 공격면에는 크게 여섯 가지 요소가 있다.
1. 전통적인 자산 : 기업의 물리적인 공간 내에서 보관되고 있는 데이터나 기기 등을 말한다. 서버, 데스크톱 컴퓨터 등이 있는데, 이런 요소들 역시 아무리 네트워크가 현대화 되어도 값어치 있는 공격 대상이 된다.
2. 클라우드 인스턴스 : 클라우드라는 결정타로 전통적인 형태(개념)의 네트워크는 이제 완전히 ‘옛 것’이 되어버렸다. 이제 그런 네트워크는 현존하는 것들 외에 더 생겨나지 않을 것이 거의 분명하다. 특히 네트워크의 ‘외곽’이라고 한다면 현대에 와 멸종했다고 봐도 무방하다. 최근의 기업들은 대부분 사무 공간 외에도 ‘서버’ 역할을 하는 뭔가를 여러 개 두고 있다. 그래서 자신들의 데이터가 어느 정도 위험에 처해져 있는지 정확히 파악하기가 매우 어렵다.
3. 모바일 : 이제 모바일 기기 한 대 보유하지 않는 직원, 파트너사 직원, 계약직 근무자가 없다고 봐야 하는 때다. 눈에 보이지 않지만 그들의 호주머니 속에는 분명 모바일 기기가 원격 연결 기술로 내 네트워크에 접속해 있을 가능성이 그렇지 않을 가능성보다 훨씬 높다. 이게 허용되는 이유는 당연히 업무 효율이 높아지기 때문이다. 안전성은 떨어지지만.
4. 사물인터넷 기기 : 소비자 가전기기, 회의실용 시설물, 주차장에 주치된 자동차, 스마트 빌딩 내에 적용된 여러 기술들, 물리보안 시스템 등 우리가 보고도 지나치는 사물인터넷 기기들이 주변에 이미 많이 설치돼 있다. 게다가 편리하고 성능도 좋기 때문에 인기가 높아지고 있다. 네트워크를 매일 더 복잡하게 만들어 위협 가시성을 좀처럼 확보하기 힘들게 하는 주범이다.
5. 데브옵스/콘테이너 : 데브옵스 개발 프로세스를 도입하는 업체들이 늘어나고 있다. 제품 개발이 더 빠르고 편리해지기 때문이다. 그런데 이 와중에 IT 자산에 대한 소유권이 불분명하게 된다. 대부분 개발자가 가지게 되는데, 개발자는 보안에 큰 신경을 쓸 수가 없다. 그러므로 데브옵스 환경에서는 개발자가 가진 IT 자산이 위험하게 되고, 보안 전문가들은 개발자들에게서 자산을 협조 받아 보안을 점검해야 한다.
6. 웹 애플리케이션 : 우리가 사용하는 여느 소프트웨어에도 그렇듯 웹 애플리케이션들에도 취약점이 있다. 상당히 많이 존재한다. 하지만 기업들로서는 웹 애플리케이션 사용을 멈출 수 없다. 사업 운영에 있어 매우 혁신적이고 새로운 방법들로서 각광받고 있기 때문이다. 다양한 통계자료를 수집하기 위해, 고객과의 관계를 더 탄탄히 하기 위해, 업무 효율을 높이기 위해, 많은 기업들이 애플리케이션을 적극 검토하고 있다.
고무줄 같은 IT 환경, 어떻게 보호할까
보안 팀이 관리해야 하는 IT 환경이 한 마디로 고무줄처럼, 혹은 아메바처럼 모양이 제멋대로라는 게 큰 문제다. 여기에는 좀 더 다른, 현대적인 접근이 필요하다. 형태와 규격이 명확했던 이전 네트워크를 관찰하던 때와 같은 방법을 사용해서는 ‘답이 없다.’ 이전과 다른 접근법이 추구하는 건 다음 두 가지 질문에 대한 답이다. “우리 회사는 얼마나 노출되어 있나?”, “위험요소를 줄이기 위해 내가 할 수 있는 일은 무엇인가?”
1. 기본은 IT 구성 요소에 대한 깊은 이해도다. 어떤 시스템이 있으며, 각 시스템이 어떤 위협에 노출되어 있는가를 꿰고 있어야 한다. 예전에는 네트워크의 외곽만 신경 썼다면 이젠 내부의 모든 시스템에도 지식이 닿아야 한다. 보안 팀이 해야 할 가장 첫 번째 임무라고 볼 수 있다.
2. 그 다음은 위에서 파악한 각 시스템이 어떤 식으로 연결되어 있으며, 그것이 전체적으로 어떤 그림을 그려내는지 이해해야 한다. 물론 고무줄처럼 늘었다 줄었다 형태가 불분명하지만, 기본 골격이나 ‘디폴트 형태’ 정도는 만들어낼 수 있다. 그래서 가장 치명적인 부분 혹은 시스템을 파악해내고 우선순위를 정해야 한다. 이는 전 부서, 전 직원과의 협업을 의미한다. 보안은 절대로 고립된 섬이 아니다.
3. 시스템과 네트워크 구성 요소들에 대한 깊은 이해만으로는 문제가 해결되지 않는다. 그 이해를 바탕으로 행동을 취해야 하는데, 쉽게 말해 조직 내 보안 위생 청결 문화를 뿌리내려야 한다. 데이터 유출 사고의 85%가 이미 널리 알려지고 보안 전문가들의 귀에 못이 박힌 취약점을 통해 발생한다는 건, 어떻게 보면 다행인 소식이다. 보도가 되고, 커뮤니티 내 알려지는 취약점들만 잘 고쳐내도 대부분의 공격을 막을 수 있다는 뜻이기 때문이다. 보안 위생 청결은 표현이 좀 막연해서 그렇지, 사실은 패치 잘 하는 것에서부터 출발한다.
글 : 아밋 요란(Amit Yoran)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
