‘설계’의 시작은 ‘상상’이다. 사이버 공격 모의 훈련이 필요한 이유다
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] 건축과 보안에서 ‘설계’의 중요성에 대해 가볍고, 중함을 이야기하는 것은 무의미하다. 오늘은 우리가 잘 알고 있는 동화인 ‘아기 돼지 삼형제’ 이야기를 통해 설계의 ‘견고함’에 대해서 이야기하고자 한다.
[이미지=utoimage]
아기 돼지 삼형제가 독립을 하게 되었다. 이들에게 주어진 첫 번째 미션은 ‘집짓기’. 삼형제 중 첫째는 ‘짚’으로 집을 지었다. 둘째는 ‘나무집’을 지었다. 셋째는 오랜 시간을 들여 ‘벽돌집’을 완성했다. 그리고 어느 날, 늑대가 나타나 삼형제를 공격했다. 첫째와 둘째 집은 늑대의 공격에 힘없이 무너졌고, 집을 잃은 두 형제는 셋째 벽돌집으로 피신하여 늑대의 공격으로부터 안전할 수 있었다. 이 이야기가 우리에게 주는 시사점은 ‘설계의 견고함’이라는 관점이 아닐까?
‘정보보안 설계’라는 틀에서 ‘설계의 견고함’은 매우 중요하다. 사실, 짚으로 지은 집이건, 나무로 지은 집이건, 늑대의 공격이 있기 전까지는 아기 돼지 형제가 살아가는데 문제가 없었다. 마치, 해킹공격이나 랜섬웨어 공격을 받기 전까지는 ‘IT 인프라스트럭처’가 문제없듯이 말이다. 따라서 설계는 ‘미래에 일어날 가능성’을 염두에 두어야 한다. 강도 6.0 이상의 지진이 일어난 적이 없다고 해서 건물을 지을 때 내진 설계를 제대로 하지 않는다면, 이 건물은 ‘0’점짜리 건물이기 때문이다. 즉, 건축설계에서 기본이 되는 체크리스트를 빼고서 설계하는 것은 있을 수 없는 일이다.
건축설계는 보이지 않는 것으로부터 시작해서 보여주는 것으로 끝이 난다. 사람들은 건물의 규모에 감탄하기도 하고, 디자인에 매혹되기도 한다. 사람들의 이목을 많이 끄는 건물은 그 지역의 랜드마크가 되기도 한다. 그러나 보안설계는 밖으로 보여주기 위함이 목적이 아니다. 보이지 않는 적으로부터 방어하기 위한 것이다. 보안규모가 크다고 해서 남들의 주목을 받는 것도 아니다. 오롯이 잠재된 위협으로부터 방어를 잘 해내기 위함이 설계의 시작이고 끝이다.
기업의 컨설팅을 하다 보면 자주 받는 질문이 있는데, 바로 타 기업의 ‘Best Practice’에 관한 것이다. 타 기업의 우수사례를 벤치마킹하는 것은 매우 중요하다. 그러나 두 가지 한계점이 있다. 먼저, 기업의 보안정책은 그 기업에서 중요하게 생각하는 자산의 종류와 그 가치에 맞게 설계가 되어야 한다는 것이다. 따라서 이 질문은 짚으로 집을 지은 첫째 돼지가 나무로 지은 집이 좋아 보여 둘째에게 질문하는 격이다. 그리고 ‘Best Practice’라고 하는 것이 대부분 보안 솔루션 중심이기에 전혀 도움이 되지 않는 것은 아니지만, 실질적으로 적용하기에는 고려해야 할 사항이 많다.
그렇다면 보안설계는 어떻게 하면 좋을까? 제일 먼저 권고하고 싶은 내용은 다양한 보안 프레임워크를 참조해서 자사에 맞게 적용을 하라는 것이다. 예를 들어, 미국 국립표준기술연구소(NIST:The National Institute of Standards and Technology)에서 제공하는 ‘사이버 시큐리티 프레임워크’를 참조할 수 있을 것이다. 이 기준에서 현재 해당 기업의 부족한 영역이 있다면 그 부분에 대한 설계를 보완해 나가는 것도 하나의 방안이다.
▲美 국립표준기술연구소(NIST) ‘Cyber Security Framework’[출처=NIST]
NIST 외에도 국제표준화기구(ISO)에서 발표한 ‘ISMS(Information Security Management Systems) 모델’도 참조할 만하다.
▲ISO, ISMS(Information Security Management Systems) 모델[출처=ISO]
또한, 최근 디지털 트랜스포메이션에 따른 ‘클라우드 보안’에 대해서 고민하는 기업들이 많이 증가하고 있는데, 이 경우에는 미국의 비영리기관인 인터넷보안센터(CIS: Center for Internet Security)에서 내놓은 ‘보안 프레임워크’를 참조하여 설계하는 것도 좋은 방법이다.
▲CIS, 보안 프레임워크[출처=CIS]
설계의 시작은 ‘상상’이다. 이는 동물과 인간을 구분하는 능력 중의 하나다. 세계 곳곳에는 인간의 무한한 상상력으로 건축된 경이로운 건축물들이 있다. 사이버 공간에서 벌어지는 ‘사이버 공격’ 또한 상상할 수 있기에 대비할 수 있는 것이다. 사이버 공격 및 방어에 관한 모의 훈련을 자주 해야 하는 이유이다.
[글_황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_ 20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸고 있다. 시만텍, 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] 건축과 보안에서 ‘설계’의 중요성에 대해 가볍고, 중함을 이야기하는 것은 무의미하다. 오늘은 우리가 잘 알고 있는 동화인 ‘아기 돼지 삼형제’ 이야기를 통해 설계의 ‘견고함’에 대해서 이야기하고자 한다.
[이미지=utoimage]
아기 돼지 삼형제가 독립을 하게 되었다. 이들에게 주어진 첫 번째 미션은 ‘집짓기’. 삼형제 중 첫째는 ‘짚’으로 집을 지었다. 둘째는 ‘나무집’을 지었다. 셋째는 오랜 시간을 들여 ‘벽돌집’을 완성했다. 그리고 어느 날, 늑대가 나타나 삼형제를 공격했다. 첫째와 둘째 집은 늑대의 공격에 힘없이 무너졌고, 집을 잃은 두 형제는 셋째 벽돌집으로 피신하여 늑대의 공격으로부터 안전할 수 있었다. 이 이야기가 우리에게 주는 시사점은 ‘설계의 견고함’이라는 관점이 아닐까?
‘정보보안 설계’라는 틀에서 ‘설계의 견고함’은 매우 중요하다. 사실, 짚으로 지은 집이건, 나무로 지은 집이건, 늑대의 공격이 있기 전까지는 아기 돼지 형제가 살아가는데 문제가 없었다. 마치, 해킹공격이나 랜섬웨어 공격을 받기 전까지는 ‘IT 인프라스트럭처’가 문제없듯이 말이다. 따라서 설계는 ‘미래에 일어날 가능성’을 염두에 두어야 한다. 강도 6.0 이상의 지진이 일어난 적이 없다고 해서 건물을 지을 때 내진 설계를 제대로 하지 않는다면, 이 건물은 ‘0’점짜리 건물이기 때문이다. 즉, 건축설계에서 기본이 되는 체크리스트를 빼고서 설계하는 것은 있을 수 없는 일이다.
건축설계는 보이지 않는 것으로부터 시작해서 보여주는 것으로 끝이 난다. 사람들은 건물의 규모에 감탄하기도 하고, 디자인에 매혹되기도 한다. 사람들의 이목을 많이 끄는 건물은 그 지역의 랜드마크가 되기도 한다. 그러나 보안설계는 밖으로 보여주기 위함이 목적이 아니다. 보이지 않는 적으로부터 방어하기 위한 것이다. 보안규모가 크다고 해서 남들의 주목을 받는 것도 아니다. 오롯이 잠재된 위협으로부터 방어를 잘 해내기 위함이 설계의 시작이고 끝이다.
기업의 컨설팅을 하다 보면 자주 받는 질문이 있는데, 바로 타 기업의 ‘Best Practice’에 관한 것이다. 타 기업의 우수사례를 벤치마킹하는 것은 매우 중요하다. 그러나 두 가지 한계점이 있다. 먼저, 기업의 보안정책은 그 기업에서 중요하게 생각하는 자산의 종류와 그 가치에 맞게 설계가 되어야 한다는 것이다. 따라서 이 질문은 짚으로 집을 지은 첫째 돼지가 나무로 지은 집이 좋아 보여 둘째에게 질문하는 격이다. 그리고 ‘Best Practice’라고 하는 것이 대부분 보안 솔루션 중심이기에 전혀 도움이 되지 않는 것은 아니지만, 실질적으로 적용하기에는 고려해야 할 사항이 많다.
그렇다면 보안설계는 어떻게 하면 좋을까? 제일 먼저 권고하고 싶은 내용은 다양한 보안 프레임워크를 참조해서 자사에 맞게 적용을 하라는 것이다. 예를 들어, 미국 국립표준기술연구소(NIST:The National Institute of Standards and Technology)에서 제공하는 ‘사이버 시큐리티 프레임워크’를 참조할 수 있을 것이다. 이 기준에서 현재 해당 기업의 부족한 영역이 있다면 그 부분에 대한 설계를 보완해 나가는 것도 하나의 방안이다.
▲美 국립표준기술연구소(NIST) ‘Cyber Security Framework’[출처=NIST]
NIST 외에도 국제표준화기구(ISO)에서 발표한 ‘ISMS(Information Security Management Systems) 모델’도 참조할 만하다.
▲ISO, ISMS(Information Security Management Systems) 모델[출처=ISO]
또한, 최근 디지털 트랜스포메이션에 따른 ‘클라우드 보안’에 대해서 고민하는 기업들이 많이 증가하고 있는데, 이 경우에는 미국의 비영리기관인 인터넷보안센터(CIS: Center for Internet Security)에서 내놓은 ‘보안 프레임워크’를 참조하여 설계하는 것도 좋은 방법이다.
▲CIS, 보안 프레임워크[출처=CIS]
설계의 시작은 ‘상상’이다. 이는 동물과 인간을 구분하는 능력 중의 하나다. 세계 곳곳에는 인간의 무한한 상상력으로 건축된 경이로운 건축물들이 있다. 사이버 공간에서 벌어지는 ‘사이버 공격’ 또한 상상할 수 있기에 대비할 수 있는 것이다. 사이버 공격 및 방어에 관한 모의 훈련을 자주 해야 하는 이유이다.
[글_황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_ 20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸고 있다. 시만텍, 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
