Cover Story

새벽 2시. 핵심 네트워크 장치에 의심스러운 행위가 나타나 네트워크 운영 센터에 알람이 울린다. 당신은 텔넷과 네트워크에 대한 외부 연결을 차단해두었기 때문에 이 일이 말도 안 된다고 생각한다. 그러나 원인을 찾기 위해 허둥댄 지 15분 만에 그러한 연결이 전혀 차단되고 있지 않았음이 판명된다. 그 주 초에 누군가 업체 기술자의 네트워크 접근 권한을 변경했던 것이다. 물론 당신에게 악몽을 선사할 의도는 없었을 것이다.

앞서 극단적으로 단순화한 예는 중요한 핵심을 보여주고 있다. 즉, 모든 지나치게 빈번하고 부적절한 변경 제어가 수많은 보안 관리자들에게 두통을 안겨주는 근본 원인이라는 것이다. 네트워크를 차단하는 것은 굉장히 어렵다. 네트워크가 지속적으로 변화하기 때문이다. 패치들이 반드시 적용되어야만하고 파트너들에게 접근 권한을 부여해야하며 새로운 서비스들이 공급되어야만 한다. 관리되지 못한 변경 한 건이 차단을 조정해둔 당신의 네트워크를 말 그대로 땅바닥에 곤두박질치게 할 수도 있는 것이다.

변경 관리는 보안 관리자들에게 수많은 것을 의미한다. 어떤 이들에게 있어 변경 관리는 새로운 방화벽 규칙이나 라우터 접근 통제 리스트 엔트리, 시스템 업그레이드 등과 같은 IT 환경 내의 변경을 규정하기 위해 적절한 프로세스를 구성하는 것이다. 이러한 프로세스는 승인, 테스팅, 스케줄링을 포함한다.

그러나 IT 보안팀은 대부분 변경 관리의 개념을 파일 통합 모니터링이나 시스템 스캐닝과 같은 행위를 포함하는 설정 통제 및 관리와 동일시한다. 비록 그들이 별개의 개념이기는 하지만 두 가지 모두 보안에 있어 극히 중요하며 변경 관리와 설정 관리 사이의 연관성은 더욱 강해지고 있다. 

보안의 과제는 그들이 통제하는 시스템과 장치들을 위한 변경과 설정 관리 프로세스를 개발하는 한편 보안 자체를 기존의 IT 변경 관리 프로세스와 통합하는 것이다. 단체들은 예정된 시스템 변경을 평가하고 비즈니스 관리에 관련된 위험을 알려주는 것이 보안이라고 생각해야한다.

그러나 보안은 변경의 허용 여부를 쥐고 있는 독재자가 아니라 신뢰할 만한 조언자 역할을 해야 하며 사업 경영자들은 기꺼이 보안과 더불어 업무를 진행할 것임을 증명해야만 한다.

허술한 관리로 기업의 보안은 땅바닥에 곤두박질칠 수도 있다. 강력한 Change Management Program을 위한 5단계를 살펴보자.

<글·데이브 섀클포드(Dave Shackleford)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>