• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보안, 후속조치 위주로 가는 조직들 아직 대부분 2016.10.25

해킹 공격, 대부분 알려진 취약점과 알려진 익스플로잇 통해 발생
사전 예방 위주의 방어가 트렌드...능동적인 대처 필요

[보안뉴스 문가용 기자] 기업 및 조직의 인프라 구조를 안전하게 지키는 데 투입되는 리소스가 갈수록 늘어나고 있다. 보안 전문업체인 주니퍼(Juniper)가 조사한 바에 따르면 데이터 유출로 인해 발생하는 전 세계의 피해액은 2019년까지 총 2조 1천억 달러에 달할 것이라고 한다. 이는 지난 한 해 동안 발생한 데이터 유출로 인한 피해액의 4배에 달하는 수치다.


숫자야 어쨌든 이 예측이 시사하는 바는 ‘데이터의 유출로 인한 피해가 급속도로 증가하고 있다’는 건데, 아직도 많은 기업들이 정보 보호를 운에 맡기고 있다. 많은 경우, 사고가 나고 나서야 정신을 차리는 게 고작이고, 그 기간도 그리 길지 않다.

최근 보안 업체인 트러스트웨이브(Trustwave)와 리서치 전문 업체인 오스터만(Osterman)이 함께 발간한 보고서인 ‘보안 점검 및 우선순위(Security Testing and Priorities)’에 따르면 조직들 대부분 네트워크 보안을 위한 가장 기본적인 실천 수칙도 지키지 않는 것으로 나타났다. 심지어 5개중 1개 조직은 보안 점검을 전혀 하지 않는 것으로 나타났으며, 95%는 지난 1년 동안 적어도 한 번 이상의 보안 취약점 관련 사고를 경험했다.

이유는 대부분 예산을 비롯한 자원의 부족이다. 그러나 전문가들은 “보안 점검을 한 번도 해보지 않는다는 건 오히려 태도의 문제”라고 지적한다. 보안에 대한 인식이 부족하다느니 안전불감증과 같은 걸 지적하는 게 아니라 “보안도 이제 능동적으로 해야 한다”는 트렌드를 쫓아가지 못하고 있다는 것. 여전히 보안은 ‘사고가 난 후 취하는 후속 대책’이라는 게 문제라는 뜻이다.

그러나 오랫동안 굳어진 사고방식을 하루아침에 바꾸는 건 매우 어려운 일이다. 그렇다고 95%나 사고를 겪는 이 마당에 사고방식을 바꾸지 않는다는 것이야 말로 인식 부족 혹은 안전 불감증이다. 그래서 다음 몇 가지 간단한 실천 수칙을 꼽아보았다.

1. 보안 점검은 매우 필요하고 가장 중요하다. 그것도 주기적으로 하는 점검이어야 한다. 이 중요성은 아무리 강조해도 지나치지 않다. 보안 점검이란 사이버 범죄자들이 뚫어야 하는 가장 처음 방어막이기도 한데, 굉장히 많은 경우 간과된다. 이는 침투 테스트와 네트워크 스캐닝 등이 포함되는데, 적어도 한 달에 한 번은 진행하는 게 좋다. MS와 같은 업체에서 한 달에 한 번 패치하는 것과 주기를 맞추는 게 가장 효율이 좋다. 또한 새로운 기능이 네트워크에 추가될 때도 보안 점검은 반드시 거쳐야 한다. 점검을 통해 컴플라이언스 현황도 확인하는 게 가능하다.

2. 사람도 보안의 점검 대상이다. 위 1번이 보통 기계적인 부분에 대한 성능 점검을 얘기한 것이었다면, 2번은 사람에 대한 내용이다. 근무자가 부족하거나, 사람이 있어도 숙련도가 떨어진다거나, 보안 점검을 할 시간이 도저히 주어지지 않는 환경일 때 사람은 보안 구멍이 된다. 이를 보완하려면 방금 언급한 조건들을 반대로 충족시키면 된다. 실력 있는 사람을 고용해 보안에 집중하게 하는 것. 그러나 이건 당장 실시할 수 있는 것이 아니라 어느 정도 시간을 투자해야 되는 일이다. 그 시간 동안 외부 전문가를 고용하거나 파트너십을 맺는 것도 나쁘지 않은 선택지다. 단, 적임자를 계속해서 찾고 내부 직원을 교육시킨다는 전제 하에 말이다.

3. 위 1, 2번을 실행 및 추구하다보면 이 주장에 도달한다. 바로 보안은 문화라는 것. 매달 보안 점검을 하는 것, 그러면서 인재를 키우거나 교육시키는 것 모두 오래 하면 기업의 문화가 된다. 문화라고 하면 어제 막 입사한 새내기부터 가장 높은 C레벨 임원들도 모두 알고 자연스럽게 참여할 수 있어야 한다. 즉 모든 임직원이 보안 실천 사항들을 전부 알고 있고, 보안 점검 때 무슨 일이 일어나는지 인지하고 있으며, 정보보안이 어떤 영향을 미치는지도 이해하고 있어야 한다. 특히 C레벨 임원의 의지에 문화 정착의 많은 부분이 달려 있다.

데이터 유출을 감지할 수 있는 툴을 확보하는 건 매우 중요하다. 이에 얼른 대처해 피해를 최소화할 수 있는 능력은 어떤 조직에나 필요하다. 하지만 처음부터 이런 공격을 받지 않으면 어떨까? 정보보안 혹은 방어란, 스턱스넷을 막는 것만을 말하는 게 아니다. 해킹 범죄의 대부분은 우리가 이미 알고 있는 취약점을 통해, 우리가 알고 있는 익스플로잇으로 이루어진다. 즉, 많은 경우에 ‘예방 우선’이 가능해진다는 뜻이다. 그렇다면 병에 걸리고 낫는 것보다 아예 걸리지 않도록 하는 게 훨씬 바람직할 것이다.

글 : 케빈 오버캐시(Kevin Overcash)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>