요즘, 개인정보 유출, 해킹 어쩌구 저쩌구 참 말이 많지요.
실제로 Gartner의 Ian Glazer는 "사이버 공격의 상품화와 산업화가 진행되고 있는 것도 (보안) 위협의 심각한 요소이며, (보안상의) 취약점과 인증 정보, 정보 자산 경매 등 언더그라운드 경제권은 확실히 존재한다. 풍부한 자산을 가진 글로벌 기업은 공격자의 좋은 표적이다."라는 말을 했습니다.
때에 맞춰, 글로벌 보안 회사인 Application Security, INC와 글로벌 리서치 회사인 UNISPHERE RESEARCH에서 보안 관련자들의 서베이를 통해 리포트를 발표 했습니다.
제목은 다음과 같은데요. "DATA SECURITY AT AN INFLECTION POINT: 2011 SURVEY OF BEST PRACTICES AND CHALLENGES". 링크 페이지로 가시면 리포트의 내용을 설명하는 웹 세미나를 시청하실 수 있으며 리포트 또한 다운 받으실 수 있습니다.
오늘은 본 리포트 가운데 다음의 두 표를 함께 보시면서 보안 위협을 상승 시키는 요인과 그 대안이라 할 수 있는 보안 위협을 감소 시킬 수 있는 방법에 대해 알아 보겠습니다.
먼저, 보안 위협을 상승(증가) 시키는 요소로 꼽힌 내용들입니다.
1. 대담하고 기술력이 뛰어난 외부 해커 Greater technical abilities or boldness among outside hackers (81%)
요즘의 해킹/해커들의 특징을 보면 ① High Targeted ② Well Funded ③ Well Researched ④ Designed to Evade Detection ⑤ Multi-Modal and Multi-Step으로 요약할 수 있습니다.
다시 위의 Ian Glazer의 말을 인용해 보면,
"요즘의 표적형 공격(①③)자는 높은 기술(④⑤)과 자금력이 풍부(②)하고 성공할 때까지(APT: Advanced Persistent Threat) 여러 공격방법을 시도(사회공학, 피싱, 악성코드, 제로데이 공격 등)하는 끈기가 있다."
그만큼 전선이 넓고 상대가 점점 더 신출귀몰해지기 때문에 보안에서의 가장 큰 위협으로 꼽히는 것이라 볼 수 있습니다.
2. 보안 제품 적용을 위한 적은 예산과 집중할 시간의 부족 Less budget for security tools and staff time (45%)
우선 스태프들의 시간 부족을 변명하자면, 현재의 보안에 있어서는 가장 중요한 요소 가운데 한 가지가 "보안 인텔리전스 Security Intelligence"인데요.
이것은 모니터링 등을 통해 수집된 여러 보안 정보를 상관 분석하여 위협의 전조를 조기 발견하여 대처하는 데 그 목적이 있는데요.
예상하시는 것과같이 여러 보안 정보를 수집하는 일, 분석하여 연관성을 찾는 일 모두 많은 시간의 투여와 고도의 집중력을 요하는 일이지요. 타 업무를 하면서 이와같은 일을 병행한다는 것은 말처럼 쉬운 일이 아닌 것만은 분명합니다.
그렇다고 시간 부족을 이유로 이러한 일을 소홀히 해서는 절대 안되겠지요.
결국은 우선 순위의 문제가 되는 것입니다. 보안 업무의 우선 순위와 타 부서 지배력이 높은 위치에 올라설 수 있어야만이 가능한 일인 것입니다.
보안 제품 적용에 대한 예산의 문제는 우선 순위의 문제와 함께 효율성/효과성을 따져봐야 하기 때문에 좀 더 복잡한 문제일 수 있는데요.
이 문제는 현재 자사의 보안 현황의 치밀한 분석(보안 인텔리젼스 등)이 우선 되어져야 할 것이라고 생각합니다. 그 기반에서 도입 전략을 구성하고 단계별로 적용해 나아가야 하는 것이지요. 맞습니다. 상식 그대로입니다.
그러나 그러한 상식적인 일을 여러가지 상황 논리에 숨어 수행하지 않기 때문에 꼽힌 요인인 것이지요.
3. 대담하고 기술력이 뛰어난 내부 해커 Greater technical abilities or boldness among internal hackers (44%)
여러분들도 자주 들어서 아시지요? "어디 어디서 문제가 발생했는데 원인을 찾아 보니, 내부를 잘 아는 전/현직 직원이었다."
사실 정보 침해 사례나 그것에 대한 리포트를 보면 DB 시스템의 문제, 외부 해커, 악의적인 내부 직원에 의한 침해가 항상 상위를 차지 합니다.
그만큼 내부관리 및 직원 교육이 중요하다는 것을 반증하는 것이라고 볼 수 있는데요.
저는 조금 다른 생각을 합니다.
바로, DB뿐만 아니라 시스템을 운영하는 우리의 관행입니다.
기본적인 예를 들어보지요.
DB나 시스템에 대한 접근은 각자 고유의 ID와 Password를 통하여야 하고 권한의 적용 또한 정책에 따라야 하지요?
또 ID와 Password는 생성 규칙과 관리 규정을 지켜야 하지요?
그런데 우리는 어떤가요? 다 알면서도 그냥 하나로 만들어 누구나 사용하고, 권한도 거의 DBA의 권한을 가지고 있잖아요. ID/Pass는 보통 admin/admin 또는 sys/oracle......그렇죠???
물론, 악의적인 직원의 소행도 큰 원인이지만, 언제든지 악의적으로 이용 또는 응용 가능한 우리의 관행이 더 큰 문제인 것이지요.
4. 관리 소홀과 의식 부족 Less management or employee awareness/oversight (27%)
위의 3번에 말씀 드린 잘못됐지만 암묵적으로 용인되는 "관행"의 문제를 꼬집은 것이라고 생각 됩니다. 또한 무시해서는 안되는 것은 보안에 대한 의식 부족에서 오는 "실수"입니다.
5. 정보 보안 부서의 부족한 위상과 지원 Less management commitment/support for data protection efforts (23%)
업무를 진행하다가 보면 민감정보(개인정보 등의 Sensitive Data)에 대한 접근이나 리포트를 요구하는 경우가 종종 있는데요. Compliance 등의 보안 규정들이 업무의 시급성, 부서의 파워 등에 밀려 적용되지 않는 경우들이 있지요. 그러한 경우는 업무의 효율은 순간적으로 좋아질 수는 있었겠으나, 정보 유출에 대한 후폭풍은 아무도 예상할 수 없는 경우이지요.
이러한 후폭풍의 위험을 미연에 방지하기 위해서라도 위 1번에서 이야기한 "보안 업무의 우선 순위와 타 부서 지배력"을 꼬집은 것이라고 하겠습니다.
다음은 보안 위협을 감소 시키는 요소로 꼽힌 내용들입니다.
1. 내부 보안 프로세스 및 정책의 강화 More internal rules/procedures to deter internal hackers/errors (76%)
보안은 프로세스라고 합니다. 또한 프로세스는 정보의 흐름에 따라 종합적으로 설계되어져야 합니다. 마지막으로 종합적인 설계 내에는 "사람-->정책/프로세스-->기술(보안 제품/시스템)"의 체계적 대응이 가능한 로직이 담겨야 합니다.
그래야만 외부 침해 대응에 한 단계 더 나아가 내부에서 외부로 흘러가는 데이터의 통제가 가능해 지는 것이지요. 이미지로 단순하게 표현하면 다음과 같습니다.
그리고 이 모든 것이 보안 시스템에 담겨, 운용될 수 있어야 합니다.
"DB 접근제어 시스템"의 예를 들면, 다음과 같은 것이지요.
우선, DB 사용자의 구분이 가능해야지요. 내부 사용자, 외부 사용자, 내부 사용자 같은 경우는 개발자 등의 시스템 운영자, ERP, Groupware 등의 업무 시스템으로 접근하는 사용자 등의 구분이 가능해야 하고, 구분된 사용자의 접근 권한의 배정,회수,추적이 가능해야 하며, 마지막으로 업무 시스템과 대상 DB 시스템의 운영 효율성에 영향을 주어서는 안되겠지요.
시스템 이미지를 보시겠습니다. DAM(Database Activity Monitoring: DB접근제어) 솔루션의 표준 Process Architecture 입니다.
2. DB 벤더의 보안권고 적극 수용 Improved data security from DBMS vendors (65%)
이것은 "DB 취약점" 측면의 문제입니다.
물을 막고 있는 댐도 취약한 부분이 터져 재앙이 발생하는 것처럼 DB가 뚫리는 것도 바로 이 취약점이 원인이라고 할 수 있습니다.
오라클의 예를 들면 자사의 제품에 취약점이 보고된 경우, CPU(Critical Patch Update) 프로그램을 통해 고객들에게 알리지요.
그럼, 권고를 미처 알지 못했거나 DB시스템내에 취약점의 존재여부, DB시스템의 운영중 발생한 취약점의 존재여부는 어떻게 알고 대응하여야 할까요?
이때 사용하는 툴이 바로 "DB취약점 분석 솔루션 DB Vulnerability Assessment"입니다.
보통 DB취약점 분석 솔루션은 "모의 해킹 Penetration Test"와 "보안 감사 Security Auditing"을 통해 DB내에 존재하고 있는 취약점(Vulnerabilities)을 검출(Scanning)해 내고 그 대응 방안을 권고하는 보고서(Fix Script, Patch Guide)를 생성 합니다.
다음과 같은 Process Architecture를 가지고 있지요.
특히 취약점 분석 솔루션은 오탐(잘못된 탐지)의 문제를 발생되지 않도록 다음과 같은 기본 기능을 보유하고 검증되어야 합니다.
3. 보안 교육의 강화 및 확장 More education and training to deter internal hackers/errors (59%)
보안 교육의 강화 및 확장은 결국 보안 프로세스 적용의 효과를 극대화할 수 있도록하는 실천 방안 중의 하나인데요. 실제적인 효과를 얻기위한 선결과제는 "위협 평가 Threat Evaluation"입니다.
위협 평가를 위해서는 "보안 컨설팅"을 받거나 위의 2번에서 소개한 "취약점 분석 Vulnerability Assessment"을 실행하는 것이 가장 효과적입니다.
그렇게 위협 평가를 하게되면,
① 자사가 내/외부적으로 공격 받을 가능성이 있다는 것에 대한 이해가 생깁니다.
② 정보 유출 등의 사고를 가져 올 잠재적인 원인을 분명하게 알게 됩니다.
③ 보안 대책 실행의 우선 순위를 정할 수 있게 됩니다.
또한 보안 교육의 범위를 내부 직원, 내부 조직에서 파트너로 확장해야 할 필요가 있습니다.
4. 정보보안 부서의 위상과 지원 강화 Greater management commitment/support for data protection efforts (53%)
이것은 위의 위협요소 5번의 반대 개념이지요...일단 힘과 총알이 있어야 합니다. ^^
5. 보안 의식의 고양 More management or employee awareness/oversight (53%)
관행과 편리함, 좋은 게 좋은 것이라는 관계 지향을 벗어 날 수 있도록 보안에 대한 의식 교육과 점검도 분명히 필요합니다.
일부 기업에서는 보안에 관련된 사항들을 MBO에 적용하여 적극성을 유도하는 사례도 있습니다.
6. 보안 인증된 제품의 도입 Improved data security from third-party vendors (29%)
third-party 제품의 도입에 있어서도 보안 규격에 적합한 인증 제품의 도입이 우선시 되어야 합니다. 또 인증된 제품이라 할지라도 보안상 하나의 목적을 위해 구성된 경우가 많기 때문에,
① 자사의 보안 정책 적용이 가능한지
② 운영 후 즉 시간이 흐름에 따라 취약점이 발생할 수 있는지
③ 발생한 취약점의 대응 체계는 어떤지
등의 분석과 판단이 필요합니다.
이상으로 보안 위협의 상승(증가) 요인과 감소(대응) 요인(방안)에 대해 이야기를 나누었습니다.
이제 더 이상 "보안"은 남의 일, 타 부서의 일, 귀찮은 일이 될 수 없습니다.
생활이 되어야 하고 습관이 되어야 하는 것입니다.
감사합니다.
실제로 Gartner의 Ian Glazer는 "사이버 공격의 상품화와 산업화가 진행되고 있는 것도 (보안) 위협의 심각한 요소이며, (보안상의) 취약점과 인증 정보, 정보 자산 경매 등 언더그라운드 경제권은 확실히 존재한다. 풍부한 자산을 가진 글로벌 기업은 공격자의 좋은 표적이다."라는 말을 했습니다.
때에 맞춰, 글로벌 보안 회사인 Application Security, INC와 글로벌 리서치 회사인 UNISPHERE RESEARCH에서 보안 관련자들의 서베이를 통해 리포트를 발표 했습니다.
제목은 다음과 같은데요. "DATA SECURITY AT AN INFLECTION POINT: 2011 SURVEY OF BEST PRACTICES AND CHALLENGES". 링크 페이지로 가시면 리포트의 내용을 설명하는 웹 세미나를 시청하실 수 있으며 리포트 또한 다운 받으실 수 있습니다.
오늘은 본 리포트 가운데 다음의 두 표를 함께 보시면서 보안 위협을 상승 시키는 요인과 그 대안이라 할 수 있는 보안 위협을 감소 시킬 수 있는 방법에 대해 알아 보겠습니다.
먼저, 보안 위협을 상승(증가) 시키는 요소로 꼽힌 내용들입니다.
1. 대담하고 기술력이 뛰어난 외부 해커 Greater technical abilities or boldness among outside hackers (81%)
요즘의 해킹/해커들의 특징을 보면 ① High Targeted ② Well Funded ③ Well Researched ④ Designed to Evade Detection ⑤ Multi-Modal and Multi-Step으로 요약할 수 있습니다.
다시 위의 Ian Glazer의 말을 인용해 보면,
"요즘의 표적형 공격(①③)자는 높은 기술(④⑤)과 자금력이 풍부(②)하고 성공할 때까지(APT: Advanced Persistent Threat) 여러 공격방법을 시도(사회공학, 피싱, 악성코드, 제로데이 공격 등)하는 끈기가 있다."
그만큼 전선이 넓고 상대가 점점 더 신출귀몰해지기 때문에 보안에서의 가장 큰 위협으로 꼽히는 것이라 볼 수 있습니다.
2. 보안 제품 적용을 위한 적은 예산과 집중할 시간의 부족 Less budget for security tools and staff time (45%)
우선 스태프들의 시간 부족을 변명하자면, 현재의 보안에 있어서는 가장 중요한 요소 가운데 한 가지가 "보안 인텔리전스 Security Intelligence"인데요.
이것은 모니터링 등을 통해 수집된 여러 보안 정보를 상관 분석하여 위협의 전조를 조기 발견하여 대처하는 데 그 목적이 있는데요.
예상하시는 것과같이 여러 보안 정보를 수집하는 일, 분석하여 연관성을 찾는 일 모두 많은 시간의 투여와 고도의 집중력을 요하는 일이지요. 타 업무를 하면서 이와같은 일을 병행한다는 것은 말처럼 쉬운 일이 아닌 것만은 분명합니다.
그렇다고 시간 부족을 이유로 이러한 일을 소홀히 해서는 절대 안되겠지요.
결국은 우선 순위의 문제가 되는 것입니다. 보안 업무의 우선 순위와 타 부서 지배력이 높은 위치에 올라설 수 있어야만이 가능한 일인 것입니다.
보안 제품 적용에 대한 예산의 문제는 우선 순위의 문제와 함께 효율성/효과성을 따져봐야 하기 때문에 좀 더 복잡한 문제일 수 있는데요.
이 문제는 현재 자사의 보안 현황의 치밀한 분석(보안 인텔리젼스 등)이 우선 되어져야 할 것이라고 생각합니다. 그 기반에서 도입 전략을 구성하고 단계별로 적용해 나아가야 하는 것이지요. 맞습니다. 상식 그대로입니다.
그러나 그러한 상식적인 일을 여러가지 상황 논리에 숨어 수행하지 않기 때문에 꼽힌 요인인 것이지요.
3. 대담하고 기술력이 뛰어난 내부 해커 Greater technical abilities or boldness among internal hackers (44%)
여러분들도 자주 들어서 아시지요? "어디 어디서 문제가 발생했는데 원인을 찾아 보니, 내부를 잘 아는 전/현직 직원이었다."
사실 정보 침해 사례나 그것에 대한 리포트를 보면 DB 시스템의 문제, 외부 해커, 악의적인 내부 직원에 의한 침해가 항상 상위를 차지 합니다.
그만큼 내부관리 및 직원 교육이 중요하다는 것을 반증하는 것이라고 볼 수 있는데요.
저는 조금 다른 생각을 합니다.
바로, DB뿐만 아니라 시스템을 운영하는 우리의 관행입니다.
기본적인 예를 들어보지요.
DB나 시스템에 대한 접근은 각자 고유의 ID와 Password를 통하여야 하고 권한의 적용 또한 정책에 따라야 하지요?
또 ID와 Password는 생성 규칙과 관리 규정을 지켜야 하지요?
그런데 우리는 어떤가요? 다 알면서도 그냥 하나로 만들어 누구나 사용하고, 권한도 거의 DBA의 권한을 가지고 있잖아요. ID/Pass는 보통 admin/admin 또는 sys/oracle......그렇죠???
물론, 악의적인 직원의 소행도 큰 원인이지만, 언제든지 악의적으로 이용 또는 응용 가능한 우리의 관행이 더 큰 문제인 것이지요.
4. 관리 소홀과 의식 부족 Less management or employee awareness/oversight (27%)
위의 3번에 말씀 드린 잘못됐지만 암묵적으로 용인되는 "관행"의 문제를 꼬집은 것이라고 생각 됩니다. 또한 무시해서는 안되는 것은 보안에 대한 의식 부족에서 오는 "실수"입니다.
5. 정보 보안 부서의 부족한 위상과 지원 Less management commitment/support for data protection efforts (23%)
업무를 진행하다가 보면 민감정보(개인정보 등의 Sensitive Data)에 대한 접근이나 리포트를 요구하는 경우가 종종 있는데요. Compliance 등의 보안 규정들이 업무의 시급성, 부서의 파워 등에 밀려 적용되지 않는 경우들이 있지요. 그러한 경우는 업무의 효율은 순간적으로 좋아질 수는 있었겠으나, 정보 유출에 대한 후폭풍은 아무도 예상할 수 없는 경우이지요.
이러한 후폭풍의 위험을 미연에 방지하기 위해서라도 위 1번에서 이야기한 "보안 업무의 우선 순위와 타 부서 지배력"을 꼬집은 것이라고 하겠습니다.
다음은 보안 위협을 감소 시키는 요소로 꼽힌 내용들입니다.
1. 내부 보안 프로세스 및 정책의 강화 More internal rules/procedures to deter internal hackers/errors (76%)
보안은 프로세스라고 합니다. 또한 프로세스는 정보의 흐름에 따라 종합적으로 설계되어져야 합니다. 마지막으로 종합적인 설계 내에는 "사람-->정책/프로세스-->기술(보안 제품/시스템)"의 체계적 대응이 가능한 로직이 담겨야 합니다.
그래야만 외부 침해 대응에 한 단계 더 나아가 내부에서 외부로 흘러가는 데이터의 통제가 가능해 지는 것이지요. 이미지로 단순하게 표현하면 다음과 같습니다.
그리고 이 모든 것이 보안 시스템에 담겨, 운용될 수 있어야 합니다.
"DB 접근제어 시스템"의 예를 들면, 다음과 같은 것이지요.
우선, DB 사용자의 구분이 가능해야지요. 내부 사용자, 외부 사용자, 내부 사용자 같은 경우는 개발자 등의 시스템 운영자, ERP, Groupware 등의 업무 시스템으로 접근하는 사용자 등의 구분이 가능해야 하고, 구분된 사용자의 접근 권한의 배정,회수,추적이 가능해야 하며, 마지막으로 업무 시스템과 대상 DB 시스템의 운영 효율성에 영향을 주어서는 안되겠지요.
시스템 이미지를 보시겠습니다. DAM(Database Activity Monitoring: DB접근제어) 솔루션의 표준 Process Architecture 입니다.
2. DB 벤더의 보안권고 적극 수용 Improved data security from DBMS vendors (65%)
이것은 "DB 취약점" 측면의 문제입니다.
물을 막고 있는 댐도 취약한 부분이 터져 재앙이 발생하는 것처럼 DB가 뚫리는 것도 바로 이 취약점이 원인이라고 할 수 있습니다.
오라클의 예를 들면 자사의 제품에 취약점이 보고된 경우, CPU(Critical Patch Update) 프로그램을 통해 고객들에게 알리지요.
그럼, 권고를 미처 알지 못했거나 DB시스템내에 취약점의 존재여부, DB시스템의 운영중 발생한 취약점의 존재여부는 어떻게 알고 대응하여야 할까요?
이때 사용하는 툴이 바로 "DB취약점 분석 솔루션 DB Vulnerability Assessment"입니다.
보통 DB취약점 분석 솔루션은 "모의 해킹 Penetration Test"와 "보안 감사 Security Auditing"을 통해 DB내에 존재하고 있는 취약점(Vulnerabilities)을 검출(Scanning)해 내고 그 대응 방안을 권고하는 보고서(Fix Script, Patch Guide)를 생성 합니다.
다음과 같은 Process Architecture를 가지고 있지요.
특히 취약점 분석 솔루션은 오탐(잘못된 탐지)의 문제를 발생되지 않도록 다음과 같은 기본 기능을 보유하고 검증되어야 합니다.
3. 보안 교육의 강화 및 확장 More education and training to deter internal hackers/errors (59%)
보안 교육의 강화 및 확장은 결국 보안 프로세스 적용의 효과를 극대화할 수 있도록하는 실천 방안 중의 하나인데요. 실제적인 효과를 얻기위한 선결과제는 "위협 평가 Threat Evaluation"입니다.
위협 평가를 위해서는 "보안 컨설팅"을 받거나 위의 2번에서 소개한 "취약점 분석 Vulnerability Assessment"을 실행하는 것이 가장 효과적입니다.
그렇게 위협 평가를 하게되면,
① 자사가 내/외부적으로 공격 받을 가능성이 있다는 것에 대한 이해가 생깁니다.
② 정보 유출 등의 사고를 가져 올 잠재적인 원인을 분명하게 알게 됩니다.
③ 보안 대책 실행의 우선 순위를 정할 수 있게 됩니다.
또한 보안 교육의 범위를 내부 직원, 내부 조직에서 파트너로 확장해야 할 필요가 있습니다.
4. 정보보안 부서의 위상과 지원 강화 Greater management commitment/support for data protection efforts (53%)
이것은 위의 위협요소 5번의 반대 개념이지요...일단 힘과 총알이 있어야 합니다. ^^
5. 보안 의식의 고양 More management or employee awareness/oversight (53%)
관행과 편리함, 좋은 게 좋은 것이라는 관계 지향을 벗어 날 수 있도록 보안에 대한 의식 교육과 점검도 분명히 필요합니다.
일부 기업에서는 보안에 관련된 사항들을 MBO에 적용하여 적극성을 유도하는 사례도 있습니다.
6. 보안 인증된 제품의 도입 Improved data security from third-party vendors (29%)
third-party 제품의 도입에 있어서도 보안 규격에 적합한 인증 제품의 도입이 우선시 되어야 합니다. 또 인증된 제품이라 할지라도 보안상 하나의 목적을 위해 구성된 경우가 많기 때문에,
① 자사의 보안 정책 적용이 가능한지
② 운영 후 즉 시간이 흐름에 따라 취약점이 발생할 수 있는지
③ 발생한 취약점의 대응 체계는 어떤지
등의 분석과 판단이 필요합니다.
이상으로 보안 위협의 상승(증가) 요인과 감소(대응) 요인(방안)에 대해 이야기를 나누었습니다.
이제 더 이상 "보안"은 남의 일, 타 부서의 일, 귀찮은 일이 될 수 없습니다.
생활이 되어야 하고 습관이 되어야 하는 것입니다.
감사합니다.
'IT 와 Social 이야기 > Security' 카테고리의 다른 글
| [Inforgraph] 2011년 보안 전문가들이 두려워 했던 요소와 안타까운 실상 (0) | 2012.02.17 |
|---|---|
| 2011년 보안 사고의 특징들(Security Trends)과 대응 방안 1 (0) | 2012.02.13 |
| Mobile Security - Android vs. iOS (0) | 2012.02.06 |
| Endpoint Security Survey 2011 Infographic과 APT 공격 (0) | 2012.01.16 |
| Web App. 취약점과 Malware 는 (0) | 2012.01.09 |
