보안(Security) 강화를 위한 기본 4가지를 체질화 하자

보안(Security)의 필요성과 그 사고에 대한 피해는 아무리 강조해도 부족할 것 입니다.

또한 보안 사고의 대부분은 사전에 방지가 가능했던 내용들입니다. 그것은 무엇을 말하는 것인가 하면, 우리네가 보안에 대하여 기본적으로 행할 수 있는 것들을 적용하고 실행한다면 보안의 위험과 피해를 그만큼 줄일 수 있다는 것이 됩니다.

그럼, Team Harbert가 강조한 기본 4가지 항목을 말씀 드리도록 하겠습니다.

1. Don't just log, monitor.

로그만 무수히 남긴다고 되니? 로그에 증거가 남아있지 않은 경우도 있는데? 로그를 남기는 것도 중요하지만 그 보다 더 중요한 것은 모니터(감시)하는 것이야~~ ^^

Monitor의 뜻을 보면, 감시, 관찰, 추적이라고 되어 있습니다.

보호해야 할 정보와 그 정보가 담겨져 있는 시스템을 중심으로 두고, 밖에서 해당 정보 시스템으로 접근하는 모든 시도와 안에서 해당 정보 시스템으로 접근하는 모든 시도를 지속적으로 감시하고 특이 사항이 발생하는지를 관찰하고 그 모든 행동이 어디로부터 오는 것인가를 추적해야 하는 것입니다.

2. Tweak Your Network Configuration

혹시, 네트워크 시스템이나 서버 시스템, 애플리케이션 등을 인스톨하실 때 디폴트 상태로 그냥 인스톨하셨나요?
아마도 대부분 그렇지 하지는 않았을 겁니다. 운영해야 할 상황 및 보호해야 할 상황에 맞게 조정해서 인스톨하시고 운영하실 겁니다.

만에 하나 그런 경우가 있을 수도 있는데요. 그런 경우가 바로 보안의 가장 큰 구멍이 될 수 있습니다.

열어야 할 것과 연결해야 할 것들이 상식적인 수준에서 열리고 연결될 수 있도록 또 그렇게 운영될 수 있도록 시스템의 Config를 조정하셔야 합니다.

3. Educate your users

고객은 내부 고객(직원)과 외부 고객으로 구분할 수 있지요.
ID나 Password 규정 같은 것, 즉 영문자와 숫자, 특수 문자를 조합해야 한다. 몇 글자 이상이어야 한다.라는 규정들 말입니다.

이것이 고객들 한테는 무척이나 귀찮은 내용입니다. 또 그렇기 때문에 일부의 인터넷 서비스에서는 1주 후에 변경하기 또는 1달 후에 변경하기 등의 버튼이나 팝업을 함께 띄우는데요.

이것 또한 보안의 큰 구멍으로 작용합니다. 기업의 중요 정보 뿐만 아니라 개인정보에도 치명적인 해를 입힐 수 있는 것이지요.

이런 경우에서처럼 지속적인 교육 (예를 함께 들어주는)이 고객들의 저항감이나 거부감을 해소하고 안전에의 동의를 얻을 수 있는 길입니다.

4. Document and monitor access privileges

시스템을 운영하다보면 필수 불가결하게 해당 시스템을 운영하는 권한을 사람들에게 부여하게 되는데요. 여기서 한 가지 질문을 드리겠습니다.

각 시스템에 대해서 또 각 사람에게 대해서 부여된 권한이 정리된 리스트가 있습니까?
리스트로 정리된 시스템과 권한과 사람에의 메트릭스를 정기적으로 점검하십니까?
해당 권한을 해당 사람에게 확인을 받으셨습니까?

잘못 부여된 권한이나 찬탈된 권한을 돌이킬 수 없는 큰 사고를 야기하게 됩니다.

최근의 사례들이 그것을 증명하지 않습니까?


오늘은 여기까지 입니다.
저는 보안에 대한 이야기를 할 때마다 항상 기본을 강조합니다.
정보 보안, 개인정보보호는 기본에서부터 출발하기 때문에 그렇습니다.

감사합니다. ^^