위기시대 해법, 보안 내부통제를 강화하자

즐겨찾기추가

2024.04.27 (토)

기상청 제공

해당된 기사를 공유합니다
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사
- 가나다라마바사

NEWS

위기시대 해법, 보안 내부통제를 강화하자

제10차 CISO 컨퍼런스

방창완 편집국장 기자
등록 2015.03.27 14:16
조회수 1,598

제10차 CISO 컨퍼런스

위기시대 해법, 보안 내부통제를 강화하자

“PC에 비해 모바일 보안은 황무지나 다름없다. 모바일 비즈니스를 활성화시키기 위해서는 최신의 보안 정책과 관리가 필요하다”

CIOCISO매거진에서 주최하는 제10차 CISO컨퍼런스에서는 ‘위기 시대의 해법, 보안 내부통제를 강화하자’라는 주제로 내부통제에 중점을 둔 모바일 보안과 계정관리, 취약점 진단, 예측분석, 정보보호관리체계 등 총 8개 세션으로 구성된 최신 보안전략이 소개됐다.

기업 활동이 기존 PC에서 스마트폰 사용으로 진화하고 있는 만큼 노출되는 위험요소를 파악하고, 정책을 통해 효과적으로 대응할 수 있는 모바일 보안 방법론과 최신 보안 트렌드에 대한 소개가 이어졌다. 컨퍼런스에 참석한 업체들은 이제는 어떤 단말기나 모바일 환경에서도 외부 침입을 방어하고, 내부통제가 가능한 보안정책이 필요한 때라고 강조했다.

방창완 편집국장 bang@ciociso.com

스플렁크 솔루션 소개와 보안 적용사례

스플렁크코리아 장경운 이사


▲ 장경운 스플렁크코리아 이사

빅데이터는 이제 요소기술로 업무 특정분야에 적용되고 있다. 빅데이터 활용에서 40%가 보안업무에 적용되고 있으며, 20%는 사용자 서비스를 위한 분석에, 그 나머지는 관리영역에 활용되고 있다.

스플렁크 솔루션은 IT 데이터 검색엔진에서 출발해 패턴 기반의 탐지와 룰 기반 탐지 업무를 해왔다. FDS(사기방지시스템)에도 적용되고 있으며, 내부자 위협과 멀웨어 탐지 및 외부공격을 차단하는 등 그 활용범위가 넓혀져 왔다. 최근에는 APT(지능형공격)과 사기방지 및 내부자 통제 등에 활용되고 있다.

최근 해커들의 공격수법은 갈수록 정교해지고 있다. 대상을 물색하고 이메일과 인사정보시스템을 통해 정보를 습득한 후 연결고리를 만든다. 이메일에 악성코드를 심은 PDF를 태워, 이를 열게 되면 감염이 된다. 감염이 이뤄지면 서버에 콘트롤 서비스를 심게 되며 원하는 정보를 유출하게 된다. 정보 빼가기는 웹과 외부통신망을 통해서도 이뤄진다.

우리 솔루션은 해커의 공격에 의해 뚫리더라도 유출 조기감지를 통해 100% 유출을 막아낸다. 유출 단계에서 거꾸로 찾아들어가, 이상한 프로세스를 탐지해 낸다. 데이터 수집과 내부 데이터 분석이 이뤄져 기존에 룰베이스 차단의 한계를 극복해 준다. 스플렁크는 과거의 데이터도 보관해 원데이터를 가지고 실시간 관제 서비스를 실행하며 작은 흔적도 탐지해 낸다.

최근에는 데이터 종류도 다양해지고, 수집의 어려움이 발생하고 있다. 보안관련 데이터가 많아짐에 따라 서버 및 프로세스 이동경로, 이메일, 네트워크 트레픽 등 다양한 연동 환경을 살펴야 한다. 스플렁크는 전체 데이터를 보면서 확인하기 때문에 언제, 누가 조회를 하고 접근을 했는지 파악할 수 있다.

모바일 기기를 통한 고객정보 유출방지 방안

지란지교시큐리티 강정구 부장


▲ 강정구 지란지교시큐리티 부장

생활에서 모바일은 이제 보편화되고 있다. 전자청약을 비롯해 정부에서도 모바일 업무를 독려하면서 다양한 사생활 정보들이 포함되게 됐다. 수많은 데이터가 모바일 기기에 포함되면서 그만큼 모바일 보안은 중요한 이슈가 되고 있다. 모바일의 침해요소는 다양하다. 단말기를 비롯해 애플리케이션, 플랫폼, 통신접속 상에서 위협요소가 내포되어 있다.

탈옥과 기기 분실에 대한 위협도 있다. 기기를 분실하게 되면 습득자가 사용자의 모든 정보를 다 파악할 수 있다. 그만큼 모바일 기기는 외부 유출과 내부정보 유출의 잠재성이 큰 분야이다. 국내 MDM(모바일 디바이스 관리)의 방향은 주로 애플리케이션 관리와 보안에 집중되어 있다. 보통 모바일 출입통제를 시행할 때 보안 스티커를 붙이는 경우가 있지만 이젠 이것을 고도화할 필요가 있다.

모바일 보안이 출입통제 역할을 하는 것이다. 개인이 밖에서는 모바일의 모든 기능을 활용하다가 사내에 들어오면 기기를 통제하는 것이다. 예를 들어, 사내에 진입하면 카메라와 녹음 기능, USB 기능이 차단되는 개념이다. 이것은 ‘모바일 보안구역’을 설정함으로써 가능하다. 무선 네트워크를 활용할 수 있으며, 물리적으로 보안 시스템을 작동시키거나 두가지를 혼용하는 방식을 취할 수 있다.

데이터 전송 도구로 활용되는 와이파이나 블루투스를 차단해 비활성화 시키거나, 녹음기능을 제어할 수 있다. 이런 통제 방식은 사생활 보호문제를 야기 시킬 수 있지만, 회사의 정책아래 진행할 필요가 있다. 회사 밖으로 나가면 100% 활용할 수 있도록 하면 된다. 이런 시스템을 적용하기 위해서는 풀땐 풀고 차단하는 시스템 안정성과 보안 홀에 대한 대응능력이 필요하다.

엔터프라이즈 모빌리티 매니지먼트(EMM), 선택의 기준

모바일아이언 박정호 부장


▲ 박정호 모바일아이언 부장

최근 모바일 OS 동향을 살펴보면, 안드로이드 계열은 개방형, 윈도우는 오픈구조를 취하고 있다. 따라서 MDM(모바일 디바이스관리) 기능 개발이 가능하다. IOS는 패쇄형이어서 취약점이 별로 발견되지 않는다. MS는 윈도우 10출시 시점에 기존 스마트폰과 태블릿, PC를 통합적으로 지원하는 OS를 선보일 계획이다. 현재 베타버전까지 나왔다.

윈도우10 버전부터는 기기의 OS가 통합됨에 따라 MDM이 훨씬 쉬워질 것으로 보인다. 안드로이드 OS는 파편화가 심해 통제가 어려운 한계가 있다. 이런 파편화에 대응하기 위해 안드로이드 5.0버전(롤리팝)부터는 엔터프라이즈 업무를 볼 수 있도록 보안기능을 향상시켰다.

모바일 업데이트 속도는 무척 빠르다. 2년마다 스마트폰을 교체하면서 사용자는 새로운 OS로 업그레이드를 받고 있는 셈이다. ‘롤리팝’이 엔터프라이즈 환경에서 생산성을 위한 툴로 자리잡기 위해 최근 플레이서비스와 플레이스토어 기능이 분리됐다. 플레이서비스는 구글의 기능 셋이며, 플레이스토어는 앱에 대한 판매가 이뤄지는 창구다.

또 구글플레이스토어에 대해 사전심사제도가 도입된다. 이런 구조의 정책변화가 5월부터 이뤄진다. 기업인을 위한 업무 앱을 개발하기 위해서는 개인 임의의 설정이 어렵고, 구글에서 키를 받아야 한다. 우리는 클라우드 플랫폼 환경에서 ‘안드로이드 For Work’를 위한 생산적인 앱을 제공한다. 개인과 회사의 영역을 구분해 회사의 앱 경우, 강력한 데이터 암호화를 통해 통제한다. OS 레벨에서의 암호화와 통제정책으로 데이터 유출을 방지해 준다. 앱관리 및 설정을 통해 정책을 내려준다. 이에 따라 내부와 외부 영역에 대한 분리가 가능하다.

모바일아이언은 3.0 버전부터 기존에 MDM 서비스에서 EMM(엔터프라이즈 모빌리티관리)으로 서비스를 확장했다. 앱 보안과 콘텐츠 보안을 실행해 모빌리티 플랫폼을 구축해 준다.

모바일을 이용한 개인정보 출력물 유출 대응 방안

소원네트웍스 이형수 이사


▲ 이형수 소원네트웍스 이사

개인정보보호법 발효이후, 일반기업에서 보안 투자가 활기를 띠고 있다. 이에 따라 보안기업의 활동도 두드러지고, 일반 기업에서 예산을 확보하는데 유리해졌지만 국내 개인정보보호법은 강력해서 이에 대한 부담도 크다. 지금까지 출력물에 대해서는 DLP(매체보안솔루션)나 암복호화, 외장매체 제어를 통해 최대한 방어하는 형태로 진행돼왔다.

그래도 유출사고는 늘 발생한다. 이런 유출사고는 3가지 관점에서 정리할 수 있다. 첫 번째는 보안이 복잡하고 귀찮기 때문에 편법을 쓰는 경우다. 어느 정도 직위에 있는 사람이라면 ‘무사통과’를 주창할 수 있다. 내부에서 일관된 정책을 가져가야하며, 예외가 있어서는 안된다.

두 번째는 환경의 변화로 인한 유출사고이다. 최근 업무는 PC에서 가상화 및 사물인터넷, 모바일, 태블릿PC로 이동하고 있다. 업무 연계를 위한 애플리케이션이 나오면서, 기존의 PC보안솔루션으로 모바일까지 커버하기에는 어렵다. 세 번째는 관리의 부실로 인한 사고다. 관리가 제대로 이뤄지지 않으면 아무리 최선의 보안 솔루션을 적용한다고 해도 한계에 부딪칠 수밖에 없다.

최근에 출력물을 통한 정보 유출사고가 많다. 특히 모바일 환경에서는 통제가 어렵기 때문에 이에 대한 통제 전략이 필요하다. 소원네트웍스는 블루투스, 와이파이 등을 PC처럼 동일 환경에서 제어하고 설정할 수 있는 보안 소프트웨어를 갖추고 있다. 과거에 출력물 보안 솔루션이 있었지만, 출력 후 파쇄가 됐는지 사후 관리하는 프로세스는 없었다.

이런 전반적인 관리가 필요하다. 전자문서에 대한 암호화는 많지만 출력물 보안은 사실 미미한 편이다, 우리는 출력물에 대한 출력 및 수정, 원복호화, 뷰어 등에 대한 정책을 프린터가 이뤄지는 시점에서 이를 통제하고 권한을 제어하는 기능을 갖추고 있다. DRM과 같은 특정 필터와 jpg등 이미지 파일도 검출이 가능하다.

QR코드도 지원해 문서가 언제 어떻게 프린터 되고 몇 건이 출력됐는지 파악할 수 있어 정보유출시 이에 대한 확인을 할 수 있다.

일방향 암호화 법규 준수기반의 최고권한계정 패스워드 관리

시큐어가드테크놀러지 방학재 대표이사


▲ 방학재 시큐어가드테크놀러지 대표이사

여러명이서 동시에 사용하는 공유계정은 관리하기 어렵다. 3개월마다 계정이 바뀌면 알려줘야하기 때문이다. 공격자는 서버와 IP, 프로토콜에 접속해 분석 이후 공격에 들어온다. 그렇다고 관리자들이 자신의 PC에 비밀번호를 저장하기는 더욱 어려운 일이다.

또한 비밀번호에 대한 당국의 규정도 많다. 모든 서버의 비밀번호를 달리하라는 지침은 관리의 어려움을 야기 시킨다. 유닉스서버 100대 혹은 500대를 보유하고 있는 기업을 생각해 보자. 그리고 네트워크와 데이터베이스 계정까지 감안하면 사실상 운영이 불가능해진다.

우리의 패스워드 관리 솔루션은 새로운 원타임 패스워드 솔루션으로 발급 비밀번호를 초기화하며, 1회용으로만 사용하게 해준다. 접근시 마다 수시로 계정, 패스워드를 바꿔주기 때문에 안전하게 사용할 수 있다. 이것은 비밀번호 관리 서버를 통해 랜덤하게 이뤄지는 부분이어서 계정관리에 대한 부담을 덜면서 당국의 보안규칙을 준수할 수 있게 해준다.

IT인프라 취약점 자동화 진단

SSR 이상용 부장


▲ 이상용 SSR 부장

IT 인프라 취약점 진단은 3가지로 요약할 수 있다. 첫 번째는 IT 인프라스트럭처로, OS와 웹, DBMS를 들 수 있다. 발생 주체가 내부여서 내부에서 조치를 취할 수 있다. 두 번째는 애플리케이션 취약점이다. 이것은 주로 소프트웨어 벤더 영역으로 패치를 통해 취약점이 해소된다.

세 번째는 웹 취약점 진단이다. 웹서버의 소스를 진단하는 것으로, 내부 고객사가 다뤄야할 부분이다. 이중에서 IT 인프라스트럭처와 웹 취약점 진단은 취약점 비중이 크며 자체 개선을 통해 취약점을 해소할 수 있다. 최근에 정보관리 체계가 증가하면서 점검대상도 확대되고 있다.

취약점 진단 현황을 보면 연간 1~2회 정도 실행하는 스크립트 진단이 있다. 샘플링 방식의 진단이 이뤄진다. 연간 1회 진단이 이뤄지면 취약점 관리가 허술할 수 밖에 없다. 이것을 사람이 하는 것도 고비용과 저효율의 결과를 낳는다. 점검을 위해서는 수집 데이터의 공유와 계정 공유도 필요하며, 샘플링 체크시 주요자산 순서대로 검토해야한다. 여기서 중복 현상이 발생할 수 있다.

따라서 취약점 진단 솔루션이 필요하다. 진단 솔루션에는 OS와 웹, WAS 등에 대한 보안 가이드 지침이 있다. 외부 기준으로 점검이 이뤄지며, 법에 대한 부분도 준수하게 해준다. 기업 전산실에는 항시 IT 자산과 유지보수, 시스템 교체, 계정생성, 프로그램 설치가 이뤄지기 때문에 상시점검이 필요하다. 보안 위협은 약한 고리가 끊어지는 것에서 발생한다.

무엇보다 방치된 서버에 무게중심을 둬야한다. SSR사는 내부 정책에 기반 해 OS와 DB를 1:1 매핑하는 방식으로 점검이 이뤄진다. 컴플라이언스 이슈를 100% 만족하고 있으며 1,000여개에 대한 진단항목이 내제되어 있다. 빠른 속도로 검사가 이뤄지며, 자산이 변경될 때마다 검사가 이뤄지는 등 실시간 변화에 대한 감시가 가능하다.

사이버 위협에 대응하는 차세대 예측 행위 분석

웹센스 이상혁 지사장


▲ 이상혁 웹센스코리아 지사장

최근 PwC보고서에 따르면 회사에서 이메일을 보내면 임직원 71%가 열어본다고 한다. 하지만 실제 첨부파일을 보내는 것은 쉽지 않다. 포탈에서 이를 걸러내기 때문에 침입자는 링크 형태로 보내게 된다. 스피어 피싱의 결과, 59%는 외부직원에서, 41%는 내부직원에서 발생하는 것으로 파악되고 있다. 최근 전 세계 9,700명의 CIO와 CISO, IT 담당자를 대상으로 조사한 결과 4,700만건의 사고가 일어나고 있다. 2009년에 비해서 기하 급수적으로 늘어난 것이다.

보안 담당자는 보안에 대해 협소한 시각을 보이고 있지만, 임원진들은 비교적 보안에 대한 시각이 높은 것으로 나타났다. 여기서 보안 전문가의 필요성이 대두되고 있다. 여러 형태의 보안 시스템은 많지만 보통 사고의 원인은 사람에게 일어난다.

또한 보안사고의 주범자는 내부자의 소행으로 파악되고 있다. 보고서의 32% 응답자가 내부 사고가 외부보다 피해가 크다고 말을 하고 있다. 기업에서 보안에 실패하는 원인은 전체 위협에 대한 사이클(내부자, 해커, 사고)의 조망 없이 단편적인 대응만이 이뤄지고 있기 때문이다. 보안 예측 능력을 키우는 방법은 빅데이터라고 할 수 있다.

따라서 새로운 보안모델 개발이 필요하다. 웹센스는 맞춤형 보안 업데이트 서비스를 제공하고 있다. 초당 2.9건의 업데이트가 이뤄지며, 피싱교육을 할 수 있는 툴을 제공한다. 사용자가 전문가에게 대응할 수 있는 방안을 제공하는 것이다.

사실 단일 위협탐지는 의미가 없다. 기본적인 보안사항은 샌드박싱 기능에서 처리할 수 있다. 여러 가지 방법을 사용해야 한다. 증거를 분석함으로써 오탐을 줄일 수 있다. 그동안 기업들은 특정 위협에만 신경 쓴 감이 있다. 그래서 미탐지와 오탐지가 많다. 실제 사용자 행위를 분석하는 것이 중요하다. 웹센스는 위협요소와 사용자 행위를 종합적으로 분석해 대응할 수 있는 방어체계를 구현하고 있다.

국내외 보안규정에 기반한 정보보호관리체계 구축

지란지교SNC 이성표 과장


▲ 이성표 지란지교SNC 과장

정부에서 다양한 인증제도를 만들어 점검을 하고 있지만 관리자는 힘든 게 사실이다. 최근 50~60개 회사 보안담당자와 인터뷰를 한 결과 각종 보안규정에 대해 어려움을 토로했다. 인증 항목은 많은데 중복된 경우가 많아 업무를 2번 반복하는 결과를 낳고 있다는 것이다. 수익을 내는 업무도 아니고, 인력이 부족하다는 것이다.

하지만 최근 들어 인식이 바뀌고 있다. 인증제도가 회사의 자산을 지킨다는 것과 오히려 수익을 낸다는 개념으로 바뀌고 있는 것이다. 하지만 인증관리를 수동으로 진행하면 업무에 누락이 생길 수 있고, 시간 압박에 쫓기게 된다. 또 어느 시기에 인증을 수행해야할지 방향을 잡기도 어렵다. 지란지교SNC는 이런 점에 착안해 이행율을 체크하는 시스템을 만들었다.

최근 들어 정보보호 관리체계를 위한 개선방안이 이뤄지고 있지만 관리적 보안은 제대로 이뤄지지 않고 있는 게 현실이다. 관리보안은 계획와 운영, 개선이라는 3가지 사이클을 통해 이뤄진다. 또한 지속적으로 데이터를 모으고, 모니터링이 이뤄져야 한다. 이런 가치사슬적인 관점에서 관리체계가 이뤄져야 하지만 이를 체계화하기 위해서는 보안규정관리 시스템이 필요하다.

보통 기업이 인증을 획득하는 시기가 최상의 관리 체계가 이뤄지는 시점이다. 하지만 컨설턴트가 빠지고, 세월이 흐르면 이런 관리체계는 서서히 무너진다. 시스템화를 통해 최적의 환경을 유지할 수 있도록 지속적인 운영이 가능해야 한다.

지란지교SNC의 MISO(Management of Information Security Objects)는 이런 운영이 가능하도록 도와준다. 통계관리, 규정관리, 업무수행관리, 자산관리 기능을 통해 시스템관리의 공백을 메꿔준다. 담당자는 손쉬운 운영으로 인증체계를 지속적으로 관리할 수 있다.