2024.03.29 (금)

  • 맑음속초11.9℃
  • 황사10.3℃
  • 맑음철원8.0℃
  • 맑음동두천8.1℃
  • 맑음파주7.9℃
  • 맑음대관령4.4℃
  • 구름조금춘천10.7℃
  • 맑음백령도5.5℃
  • 황사북강릉12.0℃
  • 맑음강릉12.5℃
  • 맑음동해12.8℃
  • 황사서울8.4℃
  • 맑음인천7.6℃
  • 맑음원주10.2℃
  • 황사울릉도12.5℃
  • 맑음수원7.4℃
  • 맑음영월10.4℃
  • 맑음충주10.1℃
  • 맑음서산7.1℃
  • 맑음울진13.9℃
  • 연무청주10.3℃
  • 맑음대전9.4℃
  • 맑음추풍령10.4℃
  • 황사안동12.0℃
  • 맑음상주11.6℃
  • 황사포항16.8℃
  • 맑음군산8.4℃
  • 황사대구15.7℃
  • 맑음전주9.2℃
  • 맑음울산15.1℃
  • 맑음창원14.1℃
  • 맑음광주11.3℃
  • 맑음부산13.9℃
  • 맑음통영13.5℃
  • 맑음목포11.0℃
  • 맑음여수13.7℃
  • 맑음흑산도8.9℃
  • 맑음완도13.6℃
  • 맑음고창8.3℃
  • 맑음순천11.9℃
  • 맑음홍성(예)8.5℃
  • 맑음9.0℃
  • 맑음제주15.0℃
  • 맑음고산13.4℃
  • 맑음성산13.4℃
  • 맑음서귀포13.7℃
  • 맑음진주14.7℃
  • 맑음강화8.0℃
  • 맑음양평9.9℃
  • 맑음이천8.5℃
  • 구름조금인제10.4℃
  • 맑음홍천9.7℃
  • 맑음태백6.5℃
  • 맑음정선군7.6℃
  • 맑음제천8.8℃
  • 맑음보은10.3℃
  • 맑음천안10.1℃
  • 맑음보령5.9℃
  • 맑음부여8.3℃
  • 맑음금산9.1℃
  • 맑음9.4℃
  • 맑음부안8.4℃
  • 맑음임실9.5℃
  • 맑음정읍8.5℃
  • 맑음남원11.5℃
  • 맑음장수9.6℃
  • 맑음고창군7.5℃
  • 맑음영광군8.4℃
  • 맑음김해시14.2℃
  • 맑음순창군10.4℃
  • 맑음북창원14.4℃
  • 맑음양산시14.3℃
  • 맑음보성군12.2℃
  • 맑음강진군13.4℃
  • 맑음장흥13.5℃
  • 맑음해남13.0℃
  • 맑음고흥12.5℃
  • 맑음의령군14.6℃
  • 맑음함양군12.9℃
  • 맑음광양시13.1℃
  • 맑음진도군11.5℃
  • 맑음봉화10.9℃
  • 맑음영주10.8℃
  • 맑음문경11.2℃
  • 맑음청송군12.1℃
  • 맑음영덕14.3℃
  • 맑음의성13.0℃
  • 맑음구미13.5℃
  • 맑음영천14.1℃
  • 맑음경주시16.7℃
  • 맑음거창12.1℃
  • 맑음합천14.9℃
  • 맑음밀양15.7℃
  • 맑음산청14.0℃
  • 맑음거제13.7℃
  • 맑음남해14.3℃
  • 맑음14.4℃
기상청 제공
제 11차 CISO컨퍼런스, 사용자 100여명 참석 대성황
  • 해당된 기사를 공유합니다

EVENT/EDU

제 11차 CISO컨퍼런스, 사용자 100여명 참석 대성황

“보안의 골드타임을 놓치지마라”

제 11차 CISO 컨퍼런스 

 
“보안의 골드타임을 놓치지마라”
제 11차 CISO컨퍼런스, 사용자 100여명 참석 대성황 
 
최고 권한 계정 패스워드 관리, 빅 메일정책 및 관리, 차세대 엔드포인트 보안, 비밀번호 관리, ISMS 등 관리 노하우, 악성코드 대응, 대용량 데이터 처리방법 등 최신의 보안기술과 사례가 CIOCISO매거진이 주최하는 제 11차 CISO컨퍼런스에서 소개됐다. 8개 솔루션을 간략하게 정리했다. 
 
방창완 편집국장 bang@ciociso.com 
 
‘개인정보 유효기간제’ 시스템에 영향을 주지않고 파악해야 
지란지교소프트 박인표 팀장 
 
 
   
▲ 지란지교소프트 박인표 팀장
 
 
기업에서 개인 정보를 수집하고, 보관하는 방법이 주요 핵심 사안이 되고 있다. 하지만 파악이 불가능한 개인정보 관리가 가장 어려운 부분이다. 
 
미 파기된 개인정보와 직원 퇴사 이후 파일에 대한 현황과 조치가 이뤄져야 한다. 보통 개인정보 관리를 위해서는 서버정보를 가져와서 검사하는 방법과 서버에 직접 설치해서 검사하는 방법, 로봇 등 엔진을 이용해 검사하는 방법이 있다. 다들 장단점이 있지만 설치 방법은 서버가 다운될 수 있는 우려가 있다. 
 
지란지교소프트는 검사 서버를 이용해 서버에 들어가서 확인하는 방법을 취하고 있다. 검출과 함께 개인정보 처리에 대한 보고서 작성을 통해 확실한 결과 값을 알 수 있다. 데이터와 서버검색을 통해 개인정보의 현황과 위치 및 통계 정보를 제공하며 기존 시스템에 전혀 영향을 주지 않는다. 현재 다양한 기관과 금융기업에서 사용하고 있다. 
 
기업에서 정확한 개인정보 상황을 파악하고 관리하기 위해서는 시스템에 영향을 주지 않으면서 정확한 파악이 가능한 솔루션이 필요하다.     
 
차세대 엔드포인트 보안, IP와 자산에 대한 유기적인 관리필요 
미디어랜드 이무성 대표이사 
 
 
   
▲ 미디어랜드 이무성대표이사
 
 
기업 전산실에서 보안투자를 많이 하지만, PC 보안에 대해서는 적극적이지 않았다. 근래에 와서 PC 보안이 엔드포인트 영역에서 새로운 관심을 받고 있다. 해커라면 전산서버에 직접적으로 공격하기보다는 취약한 PC를 타깃으로 공격을 감행한다. 
 
지난 2011년 금융사고가 그런 경우이다. 문제는 ‘엔드 포인트’ 영역이며, 이는 네트워크 상에 연결되어 사용되는 모든 장치를 말한다. 전산실 및 사용자 영역 등 IT 환경이 복잡 다양해지면서 엔드포인트 영역에 대한 관심이 급증하고 있다. 
 
어떤 장비를 통해 공격하며, 어떤 데이터가 유출되는지 시스템적으로 해결해야 한다. 관리도 심플하면서 통제가 가능해야한다. 최근에는 실시간 시스템 구축이 중요해 지고 있다. 사용자 네트워크인 내부망 영역에 대한 보안 도입이 중요해지면서, 기존에 PC도 백신위주의 보안보다는 시스템적인 구축이 필요한 때이다. 
 
NAC(네트워크접근제어) 영역은 인증이 되면, 바로 업무망과 연결되는 구조보다도 별도의 검역소를 두고 무결성에 대한 검사가 필요하다. 인증을 했다고 바로 인가가 이뤄지면 위협요소가 발생할 수 있다. 전체적으로는 인증이후 검역, 인가라는 3가지 절차가 필요하며, 관리요소도 단순화하고 각 단계를 유기적으로 묶고 시스템적으로 통제하는 절차가 필요하다. 
 
또한 IP와 자산에 대한 유기적인 관리가 필요하다. 결국, 성공적인 엔드포인트 구축을 위해서는 출입국에서 입국하고 검역하는 절차 보다는 검역이후 입국하는 방법과 같이 검역을 통화한 이후, 입국(내부망)접속하는 방법을 취할 필요하다. 기존에 NAC(네트워크접근제어)에 대해 구축이 복잡하고 사용이 어려웠던 것을, 구축이 간편하고 사용이 쉬운 형태로 진화해야 한다. 
 
보안의 골드타임을 놓치지 않기 위해서는 엔드포인트 보안 영역에 있어서 새로운 컨셉을 도입해야 한다. 또한 적어도 이벤트성에 대해서는 실시간 감시 시스템을 마련해야 한다.
 
   
사이버 시큐리티, 공격 라이프 사이클을 관찰하고 대응해야  
팔로알토네트웍스 릭하워드 글로벌 최고보안책임자 
 
 
   
▲ 팔로알토네트웍스 릭하워드 최고보안책임자
 
 
과거에는 벤더들이 내놓은 보안 제품이 포인트 위주로 집중되어 있었다. 또한 엔터프라이즈 보안에 있어서도 침입이후에 대응하는 방법을 취했다. 하지만 이제는 보안위협 요소에 대해 미리 예방하는 전략이 필요하다. 
 
보통 해커들의 공격은 처음에 취약점을 탐색하고, 취약점이 발견되면 툴을 심어 놓게 된다. 툴이 돌아가게 되면 일단의 교두보가 마련된 것이다. 이후 인터넷에서 악성코드를 다운로드하게 하여 공격 채널을 확보하게 된다. 여러 과정을 거쳐 공격이 이뤄진다. 
 
이를 막기 위해서는 전략적으로 중요한 포인트에 탐지 시스템을 설치할 필요가 있다. 또한 트래킹 전담팀(사이버 보안팀)을 활용해 모니터링을 해야 한다. 방어에는 전술적이며 전략적인 방법이 필요하다. 해커들이 어떤 활동을 통해 들어오는지 파악하고, 공격 라이프 사이클을 파악해 방지해야 한다. 
 
팔로알토네트웍스는 현재 50여개 보안 전문 벤더들과 협업해 정보보호를 위해 공격 형태를 공유하고 있다. 해커의 공격방법도 갈수록 첨단화하고 있기 때문에, 실시간으로 자동화를 통해 최신 정보를 업데이트하고 있다. 이런 최신의 보안정보에 대한 실시간 업데이트와 라이프 사이클 관점에서의 예방은 해커의 공격을 효율적으로 막을 수 있게 해준다. 
 
과거에는 방화벽이나 침입탐지 시스템 및 포인트 제품들이 주를 이뤘다. 이제는 제품과 함께 데이터를 통합관점에서 볼 필요가 있다. 포인트 제품은 제품 구매와 함께 사람을 채용해야 하고, 관리에 따른 비용이 추가로 발생하는 등 기업 입장에서는 부담이 컸다. 따라서 앞으로는 포인트를 연결하고, 통합하는 플랫폼 개념으로 가야한다. 공격 라이프 사이클에 대한 관찰과 자동화를 통해 최소 인원으로 운영함으로써 비용을 절감할 수 있다.       
 
 
메일 데이터=빅데이터, 사전적으로 법적인 조치 따라야  
지란지교시큐리티 서양환 팀장 
 
 
   
▲ 지란지교시큐리티 서양환팀장
 
 
최근 조사에 따르면 기업 커뮤니케이션 툴로 메일을 꼽고 있으며, 하루에 1,000억개에 이르는 메일이 오고가고 있다고 한다. 또한 기업 비즈니스 업무 메일 트래픽이 차지하는 비중이 61%에 이른다. 이처럼 메일량이 증가하고 있으며, 이에 따라 데이터도 증가하고 있는 것은 주요 정보 흐름이 이메일을 통해 이뤄지고 있다는 점을 나타내 준다. 
 
따라서 법규에서 이메일 규제에 대한 부분을 간과해서는 안된다. 메일의 60%는 스팸메일인 만큼 메일 사용에 따른 보안 위협도 증가하고 있다. 과거에는 성인광고 위주로 스팸메일이 주를 이뤘지만, 최근에는 바이러스 메일이 급증하고 있다. 기업에서 망분리를 진행한다고 해도 메일은 예외 구간으로 두는 경우가 많다. 
 
사실, 외부 공격 중에서 가장 손쉬운 채널이 메일을 이용한 공격이다. 과거에는 바이러스를 통해 무작위 공격이 실행됐지만, 이제는 기업 정보유출을 위한 타깃 공격으로 메일을 사용한다. 보통 수신자 취향을 분석해 메일을 보내기 때문에 파일을 실행할 위험이 높다. 기업에서는 누적된 이메일 데이터에 대한 검색이나 분석 및 활용할 생각은 하지 않고 있다. 
 
따라서 이메일도 이제는 법에 근거해 새롭게 대비해야 할 때이다. 아웃룩과 웹메일 등 사용방법을 비롯해 수신 사이즈와 발신메일 방법, 스팸메일에 대한 필터링, 수신 및 발송에 따른 저장방법 등 법적인 조치를 미리 취해야 한다. 
 
지란지교시큐리티의 메일 솔루션은 이런 사용자의 메일을 정책적으로 가이드 할 수 있다. 메일 분석시스템을 통해 저장 및 검색, 관리가 이뤄지며 퇴사자가 이메일로 주고받은 내용을 후임자가 찾고 인수인계를 받을 수 있게 해준다. 또한 비상연락망, 과업 지시서, 표준제안서, 규격서, 고객 리스트 등 그동안 간과해 왔던 이메일의 주요 내용을 파악하고 관리할 수 있다. 
 
복구와 검색 등 관리 기능은 2년전 자료에 대한 활용이 가능하며, 이메일에 대한 백업과 복구, 압축저장 등 일련의 모든 과정이 법에 의거해 관리된다. 사용자 입장에서 정의된 정책은 필요 메일에 손쉽게 접근할 수 있게 하고, 필요한 경우 첨부파일 내용도 검색할 수 있다. 연말에는 인사 등 특정 키워드를 통해 기업 메일 흐름을 분석할 수 있다.    
 
폐기할 수 있는 비밀번호가 진짜 비밀번호 
시큐어가드테크놀로지 방학재 대표이사 
 
 
   
▲ 시큐어가드테크놀로지 방학재 대표이사
 
 
정보 단말기가 다양해질수록 비밀번호 관리도 복잡해지고 있다. 장비에 접근하기 위해서는 ID와 비밀번호로 접근해야하는데, 이를 찾아내기도 어렵고 관리하기도 쉽지 않다. 과거에 인천공항의 경우, 이를 쉽게 해결하기 위해 비밀번호를 공유했다가 문제가 발생한 경우가 있었다. 
 
전통적인 방식으로, 관리자가 비밀번호를 PC에 저장하는 방법은 더 이상 안전할 수 없다. 따라서 1회용 비밀번호 발급이 최근에 새로운 대안으로 떠오르고 있다. 금융권에서 1회용 비밀번호를 도입하는 이유는 유닉스 서버 및 레거시 시스템에서 비밀 번호를 공유하지 못하게 하기 위해서이다. 1회용으로 사용하고, 사용하고 난 뒤에는 회수하는 구조이다. 
 
문제는 회수를 한다고 해도 하드코딩 된 소스와 애플리케이션, DB스크립트에 남아있는 비밀번호를 제거하는 방안이 필요하다. 
 
시큐어가드테크놀로지의 새로운 비밀번호 관리 솔루션은 사용자의 기억과 기록이 불필요하며, 감사에도 자유롭게 해준다. 보통 유닉스 서버와 윈도우 서버를 관리하는 관리자는 비밀번호를 쉽게 기억하기 위해 동일한 번호를 사용한다. 수천대에 이르는 서버의 비밀번호를 기억하기는 불가능하기 때문에 쉽게 유추할 수 있게 하기 위해서이다. 
 
하지만 이런 사용편의성은 한번 공격을 당하면 전부 침해된다는 위험을 남기게 된다. 새로운 비밀번호 솔루션은 패스워드 저장소를 통해 관리가 이뤄진다. 현재 사용했던 비밀번호는 회수가 이뤄지며 재접속이 불가능하다. 접속이 필요하면 저장소에 문의하는 구조다. 패스워드 저장소에서 새로운 번호를 발급받고 시간이 지나면 번호는 즉시 변경된다. 
 
이런 간단한 구조는 높은 보안성을 제공해 준다. 따라서 비밀번호를 주기적으로 변경하지 않더라도 효율적으로 비밀번호를 관리할 수 있게 해준다. 또한 접속한 행위 즉, 발급 및 신청내역은 그대로 기록에 남는다. 현재 농협을 비롯해 외환은행, LG유플러스가 새로운 비밀번호 체계를 구성함으로써 비밀번호를 안정적으로 관리하고 있다. 
 
비밀번호 관리 솔루션은 다양한 종류의 디바이스의 비밀번호를 관리할 수 있게 해주며 한번 클릭으로 3초안에 신규 발급이 가능하다. 외주의 경우는 별도의 승인과정을 거쳐야 하며, 반납도 반납버튼으로 번호가 바뀌면서 이뤄진다. 모 은행의 경우, 방화벽 관리를 위해 비밀번호 발급 시스템을 구축했다. 이외에도 하드코딩 된 비밀번호 제거와 네트워크 디바이스 관리 및 카드사의 WAS 및 애플리케이션 관리를 위해 비밀번호 관리 솔루션을 사용하고 있다.         
 
정보보호 인증, 선순환적 싸이클관리 필요 
지란지교에스앤씨 이성표 과장 
 
 
   
▲ 지란지교에스앤씨 이성표과장
 
 
많은 기업들이 기업 보안을 위해 다양한 인증을 받고 있지만, 인증 취득 이후 지속적인 관리가 어려워 보안관리 체계에 어려움을 호소하고 있다. 보통은 인증 취득 2~3달 전에 인증을 위한 노력이 이뤄지지만 취득 이후 손을 놓는 경우가 많다. 
 
문제는 사고가 발생하거나, 불시 감사가 실행될 때 인증관리에 대한 추궁이 이뤄진다. 따라서 보안 컴플라이언스에 대한 체계적인 관리가 필요하다. 하지만 기업 입장에서는 수백개의 컴플라이언스에 대한 점검항복을 체크하고 관리하기가 여간 어렵지 않다. 
 
인력구조도 한정되어 있어 업무과다에 시달리고 있다. 보통은 엑셀을 이용하거나 수기정도의 수동관리가 이뤄지고 있어 인증사의 요구사항에 필요부분이 누락되는 경우도 있다. 보안 전문성도 부족해 운영에 어려움을 겪는다. 
 
또한 인증 관리는 비가시적인 업무가 많아 보고시 보통 사내에서 직원들이 페이퍼 작업을 위해 분주해 진다. 실시간 인증체계는 이행 여부에 대한 진척률을 나타내 준다. 대시보드를 통해 관리가 잘 이뤄지는지 파악하고, 감사를 위해 증거자료에 대한 관리도 필요하다. 또한 주기적인 것과 비주기적인 업무도 산재해 있다. 이런 일련의 과정들을 해결하기 위해서는 계획과 구현, 점검 및 개선에 이르는 선순환 싸이클이 필요하며, 이를 시스템화 할 필요가 있다. 자산 및 위협분석 등 가치사슬에 의한 분석을 통해 보호대책이 이뤄져야 한다.   
 
취약점 분석후 패치까지 공백 최소화 
한국트렌드마이크로 최영삼 실장 
 
 
   
▲ 한국트렌드마이크로 최영삼 실장
 
 
보통 보안업계에서 취약점 분석이 발표되면 다음날 패치가 이뤄지지만 시간이 소요된다. 패치가 즉각 이뤄진다고 해고 테스트 과정이 필요하다. 따라서 취약점이 발견된 이후, 실제 업무에 적용하기까지는 일정 부분의 공백이 생기게 된다. 트렌드마이크로도 새로운 취약점에 대한 분석과 결과를 발표한다. 알려지지 않은 멀웨어(악성코드)는 발생시 즉각적인 적용이 필요하다.
 
트렌드마이크로에서는 가상패치 기능을 적용하고 있다. 24시간안에 패치가 나오면 이를 가상으로 적용하고, 내부에서 테스트과정을 거쳐 즉각 적용이 이뤄진다. 
 
이처럼 알려지지 않은 멀웨어에 대해서는 신속한 대응과 조치가 필요하다. 보통 APT(지능형 위협)에 대해 3가지 주요 기능이 제공된다. 첫 번째는 클라우드 평판분석으로, 알려진 멀웨어와 익스플로잇(취약점 공격)을 신속이 탐지하고 분석하는 것이다. 보통 클라우드를 통해 
하루에만도 1억건이 넘는 멀웨어 분석이 이뤄진다. 
 
두 번째는 정적 분석이다. 정적분석은 멀웨어와 익스플로잇의 코드를 분석하는 것이다. 세 번째는 샌드박스를 활용한 동적 분석으로, 가상환경에서 멀웨어가 어떤 행동을 하는지 분석하는 것이다. 문서파일 로딩하거나, 특정 기능을 실행할 때 악성으로 보이는 형태를 분석한다. 이는 문서구조를 파악해 숨어있는 악성코드를 탐지할 때 유효하다. 
 
트렌드마이크로의 디스커버리 APT 솔루션은 맞춤형 샌드박스 기능을 제공한다. 행위 분석을 통해 알려지지 않은 멀웨어를 잡아낸다. 사용자의 OS와 APP 버전을 파악해 정확하게 잡아내며, 이메일의 악성 콘텐츠와 의심스런 통신행위 등도 잡아낸다. 이에 따라 제로데이 위험에 대해 신속하게 대응할 수 있다. 
사실 샌드박스로는 멀웨어를 파악하기가 어렵다. 보통 해커들의 악성코드는 샌드박스의 형태를 파악해 샌드박스의 기능이 작동될 경우, 움직이지 않는 구조를 취하고 있다. 따라서 정적 분석과 동적 분석을 혼용해 사용할 필요가 있다. 정적 분석을 통해 멀웨어를 탐지하고, 정상적이지 않은 문서구조를 파악한다. 또한 실행 행위를 모니터링 해 빠르게 분석할 필요가 있다.      
 
보안이든 비정형이든 이처럼 빠를수는 없다 
스플렁크코리아 김대원 지사장 
 
 
   
▲ 스플렁크코리아 김대원 지사장
 
 
스플렁크는 기업의 대용량 데이터를 처리하는데 효율적인 플랫폼으로 활용되고 있다. IT 운영과 보안 및 IoT(사물인터넷) 영역에 다양하게 활용되고 있다. 보안영역은 50% 그밖에 데이터 분석과 IT 운영을 위해 50% 정도 사용되고 있다. 
 
기업에서 하루에 사용하는 데이터 취합량에 따라 비용을 산정하고 있다. 규모가 큰 사이트의 경우, 하루에 30TB 규모의 데이터를 처리하는 경우도 있다. 스플렁크는 다양한 로그 데이터를 취합해 목적에 필요한 데이터 운영을 가능하게 해준다. 
 
보통 데이터 처리를 위해서는 ETL이라는 데이터 추출과 변형을 통해 결과 값으로 데이터를 운영하는 경우가 많다. 데이터를 수집하는 대상 장비도 다양하다. 
 
이런 형태는 시간과 수고가 많이 필요한 부분이다. 스플렁크는 제각각의 포맷과 형식이 다른 데이터를 스플렁크 플랫폼을 통해 취합하고, 이를 빠르게 분석해 준다. 현재 은행에서는 보이스 피싱 등 위협요소에 대처하기 위한 비대면 채널 분석을 위해 활용하고 있으며, FDS(사기방지)를 위해서도 사용하고 있다. 하둡을 비롯해 오픈소스 등 광범위하게 데이터를 취합함에 따라 불필요한 데이터 변형과정에 따른 수고를 덜어준다.  
 
정형 데이터, 비정형데이터, 데이터 포맷과 사이즈에 상관없이 스플렁크 플랫폼을 통해 다양한 형태의 목적하는 데이터를 분석해 준다. 기본적으로 서치 기능과 대시보드를 제공함으로써 사용자는 필요한 내용을 손쉽게 분석하고 확인할 수 있다.