시큐리티, 이제 매니지먼트 관점 필요
파수닷컴, 데이터와 어플리케이션 취약점 진단 및 해결
|
|
|
▲ 조규곤 파수닷컴 대표 |
최근 보안 이슈는 ‘취약점 진단’이다. 해커가 기업의 네트워크 취약점을 찾아내 잠입하기 때문. 기업의 취약점들을 분석한 결과 가장 취약한 곳은 어딜까? 바로 애플리케이션이었다. 파수닷컴은 지난 3월에 세계 최대 보안 전시회, RSA 2016 전시에 참가했다. 올해 RSA 전시는 4만 여명이 참석, 5백 여개 벤더가 참여했다. 파수닷컴은 올해로 8년째 전시에 참가 중이다. 조규곤 대표는 “RSA측은 보안은 향후 5년간 큰 변화를 맞게 될 것으로 내다봤다”며 “올해 중요주제는 ‘지속적인 보안관리’, ‘엔드포인트 시큐리티’, ‘데이터 시큐리티’, ‘애플리케이션 시큐리티’ 였다”고 했다.
보호를 위한 연결(Connect to Protect)
최근 본사가 주최한 조찬세미나에서 조 대표는 “보안사고는 일어난다고 봐야 한다. 단지 언제 일어나느냐의 차이”라며“완벽한 보안이 없는 이유는 보안시스템이 그때 그때 사고 이슈에 따라 솔루션만 도입해서, 전체적인 관점과 보안 전략이 빈약하기 때문”이라고 했다. 즉 비용을 줄이면서도 리스크를 줄이는 전체 전략을 고안해야 한다는 것.
더불어 “최근 보안의 포인트가 디바이스, 애플리케이션, 데이터 시큐리티 등으로 흐르고 있다. 클라우드로 간다 해도 상황은 마찬가지다”고 했다.
이번 2016 RSA 주제 ‘보호를 위한 연결(Connect to Protect)’이다. 조 대표는 “이제 보안은 나만 혼자서 잘한다고 되는 일이 아니다. 서로 연결되어 정보를 공유하며 함께 방어해야 한다. 정부와 기업, 벤더들이 같은 편임을 인식하여 견고하게 연결되어야 한다”고 말했다.
|
|
|
▲ 강봉호 파수닷컴 상무 |
스패로우, 문서관리 정책 수립가능
강봉호 파수닷컴 상무는 데이터 매니지먼트 관점에서 필요한 3가지를 제안했다. 바로 첫째 데이터 정리, 둘째 데이터 통제, 셋째 리스크 관리이다.
파수닷컴의 ‘이데이터 메니저’는 관리자들이 직원PC에 생산 및 보유하고 있는 데이터의 속성을 알 수 있을 뿐 아니라 사용 권한도 제한할 수 있게 했다.
개인정보를 검출해서 개인정보 등급으로 바인딩 할 수 있고, PC방출, 외부공유, 인쇄제외 등 예외상황별로 조정할 수 있다. 출력물의 마스킹 뿐 아니라 통제도 가능하다.
파수닷컴의 ‘랩소디’는 문서유출 모니터링도 가능하다. 내부 특정사용자가 문서를 복호화한 예외상황도 다 볼 수 있어, 사용자별로 데이터의 사용 정책을 수립하고 관리할 수 있다.
이외에도 전체 데이터 관리에 이상 이벤트가 발생하면 위험상황으로 판단해 관리자에게 알려준다.
|
|
|
▲ 김재하 파수닷컴 전무 |
김재하 파수닷컴 전무는 “클라우드에서 문서 관리를 포기하는 경우가 있다. 랩소디를 이용하면 클라우드에서도 전사적으로 통일된 문서 관리 정책을 사용할 수 있다. 데이터관리와 보안을 하나로 묶을 수 있는, 근본적 문서관리 정책을 실현할 수 있는 것”이라고 했다.
|
|
|
▲ 장일수 파수닷컴 상무 |
애플리케이션 취약 진단, 스패로우 오탐율 낮아
장일수 파수닷컴 상무는 기업 보안에서 가장 취약한 지점이 애플리케이션임을 상기, 시큐어코딩의 오류들을 파악하고 해결할 수 있는 스패로우를 소개했다.
스패로우는 코딩의 수정사항 유형별로 묶어서 보여주고, 대체해야할 코드까지 알려준다. 따라서 작업자들이 취약점을 빠르게 발견하고 수정할 수 있다. 스패로우는 모니터링 할 수 있는 전체 콘솔이 있어 통합하고 자동화할 수 있다. 설계부터 운영까지 애플리케이션 보안의 통합된 그림을 그리고 실현할 수 있다.
장 상무는 “IoT 보안위협에 있어서 애플리케이션 취약점을 진단, 개선하는 것이 중요하다”며 “스패로우를 통해 보안과 안전, 둘 다 가져갈 수 있다”고 했다.