사이버 위생 위한 ‘고급 보안 서비스’①
상태바
사이버 위생 위한 ‘고급 보안 서비스’①
  • 김선애 기자
  • 승인 2020.11.04 09:00
  • 댓글 0
이 기사를 공유합니다

규제 준수 위한 취약점 점검·모의해킹, 실제 위협 대응 활동으로 진화
파악되지 않은 취약점 뿐 아니라 알고 있는 취약점도 해결 못 해

[데이터넷] ‘코로나19’라는 사상 최악의 전염병 사태를 맞아 사람들은 개인위생을 철저히 해 다른 사람으로부터 감염되지 않도록 하고, 마스크를 착용해 자신이 감염됐을지도 모르는 상황에서 감염을 확산시키지 않도록 하고 있다. 또한 독감 예방주사를 통해 다른 전염병에 걸려 면역력이 약화되지 않도 록 한다. 정기적인 건강검진을 통해 자신의 건강상태를 확인하고 필요한 경우 의사와 상담을 통해 건강을 개선하도록 노력하고 있다.

사이버 보안 분야에서도 이러한 노력이 전개되고 있다. 새롭게 등장하는 보안위협 을 파악해 대응책을 마련하며, 시스템·애플 리케이션·서비스에 취약점이 있는지 살펴보고 제거하는 한편, 공격-방어 모의훈련을 진행하면서 보안 시스템과 정책이 제대로 작동하는지 확인하기도 한다.

보안 시장 성장 위해 고급 보안 활성화 돼야

클라우드·IoT·WFA(Work from Any where)가 확산되면서 보안 복잡도가 높아 지고 있어 사이버 건강을 지키려는 노력은 한층 더 강화되고 있다. 경계기반·시그니처 기반 보안 솔루션을 업그레이드하는 한편, 클라우드·WFA를 위한 보안 솔루션과 정책을 마련하고 있으며, 선제방어 시스템에서 발견하지 못한 위협을 탐지하고 대응하는 각종 시스템과 UEBA·SIEM·SOAR 등 보 안 모니터링과 자동화 시스템도 새롭게 도입하고 있다.

더불어 자동화된 취약점 진단과 모의해킹, 공격자 관점의 공격-방어 훈련, 정보보안 컨설팅 등을 수행하면서 제거되지 않은 보안문제가 있는지 진단하고 제거하는 노력을 전개하는 것이 필요하다.

후자의 활동들은 디지털 트랜스포메이션을 위해 반드시 필요한 것이지만 국내에서는 규제준수 만을 위해 제한적으로 발전해왔다. 한정된 규모의 규제준수 시장에서 많은 기업이 출혈경쟁을 벌이면서 서비스 품질을 낮춰 고객 신뢰를 쌓지 못했으며, 시장을 발전시키지 못하고 오히려 축소시켰다.

해외에서는 이 같은 고급 보안시장이 발전하면서 고도화된 보안 툴과 고급 전문가 수요를 높이고 더 지능화된 위협에 대응할 수 있는 전문가 양성에 적극 나서 보안 기술과 시장을 고도화시키고 있다.

코로나19와 클라우드, IoT, 4차 산업혁명 등 새로운 패러다임 전환 시대에 고급 보안 서비스 시장을 제대로 육성하지 못하면 글로벌 기업의 기술 발전을 따라잡지 못하고 뒤처지게 된다.

김석 노브레이크 대표는 “4차 산업혁명 관련 융복합 보안 기술 연구는 기존의 보안 취약점 진단, 모의해킹, 보안 컨설팅 영역에서 심도깊은 연구와 투자가 필요하다. 그러나 현재 이 시장은 지정된 일부 기업이 사업을 수주한 후 중소 전문기업에 2차·3차 하도급을 주는 형 태가 비일비재하고, 중소 전문기업의 수익성을 보장받지 못해 성장에 제약이 많은 상황”이라며 “전문 중소기 업도 성장할 수 있도록 제도 개선이 시급하다”고 주장했다.

보안 소홀한 틈으로 침투하는 공격자

고급 보안 서비스는 진화하는 사이버 위협 환경에서 비즈니스 리스크를 낮추고 경쟁력을 높이는데 필수 조치다. 포브스 조사에 따르면 전 세계 정보보안 지출이 연간 1000억 달러를 초과하는데, 보안 침해로 인한 피해가 2021년까지 연 6조달러 발생할 것으로 예상된다.

막대한 보안 예산과 인력을 투입해도 공격으로부터 완전히 안전한 IT 환경을 만들지 못하는 이유는 공격자 들은 보안 투자가 잘된 곳이 아니라 허술한 곳으로 침투하기 때문이다. 공격자들은 방어 시스템이 잘 갖춰진 정문이 아니라 방치된 후문, 사용자의 실수를 이용한다. 가트너는 침해사고의 대부분이 사용자 실수, 잘 못된 설정, 관리소홀, 섀도우IT로 인해 발생한다고 지 적했다. 이렇게 관리되지 못한 취약한 지점을 제거하기 위해서는 취약점 진단, 침투테스트, 보안 컨설팅 등의 고급 보안 서비스가 필요하다.

보안 투자 효과를 높이기 위해서는 구성된 보안 제품이 제대로 작동하는지, 보안 정책의 미비한 점은 없는 지, 관리되지 않은 보안홀이 없는지 확인해야 한다. 특히 정기적인 보안 취약점 관리를 통해 알려진 취약점 중 패치되지 않고 방치된 것이 있는지 확인해야 한다.

▲취약점 악용 공격 (자료: 쿤텍)
▲취약점 악용 공격 (자료: 쿤텍)

사회적으로 중요한 시설과 기관·기업들은 의무적으로 보안 대책을 마련해야 한다. 개인정보를 저장한 시스템이나 중요정보통신기반시설, 공공·금융기관 등은 의무적으로 갖춰야 할 보안 시스템이 있으며, 정기적으로 시스템에 대한 취약점 분석과 평가를 실시해 관리되지 않은 취약점을 제거해야 한다.

클라우드 사용이 늘어나면서 클라우드 상의 취약점 점검과 컴플라이언스 문제도 대두된다. 퍼블릭 클라우드 사업자들은 글로벌 주요 컴플라이언스를 지원하고 있어 해당 클라우드를 사용할 경우 인프라 영역에서의 규제준수 노력은 경감받을 수 있다. 예를 들어 ISMS 인증 의무 기업이 ISMS 인증을 받은 퍼블릭 클라우드 서비스를 사용하고 있다면 인프라 분야의 ISMS 점검 사항은 면제받을 수 있다.

취약점 점검은 전문 기업의 서비스를 이용할 수도 있고, 자동화된 솔루션을 이용해 직접 점검해볼 수도 있다. 서비스나 솔루션은 찾아낸 취약점의 해결 방법을 안내하지만, 제안된 모든 해결책을 다 이행하는 경우 는 거의 없다. 발견된 취약점의 우선순위를 알기 어렵고 인력과 예산, 시간의 한계도 있다. 또한 발견된 취약점을 패치했다가 예기치 못한 장애가 발생하거나 다른 시스템에 영향을 줄 수 있다는 우려 때문에 취약점 패치를 신중하게 진행하는 경우도 있다.

최홍준 페트로누스 부사장은 “기업·기관의 보안 담당자들은 시스템에 많은 취약점이 해결되지 않고 방치돼 있다는 사실을 알고 있지만, 어떻게 해결해야 하는지 답을 찾지 못하는 경우가 많다. 또한 파악하지 못한 알려진 취약점에 대해서도 해결책을 찾지 못하고 있다는 문제로 인해 어려움을 겪고 있다”며 “취약점 점검 서비스나 솔루션만으로는 한계가 있는 것이 분명하며, 대안 마련이 시급한 상황”이라고 지적했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.