Home > 전체기사

제117차 CISO포럼, ‘오픈소스 취약점’과 클라우드 보안대책 논의

  |  입력 : 2022-04-19 12:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한국CISO협의회 주최로 더프라자호텔에서 개최...공공기관 및 기업 CISO들 대거 참석
기관 및 기업의 보안담당자가 꼭 알아야할 오픈소스 취약점 대응방법과 클라우드 보안대책 강연


[보안뉴스 원병철 기자] 유명 앱 개발 프레임워크인 스프링(Spring)에서 보안 취약점 ‘스프링4셸’이 발견돼 패치 이슈가 불거진 가운데, 최근 로그4셸과 함께 오픈소스 취약점에 대한 보안위협이 보안책임자에게 큰 부담이 되고 있다. 이러한 가운데 이러한 보안 취약점과 클라우드 보안에 대한 기업의 대응방안이 ‘제117차 CISO포럼’에서 논의돼, CISO 등 보안책임자들에게 큰 도움이 됐다는 평가를 받았다.

▲인사말을 전한 이기주 한국CISO협의회 회장[사진=보안뉴스]


한국CISO협의회(회장 이기주)가 개최한 ‘제117차 CISO포럼’은 최근 보안이슈를 중심으로 2개의 강연이 진행됐다. 한국인터넷진흥원 이동근 침해대응단장은 ‘Log4Shell에서 Spring4Shell까지, 기업의 취약점 대응 어떻게 해야 하나?’를 주제로 강연을 진행하고, 아스트론시큐리티 조근석 대표는 ‘보안을 고려한 클라우드 도입 요령 및 비용절감 방안’에 대해 설명했다.

인사말에 나선 이기주 회장은 “우리 CISO들은 개개인의 능력도 뛰어나지만 회사나 기관에서의 역할도 많이 하고 있다”면서, “최근 진행했던 간담회나 SNS를 통해 최근 보안이슈에 대해 심도 있는 논의를 진행하는 것을 보면, 회원들이 보안에 대해 얼마나 진지하게 생각하고 서로 도우려고 하는지 알 수 있다”고 말했다. “오늘 CISO포럼에서는 최근 보안이슈인 오픈소스 취약점 이슈와 클라우드 보안에 대해 뛰어난 전문가들이 강연을 해주시는 만큼 좋은 정보, 이야기들을 나누셨으면 좋겠습니다.”

▲김정삼 과기정통부 정보보호네트워크정책관[사진=보안뉴스]


이어 과기정통부 김정삼 정보보호네트워크정책관이 인사말을 전했다. 김정삼 정책관은 “최근 사이버위협과 이로 인한 피해가 늘고 있고, 러시아와 우크라이나 전쟁으로 인해 국가간 사이버전쟁에 대한 이슈가 논의되면서 기존 대응체계로는 한계가 있다는 의견이 나온다”면서, “새로운 관점에서 보안 대응체계, 보안산업 육성과 인재양성에 대한 논의가 이뤄지고 있다”고 설명했다. “최근 미국에서 제로트러스트가 공식적으로 논의되고 있고, 국내에서도 C-TAS를 사용하는 기업이 늘어나는 등 새로운 보안체계에 대한 움직임이 있습니다. 다양한 보안대응 체계가 갖춰지면 우리 CISO들의 어깨도 한결 가벼워지리라 생각합니다.”

보안 취약점 대응 체계 4단계 잘 지켜야
이어 한국인터넷진흥원 이동근 단장이 최근 보안이슈인 로그4셸과 스프링4셸 등 취약점에 대한 기업의 대응에 대해 강연을 진행했다. 이동근 단장은 지난 2021년 12월 발생한 로그4셸 취약점이 아직도 다운로드 되거나 패치가 이뤄지지 않는 등 문제로 제기되고 있다면서, 최근 발생한 스프링4셸이 비록 위험도는 로그4셸보다 낮다고는 하지만 기업이나 기관에 큰 위협이 되고 있는 건 똑같다고 설명했다.

▲로그4셸과 스프링4셸 보안위협과 대응방안에 대해 설명한 KISA 이동근 단장[사진=보안뉴스]


“오픈소스에 대한 보안위협이 계속 불거지고 있지만, 현재 개발 분야에서는 오픈소스를 배제할 상황이 아니기 때문에 기업이나 기관에서는 조심해서 사용할 수밖에 없습니다. 이에 적절한 보안대책 마련이 시급한 상황입니다.”

그렇다면 CISO들은 어떻게 취약점에 대응해야 할까? 이동근 단장은 보안 취약점 대응체계는 ①자산식별 ②위험(취약점)식별 ③위험분석/평가 ④대책 수립/이행의 4단계만 잘 지켜도 효과적인 대응이 가능하다고 설명했다. 하지만 기업 규모가 클수록 보안담당자가 체크해야할 시스템도 많고, 버전 업데이트 관리도 어려워 대응에 어려움을 겪고 있는 것이 현실이다.

특히, 재택근무와 원격근무, 클라우드 등 업무환경의 변화와 IoT 등 새로운 장비의 활용이 늘어나면서 이른바 ‘공격할 수 있는 표면(Attack Surface)’이 늘어나는 것도 보안위협으로 다가온다. 이 때문에 보안담당자들은 잘 알려진 4개의 보안취약점 위험분석 및 평가방법(①기준선 접근법 ②비정형 접근법 ③상세 위험분석 접근법 ④복합 접근법) 중 복합접근법을 많이 사용한다고 설명했다.

“단기적인 대책으로는 조직 내 보안 홀을 찾고 위협시도를 분석하는 한편, 최근에는 침해진단을 사용하는 기업들도 늘고 있습니다. 또한, 패치를 적용하기 전까지 위협 인텔리전스와 중요자산 식별 및 모니터링, 그리고 정보자산과 취약점 관리를 통합 운영하는 등의 방안을 사용하기도 합니다. 중장기 대책으로는 네트워크부터 엔드포인트까지 가시성을 높이는 XDR(Extended Detection and Response)이나 SOAR(Security Orchestration, Automation Response), SBOM(Software Bill of Materials)과 데브섹옵스(DevSecOps) 등이 논의되고 있습니다.”

▲클라우드 보안에 대해 강연한 아스트론시큐리티 조근석 대표[사진=보안뉴스]


이어 아스트론시큐리티 조근석 대표가 클라우드 도입 확대에 따른 보안대책을 중심으로 강연했다. 조근석 대표는 “클라우드 환경에서 가장 필요로 하는 보안 솔루션은 이상행위 감시와 가시성 확보 등으로 기존 레거시 환경과는 큰 차이가 있다”면서, “클라우드 사업자가 제공하는 영역부터 개별 기업의 워크로드 단위까지 취약점과 자산의 변화, 비정상 상황을 식별하고 관리해야 한다”고 주장했다.

“클라우드는 기존 레거시 보안대비 자산의 변화가 자주 발생하고, 가시성이 떨어져 보안식별과 이상징후 탐지에 어려움이 있습니다. 또 클라우드는 데브섹옵스 환경으로 운영·보안·개발 간 협업이 중요하며, 이를 위해 부서를 뛰어넘어 통합관리가 가능한 솔루션이 필요합니다. 따라서 클라우드 이용자는 외부의 공격에 취약한 부분을 점검해 개선하고, 실시간 이상징후를 탐지해 대응하는 전략이 가장 중요합니다. 아울러 공격자의 루트를 고려해 네트워크, 계정, 운영상의 취약점에 따라 단계별로 탐지방안을 마련하고 대응해야 합니다.”

한편, 국내 기관 및 기업의 정보보호최고책임자 모임인 한국CISO협의회는 기업 정보보호 수준을 제고하고, CISO 네트워크 강화를 통한 사이버 보안 위협 공동대응 및 정보보호 유관기관과의 소통 창구 역할을 위해 지난 2009년 설립된 단체다. 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)에 근거해 설치 및 운영 중이며, CEO는 물론 임직원 정보보호 인식 제고 및 자발적 정보보호 투자촉진 유도 등 기업 정보보호 실천환경 조성을 위해 정책을 제안하고 회원사간 협력을 강화하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)