세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
한국IBM 윤영훈 상무 “골든타임 놓쳐 침해사고로 이어져”
  |  입력 : 2018-12-04 14:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 한국IBM 보안사업부 윤영훈 상무 & 강용석 부장
보안부서와 개발부서의 프로세스가 유기적으로 연동되지 않아 취약점 점검 제대로 안 돼
기업에서 취약점 도구 잘 활용할 수 있도록 가이드 및 프로세스 상에서 강제화 필요


[보안뉴스 김경애 기자] “대부분의 공격은 기존에 알려진 취약점으로 발생합니다. 이는 사전에 대비할 수 있는 골든타임 때 취약점 패치를 100% 적용하지 않아 침해사고로 이어진다는 얘깁니다.”

[이미지=iclickart]


한국IBM 보안사업부 윤영훈 상무의 설명이다. 취약점 조치의 경우 새로운 취약점이 발견되면 신속한 조치 및 패치 완료가 가장 큰 관건이다. 하지만 상당수 기업은 취약점 진단이 제대로 이뤄지지 않고 있는 실정이다. 이에 본지는 한국IBM 보안사업부 윤영훈 상무와 강용석 부장과의 인터뷰를 통해 취약점을 이용한 보안이슈, 기업에서 취약점 점검이 원활하지 않은 이유, 그리고 취약점 대처방안에 대해 들어봤다.

Q. 최근 고도화된 공격을 보면 보안 취약점을 이용한 공격 사례가 많이 발생하곤 합니다. 기업에서 가장 많이 발생하는 취약점 공격 위협에 대해 설명해 주신다면
한국IBM 보안사업부 윤영훈 상무: 기업에서 내부 IT 조직과 인프라 보안에 대한 투자가 증가하고 있지만, 여전히 공급망 공격을 통한 취약성은 많이 나타나고 있습니다. 이는 기업에서의 세부적인 보안체계 구축·운영과 이를 통제하는 대응능력이 모든 공급망에 공통적으로 적용되는데 있어 어려움이 많기 때문입니다. 게다가 사이버공격은 개인정보가 많은 취업정보 웹사이트를 노리는 공격에서부터 임직원을 타깃으로 한 공격, 웹사이트 취약점을 이용한 공격, 소셜 네트워크를 이용한 공격 등 다양한 경로로 진행되고 있죠. 반면, 기업에서는 조직 전체의 보안통제 현황, 위험요소가 있는 영역에 대한 전체적인 가시성 제공이 부족한 상황입니다. 한 예로 조직에서 보유한 PC, 서버 등 자산에 대한 보안 패치의 적용 여부를 비롯한 보안현황에 대해 100% 확신할 수 있는 정보가 부족한 것이 현실입니다.

Q. 취약점 공격과 관련해서 기업에서의 공통적인 문제점은 무엇인가요?
한국IBM 보안사업부 강용석 부장:새롭게 대두되고 있는 공격 위협에 대한 제대로 된 점검이 이뤄지지 못하고 있습니다. 이는 두 가지 측면에서 살펴볼 수 있는데요. 첫 번째는 취약점 점검용 툴이나 기술은 많이 바뀌었는데, 툴은 예전 도구나 기법으로 대응하고, 두 번째는 형식적인 점검으로 해당 문제에 대한 해결조치만 취하다 보니 새로운 위협에는 제대로 대응하지 못한다는 문제가 있습니다.

Q. 취약점 악용 공격 대응에 있어 기업에서 가장 어려워하는 점은 무엇인가요?
윤영훈 상무: 기업에서 애플리케이션 담당 업무는 개발팀에서 하고, 보안업무는 보안팀에서 하다보니 개발팀은 보안 취약점에 대한 지식이 낮아 보안위협의 심각성을 인지하지 못하고, 보안팀은 애플리케이션 지식이 낮아 소통이 원활하지 않죠. 즉, 보안부서와 개발부서의 프로세스가 유기적으로 연동되지 않고 있는 게 현실입니다. 또한, 개발팀에서는 보안보다는 비즈니스 측면을 더 중요시하기 때문에 출시 목표기간에 밀려 보안은 후순위가 되기 일쑤죠. 그러다보니 어떤 위험성을 내포하고 있는지 비즈니스에 어떤 피해가 갈 수 있는지 개발단계에서부터 보안을 신경쓰지 못해 문제가 발생하게 됩니다. 뿐만 아니라 개발자의 보안교육도 제대로 이뤄지지 않아 보안인식도 부족한 실정입니다.

강용석 부장: 개발팀 입장에서는 보안 점검이 부담으로 다가오는 점도 문제입니다. 지속적인 보안 점검과 이에 따른 교정작업이 원활해야하지만 대체로 한 번에 끝나는 경우가 많아요. 또한, 경영진과 보안팀에서 취약점 점검을 요구해도 개발팀에서 실제 취약점 수행 결과 내용을 이해하지 못하는 경우도 상당수입니다. 따라서 기업에서는 취약점 도구를 잘 활용할 수 있도록 세밀하게 가이드하고, 프로세스 상에서 이를 강제화할 필요가 있습니다.

▲한국IBM 보안사업부 윤영훈 상무(오른쪽)와 강용석 부장[사진=한국IBM]


Q. 클라우드 환경에서도 보안위협이 발생할 것으로 예상되는데요. 이에 대해서는 어떻게 대비하는 게 좋을까요?
윤영훈 상무: 물리적인 데이터센터를 구축한 기업의 경우 하나의 조직에서 모든 책임과 권한을 행사했다면, 클라우드는 클라우드 서비스 제공자와 책임 및 권한이 양분돼 있어요. 이에 기업에서는 이를 명확히 인식하고 효과적으로 대처하는 방안을 세워야 합니다. 하지만 현실은 아직 미숙한 실정입니다.

특히, 클라우드 환경에서는 클라우드 비즈니스 관리자들이 인프라, 데이터베이스, 네트워크 등 IT 전반을 관리함으로써 보안 측면에서는 업무 과부하가 발생합니다. 이를 위한 대응으로 기업에서는 첫째, 클라우드 상에서 비즈니스와 인프라에 대한 가시성이 확보돼야 합니다. 민감 정보와 중요 데이터는 어디에 위치해 있고, 적절히 보호되고 있는지, 암호화는 되어 있는지 등을 정확히 파악하고 있어야 합니다. 애플리케이션과 웹의 경우, 미리 점검·수정돼 운영돼야 하고, 권한 및 계정관리 실태 등을 꼼꼼히 체크해 보안이 클라우드 환경에서도 원활하게 운영될 수 있도록 해야 합니다.

Q. 취약점 패치와 관련해 기업에 당부하고 싶은 메시지는?
윤영훈 상무: 100% 완벽한 보안은 없습니다. 지금까지 보안이 예방 중심이었다면 이제는 신속한 탐지 및 조치를 통한 대응으로 패러다임이 바뀌어야 합니다. 특히, 침해사고가 발생하면 중요 정보를 파악하고 탈취하기까지 어느 정도 시간이 소요되기 때문에 신속한 탐지·조치·대응에 따라 데이터 유출을 방지할 수도 있습니다. 즉, 사고대응 플랫폼을 바탕으로 침해사고에 대한 각 담당자의 역할 및 프로세스를 표준화하고, 자동화를 통해 침해사고 대응의 효과성을 높일 수 있습니다.

둘째, 대부분의 공격은 기존에 알려진 취약점으로 발생합니다. 골든타임 때 취약점 패치를 100% 적용하지 않아 침해사고로 이어지는게 대부분입니다. 이는 사전에 대비할 수 있었다는 걸 의미합니다. 따라서 기업에서는 IT 인프라 관점에서 취약점 패치 점검과 가시성 확보가 무엇보다 중요합니다. 기존의 경우 예방 측면에서 네트워크에 보안투자가 치중됐다면 실제 공격은 웹 공격이 대부분이라 애플리케이션과 웹 취약점에 대한 투자가 확대돼야 합니다. 이와 함께 지속적인 교육을 통해 보안인식 수준을 높여야 합니다.

강용석 부장: 무엇보다 취약점 패치 도구를 도입했다면 효과적으로 활용하는 게 중요합니다. 기업에서 취약점 패치 도구를 도입한다고 해도 이를 제대로 활용하지 못하면 무용지물이기 때문입니다. 제대로 활용하기 위해선 꾸준한 교육과 인식 개선을 통해 문화로 정착돼야 합니다.

IBM에서는 현재 IBM Application Security on Cloud를 제시하고 있는데요. 이 서비스에 대해 자세한 설명 부탁드립니다.
윤영훈 상무: 앞으로 추세를 보면 보안인력 인건비와 도입비용 등을 고려했을 때 서비스 전환을 고려하는 수요층이 증가할 것으로 보입니다. 특히, IT 기술이 발달하면서 개발업체, 홈페이지 제작업체, 스타트업, 소규모 모바일 개발업체 등 신속한 서비스 중심의 애플리케이션을 제공하는 업체에서의 수요는 갈수록 늘어날 것으로 예상됩니다. 이러한 때 비즈니스 지속성 측면에서 기업의 취약점 점검은 매우 중요합니다. IBM Application Security on Cloud는 애플리케이션을 신속하게 개발·출시하는데 있어 취약점 점검 프로세스를 자동화하고, 취약점을 빠르게 파악해서 안전한 애플리케이션을 출시하도록 클라우드 서비스로 제공되는 애플리케이션 취약점 점검 도구라고 볼 수 있습니다.

현재 IBM에서 제공하는 서비스 모델은 4가지로 △소스코드 분석 서비스 △동적 분석의 웹페이지 취약점 점검 서비스 △모바일 애플리케이션 취약점 분석 서비스 △오픈소스 취약점 점검 서비스입니다. 클라우드 모델이다 보니 새로운 기술과 취약점 패치를 빠르게 접목 및 적용할 수 있어 유연성과 신속성 측면에서 탁월한 효과를 발휘합니다. 특히, 개발자가 즉시 취약점 점검을 받고, 점검결과와 조치사항을 바로 적용할 수 있어 매우 효율적입니다.

Q. 클라우드 보안에 있어 IBM의 향후 계획에 대해 한 말씀 해주신다면.
강용석 부장: IBM의 장점으로 인공지능(AI) 기술인 왓슨을 내세울 수 있습니다. 애플리케이션 취약점 점검에 있어 AI 기술을 적용한다면 오류·오탐을 줄이고 분석범위를 확대함으로써 정확성을 높인 결과를 도출해 냅니다. 예를 들어 하나의 오류를 잡음으로써 1,000~2,000개의 취약점을 한 번에 없앨 수 있다는 얘깁니다. 또한, 생체인증, 멀티팩터 인증 등 기술도 함께 접목해 클라우드 환경에서의 보안성을 높이고 있습니다. 앞으로도 이러한 신기술을 접목해 유연성을 높여 나갈 계획입니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술