Home > 전체기사 > 외신

[주말판] 2021년 CISO들의 새해 결심에 들어가야 할 것 6

  |  입력 : 2021-01-09 12:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나로 인해 그 어느 해에도 경험할 수 없던 일들을 겪은 CISO들의 고행은 2021년에도 이어질 전망이다. 거기다가 솔라윈즈 사태까지 연말에 터지는 바람에 고려해야 할 것이 더 늘었다. 올해 CISO들이 준비할 것이 너무 많다. 그래서 몇 가지 진짜 중요한 것들을 6가지로 추렸다.

[보안뉴스 문가용 기자] 힘든 한 해를 보냈다. CISO들에게는 더더욱 정신이 없었을 만한 때였을 것이다. 새로운 현실 앞에 각지로 흩어진 조직 구성원 전체와, 사람 없이 덩그러니 남아 있는 온프레미스 환경을 보호해야 한다는 막중한 책임감에 많은 밤을 지새웠을 것이다. 게다가 새해가 됐다고 해서 사태가 끝난 것이 아니니, CISO들의 마음은 여전히 수많은 계획들로 복작복작하다. 이번 주말판에서 본지는 이런 복잡한 상황 가운데 CISO들이 꼭 기억해야 할 새해 결심 항목들을 모아 보았다.

[이미지 = utoimage]


1. 기술 공급망 보호
미국에서 12월에 발생한 솔라윈즈(SolarWinds) 사태를 통해 기술 공급망 공격의 어마어마한 파급력이 여실히 증명됐다. 물론 모든 공급망 공격이 이 정도의 파급력을 가지는 건 아니지만, 공급망 공격이 마이크로소프트나 파이어아이, 미국 사법부나 국토안보부와 같은 삼엄한 조직들도 공략할 수 있다는 것 자체는 분명하다. 게다가 사이버 공격자들 사이에서 공급망 공격이 실행된 것이 처음 있는 것도 아니다. 한 보고서에 따르면 2020년 동안 공급망 공격은 430% 증가했다고 한다.

2020년의 주요 보안 사건 중 하나는 리플20(Ripple20)이라는 취약점이 발견됐다는 것이다. 리플20은 TCP/IP 소프트웨어 라이브러리에서 발견된 다수의 취약점들로, 이 라이브러리가 거의 모든 IoT 제조사들에서 사용되고 있기 때문에 사실상 전 세계 모든 IoT 장비들이 리플20 익스플로잇 공격에 노출되어 있다는 뜻으로 해석되었다. 이 문제는 장기적인 골칫거리가 될 전망이며, 환경 내 사물인터넷 장비를 운영하고 있는 조직이라면 ‘리플20’을 반드시 염두에 두어야 할 것이다. CISO들은 이와 유사한 사태에 대비해 소프트웨어 구성 요소 추적 시스템과 자산 관리 시스템을 보다 확실하게 마련할 뿐만 아니라 취약점 관리 프로그램도 설정해야 할 것이다.

2. VPN을 넘어서야 한다
2020년 보안 담당자들의 가장 큰 과제는 갑작스럽게 구성된 재택 근무 체제를 보호하는 것이었다. 이 과정에서 오늘날 기업들이 가진 여러 가지 취약점들이 가감 없이 드러났다. 특히 VPN만으로 원격 근무자들을 보호할 수 없다는 것이 증명된 것이 컸다. VPN이 가진 태생적 한계 때문에 원격의 근무자들이 회사 내 디지털 자산에 접속하고 활용하는 것을 CISO가 제대로 통제할 수 없다는 것을 수많은 CISO들이 학습한 것이다.

다만 2020년이 워낙 정신없이 지나가는 바람에 울며 겨자 먹기 식으로 VPN을 고수할 수밖에 없었다. 그러니 새해가 되면서 보다 효과적인 대체재를 찾는 움직임들이 일어날 것으로 보인다. 원격에서의 자산 관리를 보다 안전하고 효과적으로 하기 위해서는 VPN 이상의 것이 필요하고, 올해 많은 CISO들이 솔루션 쇼핑에 나설 것이다.

3. 설계에 의한 보안(Security by Design)
2020년과 같은 해를 보냈으니 CISO들은 이를 호기로 활용해 ‘보안 문화’를 조직 내 정착시킬 수 있을 것으로 보인다. 특히 소프트웨어나 웹 서비스 개발을 하는 조직이라면 ‘설계에 의한 보안’ 문화를 드디어 도입할 때다. ‘설계에 의한 보안’이란, 모든 개발을 끝낸 후에 보안을 덧씌우는 게 아니라 설계 단계에서부터 보안을 고려해 소프트웨어와 서비스를 완성시킨다는 뜻이다. 오래 전부터 강조되어 온 개념인데, 도입은 계속해서 미뤄져 왔다.

다만 뱅크오브아메리카(Bank of America)나 나스닥(Nasdaq)과 같은 대형 조직들에서는 디지털 변혁을 진행하면서 ‘설계에 의한 보안’이라는 개념을 구현한 바 있다. 정보보안포럼(Information Security Forum, ISF)과 같은 조직들의 경우 ‘설계에 의한 보안’은 인간 중심의 보안 훈련을 반드시 동반해야 한다고 주장하기도 한다. 일반 임직원 등 사용자들의 참여 없이 개발자들 사이에서만 논의되고 실천되어 봐야 큰 차이를 만들지 못한다는 것이다. CISO들로서는 새해 이런 조직들에서 나오는 소식들에 귀를 기울여 보는 것도 좋을 듯하다.

4. 더 나은 애플리케이션 보안
애플리케이션 보안은 CISO들에게 있어 여전히 최우선 순위에 속하는 중요 과제다. 그러나 2020년 코로나라는 독특한 상황 때문에 순위가 조금 밀렸다. 한 조사에 의하면 2020년 동안 10%의 조직들이 웹 애플리케이션 방화벽 관리와 설정을 제대로 못하는 바람에 공격의 90%를 허용했다고 할 정도다. 이제 다시 평년처럼 - 물론 지금 상황이 평년과는 거리가 멀지만 - 애플리케이션 보안에 신경을 써야 할 때다.

기억을 떠올려 보자면 코로나가 터지기 전 많은 조직들이 애플리케이션 보안을 위해 데브섹옵스(DevSecOps)라는 방법론의 도입을 고민하거나 시도하고 있었다. 개발자들이 소프트웨어나 서비스를 개발할 때 ‘설계 단계에서부터 보안(security by design)’을 보다 쉽게 적용할 수 있게 해 주기 때문이다.

데브섹옵스를 성공적으로 도입한 조직들의 경우 가장 큰 성공 요인 중 하나로 ‘셀프서비스 보안(self-service security)’과 ‘셀프서비스 준수 평가(self-service compliance validation)’를 꼽는다. 즉 개발자들이 스스로 보안과 규정 준수를 확인하도록 할 때 데브섹옵스가 더 성공적으로 정착했다는 것이다. 특히 ‘코드로서의 보안(security-as-code)’의 형태로 추구되는 ‘셀프서비스 보안’이 개발자들에게 큰 도움이 되었다고 한다.

5. DMARC의 도입
요 몇 년 동안 발생하는 사이버 공격의 양대산맥 중 하나는 ‘기업 이메일 침해(business email compromise, BEC)’ 공격이다. 이메일이 문제라는 것이다. 그 외의 피싱 공격 역시 이메일을 통해 시도되는 것이 대다수다. 코로나 사태가 진행되는 동안 사이버 공격자들은 코로나와 관련된 미끼 메일을 온 세상에 뿌려대면서 사용자들과 기업들을 농락했다. CISO들로서는 코로나가 계속해서 지속될 2021년 동안 이메일 보안에 대해 다시 한 번 생각해보지 않을 수 없다.

그러면서 1선에서 고려될 것이 디마키(DMARC)라는 이메일 보안 프로토콜이다. 보안 전문가들은 몇 년 동안 지속적으로 디마키의 도입과 구축을 권장해 왔다. 공격자들이 합법적이고 정상적인 이메일 도메인을 너무나 쉽게 가로채 공격에 활용하는데, 이를 보다 어렵고 복잡하게 만드는 것이 디마키이기 때문이다. 하지만 디마키를 실제 활용하고 있는 조직은 아직 드물다. 포춘 100대 기업들 사이에서 디마키가 구축된 곳은 15%에 불과하다고 한다.

6. 랜섬웨어 공격에 맞서다
양대산맥 중 하나가 BEC였다면 나머지 하나는 단연 랜섬웨어다. 올해는 랜섬웨어 공격자들이 이중 협박이라는 새로운 전략을 구사하기 시작하면서 제2의 전성기를 구가하기도 했다. 그러면서 독일에서는 랜섬웨어 공격 때문에 병원 환자가 실제로 사망하는 사건도 벌어졌다. 랜섬웨어 공격은 2021년에 들어와 더 거세질 전망이다.

많은 CISO들이 이미 랜섬웨어를 고려해 여러 가지 계획을 세우고 있을 것이다. 실제로 보안 관련 커뮤니티나 포럼에 들어가 보면 랜섬웨어에 걸렸다며 도움을 요청하는 피해자들의 글이 많이 올라온다. 이 중에 우리 회사 직원들이 있을 수도 있다. 악성 행위의 탐지, 네트워크 모니터링, 비상 복구 대책 마련, 임직원 교육 등 CISO들이 랜섬웨어 방지를 위해 해야 할 일들이 꽤 남아 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협