(ISC)² Blog

볼티모어 랜섬웨어 공격으로부터 얻은 교훈

Martin R. Okumu는 2018년 광역 자치구의 애플리케이션 90%가 영향을 받았던 볼티모어 시에서 일어난 랜섬웨어 공격을 겪었다. 그 당시 도시의 IT 인프라의 담당 이사로서, 그는 랜섬웨어 공격으로부터 방어하고 회복하는 것에 대한 많은 귀중한 교훈을 배웠다.

화요일 오후, 그는 (ISC)² Security Congress 2021의 버추얼 세션에서 참석자들과 교훈을 공유했다. 그는 현재 샌프란시스코 시 및 카운티의 최고 정보 책임자이다.

Okumu는 여러 측면에서, 볼티모어는 공격에 준비가 되어있지 않았었다고 말했다. 시는 사이버 사고 대응 팀(CIRT)이나 사고 대응 실행화 하거나, 또는 커뮤니케이션 및 에스컬레이션 처리 방법 등에 대한 명확한 계획이 없었다.

이러한 요소들은 랜섬웨어 공격을 막기 위해 조직이 필요로 하는 요소들이다. "만약 여러분이 이러한 것들을 잘 구비해 두고 있으며 이러한 절차들의 개요가 정리되어 있다면, 여러분은 그때의 우리보다 더 나은 상태에 있다, "라고 그는 말했다.

Okumu는 명확하게 규정된 절차와 역할이 부족했기 때문에 도시는 혼돈과 혼란으로 빠져들었다고 말했다. 유일한 장점은 시 당국이 온-프레미스 및 클라우드 백업 모두에 투자했다는 것이다. Okumu는 "볼티모어가 1~5개의 비트코인을 요구하는 랜섬을 거부하고도 피해복구 비용으로 1800만 달러를 들었다"라고 말했다.

공격
이 공격은 2018년 5월 19일 이른 아침 처음 발견되었다. Okumu는 오전 4시에서 7시 사이에 시작되었다고 말했다. 컴퓨터에 로그온 하려고 할 때, 사용자들은 시스템이 Ransom.Robinhood 랜섬웨어로 암호화되었다고 하는 메시지를 받았다. 범인들은 "무슨 일이 일어났는지 당신이 알기를 원한다. 그들은 숨지 않는다."라고 그는 말했다.

도시는 공격자들에게 대응하지 않았고 이들은 이후 더 많은 강요를 시도했으며 자신들의 행위를 증명하기 위해 한 기기의 잠금을 해제하겠다고 제안했다"라고 말했다. 그들이 도시에 보내는 메시지는 시간이 갈수록 더 공격적이 되었고, 마침내 6월 7일의 최종 응답 기한을 발표했다. 시는 그에 대응하기보다는 수개월이 걸린 복구 과정을 진행했다.

준비
Okumu는 랜섬웨어 공격에 대비하기 위해 기술 및 비즈니스 측면의 회복 모두를 다루는 사고 대응 계획(IRP)의 중요성을 강조했다. 전자의 경우, 환경을 파악하고, 커뮤니케이션 및 에스컬레이션 절차를 확립하고, 계획 활성화를 위한 방법적 절차를 마련하는 것이 중요하다. 비즈니스 측면에서는 CISO, CIO 및 회사 경영진을 위한 커뮤니케이션 계획을 수립하는 것은 물론 사이버 보험을 포함한 위험 관리 구성 요소를 갖추는 것과 같은 요소들을 다루어야 한다. 랜섬웨어 전문가를 보유해 사건 여파에 몰두하지 말고 몸값을 지불하기로 한 경우에 비트코인 계정을 설정하는 것도 현명하다.

백업 전략
백업 전략을 세우는 것도 중요하다. "이 때문에 우리는 회복할 수 있었다"라고 Okumu는 말했다. "귀하의 조직이 확실한 백업 계획을 가지고 있는지 확인하십시오. 이는 한 가지 이유 또는 다른 이유로 기업들이 돈을 쓰고 싶어 하지 않는 가장 큰 영역이다. 나는 그 이유를 알 수 없다."

데이터 백업은 랜섬웨어로부터 보호하기 위해 조직이 수행해야 하는 여러 단계 중 하나일 뿐이다. Okumu는 사고 평가, CIRT 조성 등 일련의 다른 단계들을 짚고 넘어갔다. CIRT의 성공을 보장하기 위해, 그는 그 팀에 간부급 후원자와 명확한 임무 성명을 갖는 것이 중요하다고 말했다.

그 밖의 절차에는 사고 발생 시 내부 의사소통 방법과 FBI, 국토안보부, CISA, 현지 법 집행기관, 규제 기관 등의 외부 기관과 의사소통 방법을 생각해 내는 것이다.

사건에 대한 중요한 사실을 기록하고 피해 컴퓨터의 이미지를 캡처하는 등의 조치를 취함으로써 사건을 범죄 현장으로 보는 것이 중요하다. Okumu는 또한 자체 내에 또는 아웃소싱 방식으로 디지털 포렌식 전문가를 두어야 한다고 조언했다.

그는 외부인력을 고용할 필요가 있다면 이 문제를 해결할 것을 약속하지만 그 상황을 이용하여 돈벌이가 주된 목표인 제삼자들에 대해 경고했다. 조직은 보험 회사, 외부 법률 자문, 법의학 조사관, 규제 기관, 위기 통신 관리자 및 "대응 업체"와 같이 연락할 수 있는 담당자들의 간단한 목록을 가지고 있어야 한다.

 

내부에서 고용 및 사이버 보안 재능 재교육: 전략 수립

사이버 보안 팀을 구축하는 데 있어 상당한 어려움을 겪고 있는 조직에서는 사이버 보안 역할 수행을 위해 내부에서 이동 가능한 인재를 찾는데 점점 많은 노력을 기울이고 있다. 이는 최근 (ISC)²에서 발간된 Cybersecurity Career Hiring Study (사이버 보안 직업 고용 연구)Cybersecurity Workforce Study (사이버 보안 인력 연구)에서 강력히 뒷받침된다.

문제는 상당수의 조직이 사이버 보안을 위해 내부 인력을 양성해야 하는 과제에 별 신경을 쓰지 않는다는 점이다. 최근 연구에 따르면, 기업의 약 절반(45%)에서 그렇게 할 능력이 없다고 말한다.

그리고 문제는 거기서 끝나지 않는다. 또한, IT 리크루팅 회사 Hays US가 실시한 연구에 따르면, 응답자의 39%만이 그들의 조직이 "사이버 인력을 유지할 능력이 있다"라고 믿는다고 밝혔다. 따라서 문제는 두 가지다:
ㆍ사이버 보안 직책을 채우기 위해 조직 내에서 인재를 채용하기 위한 전략 및 인프라 구축
ㆍ사이버 보안 전문 인력이 그들의 현 직책에 만족하고 행복하게 느껴 다른 곳에 구직을 알아보지 않을 수 있는 여건을 마련하는 것

내부에서 찾기
(ISC)² Cybersecurity Career Pursuers Study (사이버 보안 경력 추구자 연구)는, 사이버 보안 업무에 자연스럽게 적합한 기술을 지닌 직원을 식별하기 위한 전략을 개발해야 한다는데 긍정적인 의견을 피력한다. 구두 및 서면 커뮤니케이션, 창의성, 문제 해결 능력, 비판적, 분석적 사고 등이 이에 해당한다.

이러한 기술들은 전이가 가능하며, 채용 담당자와 채용 관리자들이 경쟁이 치열한 취업 시장에서 사이버 보안의 "올스타"들을 찾아야 한다는 부담을 덜어준다. 전 세계적으로 312만 명의 전문 인력이 부족한 사이버 보안 업계에서 "올스타" 지원자들은 극히 드물다.

이는 왜 내부 채용 접근이 관심을 끌고 있는지를 설명한다. 한 예로, 사이버 보안 전문가 Alyssa Miller는 이에 대한 강력한 옹호자이다. "우리는 조직 내에 어떤 사람들이 그들의 기술을 보안 영역으로 확장하기를 원하는지 살펴봐야 합니다. 우리는 어떻게 그 사람들을 발전시킬 수 있는지, 어떻게 그들을 가능하게 할 수 있는지, 어떻게 트레이닝을 제공할 수 있는지, 그리고 어떻게 그들에게 그들이 보안 분야에서 할 수 있는 일들을 보여줄 수 있는 기회를 제공할 수 있는지를 살펴봐야 합니다"라고 그녀는 말한다.

하지만 Hays도 생각했듯이, 말하는 것은 이행하는 것보다 쉽기 마련이다. 그래도 그것이 가망이 없는 것은 아니다.

인재 보유
기업들이 사이버 보안을 위해 내부로부터 채용을 성공하려면 보유 문제도 해결해야 한다. 원하는, 그리고 가치 있는 기술을 습득한 후 조직을 떠나가는 것을 막을 수 없다면 인재를 찾는 수고를 겪는 것은 거의 의미가 없다.
Hays US 연구에 관한 Tripwire 기사는 "존경받는 IT 보안 교육 기관"과의 제휴를 통해 숙련의 기회를 제공하는 것을 포함하여 인재 보유를 위한 몇 가지 권장 사항을 제시한다. 이 기사는 또한 조직 내 다른 곳에서 재능과 관련 업무 경험을 쉽게 찾을 수 있도록 사이버 보안 업무 요구 사항을 재평가하도록 권장한다.

Hays는 또한 경쟁적인 보수를 제공하고, 사이버 보안 실무를 홍보하며, 최신 기술에 투자하는 문화를 육성할 것을 권하고 있다.

이 조언을 가슴으로 받아들이는 조직들은 내부 채용이 저 너머에 있는 것이 아니라는 것을 알아야 한다. 그저 몇 가지 체계와 좋은 계획이 필요할 뿐이다. 강력한 사이버 보안 팀을 구성하는 방법에 대한 자세한 내용을 보려면, 여기를 클릭하십시오.


 

높은 가능성, 또는 낮은 확률: 진정한 정량 보안 분석이 가능할까?

손익의 언어
보안 전문가들은 전문 분야를 연마하는데 많은 시간을 투자한다. 여러분의 강점이 패킷 분석이나 프로그래밍 일 수 있고... 보안 엔지니어링 또는 펜 테스트 분야에서 최고일 수 있다. 또는 여러분께서 최고의 전문적인 기술을 보유하고 있을 수도 있지만, 프로젝트나 새로운 보안 툴에 대한 예산을 확보하는 데 있어서는 가능성과 확률의 차이를 이해하고 설명할 필요가 있다.

왜 이것이 중요할까? 이는 중요하다. 왜냐하면, 비즈니스 언어는 손익을 기반으로 하고, 그 구성 요소들이 여러분의 프로그램 진행에 있어 핵심이기 때문이다. 여러분은 새로운 보안 계획 사업의 필요성을 사업상의 모험에 자금을 지원하게 될 사람들을 어떻게 납득할 수 있도록 설명하겠는가?

이를 추진하는 가장 좋은 방법은 정량 또는 정성 분석이다. 구체적으로, 얼마나 가능성이 있는지, 또는 얼마나 사건이 일어날 확률이 있는지. CISSP CBK(Common Body of Knowledge)에서 설명된 것에 따르면, "어떤 일이 일어날 가능성 (Likelihood)은 정성 분석과 관련이 있으며, 확률 (probability)은 정량 분석과 관련된다." 일부 사전은 가능성과 확률을 동일시하여 명확한 구분을 하지 않지만, 이는 보안 업계에서는 현명하지 않은 접근이다.

차이점은 무엇인가?
차이점을 기억하는 간단한 방법은 정성 분석은 품질을, 정량 분석은 수량을 다루는 것이다.
정성/품질 = 가능성 (Likelihood) 측정
정량 = 확률 (Probability) 측정

정성 평가 사용 시 구체적 숫자들이 없기 때문에 정성 분석을 정량적 분석보다 덜 신뢰가 간다고 평가하는 경우가 많다.

리스크 관리 업무에서는, 주로 정성 분석이 대부분의 경우 적절하다. 이는 일반적으로 가능성 및 영향에 대한 위험 사건을 보여주는 표로 표현된다. 예를 들어, 수년 전에 제시되었던 한 가지 방식은 뉴욕과 샌프란시스코에서 지진에 대항하여 건물을 세우는 것에 대한 정성 위험 분석이 어떻게 동등했는지 보여주었다.

"위협 (Threat) x 취약성 (Vulnerability() = 위험 (Risk)"이라는 대표적인 공식을 사용하면 다음과 같은 방법으로 이 개념을 구축할 수 있다.

샌프란시스코 - 위협 (Threat) 수준 7(지진이 발생할 위험이 매우 크기 때문)에 취약점 (Vulnerability) 수준 3을 곱한다(건축 법규가 엄격한 지진 기준을 가지고 있기 때문).
따라서 위험 (Risk) 수준은 21이다.

뉴욕 - 위협 (Threat) 수준 3(그동안 그 지역에 치명적인 지진이 한 번도 없었기 때문)에 취약성 (Vulnerability) 수준 7을 곱한다(심각한 지진이 발생할 경우, 건축 법규에 지진에 대한 보호가 없어 모든 건물이 취약하기 때문). 이 또한 21의 위험 (Risk) 수준을 생성한다.

정확한 숫자를 중심으로 하는 비즈니스 경영자가 정성적 분석을 정량적 분석보다 덜 진지한 방법으로 취급하는 이유를 쉽게 알 수 있다. 정성 분석의 숫자들은 좀 지나치게 치환적이다.

숫자의 정확성
정량 분석은 수치 구성 요소에 있어서 훨씬 분명하다. CISP CBK에서 볼 수 있는 정량 분석을 위한 간단한 계산은 다음과 같다:

연간 손실 예상 (Annual Loss Expectancy/ALE) = 단일 손실 예상 (Single Loss Expectancy/SLE) x 연간 발생률 (Annual Rate of Occurrence/ARO)

이것을 쉽게 기억하는 방법은 분실된 휴대폰을 생각하는 것이다. 여기에 숫자를 더하면 합계가 명확해진다. 대략 참고로 휴대폰은 600달러이며, 100명의 사람들이 매년 그 기기를 잃어버리거나 망가뜨리고 있다면: $60,000 (연간 손실 예상) = $600 (단일 손실 예상) x 100 (연간 발생률).

오히려, 이 예시는 모든 보안 분석가들의 조언에도 불구하고 “Bring Your Own Device-개인 소유 스마트 기기들을 업무에 사용" 운동이 왜 그렇게 성공적이었는지 증명할 것이다. 너무 많은 기업들이 분실된 전화에 너무 많은 돈을 잃고 있었다.

정량 분석은 더욱 심화되어 '단일 손실 예상' 계산은 물론, 보호 장치 값 역시 계산하는 방법을 보여준다. 분실된 전화들의 경우, 최상의 보험조차도 연간 손실 예상 비용을 적절히 조정할 수 없었다. (역설적으로, 어떤 경우에는 회사 소유 기기에 대한 손실 보험이 있다는 것을 알고 있을 경우, 이들은 회사 소유 기기를 자기 개인 소유보다 덜 조심스럽게 다루는 경향이 있어 연간 발생률이 더욱 높아진다.)

CISSP CBK는 정량 분석의 깊이를 다루며, 손실 관점에서 명확하게 이해할 수 있어 가치가 있을 뿐만 아니라 제안된 보호 조치가 조직에 건전한 가치인지 계산할 수 있어 더욱 중요하다. 조직에게 있어 절약되기는커녕 더 많은 비용이 드는 솔루션을 제안하는 것, 그 보다 더 실패하기 쉬운 일은 없다.

함께 사용할 때 더 설득적인
위의 분석으로, 정량 분석이 매우 설득력 있는 도구인 이유를 쉽게 알 수 있다. 하지만 이것이 정성 분석의 가치를 떨어뜨리는가? 전혀 그렇지 않다. 사실상, 정량 분석과 함께 사용될 때, 그것은 제안을 촉진시킬 수 있다.

새로운 MDM(모바일 기기 관리) 플랫폼에 대한 예산을 확보하려고 한다고 가정해보자. 휴대폰 계속적으로 예로 들어본다면, 정성 분석은 기기 분실 가능성이 높다는 것을 보여주고, 만약 해당 기기가 고성능 MDM으로 보호되지 않은 채 회사 데이터를 보관하는 경우, 조직에 미치는 위험이 매우 높으며, 이는 명성 훼손 및 규제로 인한 처벌 가능성도 있음을 보여줄 수 있다.

추가 작업은 그만한 가치가 있는가? 결국, 정량 분석만으로도 충분해야 하지 않는가? 가장 완고한 최고 재무책임자(CFO)의 얼굴에 미소를 가져오는 것이 구체적이고 세부적 숫자들이다. 그렇다, 하지만 때로는 상황 및 문제의 위험 관리 측면 또한 포함하는 추가 부분을 더하는 것이 가장 좋다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
CISSP CBK는 위험 관리, 그리고 더 중요하게, 위험 완화라는 관점에서 각 도메인을 살펴본다. 비즈니스의 모든 측면에서, 여러분이 독립 컨설턴트든, 혹은 어떤 규모의 기업에서 일하든, 여러분이 정량, 정성 분석을 이해함으로써 혜택을 받을 때가 올 것이다. CISSP CBK를 공부하면서 얻은 지식은 기업 계층 구조의 모든 레벨에서 사례를 설명하는 데 도움이 된다.
CISSP에 대해 더 자세히 알아보려면 사이버 보안 리더로 성공하기 위해 필요한 9 가지 특성 (9 Traits You Need to Succeed as a Cybersecurity Leader) 백서에서 확인할 수 있다.


 

사이버 위협: 금융 시스템의 가장 큰 위험

연방 준비제도 이사회 의장 Jerome Powell에 따르면, 현재 금융기관과 은행기관을 대상으로 한 사이버 공격이 매일 발생하고 있는 가운데, 사이버 위협은 세계 금융 시스템에 가장 큰 위험이 되고 있다.

CBS 뉴스의 60분 인터뷰에서 Powell은 사이버 리스크들이 2008년 대공황을 초래한 대출 및 유동성 리스크의 유형들을 능가한다고 말했다. 그는 2008년에 가까운 금융 붕괴의 가능성은 "매우 낮다"라고 말했다. "그러나 세상은 변하고, 세상은 진화하고, 리스크들도 변한다. 우리가 가장 주시하는 리스크는 사이버 리스크이다."

만약 해커들이 주요 지불 프로세서를 폐쇄하는 데 성공한다면, 이는 금융기관 간의 돈의 흐름을 심각하게 방해할 것이고, 이것은 전반적인 금융 시스템의 큰 부분을 무릎 꿇게 할 수 있다고, 그는 말했다.

지난 4월 11일 방송된 60분 에피소드에서 "우리는 이에 맞서 싸우기 위해 너무나 많은 시간과 에너지와 돈을 쓴다"라고 Powell은 말했다. "현재 모든 주요 기관들에서 매일 사이버 공격이 발생하고 있다." 그것이 오늘날 세계의 위협 현황의 큰 부분이다." 그는 연방 정부와 민간 기관들이 모두 사이버 위협에 대한 보호에 많은 노력을 기울이고 있다고 말했다.

Powell은 4월 14일 Washington D.C. 의 경제 클럽에서 David Rubenstein과의 인터뷰에서 사이버 리스크에 대한 그의 발언을 재차 강조했다.

대공황은 은행들과 담보 대출업자들이 위험한 대출을 승인하고 다른 금융기관에 재판매한 것에서 비롯되었다. 이 같은 관행으로 인해 주택 가격이 치솟았으나 또한 대출업자들에게 지속 불가능한 리스크를 발생시켰고, 그중 일부는 실패하여 세계적인 금융 붕괴를 초래했다.

Powell이 현재 사이버 위험을 2008년 붕괴의 원인과 유사한 사건보다 더 큰 위협으로 간주하고 있다는 것은 사이버 위협 지형이 얼마나 위험해졌는지를 분명하게 보여준다. 국제 통화 기금(International Monetary Fund)은 사이버 위협으로 인해 전 세계적으로 은행 순이익의 9 %가 손실될 수 있으며, 이는 약 1,000 억 달러에 달할 것으로 예상한다.

사이버 보안 팀을 만들기 위해 자격을 갖춘 전문가들을 고용해야 한다는 어려움이 사이버 리스크를 가중시키고 있다. 이는 금융 기관들 뿐만 아니라 전체 조직들에 영향을 미치는 어려움이다.

(ISC)²는 사이버 보안 기술 격차가 현재 전 세계적으로 약 3 백만에 달하는 것으로 추정한다. 조직의 모든 부문에서 숙련된 사이버 보안 팀을 구성할 수 있도록 (ISC)²는 엔터프라이즈 트레이닝 프로그램 가이드를 출간했으며, 이곳에서 다운로드할 수 있다.

 

아무도 보지 않을 때 당신은 무엇을 하십니까

윤리의 내외부적 어려움과 CISSP 자격증

신화만큼 오래된 것
정보 보안을 공부한 모든 학생들은 Caesar cipherSpartan Scytale에 대해 들어왔다. 이러한 초기 암호화 방법들은 인간의 마음이 교묘하다는 것을 증명한다. 암호화는 진화하고 정교해졌다. 암호화는 사회의 발전에 중요한 역할을 해왔다. 변함없이 사회가 움직이는 데 여전히 중요하게 남아있는 인류의 또 다른 고대 정신 구조를 생각해 낼 수 있을까? 윤리에 관한 주제를 생각해보자.

윤리의 개념은 고대로부터 존재했고, 그 주제는 오늘날에도 삶의 모든 분야에서 적용 가능하며, 의료, 법률, 금융 분야와 같이 많은 직업들에서 요구 사항으로 규정되어 있다. 정보 보안 또한 윤리 강령을 가지고 있으며, 이 규범을 준수하는 것은 삶의 다른 분야에서와 마찬가지로 어려운 일이다.
윤리에 대한 간단한 정의는 다음과 같이 명시될 수 있다: 아무도 지켜보지 않아도 옳은 일을 하는 것이다.
윤리는 대인관계에만 적용된다고 생각하기 쉽다. 결국, 윤리는 대체로 사람이 다른 사람들을 어떻게 대하는지를 포함한다. 정보 보안의 맥락에서, 윤리는 인간과 인간의 직접적인 상호 작용이 없는 상황에서도 동일하게 중요하다.

보안은 어렵고, 윤리적 행동은 더 어렵다.
정보 보안은 전향적인 자세가 아닌 리액티브 방식의 업종 전반에 있어 오래된 게임, “Whac-A-Mole”과 비교되는 경우가 많다. 반면에 윤리는 같은 문제를 겪지 않는다. 윤리의 정적 본성은 많은 사람들에게 결코 흥미롭지 않지만 이는 지나친 단순화이다. 정보 보안과 마찬가지로, 75% 윤리를 실천하면서 완벽한 규정 준수를 주장할 수는 없다. 어려운 점은 사람이 아닌 기계가 관여하기 때문에, 어떤 사람들은 이 둘의 관계를 이해하지 못하는 경우가 있다.
정보 보안 전문가들은 종종 다양한 윤리적 규범들을 위반하는 생산과정에 시스템을 도입해야 문제에 부딪히게 된다. 많은 정보 보안 전문가들의 불법적인 경력 궤적을 고려해 볼 때, 이 개념은 전적으로 초점이 맞춰진다. 보안이 보장되지 않은 제품을 시장에 서둘러 출시하려는 합법적인 기업들을 포함하여, 일부에게는 윤리적 위반이 인지되지 않는다. 왜냐하면 단지 기계가 문제가 되는 것이지, 사람이 직접적인 문제는 아니기 때문이다.
물론 최근 각종 규정, 특히 GDPR(General Data Protection Regulation), HIPAA(Health Information Portability and Accountability Act), 그리고 중국의 사이버 보안법 등의 규정 덕분에 데이터 프라이버시 윤리는 더 이상 문제가 아닌 필수 사항이다.

위임의 죄, 누락의 죄
새로운 규정이 위반자들에게 벌금을 부과하고 있지만, 윤리적인 행동을 하지 못했을 때 처벌로 이어지는 경우도 여전히 있다. 아마도 이러한 가장 두드러진 사례는 두 명의 유명인 환자들의 기록들이 시설에서 허가되지 않은 사람들에 의해 보여졌다는 사실을 포함하여, 환자 데이터를 보호하지 않은 것에 대해 UCLA Health System에 부과된 벌금에서 보여졌다.
때로는 보호되지 않은 데이터와 같은 외부 상황 때문에 윤리적인 위반이 발생할 수도 있다. 다른 경우, 개인 데이터가 이용 가능할 지라도 적절한 승인 없이는 열람해서는 안된다는 지식과 같은 내부 갈등에서 윤리적 위반이 비롯된다. UCLA 사례에서의 위반은 그 선의 양쪽에 걸쳐있는 것처럼 보인다.
정보 보안 전문가로서, 업무 책임의 기본적인 부분으로 매우 민감한 데이터를 자연스럽게 액세스 할 수 있는 경우가 종종 있을 것이다. 또 다른 경우로, 볼 수 있는 권한이 없는 데이터를 찾아낼 수 있는 특별한 능력을 가진 경우도 있을 수 있다. 이는 심각한 윤리적 문제를 낳는다. 그렇기 때문에, 정보보안 전문인력에 대한 윤리강령이 중요한 이유이다.

(ISC)² 윤리강령
(ISC)²에서 제공하는 CISSP 자격증을 공부하고 있습니까?
회원의 필수 조건 중 하나가 윤리강령을 준수하는 것이다.
시험 전에 강령 설명이 표시될 뿐만 아니라, 시험 과정에서 몇 가지 윤리적인 문제가 제출될 수도 있다. 언뜻 보기에는 아주 간단해 보이지만 실제로는 처음 생각했던 것보다 더 자주 이를 기억해야 할 것이다.
https://www.isc2.org/ethics# 에 설명된 강령은 다음과 같이 표시된다 (약어);

강령
(ISC)² 인증을 받은 모든 정보 보안 전문가는 자격증이 반드시 취득되고 유지되어야 하는 특권임을 인지해야 한다. 이 원칙을 준수하기 위해, 모든 (ISC)² 회원은 본 윤리 강령("강령")을 온전히 지지하기로 약속해야 한다.
강령에는 단 4개의 필수 규범이 있다. 필요에 따라, 이런 높은 수준의 지침이 전문가의 윤리적인 판단력을 대신하려는 의도는 아니다. 윤리 강령 규범
ㆍ사회, 공공의 이익, 필요한 공적인 신뢰와 신의, 그리고 인프라를 보호하십시오.
ㆍ명예롭게, 정직하게, 정당하게, 책임감 있게, 그리고 합법적으로 행동하십시오.
ㆍ고용주에게 성실하고 적합한 서비스를 제공하십시오.
ㆍ직업을 보호하고 발전시키십시오.

심도 있는 논의
물론 때로 윤리는 단순히 옳은 일을 하는 것 이상의 성가신 딜레마를 수반한다. “트롤리 딜레마(Trolley Dilemma)”를 생각해보면 이해가 쉽다. 트롤리 딜레마는 다음과 같은 방법으로 제시된다.
"상상해 본다: 당신은 철로에 묶인 다섯 명을 향해 곧장 달려오는 기차를 본다. 당신 옆에, 고속 열차를 다른 선로로 돌릴 수 있는 레버가 있다. 하지만, 이 두 번째 철로에는 한 사람이 묶여있다.
다른 다섯 명의 생명을 구하기 위해 실질적으로 누군가를 죽이도록 레버를 당기겠는가?"
이 문제는 그 주제를 훨씬 더 깊은 토론을 야기한다. 인공 지능자율 주행 차량들의 모든 새로운 발전을 생각할 때, 이 깊이가 필요하다. 다행스럽게도, 이러한 고려사항들은 현재 연구되고 있으며, 이는 더 나아가 우리 현대 사회에서 윤리적 우려들이 여전히 관련되어 있음을 보여준다. 우리 조상들이 그랬던 만큼 현재에도 윤리에 대한 확고한 헌신이 필요하다.

CISSP 자격증이 여러분을 성공으로 이끄는 방법
윤리의 복잡한 특성을 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 전문가들은 윤리 기준을 유지하기 위한 확고한 신념을 이미 입증하였으며 확인되었다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안에 국한되지 않은 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의존할 수 있다.
CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 제공하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가
(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.
CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional을 다운로드하십시오.


 

접근통제 및 망분리를 통한 자산 보호

기업들은 점점 더 새로운 기술에 대한 의존도를 높이고 있으며 신기술을 활용하여 더 나은 서비스를 제공하고, 직원 및 고객과 협업하고 상호작용하는 방식으로 변해 가고 있다. 기업 데이터는 멀티 클라우드 환경으로 이동하고 있으며, 컨테이너 채택은 애플리케이션의 빠르고 신속한 개발을 지원하고 있다. IoT 장치 및 센서는 시기적절하고 정확한 의사 결정에 유용한 많은 데이터를 기업에 제공한다.

확장되고 있는 위협 환경
하지만, 기업들만 이 기술을 활용하는 것이 아니다. 범죄자들도 마찬가지다. Verizon DBIR 2020 보고서에 따르면, 클라우드 자산을 침해당한 것이 약 24%를 차지하였다. 이는 사이버 범죄자들이 피해자들에게 접근하기 위한 가장 빠르고 쉬운 경로를 찾는 경향을 보여주는 사례이기 때문에 클라우드 보안에 대한 문제점을 제시하는 지표는 아니다.

또한 컨테이너화 된 환경도 위협을 받는다. 컨테이너를 사용하는 94%의 조직이 컨테이너 환경에서 심각한 보안 문제를 경험했다고 답했다.

IBM X-Force Threat Intelligence 2020 보고서에 따르면 2020년 380 억대 이상의 기기가 인터넷에 연결될 것으로 예상됨에 따라 IoT 위협 영역은 소비자와 기업 모두에게 영향을 미칠 수 있는 위협 요소 중 하나로 자리 잡고 있다고 밝혔다.

2019년 IBM X-Force는 여러 건의 Mirai 악성 프로그램의 활동을 추적했는데, 이 맬웨어 활동은 개인의 전자가전제품을 대상으로하다가 기업등급의 하드웨어로 그 목표 대상을 변경하였다. 네트워크 액세스가 가능한 손상된 장치는 공격자가 타깃으로한 조직에 침투하기 위한 중심점으로서 활용될 수 있다.

사이버 보안 조직은 점점 더 고도화되어가는 공격에 대처해야 한다. 조직의 사이버 위협 방어 능력을 평가해달라는 질문을 받았을 때, CyberEdge 2020 Cyberthreat Defense Report의 응답자들은 물리적 자원 및 가상 서버, 데이터베이스, 웹 사이트 및 웹 애플리케이션이 포함된 자신들이 직접 제어하고, 모니터링, 패치 및 수정 작업이 가장 쉬운 자산에 대해 가장 자신 있게 방어할 수 있다고 답변했다.

IT 전문가들은 주로 컨테이너와 같이 비교적 새로운 IT 구성 요소나 산업 제어 시스템 및 SCADA 장치 등 사이버 보안을 염두에 두고 설계되지 않은 구형 IT 구성 요소에 대해 주로 우려하고 있었다.

IBM 보고서에 따르면 위협 요인들이 ICS(Industrial Control Systems) 및 유사한 OT(Operational Technology) 자산을 대상으로 한 공격이 2018년 이후 2000% 이상 증가했음을 나타낸다. 지금은 IT/OT 기반시설이 융합되어 IoT 기기를 광범위하게 사용하게 되었다. 공격자들이 OT기기를 대상으로 공격을 진행하는 이유는 더 쉽고 광범위하게 데이터를 수집할 수 있기 때문이다. 물리적 자산을 제어하는 OT기기가 침해당했을 경우 복구비용이 크게 증가한다.

취약한 시스템으로 인한 데이터 침해는 브랜드 평판을 크게 손상시키고 고객의 신뢰를 잃게 된다. 그러나 기업은 자산을 보호하기 위해 아래 두 가지 모범 사례를 채택할 수 있을 것이다.

강력한 접근 통제
현실을 직시하자. 이러한 모든 기술의 사용으로 인해 기존의 접근통제 방식은 변해야 한다.

요즘은 누가 어떤 자산에, 어떤 위치에서, 어떤 목적에 따라, 얼마 동안 액세스 할 수 있는지를 제어하기 위한 정책을 설정하고 적절히 구성하며 실행하는 것이 중요하다.

또한 자산에 접근을 요청하는 사람이 실제로 필요한 본인인지 확인하는 것도 중요하다. IAM(Identity and Access Management) 제어의 주요 목적은 자산의 기밀성, 무결성 및 가용성을 보호하는 것이다.

다중 인증 MFA(Multi-Factor Authentication) 및 통합 인증 SSO(Single-Sign-On)을 조합하여 사용하는 것을 접근통제의 초석으로 간주해야 한다. MFA로 더 강력한 사용자 인증을 제공하는 동시에, SSO로 하이브리드 환경에서 여러 플랫폼과 시스템에 접근하는 사용자의 부담을 덜어준다. MFA와 SSO의 조합이 원활한 인증 환경을 제공하므로 사용자가 여러 암호를 사용하여 회사의 자원에 접근해야하는 어려움과 번거로움을 줄일 수 있게 되었다.

MFA 및 SSO 외에도 조직에서는 두 가지 접근 관리 개념을 추가해야 한다. 최소한의 접근 권한 및 적응형 인증이다. 최소 권한의 원칙을 적용하면 개인이 사내, 컨테이너 또는 클라우드 기반에 관계없이 권한이 부여된 자산에만 접근할 수 있는 최소한의 권한만 가질 수 있게 된다. 역할 기반으로 정보를 세분화하고 필요한 자산에 대한 접근만 허용하면 자산 보안 상태가 크게 향상된다.

마지막으로 인증 및 권한 부여는 일회성이 아니어야 한다. 직원들이 여러 부서로 이동하고 계정 침입을 통한 계좌 탈취 공격이 증가하는 상황에서 인증 프로세스는 적응력이 있어야 한다. 사용자 환경을 모니터링하고 단계적인 위험 기반 인증을 제공하면 인증 절차를 강화하고 중간자 공격(Man-in-the-middle)을 줄일 수 있다.

망분리
사이버 범죄자들은 우리의 계정 정보와 개인 데이터에 열광하지만, 헬스 케어 또는 산업 제어 조직과 같은 중요한 기반시설에 관련해서는 DDoS 공격과 같은 운영을 중단하게 하는 것을 선호한다. 운영 조직에 가용성과 안정성 문제가 생기는 것은 권한 없는 접근 또는 비밀 공개로 인한 기밀 및 무결성을 훼손하는 것과 마찬가지로 매우 위험한 일이다.

또한, 보안 위협에 대한 분석된 정보에 따르면 첫 번째 단계로 사이버 범죄자들이 도용하거나 가짜 자격증명을 통해 회사 네트워크에 기반을 둔 다음 모든 자산에 걸쳐 순차적으로 이동하면서 감시하는 작업을 수행한다. 그러므로 그들의 작업을 어렵게 하는 것이 중요한다. 올바른 네트워크 아키텍처를 선택하는 것이 필수적이며 망분리를 수행하는 것이 가장 좋다.

망분리에는 여러 가지 장점이 있다. 성능 향상과 통신 문제 감소 이외에도, 분리된 네트워크는 전반적인 보안상태를 개선하는 데 크게 기여한다. 분리되지 않은 네트워크는 통합 플랫폼으로 간주되며, 이는 자체 설비 또는 클라우드 또는 컨테이너에 관계없이 네트워크를 통해 모든 장치에 접근 할 수 있다는 것을 의미한다.

망분리는 공격이 확산될 수 있는 범위를 제한함으로써 보안성을 향상한다. 예를 들어, 망분리는 맬웨어 발생이 조직의 다른 섹션에 있는 시스템에 영향을 주지 않고 한 섹션에만 머물 수 있도록 방지할 수 있다. 또한, 분리된 네트워크는 공격으로부터 자신을 보호할 수 없는 장치에 유해한 트래픽이 도달하는 것을 막을 수 있다.

마지막으로, 망분리를 통해 범위 내 시스템 수를 제한함으로써 규정 준수와 관련된 비용을 줄일 수 있다. 이렇게 함으로써, 전체 네트워크가 아닌 범위 내 시스템에만 값비싼 규정 준수 요구 사항과 감사 프로세스가 적용된기 때문에 전체적으로는 보안 예산을 절감할 수 있다.

CISSP 자격증이 성공에 도움이 되는 방법
복잡한 윤리 문제를 탐색하는 것은 정보 보안 전문가에게 매우 어려운 과제일 수 있다. 그러나, CISSP 자격증을 취득한 보안전문가들은 윤리적인 기준을 유지하기 위해 입증되고 검증된 의지를 지니고 있다. 기업이 전문화된 보안 기능을 필요로 할 때, 정보 보안뿐 아니라 광범위한 지식과 경험을 보유한 CISSP 자격증 보유자들에게 의지하게 될 것이다.

CISSP는 다음과 같은 직책을 비롯하여 다양한 보안 실무 및 원칙 전반에 걸쳐 자신의 지식을 검증하고자 하는 숙련된 보안 전문가, 관리자 및 경영자에게 적합하다: 보안 담당 이사, 보안 시스템 엔지니어 또는 보안 분석가들이다.

(ISC)²는 ANSI(American National Standards Institute) ISO/IEC Standard 17024의 요구 사항을 충족하는 최초의 정보 보안 인증 기관이며 CISSP 인증은 DoD(Department of Defense) Directive 8570.1을 충족한다.

CISSP에 대한 자세한 내용은 백서 Discover the Importance of being a qualified cybersecurity professional를 참조하십시오.


 

설문 조사: CISSP는 2021년 가장 가치 있는 보안 자격증이다.

(ISC)²의 Certified Information Systems Security Professional(CISSP) 자격증은 9만 명의 사이버 보안 전문가 회원들로 구성된 LinkedIn 커뮤니티로부터 최고 점수를 받았다. 본 커뮤니티 구성원들은 사이버 보안 업계를 선두 하는 50개의 자격증 및 코스 목록에서 본 자격증을 가장 가치 있다고 선정했다.

Information Security Careers Network (ISCN)는 ISCN 회원들로 구성된 LinkedIn 커뮤니티를 통해 2021년 가장 선호하는 10대 자격증 리스트를 작성하기 위해 최고의 자격증들의 등급을 매기도록 요청했다. 해당 리스트에는 다른 협회 및 벤더의 자격증도 포함되어 있으며 (ISC)²의 Certified Cloud Security Professional (CCSP) 자격증도 포함되어 있다.

왜 CISSP는 가장 가치 있는 보안 자격증일까?
Security Boulevard에 의해 보고된 바에 따르면, 응답자의 거의 3/4(72%)는 CISSP가 사이버 보안업계에서 가장 요구되는 자격증이라고 밝혔다. Security Boulevard는 "CISSP는 오랫동안 전 세계적으로 인정받는 정보 보안 전문가 자격증이다."라고 보고했다.

CISSP는 동급 최고의 사이버 보안 프로그램을 설계, 구현 및 관리하는 노하우와 기술을 검증한다. 자격을 갖추려면 지원자들은 5년의 사이버 보안 업무 경력 또는 사이버 보안 관련 학위가 있는 경우에는 4년의 경력이 있어야 한다. Security Boulevard는 "CISSP 과정이 매우 광범위한 정보 보안 분야를 다루기 때문에, 100-150 상당의 문제와 3시간 동안 치러지는 CISSP 시험은 일부에게는 악명 높게 통과하기 어렵다는 것을 증명한다 ,"라고 보고했다.

2021년 가장 원하는 자격증으로 선택된 것은 그 유효성과 명성에 대한 증거이다. 코로나 19 펜데믹으로 유발된 엄청난 변화에 바로 뒤따라 올해가 시작되었다. 대부분의 조직들은 직원들을 위해 원격 근무 환경을 신속하게 구축해야 했고, 이는 사이버 보안 팀들은 이러한 환경을 적절하게 보호해야 한다는 압력으로 이어졌다.

원격 환경을 구현을 서두르면서 너무 많은 보안 조치가 무시되고 건너뛰어 넘겨졌다는 우려가 생겨났다 - 그리고 사이버 공격자들은 확실히 그것을 이용하려고 들었다. - 하지만 (ISC)²의 2020 사이버 보안 인력 연구에 따르면, 사이버 보안 팀들은 사이버 사고들에 있어 눈에 띄는 증가를 발견하지는 못했다고 한다.

CISSP의 평균 급여는 얼마일까?
CISSP를 취득한 사이버 보안 전문가들은 세계에서 수요가 많은 보안 전문가들이다. 다양한 (ISC)² 리서치, 벤치마킹 설문 조사 및 제삼자 연구를 통해, 우리는 전 세계로부터 CISSP 추정 월급 리스트를 작성했으며, 전 세계 평균은 미화 9만 2천6백39달러에서 시작한다.

경계 유지
조직이 팬데믹으로 인해 사이버 경보 수준을 얼마나 높였는지와 상관없이, 사이버 보안 전문가들은 경계 태세를 유지할 필요성을 인식하고 있다. 인력 연구에서, 응답자의 56%가 사이버 보안 직원의 부족이 그들의 조직에 위협을 초래하고 있다고 말했다.

또한 이번 연구는 자격증의 중요성을 강조했으며, 사이버 보안 전문가들의 2/3(63%)가 CISSP와 같은 보안 관련 자격증을 추구하거나 계획하고 있는 것으로 나타났다. 조사 결과, 보안 자격증은 평균적으로 연봉 6만 7천 달러에서 8만 5천 달러로, 1만 8천 달러를 향상하는 것으로 나타났다.

자격증은 고용주들로부터 점점 더 많이 요구되고 있으며, 보유한 사람들에게 성공적인 경력을 만드는데 도움을 준다. (ISC)² 자격증에 대한 자세한 내용을 보려면 이곳을 클릭하시오.