보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[이슈칼럼] 보안정책 도입과 보안관리 편의성 문제, 최적의 해답은?

입력 : 2022-10-13 14:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
천차만별인 기업의 인프라 환경과 요구사항, 모두 충족할 수는 없어
기본적인 보안 정책 패턴을 바탕으로 최적의 솔루션 찾아야


[보안뉴스=한상민 넷앤드 솔루션사업본부 이사] 높은 보안성을 위해서는 사용자의 사용 편의성을 일부 희생할 수밖에 없다는 것이 일반적인 시각이다. 그래서 기업 보안정책 수립을 고려하는 시점에서 보안 담당자는 보안 강화와 사용자 편의성의 갈림길에서 고민하게 된다.

[이미지=utoimage]


보안성과 사용 편의성 사이의 ‘딜레마’
보안정책 수립 이후부터는 사용자가 장비에 접근하기 위해서 접근 권한을 신청하고, 권한 신청의 승인을 기다려야 한다. 그렇게 부여받은 접근 권한으로도 특정 시간에 특정 장비로만 접근할 수 있게 될 뿐이다. 게다가 제로 트러스트가 주요 쟁점이 된 요즈음에는 장비에 접근할 때마다 인증을 거쳐야 하며, 특정 명령어나 SQL 역시 승인을 받아야만 실행할 수 있도록 제한하고 있다. 지금껏 필요할 때마다 다이렉트로 네트워크 장비나 DB, 혹은 서버로 자유롭게 접근해 사용하던 ‘좋은 시절’이 끝나 버린 사용자들 사이에서는 불만이 나올 수밖에 없는 것이다.

물론 사용자의 불만뿐만 아니라 보안정책 수립 자체로도 많은 어려움이 존재한다. 사용자 수와 관리 대상 장비 수가 많아질수록 보안 관리의 난이도가 증가하고, 보안정책의 전파, 보안 솔루션 도입 및 적용 방안 등 많은 부분을 고민해야 한다. 그래서 기업의 보안담당자는 보안 정책을 수립하고 보안 솔루션을 도입할 때 업무자들의 모든 업무범위를 파악해 최적의 보안정책을 정확하게 수립함으로써 사용자 불만을 최소화할 수 있는 솔루션과 벤더사를 만날 수 있기를 기대하곤 한다. 그러나 아직까지 모든 기업을 만족시킬 수 있는 완벽한 솔루션은 존재하지 않는 것이 현실이다.

필자는 이 세상에 완벽한 솔루션은 없지만, 국내 기업들의 보안 정책패턴을 이해하면 보다 수월하게 보안 정책을 수립하고 최적의 솔루션을 찾을 수 있다고 강조하고 싶다. 넷앤드가 전 산업군 1천여 고객과의 구축 사례와 요구사항을 분석하니 기업 규모, 업무 특성, 구축 환경 등이 천차만별인 기업들도 어느 정도 비슷한 보안정책 패턴을 가진다는 것이다.

국내 기업들의 보안정책 패턴
접근 대상 장비 1천 대 미만 중소 규모 조직의 경우, 일반적으로 각 부서별 권한을 가지고 부서 내에서만 사용하는 장비와 DB가 있고, 별도로 전사 서비스를 제공하는 주요 핵심 장비가 존재한다. 부서 내에서만 사용되는 장비는 부서장 또는 지정된 관리자의 승인만 받으면 접근 권한을 획득할 수 있으나, 주요 핵심 장비로의 접근을 위해서는 한층 복잡한 권한 승인 절차를 거치도록 한다. 접근 권한 보유 기한은 최소화하고, OTP 등 MFA 인증을 추가하며, 특히 업무 외 시간에 대한 접근은 중점적으로 별도 관리하는 방식의 보안정책을 적용하고 있다.

대규모 조직 역시 이와 비슷한 보안정책 패턴을 적용한다. 다만, 앞서 설명한 중소 규모 조직이 수십 개 있고 그 위에 하위 조직들을 관리하는 ‘중간관리자’가 존재하는 것이 다른 점이다. 다수의 중간관리자가 수백에서 수천 대의 장비 권한 관리를 위임받고, 그 장비 그룹의 권한 관리를 총괄한다.

물론 기업마다 이 밖에도 저마다 상이한 보안 정책들을 가지고 있으나, 앞서 설명한 보안정책 패턴을 가장 기본으로 하고 있다. 따라서 이러한 보안정책 패턴을 분석하면 국내 기업들의 보안정책 적용 시 필수 요구사항을 정리할 수 있다. 기업별 천차만별인 내부 업무 프로세스와 보안정책을 모두 수용해 자동화된 워크플로우를 제공해야 하고, 다양한 관리대상에 대한 사용자 권한 관리, 보안정책 관리, 계정 Life-cycle 관리, 감사 로그 적재, 그리고 인사 시스템 등 다양한 시스템과의 연동 인터페이스를 제공해야 한다.

국내 IT 인프라 환경에 가장 최적인 솔루션은?
따라서 국내 IT 인프라 환경에 적합한 솔루션 조건은 다수의 국내 구축 경험을 바탕으로 지속적으로 국내 사용자들의 요구사항이 반영돼야 한다. CC인증을 획득하는 등 국내 IT 인프라 환경에 가장 최적인 기능을 집약해야 한다.

그러기 위해선 모든 기업에 표준 패키지를 제공하며, 기업에서 발생하는 커스텀 개발 요건을 표준 패키지에 적합한 형태로 상시 개발 및 최신 버전에 적용해야 한다. 개인정보보호법, 개인정보의 안전성 확보조치 기준, 정보통신망법 등 각종 법률의 개정안에 대응할 수 기능 역시 업데이트돼 제공돼야 한다.

기존에 솔루션을 도입한 기업에겐 패키지 업그레이드로 개선된 또는 새로운 기능을 제공받을 수 있도록 해야 한다. 또한, 하나의 솔루션 플랫폼을 기반으로 기업의 필요에 따라 관리 대상 장비와 적용 장비 수도 선택적으로 구축 및 확장할 수 있고, 수평적 확장으로 기존 운영 시스템에는 어떠한 영향도 주지 않도록 보안정책 업그레이드가 안정적으로 적용돼 운영될 수 있도록 해야 한다.

특히, 최근 비대면 업무 환경에서 확산되고 있는 클라우드 환경에 대응하기 위해 기존 보완관리 기술의 한계를 보완하고, AUTO SCALLING 환경에서 유동적인 접근 권한 관리를 수행할 수 있는 기술 개발이 수반돼야 한다. 또한, 클라우드 보안정책 표준화를 위해 주요 클라우드 벤더와 협력해 API 연동으로 클라우드 환경에서 동적으로 변경 및 할당되는 리소스를 통합 관리하고 가상 장비 수, IP 주소 등 리소스 변동 상황을 실시간으로 반영해 관리적 어려움이 해결되도록 해야 한다.
[글_넷앤드 솔루션사업본부 한상민 이사(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)