Home > 전체기사
차세대 보안은 네 가지 방식으로 변화할 것이다
  |  입력 : 2017-11-06 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 팀의 다각화, 보안 기술의 단순화,
정보 집중형 전략, 자동화 기술의 확대


[보안뉴스 오다인 기자] 현재 기업들 66%는 사이버 보안 인력 부족에 시달리고 있다. 세계적인 정보보안 전문교육기관 (ISC)²가 새롭게 내놓은 연구에 따르면, 정보보안 인력 부족은 계속해서 심화해 2022년까지 총 180만 명이 부족할 것으로 예측된다. 여기다 정보 침해 숫자도 기록적인 속도로 증가하고 있기 때문에 뭔가가 반드시 바뀌어야만 하는 것은 맞다.

[이미지=iclickart]


그 변화라는 게 자동화된 기술이나 진보한 툴, 아니면 추가적인 훈련으로 올 수도 있을 것이다. 무엇이 됐건 간에 다음 세대의 보안은 경험이 부족한 사람들로 채워질 것으로 보인다. 예전에는 경험이 많은 분석가들만 할 수 있었던 일을 앞으론 그만큼 경험이 없더라도 그 직무를 맡기게 될 것이다. 필요에 의해서 말이다.

다음은 필자가 보안 분석가를 둘러싼 힘과 변화들을 고려해 보안 분석가 역할을 네 가지로 구분한 것이다. 이는 정보보호최고책임자(CISO)에겐 자신의 직무가 향후 훨씬 더 쉬워질 것이라는 의미이기도 하다.

1) 보안 팀은 앞으로 더 다양해질 것이다
분석가라는 직책은 더 다각화되도록 진화할 것이다. 이건 좋은 일이다. 나는 보안 분석가의 역할이 지금까지 올바르게 정의되지 않았다고 생각한다. 보안 전문가가 어떤 사람이어야 하는가에 대한 인식이 너무도 편협했기 때문에 자질에 있어서 괴리가 존재해왔다. 보안 프로그램에는 많은 요소가 있다. 기술적인 감각이 전부가 아니라는 의미다. 보안 업계 종사자로서 우리는 최신 랜섬웨어나 제로데이 익스플로잇에 집착하는 경향이 있는데, 이런 점 때문에 많은 사람들이 정보보안 세계에서 의미 있는 기여를 하려면 굉장히 기술적인 능력이 필요하다고 생각하기 쉬운 것이다.

그러나 현재 보안 팀 대다수의 효과성은 기초적인 보안 제어나 모범 사례 준수와 더 크게 상관이 있고, 기업체의 나머지 부문과 어떻게 효과적으로 협업하는지와 더 관계되는 문제다. 보안 전문가는 다른 부서와 협업해서 보안 훈련 프로그램을 향상하고, 서드파티 리스크를 관리하면서, 적절한 부분마다 효과적인 비밀번호 정책을 시행해야 할 필요가 있다. 이런 일을 하는 주니어 보안 분석가는 소통과 옹호에 있어 더 큰 자질을 길러야 할 것으로 보인다. 지금 기업을 상대로 발생하는 공격들 대다수가 내부자 위협에 의한 것이기 때문이다. 버라이즌(Verizon)의 최신 침해 보고서에 따르면, 이런 내부자 위협이 악성 의도에 의한 것이건 교육 부족 때문이건 피싱 이메일을 받는 사용자 가운데 7% 이상이 공격에 당하는 것으로 나타났다. 이런 건 막을 수 있는 일이고, 보안 팀에게 달린 일이기도 하다.

2) 보안 기술은 점점 더 단순해질 것이다
현재로선 정보에 압도당하기 쉽다. 보안 전문가들은 일어날 수 있는 온갖 종류의 범죄 활동에 점점 더 자주 맞닥뜨리고 있다. 업계 연구에 따르면, 보안 경고의 단 4%만이 보안 팀에 의해 조사된다. 조사해야 할 위험한 활동의 양이 너무도 막대하기 때문이다. 따라서 보안 분석가들이 단순화를 위해 움직여야 한다는 사실에는 의문의 여지가 없다. 사용자 경험을 향상시키는 ‘회화체 영어’ 명명법 같은 더 맥락적인 경고를 사용하든지 엄청난 정보들을 지능적으로 샅샅이 살피는 머신 러닝 툴을 향상시키든지 간에 방식을 더 단순화해야 한다는 건 분명하다. 너무 많은 경고가 초래하는 피로감은 이제 과거의 분석가들만 경험했던 것으로 묻어두어야 한다. 나는 지금쯤이면 모두가 피곤하고 또 지겨워할 것이라고 확신한다.

3) 보안 전략은 정보를 중심으로 집중화될 것이다
내 관점을 입증할 두 가지 힘이 있다. 첫째는 대규모 정보 유출과 관련한 뉴스 속보가 매주 쏟아져 나오고 있는 현실이다. 최근만 해도 에퀴팩스(Equifax), 야후, 미국 증권거래위원회(Securities and Exchange Commission), 소닉 등이 대규모 정보 유출을 겪었다. 각 사건들에서 침해된 정보의 정도와 규모에 대해서는 놀라울 정도로 명확성이 부족하다.

두 번째 힘은 유럽연합(EU)의 일반 개인정보보호법(GDPR)이다. 조직들은 아직 자사 정보를 매핑하지 못했으며, EU법을 준수하기 위해 지금 고군분투 중이다. 결과적으로 기업들은 누가 정보에 접근하고 어디에 정보를 저장할지 정하고, 분류하고, 이해하려는 과정 중에 있으며, 정보를 모니터링하고 제어하기 위한 프레임워크를 더 향상시키기 위해 준비하고 있다. 이 같은 정보 투명성은 더 이상 선택의 문제가 아니다. 임박한 법 시행 시점을 생각해보면 더욱 그렇다. 정보 거버넌스 그 자체에 더욱 집중하는 건 이전보다 분석가의 직무를 덜 복잡하게 만들 것이다.

4) 자동화 기술은 더 큰 역할을 맡을 것이다
매년 보안에는 각기 다른 유행어가 나타나는데 2017년의 경우엔 자동화다. 그러므로 숙련된 분석가를 따라잡기 위해 경험이 적은 분석가가 고도의 자동화 보안 기술을 도입한다고 해도 크게 놀라운 일은 아니다. 첫째로 제시한 관점과도 관련 있는데, 자동화 기술은 인력 부족 격차를 어느 정도 좁힐 가능성이 있다. 지금으로선 당장 현실화하기 어렵지만 내년만 돼도 상황이 바뀔 것이다. 자동화 기술은 마침내 효과를 발휘할 시점에 도래한 것으로 보인다.

앞서 논의한 것들은 다음 세대의 보안이 보안 팀의 역할과 책임을 포함해 어떻게 변화할 것인지에 대한 수많은 갈래 중에 딱 네 가지만 짚은 것이다. 기술적인 진보가 인간의 똑똑한 조정과 결합될 때, 우리는 공격자와 겨루는 운동장의 기울기를 더 평평하게 만들 수 있다. 그리고 다음 세대의 보안 전문가들은 전체를 조망할 수 있는 사람이 될 것이다.

글 : 토니 가우다(Tony Gauda)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)