2018.04.05

글로벌 칼럼 | RSA 컨퍼런스 통해 CISO가 얻고자 하는 사이버보안 TOP 4

Jon Oltsik | CSO
필자는 지난 수개월 동안 CISO들과 이야기를 하면서 현재 그들의 우선순위와 직업 역할의 변화에 대해 알게 됐다. 물론 이 가운데 많은 이가 얼마 후에 있을 RSA 컨퍼런스에 참석할 예정이다.


Credit: Michael Kan

사이버보안 임원이 찾고자 하는 것
보안 임원과의 만남을 토대로 이번 RSA 컨퍼런스에서 CISO가 찾고자 하는 정보는 다음과 같다.

1. 임원 수준의 위협 정보
회사 임원들이 사이버 위험에 대해 좀 더 이해하게 되면서, CISO는 사이버 공격자에 대해 더 많은 것을 배우고 이 정보를 이사회에 보고하는 임무를 맡게됐다. 분명, CISO는 IoCs(Input/Output Control System), 익스플로잇(exploits) 또는 악성코드 변종에 대한 심층적인 기술 정보를 찾는 것이 아니다. 누가 조직을 공격하고 어떤 목적으로 활동하는지 파악하고 그들의 TTPs(Tactics, Techniques, and Procedures)에 대한 높은 수준의 의견을 수집하려는 것이다.

이는 기본적인 사이버공격 너머의 영역으로 확대된다. CISO는 조직에 영향을 주는 다크 웹(dark web), 사기 웹사이트(fraudulent websites), 신원 도용(credentials theft), 그리고 서드 파티 위험 관리에 대한 좀 더 나은 이해를 원한다.

이런 지식을 얻고자 CISO는 RSA에서 비트사이트(BitSight), 디지털 새도우(Digital Shadows), 플래시포인트(Flashpoint)와 같은 공급업체를 찾을 것이다. 또한 크라우드스트라이크(CrowdStrike), 파이어아이(FireEye), 웹루트(Webroot) 등에서 심층적인 위협 정보 수집도 빼놓지 않을 것이다.

2. 통합 보안 플랫폼
필자가 말한 모든 CISO는 현재 보안 기술 인프라가 너무 버겁다고 말하면서 보안 기술을 통합하기 위한 지속적인 프로젝트를 진행하고 있다. 이는 CISO가 개별 제품보다는 시간이 지남에 따라 구현할 수 있는 통합 보안 플랫폼을 찾는다는 것을 의미한다.

예를 들어, CISO는 엔드포인트 보안(endpoint security), 악성코드 샌드박스(malware sandboxes), 머신러닝(machine learning) 등과 같은 개별적인 위협 방어가 아닌 통합 위협 방어에 대해 논의하길 원한다.

또한 CISO는 SIEM(Security Information and Event Management), UEBA(User and Entity Behavioral Analytics), EDR(Endpoint Threat Detection & Response), 보안 자동화 및 오케스트레이션 도구 등과 같이 서로 다른 운영 도구를 함께 제공하는 보안 운영 및 분석 플랫폼 아키텍처(SOAPA)에 대해서도 사전 조사를 할 것이다. IBM, 스플렁크(Splunk)와 같은 업체들이 이에 속한다. 하지만 공급업체는 사유 소프트웨어 목록에 유의해야 한다. 필자가 말한 CISO는 이기종 아키텍처, API, 오픈소스 소프트웨어를 중심으로 이야기를 듣고 싶어한다.

3. 비즈니스 위험
CISO는 비즈니스 계획과 전략에 더 많이 관여하고 있기 때문에 시간이 지남에 따라 위험을 평가하고 제어를 이행하고 위험을 관리할 수 있다. 필자의 견해로는 RSA 컨퍼런스는 위험 관리를 과소 평가하는 경향이 있지만, 디지털 트랜스포메이션, IoT 보안, NIST 사이버보안 프레임워크와 같은 경계 영역에 대한 논의가 있을 것이다. 특히 RSA(컨퍼런스가 아닌 업체)는 비즈니스와 IT 위험 사이의 교차점에 중점을 둘 것이다.

4. 보안 경계선 변경
거의 모든 CISO는 이동성과 클라우드가 이전 네트워크 경계를 없애고 있다는 사실을 알고 있다. 결론부터 말하면 많은 기업이 경계 보안의 진화 형태로 ID(identity) 및 데이터 보안을 고려하고 있다.

CISO는 신원 정보와 데이터 보안을 우선 순위로 정하고 있지만, 이 주제는 이번 RSA 컨퍼런스에서 립서비스정도로만 나올 가능성이 높다(GDPR 세션에 조금 끼여 있긴 하다).

ID 분야는 다중요소 인증과 소프트웨어 정의 경계를 중심으로 논의가 이뤄질 것이며, 이 분야 업체에는 SDP, 사익스테라(Cyxtera), 구글, 지스케일러(Zscaler) 등이 있다. 데이터 보안 부문은 DLP(Data Loss Prevention) 및 암호화에 중점을 두고 있다(디지털 가디언(Digital Guardian), 포스포인트(Forcepoint), 시만텍).

CISO는 기술보다는 사람과 프로세스에 집중하는 경향이 있었다. 많은 기업이 사이버보안을 위해 수작업 프로세스에 계속 의존하고 있으며, 사이버보안 기술 부족으로 영향을 받는다는 기업이 70%가 되는 상황에서 이는 상당한 의미를 지닌다.

하지만 아쉽게도 이 부분에서 RSA 보안 컨퍼런스는 정반대의 입장을 취하고 있다. RSA 보안 컨퍼런스는 보안 기술을 위한 축제이기 때문이다.

사이버보안 산업은 급성장하고 있으며, RSA 컨퍼런스는 회의나 영업 발표, 칵테일 파티 등으로 한창 들떠 있을 것으로 예상된다. 그러나 어느 시점에서 보안 업계의 과장을 극복하고 앞서 언급한 CISO의 우선순위에 맞는 주제를 다룰 수 있길 기대한다. editor@itworld.co.kr  


2018.04.05

글로벌 칼럼 | RSA 컨퍼런스 통해 CISO가 얻고자 하는 사이버보안 TOP 4

Jon Oltsik | CSO
필자는 지난 수개월 동안 CISO들과 이야기를 하면서 현재 그들의 우선순위와 직업 역할의 변화에 대해 알게 됐다. 물론 이 가운데 많은 이가 얼마 후에 있을 RSA 컨퍼런스에 참석할 예정이다.


Credit: Michael Kan

사이버보안 임원이 찾고자 하는 것
보안 임원과의 만남을 토대로 이번 RSA 컨퍼런스에서 CISO가 찾고자 하는 정보는 다음과 같다.

1. 임원 수준의 위협 정보
회사 임원들이 사이버 위험에 대해 좀 더 이해하게 되면서, CISO는 사이버 공격자에 대해 더 많은 것을 배우고 이 정보를 이사회에 보고하는 임무를 맡게됐다. 분명, CISO는 IoCs(Input/Output Control System), 익스플로잇(exploits) 또는 악성코드 변종에 대한 심층적인 기술 정보를 찾는 것이 아니다. 누가 조직을 공격하고 어떤 목적으로 활동하는지 파악하고 그들의 TTPs(Tactics, Techniques, and Procedures)에 대한 높은 수준의 의견을 수집하려는 것이다.

이는 기본적인 사이버공격 너머의 영역으로 확대된다. CISO는 조직에 영향을 주는 다크 웹(dark web), 사기 웹사이트(fraudulent websites), 신원 도용(credentials theft), 그리고 서드 파티 위험 관리에 대한 좀 더 나은 이해를 원한다.

이런 지식을 얻고자 CISO는 RSA에서 비트사이트(BitSight), 디지털 새도우(Digital Shadows), 플래시포인트(Flashpoint)와 같은 공급업체를 찾을 것이다. 또한 크라우드스트라이크(CrowdStrike), 파이어아이(FireEye), 웹루트(Webroot) 등에서 심층적인 위협 정보 수집도 빼놓지 않을 것이다.

2. 통합 보안 플랫폼
필자가 말한 모든 CISO는 현재 보안 기술 인프라가 너무 버겁다고 말하면서 보안 기술을 통합하기 위한 지속적인 프로젝트를 진행하고 있다. 이는 CISO가 개별 제품보다는 시간이 지남에 따라 구현할 수 있는 통합 보안 플랫폼을 찾는다는 것을 의미한다.

예를 들어, CISO는 엔드포인트 보안(endpoint security), 악성코드 샌드박스(malware sandboxes), 머신러닝(machine learning) 등과 같은 개별적인 위협 방어가 아닌 통합 위협 방어에 대해 논의하길 원한다.

또한 CISO는 SIEM(Security Information and Event Management), UEBA(User and Entity Behavioral Analytics), EDR(Endpoint Threat Detection & Response), 보안 자동화 및 오케스트레이션 도구 등과 같이 서로 다른 운영 도구를 함께 제공하는 보안 운영 및 분석 플랫폼 아키텍처(SOAPA)에 대해서도 사전 조사를 할 것이다. IBM, 스플렁크(Splunk)와 같은 업체들이 이에 속한다. 하지만 공급업체는 사유 소프트웨어 목록에 유의해야 한다. 필자가 말한 CISO는 이기종 아키텍처, API, 오픈소스 소프트웨어를 중심으로 이야기를 듣고 싶어한다.

3. 비즈니스 위험
CISO는 비즈니스 계획과 전략에 더 많이 관여하고 있기 때문에 시간이 지남에 따라 위험을 평가하고 제어를 이행하고 위험을 관리할 수 있다. 필자의 견해로는 RSA 컨퍼런스는 위험 관리를 과소 평가하는 경향이 있지만, 디지털 트랜스포메이션, IoT 보안, NIST 사이버보안 프레임워크와 같은 경계 영역에 대한 논의가 있을 것이다. 특히 RSA(컨퍼런스가 아닌 업체)는 비즈니스와 IT 위험 사이의 교차점에 중점을 둘 것이다.

4. 보안 경계선 변경
거의 모든 CISO는 이동성과 클라우드가 이전 네트워크 경계를 없애고 있다는 사실을 알고 있다. 결론부터 말하면 많은 기업이 경계 보안의 진화 형태로 ID(identity) 및 데이터 보안을 고려하고 있다.

CISO는 신원 정보와 데이터 보안을 우선 순위로 정하고 있지만, 이 주제는 이번 RSA 컨퍼런스에서 립서비스정도로만 나올 가능성이 높다(GDPR 세션에 조금 끼여 있긴 하다).

ID 분야는 다중요소 인증과 소프트웨어 정의 경계를 중심으로 논의가 이뤄질 것이며, 이 분야 업체에는 SDP, 사익스테라(Cyxtera), 구글, 지스케일러(Zscaler) 등이 있다. 데이터 보안 부문은 DLP(Data Loss Prevention) 및 암호화에 중점을 두고 있다(디지털 가디언(Digital Guardian), 포스포인트(Forcepoint), 시만텍).

CISO는 기술보다는 사람과 프로세스에 집중하는 경향이 있었다. 많은 기업이 사이버보안을 위해 수작업 프로세스에 계속 의존하고 있으며, 사이버보안 기술 부족으로 영향을 받는다는 기업이 70%가 되는 상황에서 이는 상당한 의미를 지닌다.

하지만 아쉽게도 이 부분에서 RSA 보안 컨퍼런스는 정반대의 입장을 취하고 있다. RSA 보안 컨퍼런스는 보안 기술을 위한 축제이기 때문이다.

사이버보안 산업은 급성장하고 있으며, RSA 컨퍼런스는 회의나 영업 발표, 칵테일 파티 등으로 한창 들떠 있을 것으로 예상된다. 그러나 어느 시점에서 보안 업계의 과장을 극복하고 앞서 언급한 CISO의 우선순위에 맞는 주제를 다룰 수 있길 기대한다. editor@itworld.co.kr  


X