2016.01.15

IDG블로그 | 컴플라이언스와 보안은 어떻게 다른가

Mathias Thurman | Computerworld
보안 관리자는 보안 문제를 해결하는 방법에 관한 철학이 있어야 한다.

이미지 출처 : Picserver, CC BY-SA 3.0

최근 필자는 여러 요소를 만트라의 수준에 가까운 몇 단어로 요약할 수 있다는 사실을 발견했다. 대표적인 것이 "최소 권한의 규칙을 준수하라", "기업의 가장 약한 링크가 보안 수준을 나타낸다", "보안은 단일 솔루션이 아니라 하나의 과정이다", "신뢰하되 검증하라" 등이다.

이번 주, 필자는 새로운 만트라를 추가했다. 바로 "컴플라이언스와 보안은 다르다"는 것이다.

추적 시스템
현안: 이 기업은 더욱 엄격한 신용카드 취급 활동 인증을 위한 요건을 충족해야 한다. 하지만 결국 이 요건들은 충분히 엄격해 보이지 않는다.
조치 계획: 컴플라이언스를 넘어 진정한 보안을 위한 예산과 자원을 확보한다.

우리가 지난 몇 달 동안 레벨 1 PCI 규제를 준수하기 위해 노력하면서 한가지 진실을 깨달을 수 있었다. 이는 단순히 자체 평가 질문서를 작성하고 분기별 보안 스캔을 통과하는 다른 PCI 수준을 달성하는 것과는 상당히 다르다. 대신 우리는 제 3의 자격을 갖춘 평가자에 방대한 증거를 반드시 제공해야 한다.

이 과정에는 상당한 증거 제출이 요구되는 400개 이상의 제어 요소가 수반되기 때문에 매우 피곤하다. 예를 들어, 단순히 "나는 저장된 신용카드를 암호화한다"라는 항목을 체크하는 것만으로는 부족하다. 실제로 데이터가 암호화 된다는 증거를 제출해야 한다. 암호화의 경우 우리는 단순히 데이터베이스 또는 파이 시스템에서 암호화된 값의 스크린샷을 제공한다. 전송 암호화를 입증하기 위해 우리는 데이터가 실제로 암호화되고 있다는 사실을 말해주는 (해커 등으로부터의) 네트워크 트래픽을 입증해야 한다.

그리고 컴플라이언스 요건을 충족하기 위한 상당한 노력을 기울였음에도 불구하고 이 컴플라이언스와 보안과는 다르다는 사실을 깨달았다. 어떻게 이런 사실을 깨달았는지 설명하겠다.
요건 가운데 하나는 기업들이 반드시 특정 활동을 기록하며 정기적으로 로그를 검토한다는 사실을 입증하는 것이다. 일부 기업들은 최신 보안 사고 발생 관리 인프라를 구축하고 24/7 모니터링을 제공하는 보안 분석팀을 꾸리는 데 수십만 달러의 비용을 지출할 것이다.

또한 어떤 기업들은 제 3자를 고용해 상시 수집, 연계, 분석을 아웃소싱할 수도 있을 것이다. 해킹 활동은 언제든지 발생할 수 있기 때문에 이런 상시 활동은 해킹 조짐 감지에 이상적이지만 많은 기업들이 이런 기준을 충족시킬 수 없다.

우리는 모든 이벤트를 기록하고 스크립트를 이용해 의심되는 유형의 로그 입력을 찾는다. 그리고 의심되는 특정 로그 입력 유형에 관한 스크립트가 없다면 이를 발견할 수 없다. 이벤트가 감지되면 우리가 매일 모니터링하지만 상시 모니터링하지는 않는 배포 목록으로 이메일이 전송된다.

이것이 참으로 한심한 상황이라는 사실을 알고 있으며, 이 부분을 바꿀 것이다. 하지만 우리의 한심하고 허술한 모니터링 과정으로도 PCI를 통과할 수 있다. 하지만 그렇다고 해서 조직이 적절히 보호되는 것은 아니다. 컴플라이언스와 보안은 다르다.
또 다른 예로 VPN 설치를 들 수 있다. 우리는 기업 네트워크 접속을 위한 다인자 인증에 관한 요건을 갖춘 강력한 전송 암호화를 적용하며, 이를 통해 PCI를 충분히 통과할 수 있다.

하지만 PCI는 VPN 구성 설정에 관한 지식이 있는 사용자가 VPN 소프트웨어를 확보하여 아무 컴퓨터에나 설치할 수 있기 때문에 네트워크에 신뢰할 수 있는 기기가 접속할 수 있다는 사실은 발견할 수 없다. 우리는 VPN 접속을 승인된 기업 소유 기기로만 한정하는 NAC(Network Admissions Control)이나 기타 통제 수단을 통해 이 문제를 극복할 수 있으며, 필자는 이 문제를 조만간 해결할 계획이다. 하지만 레벨 1 PCI에 대해서 우리는 아무런 문제가 없다.

백신 및 패치 관리 요건과 관련한 한 가지 예를 더 들어 보겠다. 대부분의 기업 활동은 특정 시점 상태에 이루어진다. 우리는 감사 시점에 감사자에게 모든 PC와 서버에 최신 패치 및 엔드포인트 보호가 적용되어 있음을 입증한다. 감사자가 지표를 통해 우리가 1년 내내 일정 수준으로 규제를 준수하고 있음을 입증하도록 요구한다면 훨씬 나을 것이다. 많은 기업들이 감사자의 기준에 부합하기 위해 서둘러 모든 기기를 관리한 후에는 다음 해의 감사가 있을 때까지 어영부영 지낸다.

컴플라이언스는 단순한 보여주기가 아니며, 보안을 보장하는 것과도 다소 거리가 있다. 추가적인 예산과 인력을 통해 조직이 단순히 규제를 준수했느냐를 두고 평가하는 게 아니라 얼마나 더 안전하게 정보 자산을 지키고 있느냐에 초점을 맞춰 이를 입증해야 할 것이다.

*이 기고는 실제 보안 관리자 Mathias Thurman이 작성했으며 부득이한 이유로 실명과 회사명을 밝히지 않았다. ciokr@idg.co.kr


2016.01.15

IDG블로그 | 컴플라이언스와 보안은 어떻게 다른가

Mathias Thurman | Computerworld
보안 관리자는 보안 문제를 해결하는 방법에 관한 철학이 있어야 한다.

이미지 출처 : Picserver, CC BY-SA 3.0

최근 필자는 여러 요소를 만트라의 수준에 가까운 몇 단어로 요약할 수 있다는 사실을 발견했다. 대표적인 것이 "최소 권한의 규칙을 준수하라", "기업의 가장 약한 링크가 보안 수준을 나타낸다", "보안은 단일 솔루션이 아니라 하나의 과정이다", "신뢰하되 검증하라" 등이다.

이번 주, 필자는 새로운 만트라를 추가했다. 바로 "컴플라이언스와 보안은 다르다"는 것이다.

추적 시스템
현안: 이 기업은 더욱 엄격한 신용카드 취급 활동 인증을 위한 요건을 충족해야 한다. 하지만 결국 이 요건들은 충분히 엄격해 보이지 않는다.
조치 계획: 컴플라이언스를 넘어 진정한 보안을 위한 예산과 자원을 확보한다.

우리가 지난 몇 달 동안 레벨 1 PCI 규제를 준수하기 위해 노력하면서 한가지 진실을 깨달을 수 있었다. 이는 단순히 자체 평가 질문서를 작성하고 분기별 보안 스캔을 통과하는 다른 PCI 수준을 달성하는 것과는 상당히 다르다. 대신 우리는 제 3의 자격을 갖춘 평가자에 방대한 증거를 반드시 제공해야 한다.

이 과정에는 상당한 증거 제출이 요구되는 400개 이상의 제어 요소가 수반되기 때문에 매우 피곤하다. 예를 들어, 단순히 "나는 저장된 신용카드를 암호화한다"라는 항목을 체크하는 것만으로는 부족하다. 실제로 데이터가 암호화 된다는 증거를 제출해야 한다. 암호화의 경우 우리는 단순히 데이터베이스 또는 파이 시스템에서 암호화된 값의 스크린샷을 제공한다. 전송 암호화를 입증하기 위해 우리는 데이터가 실제로 암호화되고 있다는 사실을 말해주는 (해커 등으로부터의) 네트워크 트래픽을 입증해야 한다.

그리고 컴플라이언스 요건을 충족하기 위한 상당한 노력을 기울였음에도 불구하고 이 컴플라이언스와 보안과는 다르다는 사실을 깨달았다. 어떻게 이런 사실을 깨달았는지 설명하겠다.
요건 가운데 하나는 기업들이 반드시 특정 활동을 기록하며 정기적으로 로그를 검토한다는 사실을 입증하는 것이다. 일부 기업들은 최신 보안 사고 발생 관리 인프라를 구축하고 24/7 모니터링을 제공하는 보안 분석팀을 꾸리는 데 수십만 달러의 비용을 지출할 것이다.

또한 어떤 기업들은 제 3자를 고용해 상시 수집, 연계, 분석을 아웃소싱할 수도 있을 것이다. 해킹 활동은 언제든지 발생할 수 있기 때문에 이런 상시 활동은 해킹 조짐 감지에 이상적이지만 많은 기업들이 이런 기준을 충족시킬 수 없다.

우리는 모든 이벤트를 기록하고 스크립트를 이용해 의심되는 유형의 로그 입력을 찾는다. 그리고 의심되는 특정 로그 입력 유형에 관한 스크립트가 없다면 이를 발견할 수 없다. 이벤트가 감지되면 우리가 매일 모니터링하지만 상시 모니터링하지는 않는 배포 목록으로 이메일이 전송된다.

이것이 참으로 한심한 상황이라는 사실을 알고 있으며, 이 부분을 바꿀 것이다. 하지만 우리의 한심하고 허술한 모니터링 과정으로도 PCI를 통과할 수 있다. 하지만 그렇다고 해서 조직이 적절히 보호되는 것은 아니다. 컴플라이언스와 보안은 다르다.
또 다른 예로 VPN 설치를 들 수 있다. 우리는 기업 네트워크 접속을 위한 다인자 인증에 관한 요건을 갖춘 강력한 전송 암호화를 적용하며, 이를 통해 PCI를 충분히 통과할 수 있다.

하지만 PCI는 VPN 구성 설정에 관한 지식이 있는 사용자가 VPN 소프트웨어를 확보하여 아무 컴퓨터에나 설치할 수 있기 때문에 네트워크에 신뢰할 수 있는 기기가 접속할 수 있다는 사실은 발견할 수 없다. 우리는 VPN 접속을 승인된 기업 소유 기기로만 한정하는 NAC(Network Admissions Control)이나 기타 통제 수단을 통해 이 문제를 극복할 수 있으며, 필자는 이 문제를 조만간 해결할 계획이다. 하지만 레벨 1 PCI에 대해서 우리는 아무런 문제가 없다.

백신 및 패치 관리 요건과 관련한 한 가지 예를 더 들어 보겠다. 대부분의 기업 활동은 특정 시점 상태에 이루어진다. 우리는 감사 시점에 감사자에게 모든 PC와 서버에 최신 패치 및 엔드포인트 보호가 적용되어 있음을 입증한다. 감사자가 지표를 통해 우리가 1년 내내 일정 수준으로 규제를 준수하고 있음을 입증하도록 요구한다면 훨씬 나을 것이다. 많은 기업들이 감사자의 기준에 부합하기 위해 서둘러 모든 기기를 관리한 후에는 다음 해의 감사가 있을 때까지 어영부영 지낸다.

컴플라이언스는 단순한 보여주기가 아니며, 보안을 보장하는 것과도 다소 거리가 있다. 추가적인 예산과 인력을 통해 조직이 단순히 규제를 준수했느냐를 두고 평가하는 게 아니라 얼마나 더 안전하게 정보 자산을 지키고 있느냐에 초점을 맞춰 이를 입증해야 할 것이다.

*이 기고는 실제 보안 관리자 Mathias Thurman이 작성했으며 부득이한 이유로 실명과 회사명을 밝히지 않았다. ciokr@idg.co.kr


X