보안전문가들은 어떤 조직에서도 필요한 지금 당장 실천해야 할 20개의 중요한 보안 제어에 대해 정의를 내렸다. 이 가운데 우선 네 가지부터 시작하자.
결코 완벽해질 수 없는 컴퓨터 보안과 네트워크 방어는 고양이와 쥐와 같이 끊임없이 반복되는 게임과 같다.
최신 위협이 추가되자마자 공격자들은 이미 조직의 네트워크에 액세스하고 PC를 감염시킬 수 있는 새로운 기술을 개발한다. 그러나 기본에 초점을 맞춘다면 리스크를 최소화하고 대부분의 공격들에 대해 방어할 수 있을 것이다.
중소기업들은 IT 자원에 있어 한계가 있기 때문에 모든 취약점 악용이나 공격에 대해 완벽하게 방어할 수 없다. 보안 우선 순위를 어떻게 매겨야 하는지 알고 있는가? CIS(Center for Internet Security), SANS 연구소, NSA(National Security Agency) 등에 의해 작성된 20개 주요 보안 제어 보고서에서는 기업들과 정부 조직들을 돕기 위해 가장 빈번한 공격들을 막는 보안 제어를 규정했다.
최근 RSA 보안 컨퍼런스에서 발표한 퀄리스 이사회 의장이자 CEO인 필립 쿠르트는 보안 준수를 이행하지 않는 것에 대해 경고했다. 쿠르트는 가치 높은 출발점(valuable starting point)이라는 제품의 보고서에서 비즈니스 목표를 지연시키는 것보다는 보안을 강화하는 편이 낫다고 강조했다.
SANS 이사 존 페스카토레는 보안 투자에 대해 보통 80:20 법칙으로 표현되는 파레토 법칙에 비춰 설명했다. 이미 검증된 보안 사례를 통해 제시된 20개의 주요 우선 순위는 자사의 네트워크와 PC들을 향한 공격 가능성의 80%를 막을 수 있다고.
그러나 지금 당장 20개를 다 실천하기에는 너무 많다. 우선 그것을 버리고 가장 먼저, 바로 즉시 제어해야 할 네 가지 보안은 다음과 같다.
1. 허가받은 것과 허가받지 않은 디바이스 목록 만들기
현실적으로 디바이스에서 만들어지는 모든 취약점과 이의 악용을 관장할 수 없으며 존재하는 것조차 알지 못한다면 보호할 수 없다. PC와 스마트폰, 태블릿과 같이 자사의 네트워크나 환경에 연결되어 사용되는 모든 디바이스에 대해 자신의 물리적 서버와 가상 서버 모두에 정확한 목록을 만들어라
자신의 네트워크에 있는 모든 디바이스를 일일리 추적하는 것은 비현실적이다. 이것은 공격자들과 허가받지 않은 디바이스를 모두 모니터링할 수 없다. 이를 위해서는 GFI MAX 또는 퀄리스가드(QualysGuard)와 같은 프로세스를 자동화하는 에셋 트래킹 툴을 사용해야 한다.
2. 허가받은 것과 허가받지 않은 소프트웨어 목록 만들기
1번과 마찬가지로 지금껏 모든 애플리케이션의 모든 결점에 대해 파악할 수 없다. 리스크와 앞으로 있을 잠재적인 위협에 대해 파악내기 위해 자사 네트워크에 연결된 디바이스에 있는 소프트웨어가 어떤 것인지 알아야 한다.
자사의 네트워크에 사용된 하드웨어와 소프트웨어의 정확한 목록의 경우 프로세스 자동화 툴이 없이는 어렵다. 하드웨어 목폭을 알려주는 툴은 애플리케이션을 모니터링하는데도 사용할 수 있다.
3. 취약점에 대한 지속적인 평가와 개선
대부분의 공격들은 공공에 알려져 개발업체들이 이미 패치를 한 결점을 갖고 악용한다. 이 세계에서는 적극적으로 활용할만한 결점이 없다면 개발업체들은 새로운 공격을 만들어 낼 수 있는 역설계 패치를 발표하기도 한다. 새로운 공격을 만들어 낼 수 있는 취약점 평가와 패치 관리는 공격자가 결점들을 알아내기 전에 그것을 알아내는데 도움을 줄 것이다.
새로운 취약점들은 거의 끊임없이 발견된다. 이런 취약점들은 취약점 스캔을 통해 발견되는 순간부터 바로 쓸모없게 된다. 퀄리스가드이나 엔서클 퓨어클라우드(nCircle PureCloud)와 같은 툴을 사용하게 되면 조직은 자동적으로 취약점 스캔 시스템을 구축할 수 있다.
4. 악성코드 방어
어마어마하게 많은 수의 공격이 바이러스, 웜, 트로이목마, 봇넷 그리고 루트킷 등을 포함한 악성코드에서 기인한다. 맥아피 인터넷 시큐리티 2013이나 비트디펜더(BitDefender) 인터넷 시큐리티 2013과 같은 안티악성코드로부터 보호받고 정기적으로 업데이트를 유지하고 있다면 알려진 악성코드 위협으로부터 보호받을 수 있으며, 공격을 막을 수 있다.
대부분의 안티악성코드 툴들은 새로운 알려지지 않은 공격에 대해 방어하기 위해 의심스럽거나 수상한 행동에 대한 정의를 내려놓은 휴리스틱(heuristic) 기술을 포함한다.
20개의 주요 보안 제어 보고서는 몇 년에 걸쳐 만들어졌다. 이 보고서는 주기적으로 업데이트되는데, 이번 버전은 4.0이다. editor@itworld.co.kr