2021.08.09

글로벌 칼럼 | CISO, 자사의 제품을 알고 있는가?

Christopher Burgess | CSO
2021년 4월, 미국 CISA(Cybersecurity and Infrastructure Security Agency)에서 공급망 안전 확보에 대해 발표한 지침 가운데 일부는 설계 단계 중 제기되는 위협 요소에 할애됐다.
 
ⓒ Getty Images Bank

COO들이 CISO에게 해야 할 질문은 "어떻게 하면 자사의 제품과 프로세스를 가장 안전하고 회사와 고객들에게 용인되는 위험 한도 내에서 운영할 수 있을까?”이다.  

거의 모든 기업의 운영과 생산이 정보 보안과 별개로 운용된다. 일부 CISO는 정보 보안이 운영과 생산의 지원 요소라는 사실에 대한 인식이 부족하다. 이런 이분법으로 인해 마찰과 껄끄러운 관계가 그 정반대가 필요한 상황에서 발생하는 경우가 많다.

운영 부서가 위험을 책임진다. CISO와 산하 팀은 이런 괴리를 해소하고 파악된 위험을 최소화하기 위해, 그리고 예기치 못한 새로운 위험이 드러날 경우 방향을 돌릴 준비를 하기 위해 지원을 제공한다.

제품 설계가 진행되고 서드파티 펌웨어나 소프트웨어가 제품의 일부가 된다면, 보안 검토는 누가 실시하는가? 공급업체인가? 아니면, CISO 산하 팀, 혹은 운영 부서인가?

답은 '그렇다'이다.


자사의 제품 및 소프트웨어를 검토하라 

2017년 통신시스템에서의 보안 및 개인정보보호 관련 컨퍼런스에서 상하이 교통대학교 소속 팀은 '임베디드 장치 펌웨어의 업체 맞춤형 코드의 보안 분석'이라는 발표를 통해 필요한 보안 분석은 잘해야 어렵고 많은 경우 무시된다고 말했다.

임베디드 장치의 펌웨어 내 프로세스와 프로시저를 리버스엔지니어링하기 위해 필요한 지루하고 시간이 많이 소요되는 즉석 작업을 언급하면서 이들이 내놓은 해결책은 '전체 임베디드 장치의 펌웨어 중 특정 부분에만 집중하라'는 것이었는데, 그 특정 부분을 '맞춤형 코드(customized code)'라고 한다. 이런 맞춤형 코드가 보안 지침 없이 고객을 위해 만들어지는 경우가 많다고 상정했다.

미국 국가방첩안보센터(National Counterintelligence and Security Center, NCSC)의 2021년 3월 소프트웨어 공급망 공격 지침 업데이트에는 각각의 예시와 함께 방법론이 언급됐다. NCSC의 지적에 따르면, 공격자들의 악성코드 삽입은 소프트웨어 코드의 컴파일과 서명이 완료되기 전에 이뤄졌으며, 악성코드를 표준 보안 서명 뒤에 끼워넣어 탐지 가능성을 낮췄다. 

바로 이런 일이 2007년 시게이트(Seagate)에 일어났다. 시게이트는 맥스터(Maxtor) 디스크 드라이브에 태국 내 공장으로 제공되기 전 부품 프로비저닝 도중에 중국인들이 삽입했다는 기능이 있는 것을 확인했다. 대만의 한 유통업체에는 약 1,800대의 장치가 말 그대로 당장 데이터를 복사해 대만에서 중국으로 전달할 목적으로 관심 목표물을 해킹할 태세를 갖춰 도착했다. 산탄총 표적 방식이었는데 본인의 데이터가 중국으로 빠져나가는 것을 본 사람들의 요청으로 대만 정보국이 수사에 착수했다.

한편, 소프트웨어 업데이트의 필요성에 약간의 편견을 갖고 있는 ACLU(American Civil Liberties Union)는 이런 위험에 대한, 그리고 잠재적인 사악한 구현의 늪을 헤쳐 나가는 방법에 대한, 기본 지침서를 제작했다. 동전의 양면과도 같은 소프트웨어 업데이트의 특성은 위험 평가 담당자라면 누구나 필독해야 마땅하다.

동전의 한면에서는 서드파티 소프트웨어를 자체 생태계에 포함시키는 작업의 담당자가 소프트웨어의 구현 전 확인, 인증 및 업데이트 방식을 이해해야 한다. 동전의 다른 한면에서는 소프트웨어 업데이트 실시 담당자가 해당 환경에 새로운 코드를 주입하기에 앞서 검사와 검증을 거칠 수 있도록 프로세스와 프로시저(Procedures)가 고객 정보보안 팀에게 보이는지 반드시 확인해야 한다.

2017년 당시 중국인 팀은 정확했고 그들의 경고는 2021년 현재 정확하다. 제품 및 구성요소 검토에 참여하는 것은 심장이 미약한 사람에게는 맞지 않다. 일이기 때문이다. 본인의 위젯이나 서비스 내 구현을 위해 업체 제품의 맞춤형에만 집중하라는 제안에는 이의를 제기할 수 있겠지만 그것이 시작이다.


CISO, 제품 보안에 더 큰 역할 필요

그 시작이 의미하는 것은 정보보안 팀에게 고객, 공급업체, 직원/계약업체와의 네트워킹(사내 또는 외부 대면)뿐만 아니라 제품 보안을 위해서도 역할이 필요하다는 것이다. 이것이 실현되려면 고립된 개념이 아닌 정보보안 구현 관계자 전원을 아우르는 장막 개념을 활용해야만 한다. 위험을 파악하고 최소화하도록 합심해 노력하는 것이 모두의 의무다. 위험이 없는 절대 안전 상태는 상상에서나 존재한다.

CISO에게는 제품과 운영에 역동적인 업무가 있다. 사이버 공급망 위험 관리 프레임워크(Cyber Supply Chain Risk Management Framework, C-SCRM)를 채택하면 이 업무에 도움이 될 것이다. CISO가 C-SCRM이 왜 필요한지 이해하는 데는 2021년 2월 NIST에서 제공한 '핵심 실천사항' 지침과 의견을 참고하면 도움이 될 것이다. 이 문서는 기업들을 대상으로 공급망 안전 확보와 관련해 운영 팀과 정보보안 팀 둘 다에게 가치가 있었던 실천사항은 무엇이었는지 설문조사를 실시한 후에 작성됐다. editor@itworld.co.kr 


2021.08.09

글로벌 칼럼 | CISO, 자사의 제품을 알고 있는가?

Christopher Burgess | CSO
2021년 4월, 미국 CISA(Cybersecurity and Infrastructure Security Agency)에서 공급망 안전 확보에 대해 발표한 지침 가운데 일부는 설계 단계 중 제기되는 위협 요소에 할애됐다.
 
ⓒ Getty Images Bank

COO들이 CISO에게 해야 할 질문은 "어떻게 하면 자사의 제품과 프로세스를 가장 안전하고 회사와 고객들에게 용인되는 위험 한도 내에서 운영할 수 있을까?”이다.  

거의 모든 기업의 운영과 생산이 정보 보안과 별개로 운용된다. 일부 CISO는 정보 보안이 운영과 생산의 지원 요소라는 사실에 대한 인식이 부족하다. 이런 이분법으로 인해 마찰과 껄끄러운 관계가 그 정반대가 필요한 상황에서 발생하는 경우가 많다.

운영 부서가 위험을 책임진다. CISO와 산하 팀은 이런 괴리를 해소하고 파악된 위험을 최소화하기 위해, 그리고 예기치 못한 새로운 위험이 드러날 경우 방향을 돌릴 준비를 하기 위해 지원을 제공한다.

제품 설계가 진행되고 서드파티 펌웨어나 소프트웨어가 제품의 일부가 된다면, 보안 검토는 누가 실시하는가? 공급업체인가? 아니면, CISO 산하 팀, 혹은 운영 부서인가?

답은 '그렇다'이다.


자사의 제품 및 소프트웨어를 검토하라 

2017년 통신시스템에서의 보안 및 개인정보보호 관련 컨퍼런스에서 상하이 교통대학교 소속 팀은 '임베디드 장치 펌웨어의 업체 맞춤형 코드의 보안 분석'이라는 발표를 통해 필요한 보안 분석은 잘해야 어렵고 많은 경우 무시된다고 말했다.

임베디드 장치의 펌웨어 내 프로세스와 프로시저를 리버스엔지니어링하기 위해 필요한 지루하고 시간이 많이 소요되는 즉석 작업을 언급하면서 이들이 내놓은 해결책은 '전체 임베디드 장치의 펌웨어 중 특정 부분에만 집중하라'는 것이었는데, 그 특정 부분을 '맞춤형 코드(customized code)'라고 한다. 이런 맞춤형 코드가 보안 지침 없이 고객을 위해 만들어지는 경우가 많다고 상정했다.

미국 국가방첩안보센터(National Counterintelligence and Security Center, NCSC)의 2021년 3월 소프트웨어 공급망 공격 지침 업데이트에는 각각의 예시와 함께 방법론이 언급됐다. NCSC의 지적에 따르면, 공격자들의 악성코드 삽입은 소프트웨어 코드의 컴파일과 서명이 완료되기 전에 이뤄졌으며, 악성코드를 표준 보안 서명 뒤에 끼워넣어 탐지 가능성을 낮췄다. 

바로 이런 일이 2007년 시게이트(Seagate)에 일어났다. 시게이트는 맥스터(Maxtor) 디스크 드라이브에 태국 내 공장으로 제공되기 전 부품 프로비저닝 도중에 중국인들이 삽입했다는 기능이 있는 것을 확인했다. 대만의 한 유통업체에는 약 1,800대의 장치가 말 그대로 당장 데이터를 복사해 대만에서 중국으로 전달할 목적으로 관심 목표물을 해킹할 태세를 갖춰 도착했다. 산탄총 표적 방식이었는데 본인의 데이터가 중국으로 빠져나가는 것을 본 사람들의 요청으로 대만 정보국이 수사에 착수했다.

한편, 소프트웨어 업데이트의 필요성에 약간의 편견을 갖고 있는 ACLU(American Civil Liberties Union)는 이런 위험에 대한, 그리고 잠재적인 사악한 구현의 늪을 헤쳐 나가는 방법에 대한, 기본 지침서를 제작했다. 동전의 양면과도 같은 소프트웨어 업데이트의 특성은 위험 평가 담당자라면 누구나 필독해야 마땅하다.

동전의 한면에서는 서드파티 소프트웨어를 자체 생태계에 포함시키는 작업의 담당자가 소프트웨어의 구현 전 확인, 인증 및 업데이트 방식을 이해해야 한다. 동전의 다른 한면에서는 소프트웨어 업데이트 실시 담당자가 해당 환경에 새로운 코드를 주입하기에 앞서 검사와 검증을 거칠 수 있도록 프로세스와 프로시저(Procedures)가 고객 정보보안 팀에게 보이는지 반드시 확인해야 한다.

2017년 당시 중국인 팀은 정확했고 그들의 경고는 2021년 현재 정확하다. 제품 및 구성요소 검토에 참여하는 것은 심장이 미약한 사람에게는 맞지 않다. 일이기 때문이다. 본인의 위젯이나 서비스 내 구현을 위해 업체 제품의 맞춤형에만 집중하라는 제안에는 이의를 제기할 수 있겠지만 그것이 시작이다.


CISO, 제품 보안에 더 큰 역할 필요

그 시작이 의미하는 것은 정보보안 팀에게 고객, 공급업체, 직원/계약업체와의 네트워킹(사내 또는 외부 대면)뿐만 아니라 제품 보안을 위해서도 역할이 필요하다는 것이다. 이것이 실현되려면 고립된 개념이 아닌 정보보안 구현 관계자 전원을 아우르는 장막 개념을 활용해야만 한다. 위험을 파악하고 최소화하도록 합심해 노력하는 것이 모두의 의무다. 위험이 없는 절대 안전 상태는 상상에서나 존재한다.

CISO에게는 제품과 운영에 역동적인 업무가 있다. 사이버 공급망 위험 관리 프레임워크(Cyber Supply Chain Risk Management Framework, C-SCRM)를 채택하면 이 업무에 도움이 될 것이다. CISO가 C-SCRM이 왜 필요한지 이해하는 데는 2021년 2월 NIST에서 제공한 '핵심 실천사항' 지침과 의견을 참고하면 도움이 될 것이다. 이 문서는 기업들을 대상으로 공급망 안전 확보와 관련해 운영 팀과 정보보안 팀 둘 다에게 가치가 있었던 실천사항은 무엇이었는지 설문조사를 실시한 후에 작성됐다. editor@itworld.co.kr 


X