보안 위생 및 태세 관리와 관련한 2022년 예산을 늘릴 예정이다
80
%
자료 제목 :
ESG 리서치 보고서 : 보안 위생 및 태세 관리
ESG Research Report: Security Hygiene and Posture Management
자료 출처 :
ESG
원본자료 다운로드
발행 날짜 :
2022년 01월 24일
기업 문화 / 보안

사이버보안 위생 및 태세 관리를 개선하는 5가지 방법

Jon Oltsik | CSO 2022.04.12
피터 드러커는 “측정할 수 없는 것은 관리도 할 수 없다”라는 유명한 말을 남겼다. 사이버보안 위생 및 태세 관리 측면에서 드러커의 말은 분명한 사실이다. 기업은 내외부 공격 표면에 노출되는 자산을 파악하고, 해당 자산의 상태를 이해하고, 노출을 식별하고, 위험에 근거해 수정 조치의 우선순위를 설정하고, 지속적인 위험 완화를 위해 IT 운영팀과 협력해야 한다.
 
ⓒ Getty Images Bank

하지만 공격 표면이 하루가 다르게 커지고 복잡해지고, 프로세스 자동화와 함께 데이터 수집/처리/분석에 대한 새로운 요구사항이 생겨나면서 보안 위생 및 태세 관리도 쉽지 않은 상황이다. 기업의 보안 위생 및 태세 관리는 충분히 빠른 속도로 이뤄지지 않거나 혹은 전혀 수행되지 않는다. 여전히 많은 보안 전문가가 데이터를 정적 스프레드시트로 집계하고, 수동 프로세스에 의존하고, IT 운영팀 동료와 아무런 계획 없이 협력하는 등의 방식으로 보안 위생 및 태세 관리에 접근한다.

방어 담당자가 보안 위생 및 태세 관리 요구사항을 충족하느라 분주히 움직이는 동안 사이버 공격자는 자동화된 툴과 분업으로 공격 캠페인의 여러 측면을 전문가에게 일임한다. 걱정스러운 상황이지만, 많은 보안 전문가가 오늘날 보안 위생 및 태세 관리 불일치의 심각성을 인지하고 있다는 점은 다행스럽다. ESG(Enterprise Strategy Group) 조사 결과, 기업의 80%는 보안 위생 및 태세 관리와 관련한 2022년 예산을 늘렸다.

해당 조사는 로그4j(Log4j) 취약점과 러시아의 우크라이나 침공 전에 진행됐다는 점에 주목할 필요가 있다. 따라서 현재는 기업이 보안 위생 및 태세 관리에 투입하는 비용이 더 증가한 것으로 예상된다. 많은 정보보안 전문가가 데이터 보안 툴과 사이버 위험 수량화, 클라우드 보안 태세 관리(Cloud Security Posture Management, CSPM), 보안 자산 관리, 외부 공격 표면 관리(Attack Surface Management, ASM) 등에 투자할 예정이라고 말했다.

이번 조사에서 ESG는 보안 전문가에게 기업의 보안 위생 및 태세 관리를 가장 효과적으로 개선하는 방법을 물었다. 결과는 다음과 같다. 
 
  • 지속적인 보안 제어 검증으로 기존 보안 툴의 격차 발견하기(38%) : 이 방법은 기업이 마이터 어택(MITRE ATT&CK) 프레임워크와 결합해 공격자의 전술, 방법, 절차(tactics, techniques, and procedures, TTP)에 대한 자사의 보안 방어 및 프로세스를 계량할 수 있을 때 효과적이다. 이런 이유 때문에 지속적인 테스트 툴 시장은 계속해서 성장하고 있으며, 클라우드 기반 사이버 레인지(cyber range)에 대한 관심도 높아졌다.
  • 보안 위생 및 태세 관리와 관련한 프로세스 자동화(36%) : 보안 위생 및 태세 관리가 너무 많은 사람과 툴, 데이터에 의존하고 있으므로 좋은 전략이다. 관련 프로세스를 자동화하기 전에 기업은 프로세스가 견고한지 반드시 확인해야 한다. “비효율적인 작업에 적용한 자동화는 비효율을 극대화한다”는 빌 게이츠의 말을 기억하자. 즉, 보안 위생 및 태세 관리 프로세스를 효과적으로 자동화하는 데에는 시간이 필요하다.
  • 다른 기존 시스템에서 데이터를 가져오고 상호운용할 수 있는 보안/IT 자산 관리 전용 툴 배포(35%) : 악소니우스(Axonius), 발빅스(Balbix), 주피터원(JupiterOne), 세브코(Sevco)와 같은 기업을 생각해보자. 보안 전문가는 보안 자산 데이터를 한번에 확인하고 분석하기를 원한다. 전용 툴은 보안 위생 및 태세 관리의 효율을 높이는 데 도움이 된다. 
  • 보안 위생 및 태세 관리를 담당하는 인력 확대(31%) : 사이버보안 기술을 보유한 인력이 전 세계적으로 부족한 상황이다. 채용 외에도 보안 위생 및 태세 관리에 대한 예산을 수립하고 CIO와 협력해 보안 및 IT 운영팀 간의 협업 방식을 개선하는 사례도 있다.
  • 적대적/공격적 접근 방식으로 현대적인 공격 TTP에 대한 방어 전략 조정(29%) : ‘위협 정보에 기초한 방어(threat informed defense)’라고 표현하기도 한다. 마이터 어택 프레임워크 운영, 지속적인 테스트 채택, 퍼플팀(purple team) 개발 등이 포함된다. 물론 이런 방법을 위해서는 훈련과 테스트 절차를 마련해야 하고 사이버위협 인텔리전스에 대한 투자가 필요하다. 

증가하는 공격 표면은 스스로를 보호하지 못한다. 기업은 이런 방법을 가능한 한 빨리 고려할 필요가 있다.

*Jon Oltsik은 ESG의 대표 애널리스트다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.