보안

보안, 올인원 플랫폼이 아닌 “분야별 최상의 조합”을 선택해야 하는 이유

Terena Bell | CSO 2017.12.22
올인원 사이버 보안 플랫폼 대 분야별 최상의 조합을 둘러싼 논쟁에서 답은 오직 하나, 분야별 최상의 조합이다. 관건은 툴을 구입할 여력이 얼마나 되냐느, 그리고 스택의 소프트웨어가 보안에 맞게 셜계되어 있느냐다.

분야별 최상의 조합이란 여러 가지 보안 프로그램, 즉 각 문제를 해결하는 데 가장 적합한 개별 툴을 구입하는 것을 의미한다. 예를 들어, API 게이트웨이 보호에는 포럼 시스템(forum Systems), 로그 상관 관계에는 스플렁크(Splunk), 데이터 접근 주체와 접근 시점, 데이터를 관리하는 데는 옥타(Okta)를 사용하는 식이다. 각 업체가 제각기 다른 요소를 현재 스택에 추가하므로 IT 부서는 데이터 보안 계획에 구멍이 없기를 희망하면서 젠가 탑을 쌓듯 플랫폼을 조합해야 한다.

분야별 최상의 조합 외의 대안은 모든 요소를 포함한 올인원 플랫폼을 구입하거나 구축하는 것이다. 그러나 올인원이라는 이름과는 별개로 어떤 소프트웨어도 단독으로 모든 회사 데이터를 안전하게 보호해줄 수는 없다. 이유는 문화와 돈이다.



올인원 보안 플랫폼의 문제
자문 기업 폰듀어런스(Pondurance)의 선임 보안 컨설턴트 마이클 쿡은 올인원 플랫폼이 일반적으로 “그 플랫폼을 중심으로 15개 내외의 애플리케이션 또는 모듈로 구성된다”고 말했다. 각 모듈은 API 게이트웨이 보호 등 서로 다른 분야를 담당한다. 쿡은 모듈마다 성능이 다를 수 있다는 점, 그리고 단이 플랫폼의 경우 다양한 기능을 제공하지만 특별히 뛰어난 부분은 없을 수 있다는 점을 경고했다.

예를 들어, 사용하는 플랫폼에서 게이트웨이 보안을 제공하지만 그다지 뛰어나지는 않다고 가정해보자. 이 경우 경영진이 별도의 포럼 시스템 장비 구매를 승인할 가능성은 높지 않다. 쿡은 “플랫폼을 사용하는 경우 플랫폼에서 어느 한 가지 모듈이 마음에 들지 않더라도 전체 묶음을 구입했기 때문에 사용할 수밖에 없는 상황에 몰리게 된다”고 말했다.

물론, 전문 툴이 더 낫다고 해서 올인원 보호 기능이 전혀 없다는 의미는 아니다. 모듈은 있다. 플랫폼 보안의 진짜 구멍은 널리 사용되는 SaaS다.

SaaS가 보안에서 분야별 최상의 조합을 유도하는 이유
오래 전부터 SaaS 업체들이 구매자에게 하는 말은 ‘워낙 사용하기 쉬우니 IT 부서에 알릴 필요도 없다’는 것이다. 그로 인해 발생하는 미인가(rogue) 소프트웨어는 곧 미인가 데이터를 의미한다. 영업 담당자가 IT 부서를 우회해 영업을 할 때마다 올인원이 보호하는 범위는 좁아진다. 쿡은 플랫폼 보안 제공업체가 생존하려면 “정보를 공유하는 다른 애플리케이션과 통합되어야 한다”고 말했다.

센터 칼리지(Centre Collage)의 시스템 및 네트워크 관리자인 쉐인 윌슨은 분야별 최상의 조합을 도입하면서 IT 부서든 아니든 대학 내의 모든 소프르웨어 구매를 총괄하는 중앙 통제를 구축했다. 이 대학은 학습 관리를 위한 무들(Moodle)부터 전사적 자원관리 소프트웨어인 젠자바(Jenzabar), 이메일을 위한 마이크로소프트 365에 이르기까지 몇몇 SaaS 제공업체를 사용하고 있다. 윌슨은 이러한 엔터프라이즈 업체들이 보안에 얼마나 세심히 주의를 기울이는지 점검한다면서 “이 업체들은 나만큼 내 데이터에 신경을 쓰지는 않는다”고 말했다.

윌슨은 이 업체들에 데이터를 어떻게 저장하는지, 운영 체제를 얼마나 자주 패치하는지, 기타 보안 모범 사례는 따르고 있는지 등을 묻는다. 답을 얻지 못하면 그 SaaS 플랫폼이 아무리 대단하다 해도 구입하지 않는다. 윌슨은 “지난 5년 동안 발생한 대규모 침해 사건에서 그 이유를 살펴보면 거의 항상 모범 사례를 따르지 않은 것을 알 수 있다. 일부 시스템이 패치되지 않았거나 일부 기본 암호가 그대로 사용되는 경우 등이다. 모두 이미 교휸을 통해 알고 있는 비교적 간단한 것들”이라고 지적했다.

SaaS는 앞으로도 사라지지 않을 것이고 IT 부서를 피해 판매하는 영업 담당자들 역시 마찬가지다. “IT 부서에는 알리지 마세요”라는 이들의 판매 방법은 챗봇 판매에도 이용되고 있다. 이것이 현재의 ‘벤더’ 문화다. 또한, 그렇지 않다해도(센터 칼리지와 같이 구매 과정에 IT를 통해 중앙 통제된다 해도) SaaS가 존재하는 한 기업 데이터는 클라우드의 모세혈관을 통해 흐르면서 모든 곳에서 피를 흘리게 된다. 가능한 모든 곳에서 침해를 방지하려면 이제는 개별 SaaS 프로그램의 보안 기능도 보안 스택의 일부로 고려해야 한다. 진정한 올인원 플랫폼은 더 이상 존재하지 않는다.

분야별 최상의 보안 툴, 내부 인력의 극대화
윌슨은 대학이 제한된 리소스를 최대한 이용하기 위해서는 외부 공급자가 필수적이라면서 “센터 칼리지는 작은 인문 대학이므로 큰 교육 기관과 같이 보안에 투자할 만한 금전적 여력은 없다”면서 인근 주의 큰 대학은 매년 1,000만 달러를 쓴다고 언급했다. 센터의 IT 부서 직원은 12명이다. (참고로 2016/2017학기에 센터에 등록한 학생 수는 1,425명이다.)

윌슨은 “현재 가진 것, 즉 개별 보안 툴을 사용해서 네트워크 트래픽을 모니터링하고 로그에서 이상 조짐을 찾고 방화벽 기술, 침입 탐지 시스템 등을 도입해 보안 문제를 나타낼 수 있는 특이한 이벤트를 탐지한다”면서 “우리 리소스로 할 수 있는 일은 그 정도다. 결국 리소스가 큰 관건이다. 기본적으로 대부분의 사람들은 자신이 가진 리소스로 할 수 있는 모든 일을 한다”고 말했다. 센터 칼리지에서 할 수 있는 일은 분야별 최상의 조합이다.

쿡은 “결국 핵심 역량과 비즈니스가 무엇이냐로 돌아간다. 대체 가능하다면 무엇이든 아웃소싱하거나 애플리케이션을 사용할 수 있다는 것이 내 개인적인 생각이다. 회사를 운영한다면(센터 칼리지를 운영한다면) HR 앱 시스템을 보호하기 위한 올인원을 구축할 필요가 없고 급여 시스템도 필요 없다”고 말했다. 필요한 것은 데이터를 안전하고 효과적으로 보호하는 것이다.

윌슨은 이를 위해 “직원들이 시간을 많이 빼앗기지 않게 해줄 기술을 찾아야 한다. 기술이나 서비스를 구입할 수는 있지만 인력은 더 늘릴 수 없는 경우가 많기 때문이다. 따라서 사람이 자신의 경험과 지식을 바탕으로 확인하기 전에 여러 가지 상관 관계를 파악해서 제시해주는 기술이 필요하다. 기술이 해주는 일은 거기까지”라고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.