5일 전

위기 속 보안팀의 예비역량을 확보하는 4가지 방법

J.M. Porup | CSO
코로나19 여파로 원격근무 보안의 필요성이 두드러지고, 이를 악용한 사이버 공격까지 나타나는 가운데 주요 보안 담당자가 코로나19 감염 확진 판정을 받을 가능성도 간과할 순 없다. 기업 운영에 혼란을 초래할 수 있는 이러한 위험을 완화하는 4가지 방법을 소개한다.

‘핵심 요소의 고장을 미연에 방지하라’라는 정보보안 원칙은 시스템과 네트워크뿐만 아니라 세계적 대유행병(Pandemic) 시기를 살고 있는 개인에게도 해당된다. 핵심적인 사이버보안 담당자는 자격증명과 기업 인프라를 훤히 꿰뚫고 있다. 만약 이러한 주요 인력이 코로나19로 인해 장기간 또는 그 이상으로 정상적인 근무를 하지 못한다면? 현시점에서 모든 보안 리더의 최우선 과제는 인력 공백으로 운영이 중단되지 않도록 하는 것이다.
 
ⓒGetty Images

익명을 요구한 한 금융서비스 회사의 비즈니스 연속성 계획(BCP) 책임자는 "세계적 대유행병에 대응하는 강력한 계획은 사실상 불가능하다"라며, "하지만 직무별로 현 직원 수를 확인하고, 비상시에도 안전하게 운영할 수 있는 수준을 결정해야 한다"라고 <CSO>와의 인터뷰를 통해 전했다.

보안팀이 직면하고 있는 혹은 다가올 위기 상황을 극복하기 위해서는 자격증명, 프로세스 및 프로젝트 상태 업데이트를 포함한 정보에 대한 액세스와 직무 예비역량 확보가 필수적이다. 선제적 대응을 위해 취해야 할 4가지 단계를 살펴본다.

1. 비밀번호를 안전하게 기록해둬라
보안 담당자는 이른바 '왕국으로 가는 열쇠(Keys to the kingdom)'를 쥐고 있다. 보안키에 액세스할 수 있는 권한이 두 명 이상의 보안 담당자에게 할당됐는지 확인해야 한다. 또는 보안키 전담자가 없는 경우를 감안해 해당 보안키에 신속하게 액세스할 수 있는지도 검토해야 한다. 

이러한 경우를 잘 알고 있는 기업들은 플러그형 인증 모듈(PAMs)을 사용한다. 이는 인증을 유연성 있게 관리해주는 프레임워크다. 소규모 조직이라면 라스트패스(LastPass) 혹은 키패스(KeePass)와 같은 공유 암호 저장소를 이용하거나, 아니면 안전한 금고에 마스터 페이퍼 노트북(Master paper notebook)을 보관해 둘 수 있다. 

다중요소인증(MFA)을 잊어서는 안 된다. 여러 보안 담당자가 소프트웨어 형태의 인증토큰 혹은 U2F 보안키를 가지고 있는지 확인해야 한다. 이러한 공유 암호는 정상적인 근무가 불가능한 직원이 잠금을 해제할 수 없거나 유비키(Yubikey) 보안키가 어디 있는지 알려주지 못한다면 유용하지 않을 것이다. 

2. 현 프로젝트 상태를 문서화하라
일선에서 근무 중인 직원이 수시로 프로젝트 현황을 기록하고, 해당 정보를 다른 팀원들과 공유하도록 해야 한다. 프로젝트 핵심 인력에 공백이 생기더라도 나머지 인원들이 알아서 진행할 수 있도록 하기 위해서다. 

AMD의 보안 운영 책임자 데이비드 롱네커는 "직원이 프로젝트와 진행 중인 활동을 공유 문서로 정리하는 것이 중요하다. 물론 적절한 프라이버시와 민감한 데이터 접근 제한은 요구된다"라고 조언했다. 

이어서 그는 "해당 문서에 주요 연락처를 포함시켜야 한다. 이는 다른 직원들이 프로젝트 현황을 확인하는 것은 물론 예기치 않게 생긴 공백을 메워야 할 때도 도움이 된다"라고 덧붙였다. (롱테커는 그가 AMD를 대변하는 것이 아니라 개인의 의견을 언급한 것이라고 강조했다.)

3. 운영 연속성 계획(COOP)를 확인하라 
무엇보다 중요한 것은 예비역량이다. 각 주요 직무에서 한 명 이상의 인력이 비상시 해당 직무를 대체할 수 있는지 확인해야 한다. 미연방재난관리청(FEMA)의 지침이 사이버보안 전문가에게는 적합하지 않을 수 있지만, 운영 연속성과 관련해 일반적인 조언을 제공한다.

메릴랜드 대학교 보건 및 국토 안보센터(CHHS)의 공공정책 부문 책임자 벤 옐린은 “FEMA 가이드라인에 따라 COOP가 수립돼야 한다"라면서, "각 필수 직무에 대해 1차 백업 직원이 있어야 하고, 1차 백업 직원이 불가능한 경우를 대비해 최대 3명의 백업이 필요하다"라고 권고했다. 

그는 백업 인력이 해당 직무를 수행할 수 있는 역량을 갖추고 있는지 확인하는 것도 중요하다고 언급했다. “어려운 과정인 것은 분명하다. 많은 기업이 적절한 전문성과 자격증명을 갖춘 인력이 한 명뿐인 상황에 부닥치곤 한다. 운영 연속성 계획의 핵심은 비상시에도 가외성을 확보할 수 있는지 파악하는 것이다"라고 옐린은 덧붙였다.

4. 직무순환과 간접적 직무체험
롱네커는 직무순환과 직무체험은 (위기 상황이 아닐 때 할 수 있는) 구체적인 예비역량 확보 단계라고 밝혔다. 그는 "직원들을 회의와 의사결정이 내려지는 자리에 참석시켜 어떻게 중요한 과정이 처리되는지에 익숙해지도록 할 것"이라며, "직원들에게 갑자기 요구한다면 그들은 절대 대체할 수 없을 것이다"라고 설명했다. 

코로나19가 전 세계적으로 확산되는 가운데 앞으로 몇 주 동안 위기에 대비해 팀원을 긴밀하게 협력하도록 해야 한다. 긴밀하고 체계적인 협력이 위기 상황에서 살아남기 위한 열쇠가 될 것이다. ciokr@idg.co.kr



5일 전

위기 속 보안팀의 예비역량을 확보하는 4가지 방법

J.M. Porup | CSO
코로나19 여파로 원격근무 보안의 필요성이 두드러지고, 이를 악용한 사이버 공격까지 나타나는 가운데 주요 보안 담당자가 코로나19 감염 확진 판정을 받을 가능성도 간과할 순 없다. 기업 운영에 혼란을 초래할 수 있는 이러한 위험을 완화하는 4가지 방법을 소개한다.

‘핵심 요소의 고장을 미연에 방지하라’라는 정보보안 원칙은 시스템과 네트워크뿐만 아니라 세계적 대유행병(Pandemic) 시기를 살고 있는 개인에게도 해당된다. 핵심적인 사이버보안 담당자는 자격증명과 기업 인프라를 훤히 꿰뚫고 있다. 만약 이러한 주요 인력이 코로나19로 인해 장기간 또는 그 이상으로 정상적인 근무를 하지 못한다면? 현시점에서 모든 보안 리더의 최우선 과제는 인력 공백으로 운영이 중단되지 않도록 하는 것이다.
 
ⓒGetty Images

익명을 요구한 한 금융서비스 회사의 비즈니스 연속성 계획(BCP) 책임자는 "세계적 대유행병에 대응하는 강력한 계획은 사실상 불가능하다"라며, "하지만 직무별로 현 직원 수를 확인하고, 비상시에도 안전하게 운영할 수 있는 수준을 결정해야 한다"라고 <CSO>와의 인터뷰를 통해 전했다.

보안팀이 직면하고 있는 혹은 다가올 위기 상황을 극복하기 위해서는 자격증명, 프로세스 및 프로젝트 상태 업데이트를 포함한 정보에 대한 액세스와 직무 예비역량 확보가 필수적이다. 선제적 대응을 위해 취해야 할 4가지 단계를 살펴본다.

1. 비밀번호를 안전하게 기록해둬라
보안 담당자는 이른바 '왕국으로 가는 열쇠(Keys to the kingdom)'를 쥐고 있다. 보안키에 액세스할 수 있는 권한이 두 명 이상의 보안 담당자에게 할당됐는지 확인해야 한다. 또는 보안키 전담자가 없는 경우를 감안해 해당 보안키에 신속하게 액세스할 수 있는지도 검토해야 한다. 

이러한 경우를 잘 알고 있는 기업들은 플러그형 인증 모듈(PAMs)을 사용한다. 이는 인증을 유연성 있게 관리해주는 프레임워크다. 소규모 조직이라면 라스트패스(LastPass) 혹은 키패스(KeePass)와 같은 공유 암호 저장소를 이용하거나, 아니면 안전한 금고에 마스터 페이퍼 노트북(Master paper notebook)을 보관해 둘 수 있다. 

다중요소인증(MFA)을 잊어서는 안 된다. 여러 보안 담당자가 소프트웨어 형태의 인증토큰 혹은 U2F 보안키를 가지고 있는지 확인해야 한다. 이러한 공유 암호는 정상적인 근무가 불가능한 직원이 잠금을 해제할 수 없거나 유비키(Yubikey) 보안키가 어디 있는지 알려주지 못한다면 유용하지 않을 것이다. 

2. 현 프로젝트 상태를 문서화하라
일선에서 근무 중인 직원이 수시로 프로젝트 현황을 기록하고, 해당 정보를 다른 팀원들과 공유하도록 해야 한다. 프로젝트 핵심 인력에 공백이 생기더라도 나머지 인원들이 알아서 진행할 수 있도록 하기 위해서다. 

AMD의 보안 운영 책임자 데이비드 롱네커는 "직원이 프로젝트와 진행 중인 활동을 공유 문서로 정리하는 것이 중요하다. 물론 적절한 프라이버시와 민감한 데이터 접근 제한은 요구된다"라고 조언했다. 

이어서 그는 "해당 문서에 주요 연락처를 포함시켜야 한다. 이는 다른 직원들이 프로젝트 현황을 확인하는 것은 물론 예기치 않게 생긴 공백을 메워야 할 때도 도움이 된다"라고 덧붙였다. (롱테커는 그가 AMD를 대변하는 것이 아니라 개인의 의견을 언급한 것이라고 강조했다.)

3. 운영 연속성 계획(COOP)를 확인하라 
무엇보다 중요한 것은 예비역량이다. 각 주요 직무에서 한 명 이상의 인력이 비상시 해당 직무를 대체할 수 있는지 확인해야 한다. 미연방재난관리청(FEMA)의 지침이 사이버보안 전문가에게는 적합하지 않을 수 있지만, 운영 연속성과 관련해 일반적인 조언을 제공한다.

메릴랜드 대학교 보건 및 국토 안보센터(CHHS)의 공공정책 부문 책임자 벤 옐린은 “FEMA 가이드라인에 따라 COOP가 수립돼야 한다"라면서, "각 필수 직무에 대해 1차 백업 직원이 있어야 하고, 1차 백업 직원이 불가능한 경우를 대비해 최대 3명의 백업이 필요하다"라고 권고했다. 

그는 백업 인력이 해당 직무를 수행할 수 있는 역량을 갖추고 있는지 확인하는 것도 중요하다고 언급했다. “어려운 과정인 것은 분명하다. 많은 기업이 적절한 전문성과 자격증명을 갖춘 인력이 한 명뿐인 상황에 부닥치곤 한다. 운영 연속성 계획의 핵심은 비상시에도 가외성을 확보할 수 있는지 파악하는 것이다"라고 옐린은 덧붙였다.

4. 직무순환과 간접적 직무체험
롱네커는 직무순환과 직무체험은 (위기 상황이 아닐 때 할 수 있는) 구체적인 예비역량 확보 단계라고 밝혔다. 그는 "직원들을 회의와 의사결정이 내려지는 자리에 참석시켜 어떻게 중요한 과정이 처리되는지에 익숙해지도록 할 것"이라며, "직원들에게 갑자기 요구한다면 그들은 절대 대체할 수 없을 것이다"라고 설명했다. 

코로나19가 전 세계적으로 확산되는 가운데 앞으로 몇 주 동안 위기에 대비해 팀원을 긴밀하게 협력하도록 해야 한다. 긴밀하고 체계적인 협력이 위기 상황에서 살아남기 위한 열쇠가 될 것이다. ciokr@idg.co.kr

X