2014.03.19

타깃의 데이터 유출 사고가 CIO에게 전하는 4가지 교훈

Jonathan Hassell | CIO

지난 해 말 유통 업체 타깃(Target)에서 벌어진 카드 정보 유출 사태를 모르는 이는 없을 것이다. 이 문제는 기업 네트워크의 개인 식별 번호 입력 패드(PIN, Personal Identification Number pad)에 보안 구멍이 발생함으로써 벌어졌다. 유출된 지불 카드 번호는 총 1억 1,000만 건에 이르렀다. 사고 이후 기업의 CIO 베스 제이콥스가 사임했으며, 논란은 한동안 이어질 전망이다.

시장의 거대 공개 기업으로서 타깃이 초래한 사고와 그 이후 행보는 관심의 대상이 되고 있다. CIO, 혹은 테크놀로지 관리자인 당신에게 이번 사건이 의미하는 바는 무엇일지 한 번 살펴보자. 타깃의 대규모 데이터 유출 사고는 다음과 같은 4가지 교훈을 전하고 있다.

1. 무시해선 안될 경보가 무엇인지를 명확히 하라
2. 주요 보안 문제의 처리 책임을 CISO와 공유하라
3. 사고 대응 계획을 마련하라
4. 가장 취약한 보안 지점은 가장 신경 쓰지 않는 부분이다


1. 무시해선 안될 경보가 무엇인지를 명확히 하라
모든 것이 서로 연결된 오늘날의 비즈니스 환경에서 취약점이란 도처에 만연한 존재다. 각기 다른 소프트웨어들이 서로 다른 리스크 프로파일을 지니고 있다. 어떤 기관에선 심각한 영향을 초래할 수 있는 취약성이 다른 기업에선 컴포넌츠 설정 구조를 약간 조정하는 것 만으로 해결되기도 한다.

CIO가 시행해야 할 기본적인 보안 대책은 단연 철저한 위협 분석이다. 그러나 이것 못지 않게, 밀려오는 이벤트 로그와 감사 로그, 벤더 취약성 알림, 침입 방어 메시지의 파도를 관리하는 과정 역시 필요하다는 사실을 기억해야 한다.

적용할 수 있는 우수 방법론: 각 보안 취약성 및 침입 시도가 어느 정도의 위험도를 지니는 지를 목록화 하라. 위험성 평가 기준은 비즈니스 성격에 따라 때론 시스템이 될 수도, 또 때론 위협 출처가 될 수도 있다. 세부적인 고려 사항은 다음과 같다.

◆ 소매 비즈니스의 경우에는 지불 시스템이 가장 신경 써야 할 부분이다. 정석을 따르자면 지불 시스템은 네트워크의 여타 부분들과 분리되는 것이 좋으며, 벤더 알람, 보안 감사 로그, 활동 모니터링 활동의 패칭(patching)은 가능한 자주 진행하는 것이 권고 된다. 패칭 과정에서 이상이 발견된다면 거기에는 더욱 많은 주의를 기울일 필요가 있다.

인터넷 활동이 많은 경우에는 적절한 사기 예방 조치의 확립 역시 요구되며, 쇼핑 카트와 전자상거래 소프트웨어에도 지속적인 모니터링과 패칭을 시행해야 한다.

◆ 침입 감지 시스템이나 허니팟(honeypot)이 전달하는 알림 역시 여타 알림에 비해 많은 주의를 기울여야 하는 요소다. 이 과정에는 문턱 값의 미세 조정 역시 필수적으로 요구됨을 기억하자. 침입 시도가 일회적일 경우에는 특별한 알림이 불필요하다. 그러나 반복적으로, 유사한 패턴으로 이뤄지는 침입 시도의 경우에는, 그것의 일관성을 평가하고 적절한 기술적 분석 및 보고를 진행하는 노력이 필요할 것이다.

◆ 파일 서버 혹은 데스크톱 소프트웨어 등에서 발생하는 일반적인 소프트웨어 취약성의 경우에도 분석 및 목록화가 필요하지만 테크놀로지 스택의 여타 고위험 취약성보다는 많은 역량을 투입하지 않아도 된다.

알림과 위협 메시지를 평가할 수 있는 평가 구조를 구축함으로써 신호대잡음비(signal-to-noise ratio)를 극대화할 수 있다. 즉, 무수히 쏟아지는 ‘황색 경보'들 사이에서 정말 시급한, ‘적색 경보'만을 뽑아내 보안 역량을 보다 집중적으로 투입할 수 있게 되는 것이다.




2014.03.19

타깃의 데이터 유출 사고가 CIO에게 전하는 4가지 교훈

Jonathan Hassell | CIO

지난 해 말 유통 업체 타깃(Target)에서 벌어진 카드 정보 유출 사태를 모르는 이는 없을 것이다. 이 문제는 기업 네트워크의 개인 식별 번호 입력 패드(PIN, Personal Identification Number pad)에 보안 구멍이 발생함으로써 벌어졌다. 유출된 지불 카드 번호는 총 1억 1,000만 건에 이르렀다. 사고 이후 기업의 CIO 베스 제이콥스가 사임했으며, 논란은 한동안 이어질 전망이다.

시장의 거대 공개 기업으로서 타깃이 초래한 사고와 그 이후 행보는 관심의 대상이 되고 있다. CIO, 혹은 테크놀로지 관리자인 당신에게 이번 사건이 의미하는 바는 무엇일지 한 번 살펴보자. 타깃의 대규모 데이터 유출 사고는 다음과 같은 4가지 교훈을 전하고 있다.

1. 무시해선 안될 경보가 무엇인지를 명확히 하라
2. 주요 보안 문제의 처리 책임을 CISO와 공유하라
3. 사고 대응 계획을 마련하라
4. 가장 취약한 보안 지점은 가장 신경 쓰지 않는 부분이다


1. 무시해선 안될 경보가 무엇인지를 명확히 하라
모든 것이 서로 연결된 오늘날의 비즈니스 환경에서 취약점이란 도처에 만연한 존재다. 각기 다른 소프트웨어들이 서로 다른 리스크 프로파일을 지니고 있다. 어떤 기관에선 심각한 영향을 초래할 수 있는 취약성이 다른 기업에선 컴포넌츠 설정 구조를 약간 조정하는 것 만으로 해결되기도 한다.

CIO가 시행해야 할 기본적인 보안 대책은 단연 철저한 위협 분석이다. 그러나 이것 못지 않게, 밀려오는 이벤트 로그와 감사 로그, 벤더 취약성 알림, 침입 방어 메시지의 파도를 관리하는 과정 역시 필요하다는 사실을 기억해야 한다.

적용할 수 있는 우수 방법론: 각 보안 취약성 및 침입 시도가 어느 정도의 위험도를 지니는 지를 목록화 하라. 위험성 평가 기준은 비즈니스 성격에 따라 때론 시스템이 될 수도, 또 때론 위협 출처가 될 수도 있다. 세부적인 고려 사항은 다음과 같다.

◆ 소매 비즈니스의 경우에는 지불 시스템이 가장 신경 써야 할 부분이다. 정석을 따르자면 지불 시스템은 네트워크의 여타 부분들과 분리되는 것이 좋으며, 벤더 알람, 보안 감사 로그, 활동 모니터링 활동의 패칭(patching)은 가능한 자주 진행하는 것이 권고 된다. 패칭 과정에서 이상이 발견된다면 거기에는 더욱 많은 주의를 기울일 필요가 있다.

인터넷 활동이 많은 경우에는 적절한 사기 예방 조치의 확립 역시 요구되며, 쇼핑 카트와 전자상거래 소프트웨어에도 지속적인 모니터링과 패칭을 시행해야 한다.

◆ 침입 감지 시스템이나 허니팟(honeypot)이 전달하는 알림 역시 여타 알림에 비해 많은 주의를 기울여야 하는 요소다. 이 과정에는 문턱 값의 미세 조정 역시 필수적으로 요구됨을 기억하자. 침입 시도가 일회적일 경우에는 특별한 알림이 불필요하다. 그러나 반복적으로, 유사한 패턴으로 이뤄지는 침입 시도의 경우에는, 그것의 일관성을 평가하고 적절한 기술적 분석 및 보고를 진행하는 노력이 필요할 것이다.

◆ 파일 서버 혹은 데스크톱 소프트웨어 등에서 발생하는 일반적인 소프트웨어 취약성의 경우에도 분석 및 목록화가 필요하지만 테크놀로지 스택의 여타 고위험 취약성보다는 많은 역량을 투입하지 않아도 된다.

알림과 위협 메시지를 평가할 수 있는 평가 구조를 구축함으로써 신호대잡음비(signal-to-noise ratio)를 극대화할 수 있다. 즉, 무수히 쏟아지는 ‘황색 경보'들 사이에서 정말 시급한, ‘적색 경보'만을 뽑아내 보안 역량을 보다 집중적으로 투입할 수 있게 되는 것이다.


X