2017.06.02

보안에서 SLA가 없는 이유

Ryan Francis | CSO
가동 시간 100%는 모두의 꿈이자 이상이지만, 일부 업체는 보안에 특정 한도를 두는 것조차 비현실적이라고 믿는다.

99.999%에 대해 항상 들어왔을 것이다. 이는 네트워크가 온라인 상태여야 하는 서비스 수준 계약(Service Level Agreement, SLA)에서 정의된 일반적인 가동 시간이다. 보안에서는 이와 동일한 약속을 할 수 있을까?

업체들은 아니라고 말한다.

빔(VEEAM) 클라우드 및 얼라이언스 전략 담당 부사장 대니 앨런은 "보안과 관련해 특정 서비스 수준을 설정하는 것은 극히 어려운 일이다"며, "나는 기업에 적용할 수 있는 특정 한도를 생각할 수 없다"고 말했다.

이런 상황에서 왓이프(what-if) 게임을 할 수 있다. 보안에 대한 특정 한도를 둔다면 어떻게 될까, 그것은 어떻게 보일까?

무엇보다 먼저 문제가 되는 것
ESG(Enterprise Strategy Group)가 작성한 보고서에 따르면, 5개 조직 가운데 4개는 여유한도의 차이(Availability Gap)를 갖고 있는 것을 알고 있었다. 올해 조사 응답자의 82%가 비즈니스 부서 단위의 SLA 기대치와 비교할 때, 복구 역량이 적절하지 않다고 인식했다.

이 보고서는 보안 문제로 인해 네트워크가 중단되면 기업에서의 평균 피해 비용이 2,180만 달러라고 밝혔다. 응답자의 2/3는 예상치 못한 다운타임으로 디지털 변혁이 중단되고 있다고 말했다.

ESG의 데이터 보호 수석 분석가 제이슨 버핑턴은 "대형 글로벌 기업이라도 생산성에 영향을 미치는 미숙한 백업과 복구 역량으로 인해 수익성과 디지털 변혁과 같은 전략적 이니셔티브를 저해하고 있다. 가용성과 데이터 보호와의 격차는 현재 널리 알려져 있다는 걸 고려했을 때 IT 부서가 비즈니스 부서의 요구를 충족시키지 못하는 것은 IT 부서장의 심각한 우려사항이다"고 전했다.

이 보고서는 7개 조직 가운데 6개가 가상 환경에서 데이터를 안정적으로 보호/복구할 수 있는 역량에 대해 높은 수준의 확신을 갖지 못한다고 말했다. 응답자의 72%는
데이터 손실을 당했을 때 비즈니스 부서의 기대치만큼 데이터를 보호하지 못한다고 응답했다.

빔 소프트웨어 사장이자 COO인 피터 맥케이는 "유비쿼터스 액세스는 많은 조직에서 꿈꾸는 희망사항일 뿐이다. 디지털 변혁 계획과 기존 인프라에 대한 다른 질문이 필요하다. 기업들은 사용자 경험과 결합해 경쟁력 있는 업타임을 제공할 수 있는 지에 직면했다"고 말했다.

그래서 보안 SLA는 무엇을 할 수 있을까
쿠델스키 시큐리티(Kudelski Security) 글로벌 관리 서비스 담당 부사장 알톤 키지아는 100% 효과적인 보안 제어, 프로세스 또는 기술은 없다는 점에 동의했다.

키지아는 "심지어 인터넷이 연결되지 않은 에어 갭(air-gapped) 시스템조차도 최근 특정 유형의 공격에 취약한 것으로 나타났다. 따라서 MSSP(Managed Security Service Providers)가 100% 보안을 보장하는 것은 불가능할 뿐만 아니라 솔직하지 못하다. SLA이나 마케팅 자료와는 관계없이 보안 조치가 절대 안전하다고 믿는 것은 좋지 않다"고 설명했다.

키지아는 "보안 업체들이 얼마나 효과적으로 기업 고객들의 보안 태세를 관리하고 성숙시킬 수 있는지를 측정하길 원한다"고 말했다. 쿠델스키 시큐리티는 보안 사건, 데이터 유출 등에 대한 대응 및 분류 시간을 포함한 내용의 여러 SLA를 제공한다.

우리는 침해 사례가 있는 불행한 경우에 고객 서비스의 신용과 금전적 보상을 제공한다. 모니터링을 지속적으로 개선하고 데이터 소스가 특정 사용사례를 통해 상황에 맞는 데이터를 제공하도록 적절히 구성할 수 있는 오탐 비율과 같은 좀더 정교한 메커니즘을 보유하고 있다. 이를 통해 위협 수집 결과가 새로운 모니터링 경고로 바꿀 수 있다.

빠르게 진화하는 위협 환경에서 효과적인 보안을 측정하는 것은 어렵지만, 보안업체의 역량을 꾸준히 향상시키기 위해서는 효과를 평가하고 측정하기 위한 합리적이고 실용적인 접근방법이 필요하다. 엘런이 제안하는 보안 서비스 약속은 다음과 같다.

- 문서화된 보안 아키텍처(경계, 강화, 프로세스 등)
- 저장 데이터와 이동 데이터 모두에 대한 엔드 투 엔드 암호화
- 유출과 관련된 침해 또는 비용을 보상하는 보안 보험
- 산업계 관련 인증


엘런은 "그러나 이것들은 서비스 수준 계약이 아니며, SLA에서의 보안은 말이 되지 않는다. 모든 종류의 보안 SLA은 존재하지 않는다. 주로 보안이 확인란이 아닌 계층에 적용되기 때문이다. 대부분 공급업체가 사용하는 접근방식은 제 3자 증명(HIPAA, PCI 등)을 준수하는 인증을 획득하는 것이다. 사람들은 물리적 보안 측면과 운영 측면 모두에서 활용되는 퍼블릭 보안 아키텍처 모델을 문서화하게 될 것이다"라고 설명했다.

그는 "보안 SLA는 하드웨어, 소프트웨어, 가용성, 보고, 알림, 그리고 사고 대응 시간 등 5가지 핵심 영역만 다루는 것이 일반적이다"고 덧붙였다. editor@itworld.co.kr  



2017.06.02

보안에서 SLA가 없는 이유

Ryan Francis | CSO
가동 시간 100%는 모두의 꿈이자 이상이지만, 일부 업체는 보안에 특정 한도를 두는 것조차 비현실적이라고 믿는다.

99.999%에 대해 항상 들어왔을 것이다. 이는 네트워크가 온라인 상태여야 하는 서비스 수준 계약(Service Level Agreement, SLA)에서 정의된 일반적인 가동 시간이다. 보안에서는 이와 동일한 약속을 할 수 있을까?

업체들은 아니라고 말한다.

빔(VEEAM) 클라우드 및 얼라이언스 전략 담당 부사장 대니 앨런은 "보안과 관련해 특정 서비스 수준을 설정하는 것은 극히 어려운 일이다"며, "나는 기업에 적용할 수 있는 특정 한도를 생각할 수 없다"고 말했다.

이런 상황에서 왓이프(what-if) 게임을 할 수 있다. 보안에 대한 특정 한도를 둔다면 어떻게 될까, 그것은 어떻게 보일까?

무엇보다 먼저 문제가 되는 것
ESG(Enterprise Strategy Group)가 작성한 보고서에 따르면, 5개 조직 가운데 4개는 여유한도의 차이(Availability Gap)를 갖고 있는 것을 알고 있었다. 올해 조사 응답자의 82%가 비즈니스 부서 단위의 SLA 기대치와 비교할 때, 복구 역량이 적절하지 않다고 인식했다.

이 보고서는 보안 문제로 인해 네트워크가 중단되면 기업에서의 평균 피해 비용이 2,180만 달러라고 밝혔다. 응답자의 2/3는 예상치 못한 다운타임으로 디지털 변혁이 중단되고 있다고 말했다.

ESG의 데이터 보호 수석 분석가 제이슨 버핑턴은 "대형 글로벌 기업이라도 생산성에 영향을 미치는 미숙한 백업과 복구 역량으로 인해 수익성과 디지털 변혁과 같은 전략적 이니셔티브를 저해하고 있다. 가용성과 데이터 보호와의 격차는 현재 널리 알려져 있다는 걸 고려했을 때 IT 부서가 비즈니스 부서의 요구를 충족시키지 못하는 것은 IT 부서장의 심각한 우려사항이다"고 전했다.

이 보고서는 7개 조직 가운데 6개가 가상 환경에서 데이터를 안정적으로 보호/복구할 수 있는 역량에 대해 높은 수준의 확신을 갖지 못한다고 말했다. 응답자의 72%는
데이터 손실을 당했을 때 비즈니스 부서의 기대치만큼 데이터를 보호하지 못한다고 응답했다.

빔 소프트웨어 사장이자 COO인 피터 맥케이는 "유비쿼터스 액세스는 많은 조직에서 꿈꾸는 희망사항일 뿐이다. 디지털 변혁 계획과 기존 인프라에 대한 다른 질문이 필요하다. 기업들은 사용자 경험과 결합해 경쟁력 있는 업타임을 제공할 수 있는 지에 직면했다"고 말했다.

그래서 보안 SLA는 무엇을 할 수 있을까
쿠델스키 시큐리티(Kudelski Security) 글로벌 관리 서비스 담당 부사장 알톤 키지아는 100% 효과적인 보안 제어, 프로세스 또는 기술은 없다는 점에 동의했다.

키지아는 "심지어 인터넷이 연결되지 않은 에어 갭(air-gapped) 시스템조차도 최근 특정 유형의 공격에 취약한 것으로 나타났다. 따라서 MSSP(Managed Security Service Providers)가 100% 보안을 보장하는 것은 불가능할 뿐만 아니라 솔직하지 못하다. SLA이나 마케팅 자료와는 관계없이 보안 조치가 절대 안전하다고 믿는 것은 좋지 않다"고 설명했다.

키지아는 "보안 업체들이 얼마나 효과적으로 기업 고객들의 보안 태세를 관리하고 성숙시킬 수 있는지를 측정하길 원한다"고 말했다. 쿠델스키 시큐리티는 보안 사건, 데이터 유출 등에 대한 대응 및 분류 시간을 포함한 내용의 여러 SLA를 제공한다.

우리는 침해 사례가 있는 불행한 경우에 고객 서비스의 신용과 금전적 보상을 제공한다. 모니터링을 지속적으로 개선하고 데이터 소스가 특정 사용사례를 통해 상황에 맞는 데이터를 제공하도록 적절히 구성할 수 있는 오탐 비율과 같은 좀더 정교한 메커니즘을 보유하고 있다. 이를 통해 위협 수집 결과가 새로운 모니터링 경고로 바꿀 수 있다.

빠르게 진화하는 위협 환경에서 효과적인 보안을 측정하는 것은 어렵지만, 보안업체의 역량을 꾸준히 향상시키기 위해서는 효과를 평가하고 측정하기 위한 합리적이고 실용적인 접근방법이 필요하다. 엘런이 제안하는 보안 서비스 약속은 다음과 같다.

- 문서화된 보안 아키텍처(경계, 강화, 프로세스 등)
- 저장 데이터와 이동 데이터 모두에 대한 엔드 투 엔드 암호화
- 유출과 관련된 침해 또는 비용을 보상하는 보안 보험
- 산업계 관련 인증


엘런은 "그러나 이것들은 서비스 수준 계약이 아니며, SLA에서의 보안은 말이 되지 않는다. 모든 종류의 보안 SLA은 존재하지 않는다. 주로 보안이 확인란이 아닌 계층에 적용되기 때문이다. 대부분 공급업체가 사용하는 접근방식은 제 3자 증명(HIPAA, PCI 등)을 준수하는 인증을 획득하는 것이다. 사람들은 물리적 보안 측면과 운영 측면 모두에서 활용되는 퍼블릭 보안 아키텍처 모델을 문서화하게 될 것이다"라고 설명했다.

그는 "보안 SLA는 하드웨어, 소프트웨어, 가용성, 보고, 알림, 그리고 사고 대응 시간 등 5가지 핵심 영역만 다루는 것이 일반적이다"고 덧붙였다. editor@itworld.co.kr  

X