2016.12.06

최강 IT보안 드림팀에 영입해야 할 멤버는 누구?

Josh Fruhlinger | CSO

지난달 ‘회사마다 꼭 있는 '아몰랑 보안' 유형··· 혹시 당신도?’라는 기사에 이어 이번에는 IT보안 드림팀을 소개할까 한다. 필자는 여러 IT전문가들에게 가장 어려운 보안 문제가 닥쳤을 때 자신의 편에서 함께 하기를 바라는 우수 인재들에 관해 질문해 보았다. 여러 중요한 역할이 존재하는데, 필자는 단순히 직위가 아닌, 태도와 수퍼파워에 가까운 능력에 관해 구체적으로 물었고, 그 결과 다양한 IT보안 드림팀 멤버에 관한 정보를 들을 수 있었다. IT보안은 팀 스포츠다. 그렇다면 당신은 누구를 팀에 넣고 싶은가?


Credit: GettyImages 

해커
우선, 무찌르려는 상대방과 기술과 마음가짐을 지닌 전문가가 내부에도 있어야 한다. 솔라윈즈(SolarWinds)의 책임자 데스트니 버투치는 "포괄적인 침투 시험을 하고 보안 조치, 절차, 프로세스를 시험할 수 있는 기술을 갖춘 보안 전문가를 고용할 수 있는 방법을 모색해야 한다"고 밝혔다. 이어서 "이 사람은 건전한 호기심이 있어야 하며 DEFCON에서 처음으로 해커 대회에 참가해 본 사람이면 좋다"고 덧붙였다.

글로벌스케이프(Globalscape)의 엔지니어링 부사장 그레그 호퍼는 이러한 인재를 ‘착한 실력자’라고 부르면서 다음과 같이 말했다. "팀의 조수로서 모의 전투 방식으로 정보 관리 시스템의 보안 평가를 수행한다. 그들의 터무니없는 행동이 보안팀의 전반적인 성과에 도움이 된다."

현상금 사냥꾼
어떤 사람들은 버그를 찾는데 열정이 있고 여러분은 그런 사람들을 찾아 그런 열정을 활용해야 한다. 코디스코프(Codiscope)의 CGO(Chief Guidance Officer) 크리스 슈미트는 "현상금 사냥꾼은 앉아서 가끔 버그를 찾으면서 남부럽잖은 생활을 할 수 있는 사람이지만 소득이 충분하지 못하고 하루 만에 수백만 달러짜리 버그를 찾는 꿈을 꾸기 때문에 출근하는 팀원이다"고 이야기했다. "그들은 익스플로잇(Exploit) 공격과 피버팅(Pivoting) 연결의 미학을 숙달했지만 발견한 버그를 신속하고 효과적으로 해결할 수 있는 해결책을 설명하는 예리한 능력도 개발했다. 그들은 정기적으로 오픈 소스 커뮤니티에 기여하며 최고의 프레임워크 유지보수 담당자들과 좋은 관계를 맺고 있다."

음악가
레벨 3 커뮤니케이션즈(Level 3 Communications)의 CSO 데일 드류는 음악가를 찾고 있는데, 이는 비유법으로 이야기한 것이 아니다. 그는 음악가가 엄청난 양의 네트워크 메타데이터(Metadata) 등 혼란스러운 정보를 취하고 프로세스를 정립하여 변칙적인 움직임의 패턴을 찾을 수 있다고 밝혔다. 이어서 "나는 보안 직원을 고용하지 않았던 적이 많다. 시장에 상당수가 있을 때도 우리는 먼저 기술 전문가에 집중한 후에 보안에 대해 교육하는 경향이 있었다"고 덧붙였다.

레벨 3의 보안 아키텍처 조직의 새 팀원인 코트니 트레이는 플루트를 연주한다. 그녀는 처음에 유사 부호 작성을 ‘악보를 보는 것과 같다’고 생각했다. 트레이는 악보를 스캔하여 의미를 파악한 후에 세부 사항을 찾는 일을 하고 있다.

카리스마 있는 행정관
정보 보안 담당자가 되면 사람들에게 "안돼"라고 말하는 일이 많아진다. 동료에게 그들이 실행하고 싶은 앱이나 좋아하는 웹사이트가 안전하지 못하다고 말하고, 비밀번호가 취약하다고 지적하며, 잠시 책상에서 일어설 때도 로그오프 해야 한다고 권고한다. 코디스코프의 슈미트는 대부분의 사람들이 이러한 간섭과 잔소리를 그다지 좋아하지 않기 때문에 이를 편안하게 생각하는 행정관을 찾아야 한다며 다음과 같이 말했다. "행정관은 동료들 사이에서 존경을 받는다. 그들은 카리스마가 있는 훌륭한 소통자이며 유연함을 고려해야 할 때 그리고 조직의 위험 없이 그 유연성을 적용하는 방법을 파악할 수 있다. 가장 중요한 것은 행정관이 자신에게 부여된 권한을 이해하고 존중하면서 여기에 취하지 않는다는 점이다."

써드파티 보안 닌자
당신이 보안 활동에 관한 아무런 통제권한이 없다 해도, 당신의 친구나 당신이 네트워크를 개방해 줘야 하는 협력사를 통해 적들이 접근할 수도 있다. 사이버GRX(CyberGRX)의 비즈니스 개발 책임자 스콧 슈나이더는 "제3의 관계, 제4의 관계가 점차 기업을 위협하는 사이버 공격, 시스템 고장, 데이터 노출의 원천이 되고 있다"고 전했다. "써드파티 보안 닌자는 이 부분에서 기업들이 자신을 보호하기 어렵다는 점을 알고 있다. 새로운 관계에 대해 '새로운 친구는 없다'는 닌자의 접근방식은 그들이 제3의 협력사에 접근하는 방식과 유사하다. 이들은 기업의 가장 약한 링크가 그 기업의 보안 강도 수준임을 알고 있으며, 기업의 데이터 관리 및 보안 전략에서 외부인이 그 어떤 틈도 만들지 못하게 한다."




2016.12.06

최강 IT보안 드림팀에 영입해야 할 멤버는 누구?

Josh Fruhlinger | CSO

지난달 ‘회사마다 꼭 있는 '아몰랑 보안' 유형··· 혹시 당신도?’라는 기사에 이어 이번에는 IT보안 드림팀을 소개할까 한다. 필자는 여러 IT전문가들에게 가장 어려운 보안 문제가 닥쳤을 때 자신의 편에서 함께 하기를 바라는 우수 인재들에 관해 질문해 보았다. 여러 중요한 역할이 존재하는데, 필자는 단순히 직위가 아닌, 태도와 수퍼파워에 가까운 능력에 관해 구체적으로 물었고, 그 결과 다양한 IT보안 드림팀 멤버에 관한 정보를 들을 수 있었다. IT보안은 팀 스포츠다. 그렇다면 당신은 누구를 팀에 넣고 싶은가?


Credit: GettyImages 

해커
우선, 무찌르려는 상대방과 기술과 마음가짐을 지닌 전문가가 내부에도 있어야 한다. 솔라윈즈(SolarWinds)의 책임자 데스트니 버투치는 "포괄적인 침투 시험을 하고 보안 조치, 절차, 프로세스를 시험할 수 있는 기술을 갖춘 보안 전문가를 고용할 수 있는 방법을 모색해야 한다"고 밝혔다. 이어서 "이 사람은 건전한 호기심이 있어야 하며 DEFCON에서 처음으로 해커 대회에 참가해 본 사람이면 좋다"고 덧붙였다.

글로벌스케이프(Globalscape)의 엔지니어링 부사장 그레그 호퍼는 이러한 인재를 ‘착한 실력자’라고 부르면서 다음과 같이 말했다. "팀의 조수로서 모의 전투 방식으로 정보 관리 시스템의 보안 평가를 수행한다. 그들의 터무니없는 행동이 보안팀의 전반적인 성과에 도움이 된다."

현상금 사냥꾼
어떤 사람들은 버그를 찾는데 열정이 있고 여러분은 그런 사람들을 찾아 그런 열정을 활용해야 한다. 코디스코프(Codiscope)의 CGO(Chief Guidance Officer) 크리스 슈미트는 "현상금 사냥꾼은 앉아서 가끔 버그를 찾으면서 남부럽잖은 생활을 할 수 있는 사람이지만 소득이 충분하지 못하고 하루 만에 수백만 달러짜리 버그를 찾는 꿈을 꾸기 때문에 출근하는 팀원이다"고 이야기했다. "그들은 익스플로잇(Exploit) 공격과 피버팅(Pivoting) 연결의 미학을 숙달했지만 발견한 버그를 신속하고 효과적으로 해결할 수 있는 해결책을 설명하는 예리한 능력도 개발했다. 그들은 정기적으로 오픈 소스 커뮤니티에 기여하며 최고의 프레임워크 유지보수 담당자들과 좋은 관계를 맺고 있다."

음악가
레벨 3 커뮤니케이션즈(Level 3 Communications)의 CSO 데일 드류는 음악가를 찾고 있는데, 이는 비유법으로 이야기한 것이 아니다. 그는 음악가가 엄청난 양의 네트워크 메타데이터(Metadata) 등 혼란스러운 정보를 취하고 프로세스를 정립하여 변칙적인 움직임의 패턴을 찾을 수 있다고 밝혔다. 이어서 "나는 보안 직원을 고용하지 않았던 적이 많다. 시장에 상당수가 있을 때도 우리는 먼저 기술 전문가에 집중한 후에 보안에 대해 교육하는 경향이 있었다"고 덧붙였다.

레벨 3의 보안 아키텍처 조직의 새 팀원인 코트니 트레이는 플루트를 연주한다. 그녀는 처음에 유사 부호 작성을 ‘악보를 보는 것과 같다’고 생각했다. 트레이는 악보를 스캔하여 의미를 파악한 후에 세부 사항을 찾는 일을 하고 있다.

카리스마 있는 행정관
정보 보안 담당자가 되면 사람들에게 "안돼"라고 말하는 일이 많아진다. 동료에게 그들이 실행하고 싶은 앱이나 좋아하는 웹사이트가 안전하지 못하다고 말하고, 비밀번호가 취약하다고 지적하며, 잠시 책상에서 일어설 때도 로그오프 해야 한다고 권고한다. 코디스코프의 슈미트는 대부분의 사람들이 이러한 간섭과 잔소리를 그다지 좋아하지 않기 때문에 이를 편안하게 생각하는 행정관을 찾아야 한다며 다음과 같이 말했다. "행정관은 동료들 사이에서 존경을 받는다. 그들은 카리스마가 있는 훌륭한 소통자이며 유연함을 고려해야 할 때 그리고 조직의 위험 없이 그 유연성을 적용하는 방법을 파악할 수 있다. 가장 중요한 것은 행정관이 자신에게 부여된 권한을 이해하고 존중하면서 여기에 취하지 않는다는 점이다."

써드파티 보안 닌자
당신이 보안 활동에 관한 아무런 통제권한이 없다 해도, 당신의 친구나 당신이 네트워크를 개방해 줘야 하는 협력사를 통해 적들이 접근할 수도 있다. 사이버GRX(CyberGRX)의 비즈니스 개발 책임자 스콧 슈나이더는 "제3의 관계, 제4의 관계가 점차 기업을 위협하는 사이버 공격, 시스템 고장, 데이터 노출의 원천이 되고 있다"고 전했다. "써드파티 보안 닌자는 이 부분에서 기업들이 자신을 보호하기 어렵다는 점을 알고 있다. 새로운 관계에 대해 '새로운 친구는 없다'는 닌자의 접근방식은 그들이 제3의 협력사에 접근하는 방식과 유사하다. 이들은 기업의 가장 약한 링크가 그 기업의 보안 강도 수준임을 알고 있으며, 기업의 데이터 관리 및 보안 전략에서 외부인이 그 어떤 틈도 만들지 못하게 한다."


X