Offcanvas

How To / 로봇|자동화 / 리더십|조직관리 / 보안 / 소프트스킬 / 애플리케이션 / 통신|네트워크

오전 10시, IT 보안 팀은 무슨 일을 하고 있을까?

2015.09.17 Kacy Zurkus  |  CIO
IT 보안 직종 종사자들은 업무 시간을 무얼 하며 보낼까? 흔히들 생각하기로는 해커와 사이버 범죄자, 기타 어둠의 웹(Dark Web) 악당들이 초래하는 외부 위협을 방어하는데 시간을 보낼 것처럼 보인다. 그러나 실상은 많이 다르다. 내부에서 개발한 애플리케이션과 상용 애플리케이션의 보안 취약점과 관련해 가장 많은 시간을 소비한다.

올 여름 블랙 햇(Black Hat) 컨퍼런스 참석자들을 대상으로 한 설문 조사 결과에 따르면, 보안 전문가들은 가장 큰 위협에 해당하는 문제에 시간과 돈, 인력을 투자하지 못하는 기업들이 대부분이라고 응답했다.

대부분의 IT 전문가가 표적 공격이 초래하는 위협을 걱정하고 있었다. 그러나 실상은 애플리케이션 취약점 해결에 대부분의 시간을 투자한다는 것이다. 많은 전문가들이 다양한 방식으로 외부 공격이 초래될 수 있음을 잘 알고 있었지만, 일상 업무 때문에 이에 대비할 여유가 없다고 응답햇다.

블랙 햇 참석자 가운데 내부에서 개발한 소프트웨어와 사용 소프트웨어의 취약점 해결에 대부분의 시간을 소비하고 있다고 대답한 비율이 각각 35% 및 33%에 달하고 있었다. 이 조사 결과는 애플리케이션의 취약점이 IT 직원의 업무 시간 가운데 상당 시간을 소비하고 있음을 보여준다. 그럼에도 불구하고 이들 취약점이 가장 큰 위협으로 간주되지는 않고 있었다.

Credit: Mike Reyher, via Wikimedia Commons


개선할 부분이 많은 애플리케이션 보안
베라코드(Veracode)의 크리스 앙(Chris Eng) 조사 부문 부사장은 "모든 소프트웨어가 취약점을 갖고 있다. 그런데 이런 취약점을 테스트조차 하지 않은 소프트웨어가 아주 많다"라고 지적했다. 그 결과, 보안 팀이 지능적인 표적 공격, 사고로 인한 최종 사용자 데이터 유출, 다양한 형태의 맬웨어, 피싱 공격보다 애플리케이션 취약점에 더 많이 집중하고 있다는 설명이다.

앙은 보안 담당자들이 애플리케이션 취약점 해결에 너무 많은 시간을 소비하고 있다고 지적했다. 그는 "네트워크에서 실행되는 애플리케이션이 수백에서 수천에 달한다. 예를 들어, 은행권의 경우 보안 의식이 없던 10년 전에 개발된 구형 소프트웨어를 아직까지도 사용하고 있는 은행들이 많다"라고 설명했다. 기업이 운영하는 애플리케이션의 수가 많을수록 상황은 점점 더 나빠진다.

구형 소프트웨어 운영은 다양한 애플리케이션 운영에 있어 문제 중 하나일 뿐이다. 애플리케이션 보안이 전혀 도입되어 있지 않은 제품이 많으며 이들은 문제를 더욱 악화시킨다.

앙은 "웹 애플리케이션 모두를 테스트한다고 가정하자. 사이트가 해서는 안 될 일을 하도록 만드는 것이 테스트이다. 기업은 일반적으로 침입 테스트를 실시해왔다. 2주에 걸쳐 테스트를 하고, 보고를 하고, 수정을 한다. 그리고 이를 반복한다. 수정이란 새 기능을 추가하는 것을 의미한다. 이렇게 해야 하는 애플리케이션이 수천 종이다. 얼마나 많은 컨설턴트가 필요할지 생각해보라"라고 말했다.

“해결책은 자동화”
블랙 햇 참석자들은 "보안 전문가들이 정작 우려하고 있는 문제에 시간과 돈을 투자하지 못하고 있다. 컴플라이언스와 애플리케이션 보안에 상당히 많은 시간이 소비되고 있다. 이런 속박에서 벗어나 조직에 가장 큰 위협을 초래하는 소셜 엔지니어링 공격이나 표적 공격 등 새로운 위협에 초점을 맞출 수 있어야 한다"라고 입을 모아 지적했다.

이렇게 시간을 소비하는 작업을 해결할 수 있는 방법이 있다. 다름 아닌 자동화 도입이다. 앙은 "자동화를 도입해 매일 밤 자동으로 테스트를 할 수 있다. 개발자와 함께 파악된 애플리케이션 취약점을 해결하는데 시간을 소비하는 대신 모든 애플리케이션에서 자동으로 보안을 점검할 수 있다”라고 말했다.

그는 "가령 동일한 플랫폼으로 여러 애플리케이션을 셀프 테스트 하게끔 구성하면, SPOF(Single Point Of Failure, 단일 고장점)를 줄일 수 있다"라고 설명했다. 또 자동화는 기업이 자체 개발한 애플리케이션, 투자한 상용 애플리케이션과 시스템이 초래하는 위험을 더 정확히 파악할 수 있도록 도움을 준다고 그는 덧붙였다.

앙에 따르면, 문제의 크기와 범위 때문에 모든 부분을 테스트해야 한다. 그렇지 않으면 아무 소용이 없다. 즉 10~50개의 애플리케이션을 선별해 테스트 한 후, 이를 수정 방법으로는 시스템 전체에서 비롯되는 취약점을 놓칠 수 있다.

앙은 자동화를 통해 초래된 위험을 파악할 수 있다고 설명했다. 자동화는 또 회사가 보안 프로그램을 확대하도록 도움을 주고, 가시성을 제공하고, 정책을 수립하도록 도와주는데, 조달한 모든 애플리케이션과 시스템의 보안 상태를 파악할 수 있기 때문이다.

범죄자는 단 하나의 '진입점'만 있어도 네트워크에 침입할 수 있다. 그러나 기업이 더 많은 가시성을 확보할수록 환경을 더 안전하게 만들 수 있는 것도 사실이다. 앙은 "자동화로도 놓치는 문제점이 있을 수 있다. 그러나 자동화는 개발자들이 매일 이를 생각하도록 하는 효과를 가져다준다"라고 말했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.