현재 전세계 거의 모든 조직이 사이버 보안 공격의 증가에 따른 영향을 체감하고 있다. 공격 횟수가 증가했을 뿐 아니라 전략과 기법이 점점 복잡해지기에 사전 탐지와 예방은 더욱 어려워졌다. 이에 따라 조직이 전반적인 인프라를 더욱 안전하게 보호할 수 있는 보안 가드레일, 정책, 프로세스를 구현해야 할 필요성이 대두되고 있다.
특히 국가중요시설(Critical National Infrastructre)의 경우 주요 보안 과제들에 대해 접근 방식을 재점검하고, 다양하고 고차원적으로 진화하는 위협에 대응할 수 있는 솔루션과 프로세스를 도입해야 한다. 국가중요시설이란 국가가 일상적으로 기능하기 위한 필수 서비스를 제공하는 시설, 시스템, 사이트, 정보, 네트워크 및 프로세스를 말한다.
공격을 받았을 때 국가경제와 국방 등에 심각한 상황을 초래할 수 있는 공항·항만·원자력발전소 등과 같은 시설이 이에 해당된다. 국가중요시설의 주요 보안 과제는 사이버 위협 분석 시스템 및 소프트웨어 공급망 구현의 측면, 프로세스 자동화와 통합 가시성 향상의 측면에서 살펴볼 수 있다.
거의 매일 새로운 사이버 공격의 위협이 생겨나는 만큼, 국가중요시설은 인프라 전반에 걸쳐 민첩하고 지속적인 업데이트를 통해 체계적인 위협 분석 시스템을 구축해야 한다. 조직이 기존의 노후한 IT 시스템에 의존할 경우, 패치되지 않은 운영 체제 상에서 소프트웨어의 취약점이 발견될 수 있다. 이러한 소프트웨어 운영을 위해 신뢰할 수 있는 공급망은 필수적으로 구현되어야 한다.
침입자들은 점점 더 공급망의 취약점을 악용하여 국가중요시설의 네트워크에 접근하고 있다. 신원 도용 리소스 센터(Identify Theft Resource Center)에 따르면 지금까지 사이버 공격의 대부분은 맬웨어(악성 소프트웨어)가 원인으로 간주되었으나, 2022년에는 공급망 공격이 맬웨어 기반 공격 건수를 40%나 앞질렀다.
따라서 국가중요시설은 신뢰할 수 있는 소프트웨어 공급망 기술을 구현하고, 보안 위험에 대한 노출을 더욱 잘 감지하고 완화할 수 있는 서비스를 도입할 필요가 있다. 개발 프로세스 초기 단계부터 안전성을 구축하고, 특정 소프트웨어가 보안 요구 사항을 충족할 경우 해당 요소에 디지털 서명 및 소프트웨어 자재 명세서(SBOM)를 생성해 출처를 입증해야 한다. 개발자는 이러한 환경을 바탕으로 신뢰할 수 있는 콘텐츠 저장소에 접근하여 검증, 서명 및 증명 등의 구성 요소를 선택하고 개발 시간을 단축할 수 있을 것이다.
이에 더하여 데브섹옵스(DevSecOps) 개념을 바탕으로 오픈소스 코드를 안전하게 사용하고 소프트웨어 개발 수명 주기에 보안을 구축해야 한다. 트러스티드 애플리케이션 파이프라인(Red Hat Trusted Application Pipeline)과 같은 솔루션은 데브섹옵스 프레임워크의 모든 단계에서 보안 가드레일을 통합하여, 신뢰할 수 있는 소프트웨어 공급망 구현을 위한 시간을 단축시킬 수 있다.
국가중요시설의 보안 과제를 위해서는 프로세스 자동화와 통합 가시성도 핵심이다. 조직 내 여러 팀들의 각자 다른 시스템들을 각자 수동적으로 관리하는 프로세스에서 벗어나, 인프라 일관성을 높일 수 있는 포괄적인 자동화가 필요하다. 국가중요시설 특성 상 관리할 자산이 워낙 방대하기 때문에 통합적인 모니터링 또한 중요한 부분이다. 사이버 시큐리티 벤처스(Cyber Security Ventures)에 따르면 2023년 사이버 범죄와 관련된 비용이 전세계적으로 8조 달러에 달할 것으로 예상되며, 보안 침해의 95%가 사람의 실수로 발생하는 상황에서 수동 탐지와 파편화된 모니터링만으로는 충분하지 않다.
자동화는 IT 보안을 위한 강력한 축으로 기능한다. 정기 스캔 후 손상된 시스템 격리, 패치 적용, 알림과 같은 작업을 자동화하여 일관되고 효율적인 워크플로우를 구축할 수 있다. 또한 기존 모니터링 보안 툴에 레드햇 앤서블(Red Hat Ansible)과 같은 자동화 플랫폼을 연결하면 조건부 이벤트를 트리거하고 자동으로 대응할 수 있는 작업을 정의하는 등, 엔드 투 엔드(end-to-end) 모니터링을 통합적으로 자동화할 수 있다.
보안은 비즈니스 성공의 열쇠다. 선진적인 보안 체계를 위해서는 기술의 혁신뿐 아니라 인적 자원의 혁신 또한 요구된다. 미국의 암호학자이자 컴퓨터 보안 전문가 브루스 슈나이더(Bruce Schneier)는 "기술로 모든 보안 문제를 해결할 수 있다고 생각한다면, 그건 어떤 문제도 이해하지 못한 것이나 다름없다”라고 말했다. 국가중요시설은 클라우드 보안 프로세스, 데이터 보호, 데이터 주권 등에 대한 교육을 통해 조직 내 구성원들이 데브섹옵스 중심의 사고방식을 함양할 수 있도록 해야 한다. 이로써 조직 전반의 보안 요구 사항과 위험 관리 전략을 명확히 숙지하고, 진화하는 사이버 위협에 선제적으로 대응해 나가야 할 것이다.
* 크리스 젠킨스는 레드햇 글로벌 CTO다. ciokr@idg.co.kr