2011.07.28

주의해야 할 IT 보안 조직의 5가지 가장 큰 실수

Ellen Messmer | Network World
창문 닦는 일과 마찬가지로 IT 보안은 하지 않았을 때만 주목 받는다는 점에서 보람없는 일이 될 수도 있다. 그러나 지금의 가상화, 스마트폰 및 클라우드 컴퓨팅 시대에 보안 작업을 해치우기 위해서는 기술적이고 정치적인 실수들을 피해야만 한다. 특히, 반드시 피해야 할 다섯 가지 보안 실수를 살펴보자.
 
1. 회사의 사고방식이 5년 전과 다름없다는 생각
그렇지 않다. 이제 기업들은 문을 활짝 열어젖히고 직장에서 직원들의 개인 모바일 기기 사용을 허락하고, IT 보안 부서가 차마 모르는 새 기존의 컴퓨팅 자원들과 응용프로그램들을 클라우드로 몰아 넣으면서 IT 보안 부서의 힘이나 영향력은 점차 약화되고 있다. 때때로 IT 부서 외 사람들이 선택하는 기술에 대해 합당한 보안 사례들을 소개하기 위해서 사전에 준비하고 있어야 한다. 불가능한 과제이긴 하지만, 그것이 바로 IT 보안 부서의 몫이다. 잘못된 가정이 생겨나지 않도록 위험 요소들을 분명하게 설명하는 새로운 정책 지침의 개발을 수반할 수도 있다.
 
2. IT 및 고위 경영진들과의 업무 관계 구축 실패
IT 보안 조직은 일반적으로 IT 부서의 나머지 조직에 비해 상당히 규모가 작다. IT 부서는 IT 직원들에 의지하여 기본적인 보안 업무를 해결한다. 보안 전문가들은 전문적인 지식과 CISSP같은 자격증들을 상당히 가지고 있을 수는 있겠지만, 이는 다른 직원들이 그것 때문에 그 사람을 반드시 존경하거나 좋아하게 될 것임을 의미하지는 않는다. 특히 보안 분야의 사람들은 다른 사람들의 프로젝트는 거절하는 것이 일반적이기 때문이다.
 
게다가 힘의 구조가 언제나 최고 의사 결정자로 CIO를 지목할 거라 생각해서도 안 된다. IT 프로젝트 지휘관으로서 CIO의 오랜 역할이 CFO의 부상과 함께 점점 쇠퇴하면서 CFO가 IT 프로젝트들에 최종 발언권을 가지는 등의 근본적인 변화가 일어나고 있다. 일부 증거들은 심지어 CFO가 IT 부서를 별로 좋아하지 않는다는 사실을 보여준다. CFO가 보안에 대해 가지고 있는 생각들은 “컴플라이언스”의 일반적인 법적 개념 수준밖에 안되기도 한다. 보안 전문가는 대화하고 소통하고 또 대화해야 한다.
 
3. 가상화가 모두의 보안 지원을 망쳐버렸음을 이해하지 못하는 것
조직들은 서버 인프라의 80% 가상화에 맞춰 잘 진척시키고 있고 데스크톱 가상화 프로젝트들도 늘어나고 있다. 그러나 보안은 그것이 VLANs로부터 시작해서 VLANs로 끝난다는 많은 잘못된 가정들로 인해 뒤처지고 있다. 사실상 가상화 아키텍처는 이용당할 수 있는 새로운 경로를 개방함으로써 모든 것을 바꾸어놓고 있다. 그러나 IT업계에서 이전에 아주 많이 경험해 보았듯, 획기적인 기술들은 보안 영향에 충분히 주의를 기울이지 않고 이용되어 왔다.
 
예를 들면 안티 바이러스 소프트웨어와 같은 일부 기존의 보안 제품들은 종종 가상 머신에서 제대로 작동하지 않는다. 물리적인 기기들이 새로운 사각 지대를 가지고 있을지도 모른다. 오늘날 가상 환경 전용의 보안 제품들이 드디어 시장에 출시되고 보안 전문가들은 VM웨어나 마이크로소프트, 시트릭스(Citrix) 같은 클라우드 제공업체의 보안 계획 발전에 따라가는 한편, 그러한 보안제품들 중 어떤 것이 과연 사용될 것인지 알아볼 필요가 있다. 가상화는 결과적으로 안보의 개선, 특히 재해 복구에 있어서 엄청난 효과를 보장할 것이다.
 
4. 데이터 유출에 대비하지 않는 것
민감한 데이터를 도둑맞거나 우연히 유출 되는 상황은 악몽의 시나리오에서 나올 법 하다. 기술적인 탐지와 치료뿐 아니라, 데이터 유출에 관련된 법들을 따를 필요가 있다. 하지만 어떤 법들이 있을까? 거의 모든 주에서는 나름대로 데이터 유출 법들을 가지고 있고, 하이테크 법안(HI-TECH ACT) 같은 연방법들도 의료 등의 일부 업계에 영향을 미치고 있다. 데이터 유출이 일어날 경우, 그것은 IT 보안 관리자, IT 부서, 법무 부서, 인적 자원 및 공공 업무 부서, 혹은 그보다 더 많은 사람들이 공동으로 참여해야 하며, 비용도 많이 드는 사건이 될 것이다. 조직들은 최악의 시나리오에 맞춰 계획을 세우고 내부적으로 데이터 유출 훈련을 수행해야 한다.
 
5. IT 보안 업체들에 안주하는 것
IT와 보안업체들과 긴밀한 파트너십을 가지는 것도 반드시 필요하다. 하지만 어떤 제공업체와의 관계에서건 제품과 서비스를 비판적으로 바라보지 않는 것은 위험하며 특히 그들의 경쟁자에 비해 그들이 가진 것을 평가할 때나 인증과 승인, 취약성평가나 악성 소프트웨어로부터의 보호 등 기본적인 문제들에 관한 새로운 접근법을 찾을 때 더욱 그러하다.

많은 업체들이 기존의 보안 제어를 가상화와 클라우드 컴퓨팅 영역에 적용시키기 위해 노력하고 있다. 어떤 의미에서 지금은 IT 업계가 재발명을 겪고 있는 혼돈기인 셈이다. 그러나 이는 곧 조직이 지금 당장 혹은 미래에 필요로 한다고 생각되는 것들을 얻기 위해 IT 보안 분야에서 더욱 강하게 박차를 가해야 함을 의미할 뿐이다.  ciokr@idg.co.kr



2011.07.28

주의해야 할 IT 보안 조직의 5가지 가장 큰 실수

Ellen Messmer | Network World
창문 닦는 일과 마찬가지로 IT 보안은 하지 않았을 때만 주목 받는다는 점에서 보람없는 일이 될 수도 있다. 그러나 지금의 가상화, 스마트폰 및 클라우드 컴퓨팅 시대에 보안 작업을 해치우기 위해서는 기술적이고 정치적인 실수들을 피해야만 한다. 특히, 반드시 피해야 할 다섯 가지 보안 실수를 살펴보자.
 
1. 회사의 사고방식이 5년 전과 다름없다는 생각
그렇지 않다. 이제 기업들은 문을 활짝 열어젖히고 직장에서 직원들의 개인 모바일 기기 사용을 허락하고, IT 보안 부서가 차마 모르는 새 기존의 컴퓨팅 자원들과 응용프로그램들을 클라우드로 몰아 넣으면서 IT 보안 부서의 힘이나 영향력은 점차 약화되고 있다. 때때로 IT 부서 외 사람들이 선택하는 기술에 대해 합당한 보안 사례들을 소개하기 위해서 사전에 준비하고 있어야 한다. 불가능한 과제이긴 하지만, 그것이 바로 IT 보안 부서의 몫이다. 잘못된 가정이 생겨나지 않도록 위험 요소들을 분명하게 설명하는 새로운 정책 지침의 개발을 수반할 수도 있다.
 
2. IT 및 고위 경영진들과의 업무 관계 구축 실패
IT 보안 조직은 일반적으로 IT 부서의 나머지 조직에 비해 상당히 규모가 작다. IT 부서는 IT 직원들에 의지하여 기본적인 보안 업무를 해결한다. 보안 전문가들은 전문적인 지식과 CISSP같은 자격증들을 상당히 가지고 있을 수는 있겠지만, 이는 다른 직원들이 그것 때문에 그 사람을 반드시 존경하거나 좋아하게 될 것임을 의미하지는 않는다. 특히 보안 분야의 사람들은 다른 사람들의 프로젝트는 거절하는 것이 일반적이기 때문이다.
 
게다가 힘의 구조가 언제나 최고 의사 결정자로 CIO를 지목할 거라 생각해서도 안 된다. IT 프로젝트 지휘관으로서 CIO의 오랜 역할이 CFO의 부상과 함께 점점 쇠퇴하면서 CFO가 IT 프로젝트들에 최종 발언권을 가지는 등의 근본적인 변화가 일어나고 있다. 일부 증거들은 심지어 CFO가 IT 부서를 별로 좋아하지 않는다는 사실을 보여준다. CFO가 보안에 대해 가지고 있는 생각들은 “컴플라이언스”의 일반적인 법적 개념 수준밖에 안되기도 한다. 보안 전문가는 대화하고 소통하고 또 대화해야 한다.
 
3. 가상화가 모두의 보안 지원을 망쳐버렸음을 이해하지 못하는 것
조직들은 서버 인프라의 80% 가상화에 맞춰 잘 진척시키고 있고 데스크톱 가상화 프로젝트들도 늘어나고 있다. 그러나 보안은 그것이 VLANs로부터 시작해서 VLANs로 끝난다는 많은 잘못된 가정들로 인해 뒤처지고 있다. 사실상 가상화 아키텍처는 이용당할 수 있는 새로운 경로를 개방함으로써 모든 것을 바꾸어놓고 있다. 그러나 IT업계에서 이전에 아주 많이 경험해 보았듯, 획기적인 기술들은 보안 영향에 충분히 주의를 기울이지 않고 이용되어 왔다.
 
예를 들면 안티 바이러스 소프트웨어와 같은 일부 기존의 보안 제품들은 종종 가상 머신에서 제대로 작동하지 않는다. 물리적인 기기들이 새로운 사각 지대를 가지고 있을지도 모른다. 오늘날 가상 환경 전용의 보안 제품들이 드디어 시장에 출시되고 보안 전문가들은 VM웨어나 마이크로소프트, 시트릭스(Citrix) 같은 클라우드 제공업체의 보안 계획 발전에 따라가는 한편, 그러한 보안제품들 중 어떤 것이 과연 사용될 것인지 알아볼 필요가 있다. 가상화는 결과적으로 안보의 개선, 특히 재해 복구에 있어서 엄청난 효과를 보장할 것이다.
 
4. 데이터 유출에 대비하지 않는 것
민감한 데이터를 도둑맞거나 우연히 유출 되는 상황은 악몽의 시나리오에서 나올 법 하다. 기술적인 탐지와 치료뿐 아니라, 데이터 유출에 관련된 법들을 따를 필요가 있다. 하지만 어떤 법들이 있을까? 거의 모든 주에서는 나름대로 데이터 유출 법들을 가지고 있고, 하이테크 법안(HI-TECH ACT) 같은 연방법들도 의료 등의 일부 업계에 영향을 미치고 있다. 데이터 유출이 일어날 경우, 그것은 IT 보안 관리자, IT 부서, 법무 부서, 인적 자원 및 공공 업무 부서, 혹은 그보다 더 많은 사람들이 공동으로 참여해야 하며, 비용도 많이 드는 사건이 될 것이다. 조직들은 최악의 시나리오에 맞춰 계획을 세우고 내부적으로 데이터 유출 훈련을 수행해야 한다.
 
5. IT 보안 업체들에 안주하는 것
IT와 보안업체들과 긴밀한 파트너십을 가지는 것도 반드시 필요하다. 하지만 어떤 제공업체와의 관계에서건 제품과 서비스를 비판적으로 바라보지 않는 것은 위험하며 특히 그들의 경쟁자에 비해 그들이 가진 것을 평가할 때나 인증과 승인, 취약성평가나 악성 소프트웨어로부터의 보호 등 기본적인 문제들에 관한 새로운 접근법을 찾을 때 더욱 그러하다.

많은 업체들이 기존의 보안 제어를 가상화와 클라우드 컴퓨팅 영역에 적용시키기 위해 노력하고 있다. 어떤 의미에서 지금은 IT 업계가 재발명을 겪고 있는 혼돈기인 셈이다. 그러나 이는 곧 조직이 지금 당장 혹은 미래에 필요로 한다고 생각되는 것들을 얻기 위해 IT 보안 분야에서 더욱 강하게 박차를 가해야 함을 의미할 뿐이다.  ciokr@idg.co.kr

X