Offcanvas

보안

인기 절정의 보안 토픽 8가지 '이유는?'

2014.06.23 Bob Violino  |  CSO


라마무어시는 "여러 제품, 제공자, 사용자가 난무하는 이런 복잡한 환경의 위협과 위험을 파악한 후 투자 보호를 통한 적절한 위험 관리 솔루션을 결정하는 것은 매우 어렵다"고 말했다.

또한 라마무어시는 "시의 적절한 방식으로 공격을 감지하고 이에 대응하는 기업들에 있어서 보안 조사자(Security investigators)들은 점차 중요해지고 있다"고 말했다.

라마무어시는 "공격은 기업 내/외부에서 여러 방향으로부터 발생할 수 있으며 포괄적인 감지 메커니즘을 설계할 수 있는 기술을 갖춘 엔지니어와 함께 건초 더미에서 바늘을 찾을 수 있는 모든 정보의 출처를 구석구석 찾아볼 수 있는 분석가와 조사자가 필요하다"고 말했다.

POS 시스템
쉴즈는 "최근 POS(Point Of Sales) 보안 부문에서 많은 일자리가 창출되고 있다"고 말했다.

쉴즈는 "POS 보안 기술에 대한 수요는 사이버 범죄자들이 전통적인 PC 공격에서 모바일 및 POS 시스템 공격으로 전향하고 있기 때문에 발생하고 있다"고 말했다.

쉴즈는 "최근 많은 유명 보안 업체들이 POS 부문에서 활동하고 있는데, POS 하드웨어와 여기에서 운용되는 소프트웨어를 보호하기 위해서는 대부분의 일반적인 네트워크 보안 엔지니어들이 아직 갖추고 있지 않은 추가적인 보안 기술이 필요하다"고 설명했다.

해킹 전문가/침입 테스터(Tester)
해커를 고용한다는 생각은 논란을 불러 일으킬 수도 있지만 일부 기관에서는 해킹 지식을 가진 사람들이 유용할 수 있다.

전문적인 인력 서비스 제공하는 로버트 하프 테크놀로지(Robert Half Technology)의 수석이사 존 리드는 "새롭게 등장하는 보안 기술에 대해 2가지 트렌드를 보고 있다"고 말했다.

리드는 "우선은 윤리적 해킹에 대한 수요다. 기본적으로는 단순히 해커를 고용해 자체 네트워크에서 침입 시험을 진행함으로써 취약점을 발견한 후 기관에 문제를 해결하는 방법에 관해 조언하는 것이다. 또 다른 트렌드는 IT 포렌식(Foresic) 조사관에 대한 트렌드로 침입 또는 해킹이 어디에서 시작되었으며 정확히 무엇을 해킹 당했는지 추적할 수 있는 사람을 의미한다"고 설명했다.

"사람" 기술
SANS 연구소(The SANS Institute)의 신규 트렌드 책임자 존 페스케이터은 "보안 프로그램은 사용자들이 보안 위험과 취약점을 배우는데 도움을 줄 수 있는 기술을 가진 사람을 필요로 하게 될 것"이라고 예상했다. 여기에는 사람들이 스스로 절대로 해 본 적이 없는 것을 하도록 조언하는 전문가들이 포함된다.

페스케이터는 "사용자 인식과 교육의 효과를 향상시키는 '소프트 스킬(Soft Skill)', 즉 SANS가 말하는 인간 측면의 보안을 위한 기술을 갖춘 사람들에 대한 수요가 지속적으로 증가할 것"이라고 말했다.

'인간 측면의 보안 기술을 갖춘 사람의 등장'에는 2가지 이유가 있다. 하나는 공격이 점차 표적형으로 바뀌고 있으며, 최근 타겟(Target)이나 이베이(eBay) 해킹 사건에서 목격했듯이 대상이 점차 접근 권한이 있는 사람으로 옮겨가고 있으며, 매우 집중적인 피싱(Phishing) 캠페인이 이뤄지고 있다. 이것들은 이메일뿐만 아니라 전화와 소셜 미디어를 통해서 이뤄지고 있다.

페스케이터는 "또 다른 이유는 그간 구내 식당의 포스터와 연례 '동영상 감상' 등과 같은 기존의 보안 인식 방식은 효과가 없었으며, 앞으로도 이런 방식은 절대로 효과가 없을 것"이라고 말했다.

페스케이터는 "하지만 사람들이 집에서 스마트폰과 클라우드 서비스를 사용하기 시작하면서 이런 사용법과 연계시키고 항상 기업의 위험에 초점을 맞추는 대신에 이런 서비스를 이용할 때 사용자 스스로 위험을 낮추는 것에 대해 생각하는데 도움을 줄 수 있는 많은 방법이 있다. 일부 사용자 행동을 바꾸는데 더 나은 결과를 도출하는 듯 하다"고 설명했다.

자사가 필요한 기술 인력을 찾는 방법
많은 사람이 동의하는 정보 보안에 대한 한 가지는 기술을 갖춘 전문가에 대한 수요가 엄청나다는 것이다.

SANS 연구소의 존 페스케이터는 "대부분의 수요는 전반적이며, 보안 영역에서 다항식 시험을 통과할 수 있는 사람보다는 실제로 기술을 갖추고 보안을 '실천'할 수 있는 보안 인력이 부족한 상황"이라고 말했다.

페스케이터는 "우리는 직접적인 기술 교육과 인증이 중요하며, 우리의 교육 과정에 대한 직접적인 경로와 온라인을 통한 수요가 이를 입증하고 있는 듯 하다"고 말했다.

SANS는 베트석세스(VetSuccess)라는 프로그램을 지원해 사이버 보안 기술이 있는 베테랑들이 CISO들을 대상으로 교육함으로써 성공적인 경력을 쌓음과 동시에 사이버 보안 인재의 전반적인 규모를 향상시키고 있다.

또한 SANS는 정보 보안의 기술적 성취에 대한 욕구가 높은 고등학생 및 지역 대학생들을 통해 인재를 발굴하고 그들의 열정을 고취하며 인재를 어느 영역에서 가장 크게 성장시킬 수 있는지 결정하는 사이버에이스(CyberAces) 등의 다른 프로그램도 운영하고 있다.

포레스터 리서치의 수석 분석가 타일러 쉴즈는 "기업들과 채용 담당자들은 사이버 분야에 관심을 보이는 엔지니어와 프로그래머를 발굴해야 한다"며, "개발 및 디버깅(Debugging) 배경이 있다면 실력이 뛰어난 보안 전문가로 빠르게 전향할 수 있을 것"이라고 말했다.

또 다른 흥미로운 보안 인력의 출처는 QA(Quality Assurance) 부서가 될 수 있다.

쉴즈는 "QA는 이미 제품과 코드의 버그(Bug) 및 오류 시험과 분석에 익숙해져 있다"며, "QA와 보안 평가 사이의 주요 차이점은 공격 의도다. QA에서 그들은 단지 버그를 찾아내려 하지만 보안에서는 보안 악용 가능 버그를 찾아내려 한다"고 설명했다.

인재의 출신에 상관 없이 기관들이 분명 다양한 보안관련 기술을 가진 사람들을 고용해야 할 것이다.

ISC2의 전무 호드 팁튼이 "탄탄한 사이버 방어란 금융 정보를 노리는 악성 소프트웨어나 해커 등 데이터에 대한 위협의 대부분을 처리하는 기술을 가진 인력을 구축하는 것을 의미한다"고 말했다.

팁튼은 "이런 위협의 뿌리와 보안 애플리케이션 및 소프트웨어 코드 형태의 적절한 툴을 찾아내기 위해서는 기술과 인력이 필요하다"며, "우리 또한 위협을 인식하고 완화할 수 있는 교육이 잘 되고 인증된 사람이 필요하다. 기업 사용자들의 인식 제로를 위한 핵심은 그들이 직면한 위협을 파악하는 것이다"라고 덧붙였다. editor@itworld.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.