이것만큼은 이행해야 하는 'SMAC 보안 접근 방법' 개발하기

기업들이 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼을 활용하고 싶다면 관련 기술의 위험과 보안을 고려해야 한다.

세계적인 기업에서부터 중소 기업의 보안 책임자까지 소셜 미디어, 모바일 기술, 빅 데이터(Big Data)와 분석, 클라우드 컴퓨팅(Cloud Computing)을 신경쓰지 않아도 되는 사람은 거의 없다.

현재, 점차 많은 기업이 이 모든 기술을 SMAC(Social, Mobile, Analytics, Cloud) 플랫폼의 일환으로 활용하려고 계획하고 있으며, 여기에 이런 다양한 영역을 지원하는 새로운 기초 인프라 구축이 포함될 수 있다.

이런 현상이 보안에 있어 의미하는 바는 무엇이며 SMAC 전략 구축에 있어서 CSO와 CISO들은 어떤 자세를 취해야 할까? 이런 노력에 있어서 보안이 최우선이 되지 않는다면 큰 위험이 될 수 있기 때문에 아주 중요한 문제라 할 수 있다.

국방 및 항공 시스템 제공업체 레이시언(Raytheon Co.)의 사이버 보안 및 특수임무 담당 CTO 마이클 달리는 "데이터 분석 요소가 위험을 높인다"며, "분석이 가능한 이런 플랫폼으로 융합되는 많은 정보가 있고 플랫폼을 제대로 파악하지 못한다면 위험은 분명 증가하게 된다"고 말했다.

여기 SMAC 플랫폼의 정보 보안에 주는 영향을 다룰 때 고려해야 할 몇 가지 사항을 알아보도록 하자.

SMAC의 모든 요소를 고려하는 포괄적인 보안 전략을 구축하라
높은 수준에서 SMAC의 구성요소 보안을 개별적으로 관리하려고 시도하는 것은 올바르지 않다.

IDC의 보안 제품 및 서비스 담당 프로그램 부사장 크리스 크리스찬슨은 "SMAC은 개별적인 기술이 한데 묶인 것이 아니라 다른 것들과 상당 부분이 중복되는 기술들의 집합체"라고 말했다.

크리스찬슨은 "보안, 위험 평가, 정책, 통제를 강화해야 하며 포괄적인 방식으로 SMAC의 모든 요소에 적용해야 한다"며, "조직들은 개별적인 보안 정책, 통제, 기술을 이용해 SMAC의 각 구성요소를 개별적인 항목으로 관리해서는 안 된다. 그러면 재앙을 불러오게 된다"고 설명했다.

마이클 달리는 "조직들은 현명하게 해당 정보가 현재성이 있는지 여부와 어떤 SMAC 관련 서비스로 이행할 지를 판단해야 하며 이것들을 연결하는 선을 파악해야 한다"며, "이런 선을 그을 때, 어디에 새로운 통제를 적용해야 하는지 파악할 수 있기 때문에 자사의 환경에서의 위험을 이해하게 될 것이다"고 말했다.

SMAC 플랫폼에서 접근 제어와 인증을 우선시 하라
서비스와 애플리케이션의 가장 큰 취약점 가운데 하나는 취약한 접근 제어 기능이다. 누가 민감한 데이터, 모바일 앱, 분석 등에 접근하는지 파악하지 못하거나 통제하지 못한다면 SMAC 같은 포괄적인 플랫폼에서는 문제를 유발하게 된다.

개별 사용자뿐만 아니라 IT 관리자를 위한 적절한 접근 제어가 필요하다. 크리스찬슨은 "일반적으로 계정명과 비밀번호가 그것이며, 이런 것들은 부적절하게 관리되기 일쑤"라며, "비밀번호는 건전성의 측면에서 평가되기보다는 편의성에 중점을 두고 있다"고 말했다.

효과적인 전략은 일부가 취약한 모습을 보이더라도 다양한 인증 메커니즘을 이용하는 것이다. 크리스찬슨은 "경우에 따라 위험이 상대적으로 낮을 때 사용자가 제공해야 하는 단순한 개인용 식별번호를 갖고 있을 수 있으며, 더욱 민감한 상황에서는 하드웨어 또는 소프트웨어 기반의 토큰(Token)이 필요할 수 있다"고 설명했다.

엄청나게 민감한 상황에서는 생체 측정 통제시스템이 적절할 수도 있다. 크리스찬슨은 "꽤 취약한 다양한 인증 메커니즘을 위험 기반의 다중요소 인증 전략으로 통합하면 매우 강력한 인증방식이 생성될 수 있다"고.

강력한 인증을 간과할 수 있는 영역은 소셜 미디어다. 기업들은 자사를 대신해 블로그를 작성하거나 정보를 게시하는 사람들이 인증받도록 해 스푸핑(Spoofing) 또는 기타 위험을 예방할 수 있도록 해야 한다.

신원 및 접근 관리는 모든 SMAC 전략의 핵심 구성요소가 돼야 한다. 달리는 "네트워크 상에서 이 모든 다양한 서비스를 통합할 계획이라면 강력한 ID와 접속 관리를 통합해 일관된 데이터 보호 체계를 구축해야 한다"고 말했다.

기업의 다양한 영역을 넘나드는 SMAC 보안 정책을 수립하라
SMAC의 기술은 엄청난 경쟁력 있는 이점을 제공할 수 있으며, 비즈니스 결정권자들은 SMAC 플랫폼을 이용한 가치 창출에 열을 올릴 것이다. 하지만 이는 강력한 보안 정책과 균형을 이뤄야 한다.

금융 서비스 산업을 위한 소프트웨어 제공업체 Q2의 CSO이자 수석 부사장 제이 맥러플린은 "직원과 이런 기술의 소비자들이 허용 범위를 이해할 수 있도록 하기 위해 가드레일로써 반드시 정책이 존재해야 한다"고 말했다.

맥러플린은 "포괄적인 위험 평가를 수행해 특정 기관에 존재할 수 있는 여러 보안 문제를 규명해야 한다"고 설파했다.

보안 책임자들은 CIO 및 다른 경영진 및 영업부문 책임자들과 협력해 정책을 수립하고 이행하면서 보안과 비즈니스 기회와의 균형을 염두에 둬야 한다.

크리스찬슨은 "다양한 집단과 이해당사자들과 협력해 기업 전반에 걸쳐 합리적인 절충을 도출해 사용자들이 SMAC을 활용하면서 데이터와 시스템의 안전을 지킬 수 있어야 한다"고 말했다.

이 과정에 대해 설명은 쉬운 편이지만 실천하기가 매우 어렵다. 크리스찬슨은 "CSO는 일정 수준의 사교 능력과 조직의 역학을 파악할 수 있는 능력이 필요하며, 이런 부분이 엄청나게 어려울 수 있다"고 설명했다.

효과적인 정책 구축의 핵심은 발견이다. SMAC 전략에 포함될 사용자, 애플리케이션, 기기 등을 파악해야 한다.

또 다른 핵심은 SAMC가 규제 준수 노력과 기관의 전반적인 위험평가 전략에 얼마나 적합한지 판단하는 것이다. 그러면 기업들은 위험에 대처하기 위해 마련해야 하는 특정 기술과 프로세스로 눈을 돌릴 수 있다.

크리스찬슨은 "이 모든 정보를 통해 SMAC를 전체적으로 파악할 수 있으며 조직에 대한 잠재적인 영향도 예상할 수 있다"며, "이런 점에서 임원들과 이사회에서 SMAC 보안 정책 지원을 확보하기 위한 회의를 가져야 한다"고 조언했다.

보안을 위한 CDS을 배치하라
CDS(Cross-Domain Solution) 솔루션은 통합된 하드웨어 및 소프트웨어 시스템으로 2개 이상의 보안 영역 또는 분류 수준 사이에서 정보에 접근 또는 전송할 수 있는 능력을 제공한다.

CDS의 3가지 주요 목표는 데이터 기밀성, 데이터 온전성, 데이터 이용성이다.

레이시언의 마이클 달리는 "앞으로 SMAC의 역량을 활용하기 위해 준비하면서 적절한 보안을 확보하기 위해 CDS 시스템에 의지하게 될 것"이라며, "이런 SMAC 시스템으로 이행하기 시작할 때 중요한 역량"이라고 말했다.

CDS는 일종의 화려한 방화벽이면서도 좀더 세부적으로 설정된 시스템"에 비유할 수 있다.
달리는 "이런 방화벽은 출입구에서 각 달걀을 검사하는 스마트 달걀 상자와 같은 기능을 한다. 이 모든 시스템을 상호 연결하려면 지능적인 경계를 수립해 측면의 오염을 제한할 수 있어야 한다"고 설명했다.

이런 역량은 기업들이 자체 클라우드 기반 애플리케이션과 소셜 미디어를 통해 생성된 방대한 데이터에 분석을 확대 적용하고 이런 융합된 정보를 모바일 기기 사용자에 제공할 수 있게 되면서 더욱 중요해질 것이다.

달리는 "여러 가지 시스템을 보유하고 있으며 모두가 데이터를 생성, 처리, 저장하게 되면 위험이 증가한다"고 덧붙였다.

처음부터 참여하기
보안 및 프라이버시 책임자들은 SMAC 계획의 모든 주요 단계에 참여해야 한다.

정부기관을 위한 정보 및 분석 서비스 제공업체인 FEI 시스템즈(FEI Systems)의 CSO 제이슨 톨은 "평가 단계에서 개발업체에게 자사의 보안과 프라이버시 문제를 해결하고 이들이 말하는 감정의 증거로써 구체적인 정보를 제공하도록 요청해야 한다"고 말했다.

톨은 "또한 이는 합법적인 조건을 검토하고 변호인단과 협력해 법률 및 지적 재산 위험을 처리하고 개발업체에 계약상 요건을 제시해 자사에 적용되는 동일한 요건을 개발업체들이 준수할 수 있도록 하는 것을 의미한다"고 설명했다.

여기에는 IT 및 엔지니어링 부문과의 협력을 통해 인프라, 아키텍처, 데이터 흐름을 모두 수용할 수 있도록 하면서 가능하다면 암호화와 다중요소 접근 제어를 강조하는 것이 포함된다.

톨은 "가능하다면 먼저 테스트 환경에서 운용해 봐야 한다. 그렇지 않으면 상호연결성, 사용자 수, 관련 데이터에 제한을 두고 단계별로 배치해야 한다"고 조언했다.

핵심은 네트워크 트래픽과 로그(Log)를 평가해 실제로 무엇이 어떻게 이뤄지고 있는지 확인하고 이런 것들이 실제로 기업의 위험 수용범위를 초과하지 않는지 검증해야 한다. editor@itworld.co.kr