Offcanvas

How To / 리더십|조직관리 / 보안 / 애플리케이션 / 통신|네트워크

보여주기식 측정치는 그만! 유의미한 보안 지표 4가지

2015.08.28 Fahmida Y. Rashid  |  InfoWorld


세 번째 보안 측정치: 코드 결함 밀도
결함밀도(defect density) 혹은 코드 매 천(혹은 코드기반에 따라 백만)행당 발견되는 문제의 수는 조직이 자체 개발팀의 보안 프랙티스를 평가하는데 도움을 준다.

하지만 이는 경우에 따라 다르다 맥락이 중요하다. 만약 애플리케이션이 개발 초기에 있다면 높은 결함밀도는 모든 문제가 발견되었다는 의미이므로 좋은 결과다. 반면 만약 애플리케이션이 관리 모드에 있다면 결함밀도는 낮고 낮아져야 애플리케이션이 시간이 지날수록 더 안전해진다는 의미이며, 그렇지 않다면 뭔가 문제가 있는 것이다.

네 번째 보안 측정치: 노출의 기회
조직에서 애플리케이션의 결함을 식별해낼 수 있지만 이게 해결되기 전까지 애플리케이션은 취약한 상태로 남아있게 된다. 노출의 기회(windows of exposure)는 애플리케이션이 1년 중 며칠이나 알려진 심각한 취약점 공격과 문제들에 취약한 상태로 남아있는지를 본다.

웡은 이와 관련해 “목표는 1년 중 심각한 결함이 알려진 상황에서 해결되지 않은 일수를 0으로 만드는 것”이라고 말했다.

오인하게 만드는 지표들
경영자는 일반적으로 보안 사고 방지에 초점을 맞추기 좋아하는데 조직이 모든 공격을 외곽에서 차단시킬 수 있다는 오래된 관념 때문이기도 하다. 예를 들어 차단된 침투 시도들의 수를 보면 모두가 기분이 좋아지겠지만, 그 정보를 가지고는 얻을 수 있는 게 없다. 보안팀이 어떤 공격은 막지 못했는지 파악하는데 도움이 안되기 때문이다. 더글라스는 “아무것도 고쳐지는 건 없다”라고 말했다. .

평균 응답 시간 혹은 문제가 얼마나 빨리 발견되고 최소화되었는지 역시 별로 도움이 안 되는 측정치다. 응답 시간은 공격자가 네트워크를 측면적으로 움직인다는 사실을 무시한다. 문제 하나는 고칠 수 있겠지만 공격자가 다른 어떤 일을 저질렀는지 알아내려 하지 않는다면 동일한 공격자에 의한 다른 시스템 공격이 드러나지 않을 수 있다. 보안 전체가 아닌 개별적 문제에만 집중하면 환경이 취약해진다.

더글라스는 “한 번하면 끝나는 게 아니라 한번하고 이해하는 것”이라고 말했다.

취약점들의 감소 역시 흔하게 측정하지만, 그 자체만으로는 별로 쓸모가 없다. 만약 수많은 낮은 단계의 취약점들이 수정되었다면, 치명적인 문제들은 여전히 남겨진 가운데 조직의 위험 역시 그대로가 된다. 몇몇 취약점들은 다른 취약점보다 중요도가 높다.

최근 레이테온/웸센스 조사에 응한 중역들의 단 28%만이 그들 조직에서 쓰이는 보안 측정치가 “완전히 효과적”이라고 답했고, 65%는 “어느 정도 효과적”이라고 답했다.

보안 현업자들은 선임 관리자들에게 잘 규정된 목표를 달성하는데 도움을 주는 보안 질문에 초점을 맞추는 방법을 설명할 필요가 있다. 그렇지 않으면 너무 많은 주의 집중이 실제로 위험을 줄이거나 보안을 개선하는데 쓰이지 못하고 낭비된다.

웡은 “그런 곳이 당신의 제한된 시간과 돈을 쓰기에 적절한 대상인가?”라고 반문했다. ciokr@idg.co.kr 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.