* 목차 ۄ ഛࠁ द ې 보고서 주요 내용 1 1. 소개: 역량 강화 2 2. 사이버 보안 위협에 대한 복구 능력 개발 3 3. UX 최적화 7 4. 기업의 클라우드 활용 사례 보호 9 5. 권장 사항 1. 3년 이상의 미래 예측 통합을 통해 보다 구체적인

Transcription

1 ABN Amro MARTIJN DEKKER 박사, Senior Vice President, Chief Information Security Officer AstraZeneca SIMON STRICKLAND, Global Head of Security Automatic DataProcessing ROLAND CLOUTIER, Vice President, Chief Security Officer t 다음 위원회와의 논의를 바탕으로 한 보고서 Security for Business Innovation Council 정보 보안 혁신 The Coca-Cola Company RENEE GUTTMANN, Chief Information Security Officer ebay LEANNE TOLIVER, Office of the Chief Information Security Officer 전략적 기술에 집중 EMC Corporation DAVE MARTIN, Vice President 겸 Chief Security Officer FedEx DENISE D. WOOD, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments TIM MCKNIGHT, Executive Vice President, Enterprise Information Security and Risk HDFC Bank VISHAL SALVI, Chief Information Security Officer 겸 Senior Vice President HSBC Holdings plc. BOB RODGER, Group Head of Infrastructure Security Intel MALCOLM HARKINS, Vice President, Chief Security and Privacy Officer Johnson & Johnson MARENE N. ALLISON, Worldwide Vice President of Information Security JPMorgan Chase ANISH BHIMANI, Chief Information Risk Officer Nokia PETRI KUIVALA, Chief Information Security Officer SAP AG RALPH SALOMON, CRISC, Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery TELUS KENNETH HAERTLING, Vice President 겸 Chief Security Officer T-Mobile USA WILLIAM BONI, CISO(Corporate Information Security Officer) 겸 Vice President, Enterprise Information Security Walmart Stores, Inc. JERRY R. GEISLER III, Office of the Chief Information Security Officer 보안 위협에 대한 복구 능력을 최적화하기 위한 주요 분야 파악 전사적 수준의 빅 데이터 전략 수립 글로벌 1,000대 기업 임원들의 권장 사항 이 보고서의 내용: 획기적인 탐지 솔루션에 대한 투자 가이드 UX 최적화 클라우드에 대한 파악 능력 향상 고급 기술을 활용하기 위한 권장 사항 RSA에서 후원하는 업계 이니셔티브

2 * 목차 ۄ ഛࠁ द ې 보고서 주요 내용 1 1. 소개: 역량 강화 2 2. 사이버 보안 위협에 대한 복구 능력 개발 3 3. UX 최적화 7 4. 기업의 클라우드 활용 사례 보호 9 5. 권장 사항 1. 3년 이상의 미래 예측 통합을 통해 보다 구체적인 밑그림 확보 체계화된 기술 구축을 통해 비즈니스 가치 극대화 14 결론 16 SBIC 이니셔티브 정보 16 보고서 기고자 17 법적 고지 사항 본 Security for Business Innovation Council 보고서( 보고서 )에는 사전 통보 없이 변경될 수 있는 정보와 자료(통칭 컨텐츠 )가 포함되어 있습니다. RSA Security LLC, EMC Corporation 및 Security for Business Innovation Council의 개별 작성자(통칭 저자 )는 컨텐츠를 최신으로 유지하는 것과 관련된 어떠한 의무도 명시적으로 부인합니다. 컨텐츠는 있 는 그대로 제공됩니다. 저자는 상품성, 적합성, 비침해성, 정확성 또는 특정 목적에의 합목적성을 비롯하여(이에 국한되지 않음) 컨텐츠의 사용과 관련된 어떠한 명시적 또는 묵시적 보증도 부인합니다. 컨텐츠는 대중에게 정보를 제공하려는 목적으로 작성되었으며 RSA Security LLC와 그 모회사인 EMC Corporation, 해당 법률 대리인 또는 본 SBIC 보고서의 저자가 제공하는 법률적인 조언이 아닙니다. 해당 관할지에서 업무를 수행하도록 자격을 취득한 법률 대리인의 자문을 구하지 않고 컨텐츠만을 기준으로 행동을 취하거나 행동을 취하지 않아서는 안 됩니다. 저자는 본 보고서에 포함된 어떠한 오류나, 직접적, 간접적, 우발적, 결과적 또는 징벌적 손해를 비롯하여(이에 국한되지 않음) 본 보고서(모든 컨텐츠 포함)의 사용과 관련하여 제기되는 모든 손해에 대해서 저자가 그러한 오류 또 는 손해의 발생 가능성을 인지하고 있는 경우에도 계약, 불법 행위 또는 기타 어떠한 책임 이론에 의해서도 책임을 지지 않습니다. 저자는 컨텐츠의 오류 또는 누락에 대해 책임을 지지 않습니다. 2 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

3 보고서 주요 내용 주요 정보 보안 임원들은 기업의 보 안 역량을 강화할 기회로 사이버 보안 위 협에 대한 복구 능력과 UX 최적화 및 클 라우드 보안이라는 3가지 핵심 분야를 선 정했습니다. 오늘날 보안 전문가들은 사이버 보안 위협에 대한 복구 능력에 주목하고 있습 니다. 이들은 지속적으로 침입이 발생하 고 있는 가운데 공격자의 목표 달성을 방 지하며 피치 못할 보안 침해를 관리하고 그 영향을 최소화하는 것을 목표로 삼아 야 한다고 주장합니다. 빅 데이터 분석과 차세대 멀웨어 방 지는 사이버 보안 위협에 대한 복구 능력 을 강화하기 위한 기본 토대가 되어줄 것 입니다. 빅 데이터 분석을 완벽하게 구현하면 비즈니스 환경 전반에 걸쳐 사이버 보안 위협을 지속적으로 모니터링하여 실시간 으로 보안 인시던트를 탐지하고 파악하 여 대처할 수 있습니다. 기존에 구현된 대부분의 빅 데이터 분석은 자체 솔루션에 기반하고 있지만 점차 상용으로 개발된 보안 분석 플랫폼 으로 옮겨가고 있습니다. 이제 상용 솔루션이 광범위하게 제공 됨에 따라 향후 18개월 이내에 더 많은 기 업이 보안 분석 프로그램을 구축하기 시 작할 것으로 전망됩니다. 차세대 멀웨어 방지 기술은 서명에 의존하는 대신, 의심스러운 특성을 가진 동작의 패턴 분석을 통해 보안 위협을 탐 지하므로 제로 데이 공격을 한층 더 효과 적으로 탐지할 수 있습니다. 이 보고서에는 오늘날 나날이 진화 하는 보안 위협에 대처하여 조직에 서 적절한 보안 전략을 수립할 수 있 도록 세계적으로 명망 있는 18명의 보안 담당 임원이 제안하는 유용한 권장 사항이 수록되어 있습니다. 사이버 보안 위협에 대응하려면 획기 적인 투자가 필요합니다. 오늘날 업계를 선도하는 보안 팀은 침입 방지 솔루션보 다는 탐지 솔루션에 집중 투자하고 있습 니다. 업계를 선도하는 보안 팀 중 다수는 스마트폰, 태블릿, 인기 있는 소비자 앱과 같은 수준으로 보안 시스템의 UX를 개 선하는 것을 가장 시급한 당면 과제로 보 고 있습니다. 오늘날 사용자들은 로그인 횟수를 최소화하면서 신속하게 로그인하고 데이 터와 애플리케이션에 빠르게 액세스하며 디바이스와 위치, 플랫폼에 관계없이 자 유롭게 사용할 수 있기를 원합니다. 위험 기반 인증 기술과 ID 및 액세스 관리의 발전으로 UX도 대폭 개선되고 있습니다. 기업의 클라우드 사용에 따른 몇 가 지 첨예한 보안 문제를 해결할 수 있도록 다양한 서비스가 제공되고 있습니다. 업 계를 선도하는 보안 팀 중 다수는 이러한 새로운 클라우드 보안 서비스가 실제로 효과가 있을 것으로 평가하고 1년 내로 하 나 이상의 서비스를 구축할 계획을 가지 고 있습니다. 공급업체들은 이러한 서비스를 통해 섀도우 IT, 위험 진단 및 제어 수단 확인, ID 및 액세스 관리, 데이터 손실, 사용자 자격 증명 보호, 클라우드의 암호화 기능 과 같은 문제를 해결할 수 있다고 주장합 니다. SBIC는 고급 기술을 활용하여 보다 강력한 방어 수단을 구축하고 비즈니스 생산성을 향상시킬 수 있도록 다음과 같 은 3가지 권장 사항을 제안합니다. 1. 3년 이상의 미래 예측: 한정된 예산 을 미래에 대비한 보안 투자에 집중하 기 위해서는 3개년 계획을 수립하는 것이 매우 유용합니다. 구체적인 지침 에는 SWOT 분석을 사용하고, IT와 비즈니스 간의 일관성을 유지하며, 전 사적 수준의 빅 데이터 전략을 수립하 고, 감사자와 긴밀한 협업 관계를 구축 하는 것이 포함됩니다. 2. 통합을 통해 보다 구체적인 밑그림 확보: 최신 보안 기술에 투자할 때 가 장 큰 성과는 여러 애플리케이션의 연 동 및 통합에서 나오는 경우가 많습니 다. 오늘날에는 기술과 시스템을 보다 간편하고 효율적으로 통합할 수 있는 발판이 마련되어 있습니다. 그 한 예로 보안 팀은 보안 위협 탐지와 방지 기술 또는 위험 관리, 비즈니스 애플리케이 션과 한층 더 완벽하게 통합할 수 있습 니다. 3. 체계화된 기술 구축을 통해 비즈니 스 가치 극대화: 빠르게 변화하는 IT 환경과 한정된 예산을 고려할 때 효과 적으로 기술을 구축하기란 결코 쉬운 문제가 아닙니다. 사전 예방적으로 위 험을 관리하기 위해 총 비용과 초 가치 를 예측 및 추적하고, 단계적인 구축으 로 조기에 시스템을 안정화하며, 현명 한 클라우드 공급업체 관리 방식을 도 입하고, 전략적인 유지 보수 접근 방식 을 취해야 합니다. EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 1

4 1 소개: 역량 강화 IT 환경이 그 어느 때보다 빠르게 변화하고 있습니다. 따라서 혁신적이고 유연한 전략을 수립하 는 것이 무엇보다 중요합니다. 18개월, 아니 12개월만 지나도 새로운 기술이 대두되고 공격자들 또한 이러한 새로운 기술에 민첩하게 대응하고 있는 실정입니다. 따라서 이러한 동향을 간과할 경우 기술의 발전을 따라잡지 못한 것을 후회하게 되리라는 점은 명약관화합니다. SIMON STRICKLAND, Global Head of Security, AstraZeneca 세계 최고의 정보 보안 전 문가들로 구성된 미래 지향적인 그룹인 SBIC (Security for Business Innovation Council)는 첨 단 기술을 통해 보안 역량을 한층 더 강화할 수 있는 방법 으로 사이버 보안 위협에 대한 대응 능력과 UX 최적화 및 클 라우드 보안이라는 3가지 핵 심 분야를 선정했습니다. SBIC의 회원인 보안 전문가 들은 보안 분야에서 엄청난 변화가 일어나고 있지만 이와 비교하여 실제 기업의 보안 솔루션은 그 발전 속도가 더 디다고 말합니다. 보안 기술 의 지속적인 발전을 통해 한 층 더 향상된 사전 예방적인 방어 체계를 구축하고 비즈 니스 생산성도 향상시킬 수 있습니다. 정보 보안 혁신 시리즈의 마 지막이자 세 번째 보고서로, 위원회 소속 회원들의 전략 수립에 대한 풍부한 경험과 기술에 대한 전망이 결합된 이 보고서는 보안 팀이 투자 효과를 극대화하면서 신기 술 도입에 따른 의사 결정의 복잡성을 해소하는 데 많은 도움이 될 것으로 기대하고 있습니다. 효과적이고 미래 지향적인 정보 보안 프로그램이란 어떤 것일까요? SBIC(Security for Business Innovation Council)는 정보 보안 혁신 에 대한 세 편의 연재 보고서를 통해 이 질문에 답합니다. 이러 한 보고서에서는 최고 정보 보안 리더들이 관련 분야의 지식과 비전을 바탕으로 전략적 프로그 램을 구현하기 위한 유용한 권장 사항을 제공합 니다. 첫 번째 보고서는 최첨단의 확장 팀을 구 성하기 위한 실무 지침을 제공하고, 두 번째 보 고서는 가장 중요한 정보 보안 프로세스를 다루 고 있습니다. 세 번째 보고서는 정보 보안 프로 그램을 향상시키기 위한 핵심적인 기술을 소개 합니다. 첫 번째 및 두 번째 보고서 보기 5 2 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

5 2 사이버 보안 위협에 대한 복구 능력 개발 기존에 구축된 사이버 보안 방어 수단으로는 보안 위협에 대비하기에 충분치 않다는 것은 공공연한 사실입니다. Verizon Data Breach Investigation Report에 따르면, 66%의 보안 침해 사고가 발견되기까지 수개월에서 수년이 걸 리는 것으로 나타났습니다. 1 오늘날 보안 전문가들은 사이버 보안 위협에 대한 복구 능력을 강조하고 있습니다. 여전히 사 그러나 새로운 기술이 기존의 보안 제어를 완전히 대체하기 보다는 조직 전체를 보호하는 다중 계층 방어 및 보호 프레임워 크의 한 핵심 구성 요소라는 점을 인식하는 것이 중요합니다. 예 를 들어 기본적인 보안 안전 Best Practice를 철저하게 수행하 는 것은 모든 경우에 반드시 필요합니다. 보안 분석: 기본 기술 점점 더 많은 보안 팀에서 다중 계층 정보 보안 프로그램의 기본 구성 요소로 빅 데이터 분석 기술을 적용하고 있습니다. 빅 데이터 분석은 정보 보안의 기본 영역인 보안 위협 탐지에 적용 됩니다. 빅 데이터 분석을 완벽하게 구현하면 비즈니스 환경 전 반에 걸쳐 사이버 보안 위협을 지속적으로 모니터링하여 실시간 으로 보안 인시던트를 탐지하고 파악하여 대처할 수 있습니다. 또한 보안 위협 관련 데이터와 비즈니스 프로세스를 통합함으로 써 전체 기업 환경을 한층 더 포괄적이고 완벽하게 파악할 수 있 습니다. 이러한 기능과 함께 빅 데이터 분석은 장기적으로 보안 환경의 변화에 적응할 수 있는 독보적인 기능을 토대로 사이버 방어의 중추적인 역할을 수행하게 될 것입니다. 이버 공격으로 인해 조직 내부가 침입 당하는 것을 막기 위해 노력해야 하지만 이러한 방지만이 능사는 아니라는 사실을 인 정하는 것입니다. 이들은 지속적으로 침입이 발생하고 있는 가운데 공격자의 목표 달성을 방지하며 피치 못할 보안 침해 를 관리하고 그 영향을 최소화하는 것을 목표로 삼아야 한다 고 주장합니다. 사이버 보안 위협에 대처하기 위해 보안 전문 가들은 종합적인 상황 인식, 효과적인 보안 위협 탐지, 그리고 신속한 인시던트 대응이 가능한 기술을 필요로 합니다. 오늘날의 프로그램 비교적 완성도가 높은 분석 프로그램을 보유한 보안 팀은 이 러한 프로그램 자체에서 상당한 비즈니스 가치를 실현했을 뿐 아니라 다른 솔루션에 대한 투자를 절반 으로 줄이는 효과도 거둘 수 있었습니다. 더 많은 정교한 데이터 시각화 기법을 추가 하는 것을 포함한 현재의 노력은 보안 인시던트에 대한 추가 컨 텍스트를 제공하고 조사자들이 관련 이벤트를 파악하는 데도 도움이 됩니다. 일부 기업에서는 가장 중요한 비즈니스 리소스에 대한 자동 보호 수준을 높일 수 있도록 분석 시스템과 비즈니스 이벤트 및 비즈니스 프로세스 데이터를 보다 긴밀하게 통합하기 위해 노력하고 있습니다. 어떤 기업은 공격 탐지 시 대응 시간을 단축하고 외부 보안 위협 데이터를 분석에 활용하는 방식에 초점 을 맞추고 있습니다. 지금까지 구축된 첨단 보안 분석은 대부분 자체 솔루션에 기 반하지만, 이제 많은 기업은 상용 솔루션으로의 마이그레이션을 고려하고 있습니다. 이들은 전문 공급업체가 제공하는 보다 포 괄적인 플랫폼을 통해 보안 분석 구축에 따른 복잡성이 줄어들 것으로 기대하고 있습니다. 실제 1세대 상용 보안 분석 플랫폼이 현재 시중에 출시되어 있으며, 공급업체는 통합 인시던트 대응 워크플로우 지원과 같은 보다 발전된 기능을 개발하고 있습니다. 이러한 상용 솔루션이 광범위하게 제공됨에 따라 향후 18개월 이내에 더 많은 기업, 특히 대기업에서 보안 분석 프로그램을 구 축하기 시작할 것으로 전망됩니다 Verizon Data Breach Investigation Report EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 3

6 장기적인 비전 업계를 선도하는 보안 팀이라면 고도로 자 동화되고 강력한 분 석 시스템에 대한 계 획을 갖추고 있어야 합니다. 장기적으로 분석 프로그램에 추 가되어야 할 몇 가지 기능이 오른쪽 표에 정리되어 있습니다. 향후에 필요한 기능 보안 위협 탐지 규 칙 개발에 기계 학 습 적용 자동 대응 및 억제 공격 예상 커뮤니티 방어 지원 자동 리소스 이동 및 인스턴스화된 제어 설명 시스템이 변경이 필요한 규칙 또는 유용한 상관 관계를 자동으로 제안합니다. 예를 들어 현재 정상적인 사용자의 동작에서 너무 많은 오탐지가 발생할 경우 탐지 규칙의 임계값을 조정하도 록 제안할 수 있습니다. 또한 기계 학습을 통해 이전에는 파악되지 않았던 유용한 공격 탐지 관 련 매개 변수를 찾아낼 수도 있습니다. 초기 프로토타입은 매우 성공적으로 실행되었으며, 기 계 학습 시스템이 보안 위협 탐지 규칙을 한층 더 효율적으로 개선하는 데 탁월한 효과가 있는 것으로 확인되었습니다. 시스템에서 문제를 탐지하면 사람의 개입 없이 자동으로 대응하여 그 영향을 억제하고 제한 합니다. 자동화된 대응은 DDoS(Distributed Denial-of-Service) 공격 등 대응 단계가 잘 정의되어 있는 경우에 특히 효과적입니다. 우선적으로 취급할 위험에 대한 임계값을 설정하는 우선 순위 설정 시스템입니다. 단기간에 여러 차례 반복되는 인증 실패 탐지 등 계획된 공격을 나타내는 동작을 탐지할 경우 시스템에 서 이에 대한 경고를 제공합니다. 사후 대응 경고는 분석가에게 공격이 발생했음을 알리지만 사전 예방적 경고는 분석가에게 그 원인과 컨텍스트를 포함하여 미래에 보안 침해로 이어질 수 있는 위험 지표를 내포한 동작에 대한 정보를 알려줍니다. 시스템에는 다른 조직과 보안 위협 인텔리전스를 자동으로 교환하는 메커니즘이 내장되어 있 습니다. 여기에는 정교한 마스킹 기능과 더불어 높은 수준의 신뢰성을 바탕으로 하는 정보 공 유 네트워크가 포함됩니다. 시스템은 가상화를 사용하여 간편하게 리소스를 이동할 수 있으므로 공격이 발생할 경우 자 동으로 공격 대상 리소스를 물리적으로 다른 위치로 옮깁니다. 새 위치에서 시스템은 발생한 공격 유형과 관련된 리소스에 대한 제어를 인스턴스화합니다. 4 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

7 사이버 보안 위협에 대한 복구 능력 개발 당면 과제 빅 데이터 분석을 구현하려면 고도로 정교한 기술을 보유 한 보안 팀도 쉽게 해결할 수 없는 여러 가지 당면 과제에 직면 하게 됩니다. 이러한 당면 과제 중 일부는 기술이 성숙함에 따 라 어느 정도 해결될 수 있지만 현재로서는 다음과 같은 당면 과제를 해결해야 합니다. D 업계 최고 수준의 분석 프로그램을 실행하려면 대개 전 문 기술이 필요합니다. 그러나 이러한 전문 기술을 보 유한 전문가가 많지 않은 관계로 특정 기술을 활용하기 위해 많은 기업이 서비스 공급업체에 의존하고 있습니 다. 필요한 기술 조합에 대해서는 이 시리즈의 첫 번째 보고서인 Designing a State-of-the Art Extended Team을 참조하십시오. D 신상 정보, 업무 및 개인적 습관이 노출될 수 있는 데이터 의 수집 및 저장 시 최종 사용자의 개인 정보 보호를 고려 해야 합니다. 이를 위해서는 기업이 개인 정보 보호를 고 려한 설계 역량을 개발해야 합니다. 이에 대한 자세한 내 용은 섹션 3의 사이드바를 참조하시기 바랍니다. D 분석 프로그램에 사용되는 데이터 웨어하우스는 로그 및 기타 중요한 데이터 등 보안 시스템과 비즈니스 프로 세스의 정보를 포함하고 있는 중요한 리소스입니다. 따 라서 효과적인 보안 제어를 사용하여 안전하게 보호해 야 합니다. 데이터를 한 곳에 통합하게 되면 사이버 범죄 의 새로운 공격 목표가 될 가능성이 큽니다. D 여러 시스템에서 수집한 데이터를 구문 분석하여 분석 플랫폼에 로드하려면 상당히 많은 양의 작업이 필요합 니다. D 따라서 빅 데이터 분석에는 높은 수준의 처리 성능과 스 토리지가 필수적입니다. 이에 조직은 컴퓨팅 리소스 확 장성과 관련한 요구 사항을 충족하고 공격 시 발생할 수 있는 막대한 데이터 부하를 처리할 수 있는 유연한 플랫 폼을 갖춰야 합니다. D 커머셜 보안 분석 솔루션은 아직 많은 수의 일반적인 활 용 사례를 처리할 수 있도록 사전 구성되어 있지 않으며, 따라서 상당한 맞춤 구성 작업이 필요합니다. D 보안 분석에 주력할 전담 리소스가 필요합니다. IT 운영 등의 분야로 직원의 업무가 전환되어 업무 공백이 발생 하는 등 이해 관계 및 상황에 따른 충돌을 피하기 위해 보안 모니터링은 다른 유사 모니터링과 별도로 전담 직 원이 배정되어야 합니다. 다수의 선도적인 기업에서 이미 차세대 멀 웨어 방지 기술을 도입하고 있으며, 향후 18개월 이내에 업계 주류 기술로 자리잡을 것으로 기대되고 있습니다. 차세대 멀웨어 방지 기술: 사이버 방어의 핵심 요소 최근 몇 년간 서명에 의존하지 않고 멀웨어를 탐지하여 공 격을 차단하는 제품이 다수 출시되었습니다. 이러한 제품은 네트워크상에 소프트웨어 또는 어플라이언스로 구축되어 특 정 유형의 보안 위협을 효과적으로 방지할 수 있습니다. 차세 대 멀웨어 방지 기술은 이제 사이버 방어 전략의 필수 요소로 간주되고 있습니다. 멀웨어 분석 대부분의 차세대 멀웨어 방지 기술은 애플리케이션 계층 이 아닌 커널 레벨에서 실행되는 프로세스와 같이 의심스러 운 동작 특성에 대한 분석 패턴을 사용하여 멀웨어를 탐지합 니다. 이를 통해 서명에만 의존하는 툴로는 탐지할 수 없는 제 로 데이(zero-day) 공격을 효과적으로 방지할 수 있습니다. 솔루션에서는 다음과 같은 기술을 사용할 수 있습니다. 1. 페이로드 분석: 수신 트래픽을 가상화 환경에서 실행함으로써 멀웨어로 확인될 경우 엔드포인트에 도달하기 전에 격리할 수 있습니다. 2. 네트워크 분석: 봇넷 C&CC(Command and Control Center)와 관련된 것으로 알려진 IP 주소로 접속을 시도하는 프로세스가 있는지 확인합니다. 3. 메모리 분석: 엔드포인트의 메모리를 검사하여 디바이스의 감 염 여부를 파악합니다. 이 솔루션의 가장 큰 이점은 멀웨어 탐지에 걸리는 시간을 대폭 단축시켜 신속한 차단 및 제거가 가능하고 잠재적 데이 터 손실 또는 기타 악의적인 활동을 방지할 수 있다는 것입니 다. 그러나 이 솔루션은 AV 솔루션을 완벽하게 대체할 수 없 다는 약점도 가지고 있습니다. 따라서 조직은 새로운 기술과 함께 기존 AV 솔루션을 계속 운영해야 합니다. 다수의 선도 적인 기업에서 이미 차세대 멀웨어 방지 기술을 도입하고 있으 며, 향후 18개월 이내에 업계 주류 기술로 자리잡을 것으로 기 대되고 있습니다. EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 5

8 사이버 보안 위협에 대한 복구 능력 개발 획기적인 투자의 필요성 5 오늘날 업계를 선도하는 보안 팀은 침입 방지 솔루션 보다는 탐지 솔루션에 집중 투자하고 있습니다. 탐지 제 어는 실제 보안 위협과 오탐지를 구분하고 보안 위협에 대 응하기 위해 경고를 생성하여 후속 조치를 수행하도록 설 계되어 있습니다. 발생된 경고에 대해 후속 조치를 수행 하기 위해서는 고도의 전문성을 갖춘 직원과 강력한 인시 던트 처리 프로세스가 필요합니다. 새로운 기술과 프로세 스에 대한 요구 사항, 인시던트에 대응하는 데 필요한 시 간으로 인해 최신 분석 및 멀웨어 방지 기술은 기존의 여 러 보안 기술과 비교하여 상대적으로 많은 운영 비용이 소요됩니다. 고비용의 고급 탐지 기술, 그리고 이 분야에서의 빠른 기술 변화 속도로 인해 일부 보안 팀은 사이버 방어에 대한 투자에 소극적인 자세로 최대한 지연시키려고 할 수 있습니다. 그러나 업계를 선도하는 보안 팀은 확고 한 의지로 사이버 보안 위협으로부터 더욱 안전하게 보 호할 수 있도록 새로운 전략적 기술에 투자하고 있습니 다. 특히 핵심 인프라스트럭처에 대한 APT(Advanced Persistent Threat)의 공격 대상이 되고 있거나 중요한 지적 자산을 보호해야 하는 기업에서는 이처럼 고급 멀웨 어 방지 솔루션과 빅 데이터 분석 등 더욱 향상된 사이버 보안 위협 탐지 기술을 구축하는 것이 중요합니다. 보안 팀은 인시던트가 확대되어 조사 및 복구에 소요되는 비 RALPH SALOMON Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery, SAP AG APT를 차단하기 위해서는 많은 비용이 필요합니다. 모든 제로 데이 및 APT 공격을 탐지하기 위해서는 기업 이 분석 및 서명에 의존하지 않는 방어 기술에 투자하는 등 보다 적극적인 접근 방식을 취해야 합니다. 용을 고려한다면 심각한 피해가 발생하기 전에 탐지 기술에 투자하는 것을 합리화할 수 있는 강력한 비즈니스 사례를 쉽 게 찾을 수 있을 것입니다. 보안 기술에 대한 투자는 다중 계층 방어 및 보호 프레임 워크를 구성하는 하나의 주요 구성 요소라는 인식을 토대로 접근해야 합니다. 고급 멀웨어 방지 솔루션은 비교적 신속하 게 구축할 수 있지만 빅 데이터 분석을 구현하려면 수년간의 프로젝트를 추진해야 할 수 있습니다. 업계 최고 수준의 기업 에서는 가치 실현 기간을 단축하기 위해 처음에는 비교적 한 정된 범위로 프로젝트를 제한하여 집중적인 노력을 기울이는 신중한 접근 방식을 취합니다. 초기 시스템에서는 최소한의 데이터 소스를 사용하여 일부 적은 수의 사례만 구축하여 소 규모에서 시스템을 안정화시킨 다음 단계적으로 데이터 소스 와 사례를 추가합니다. 6 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

9 UX(USER EXPERIENCE) 최적화 3 UX 최적화 B YOD(Bring Your Own Device) 프로그 램과 클라우드 컴퓨팅 애플리케이션으로 인 해 기업 환경에 대한 사용자의 기대치도 커 지고 있습니다. 엔터프라이즈 애플리케이션에서 흔히 볼 수 있는 낡은 UX(User Experience)로는 오늘날 근로자들의 요구 사항을 만족시킬 수 없습니다. 업계를 선도하는 보안 팀 중 다수는 스마트폰, 태블릿, 인기 있는 소비자 앱과 같은 수 준으로 보안 시스템의 UX를 개선하는 것을 가장 시급한 당 면 과제로 보고 있습니다. 정보 보안에서 UX란 화려한 인터페이스를 말하는 것이 아닙니다. 무엇보다 로그인 횟수를 최소화하면서 신속하게 로 그인하고 데이터와 애플리케이션에 빠르게 액세스하며 디바 이스와 위치, 플랫폼에 관계없이 자유롭게 사용할 수 있어야 이처럼 기업 및 소비자용 애플리케이션에서 UX는 보 안 모델의 성공을 좌우하는 핵심적인 요소가 되었 습니다. 합니다. 또한 복잡한 암호를 기억하고 수많은 사용자 이름과 암호의 조합을 사용해야 하는 것과 같은 번거로움을 최소화 해야 합니다. UX 개선은 기업 직원들의 효율성 향상과 직결 되며, 특히 고객용 애플리케이션의 경우 UX 개선을 통해 고 객 만족도를 쉽게 향상시킬 수 있어 그 중요성이 더욱 크다고 할 수 있습니다. 이처럼 기업 및 소비자용 애플리케이션에서 UX는 보안 모델의 성공을 좌우하는 핵심적인 요소가 되었습 니다. 분석을 통한 인증 방식의 유연성 향상 많은 기업이 위험도가 낮은 상황에서는 보다 신속하고 간 편한 프로세스를, 위험도가 높은 상황에서는 보다 까다로운 프로세스를 제공하여 일반적인 사용자에 대한 인증 과정을 간소화하기를 원하고 있습니다. 이러한 유형의 위험 기반 인 증은 이미 소비자용 뱅킹 사이트에서 광범위하게 사용되고 있습니다. 예를 들어 주로 사용하는 노트북에서 매월 지불하 는 청구서 비용을 결제할 경우 비교적 덜 까다로운 프로세스 를 거치게 되는 반면, 새로운 디바이스를 사용하여 많은 금액 을 이체하려고 시도할 경우 신원을 증명해야 하는 절차를 거 치게 됩니다. 고급 인증 기술은 위험 기반 인증을 위해 다단계 인증을 사용하여 신뢰 수준을 높이면서 사용자 개입을 최소 화하여 보다 안전한 트랜잭션과 높은 최종 사용자 만족도를 제공합니다. 복합적인 위험도 계산 빅 데이터 분석을 통해 사용자와 사용자의 동작을 분석하 면 한층 더 복합적인 위험도 계산이 가능합니다. 사용자의 ID 및 전반적인 트랜잭션의 신뢰 수준을 결정하는 데 사용자의 물 리적 위치, 액세스 시간, 요청된 활동, 액세스하려는 자산의 가 치, 사용자 디바이스의 보안 특성(예: 암호 보호 또는 탈옥)과 같은 수많은 요소를 고려할 수 있습니다. 이미 선도적인 기업에 서는 소비자 및 기업용 애플리케이션에 이와 같은 더욱 정교한 위험 기반 인증 시스템을 구축하기 시작했습니다. EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 7

10 UX(USER EXPERIENCE) 최적화 인증 환경이 최적화될수록 그 반대 급부로 관리 문제를 야 기할 수 있습니다. 분석을 활용할 때에는 개인 정보 보호 측면 에서 신중한 접근이 필요합니다(사이드바 참조). 그러나 분석 을 통해 개인화가 가능하다는 이점도 있습니다. 일부 사용자 는 많은 금액의 온라인 거래를 위해 2단계 또는 3단계 인증을 거칠 수 있습니다. 어떤 사용자는 ID 확인을 거치지 않고 거래 를 수행하기 위해 디바이스를 등록하고 자신들의 동작에 대 한 침입 감시 및 추적을 허용하도록 선택할 수 있습니다. ID 및 액세스 관리 향상 신규 직원, 계약자 및 파트너의 계정 설정 기간을 단축하 고, 역할에 따라 적절한 액세스 권한을 부여하며, 더 이상 필요 없는 액세스 권한을 즉시 종료하는 것은 업계의 오랜 목표 중 하나였습니다. 최근 IAM(Identity and Access Management) 분야가 발전함에 따라 이 목표 또한 실현되 는 중입니다. 대부분의 IAM 시스템은 이제 여러 시스템에 대해 별도의 설정 없이 바로 사용할 수 있는 커넥터를 제공하 므로 보다 쉽게 HR 시스템과 같은 권한 부여 비즈니스 데이 터베이스와 통합할 수 있습니다. 이제 ID 중개 서비스를 사용하면 기업에 ID 검증이나 자 격 증명의 발급 및 관리에 대한 부담을 가중시키지 않으면서 기업 애플리케이션에 대한 제3자 액세스가 가능합니다. ID 통합 기술 또한 성숙되어 기업이 보다 간편하게 비즈니스 파 트너 및 클라우드 공급업체와 연결할 수 있습니다. 그러나 일 부 보안 전문가들은 기업의 퍼블릭 클라우드 서비스 이용이 크게 증가하고 있는 상황에서 기존의 기업 IAM 솔루션이 적 합한지에 대해 의문을 제기하고 있습니다. 그리고 소비자 사 이트 간의 통합 ID를 위한 소셜 미디어 로그인 사용의 증가는 IAM 기술을 더 이상 필요 없게 만드는 또 다른 요인이 되고 있으며, 앞으로 이러한 경향은 기업 환경으로까지 확산될 것 입니다. 개인 정보 보호 및 데이터 보호의 영향 사이버 보안 위협에 대한 고급 인증과 상황 인식 기술 모두 강력한 데이터 수집 및 분석에 기반합니다. 기술 사용 범위가 점 차 확대됨에 따라 이러한 데이터에 미치는 개인 정보 보호의 영향에 대한 관심도 커지 고 있습니다. 보안 분석 프로그램에서 오랜 기간 수 집되는 기계 데이터에는 사용자 개인의 작 업 패턴, 사용하는 애플리케이션과 디바이 스의 설정, 근무 위치 및 시간과 같은 정보 가 포함됩니다. 일부 국가에서 이러한 데이 터는 개인 데이터 로 간주되며 적절한 보 호 조치를 취해야 합니다. 국가에서 이러한 데이터를 규제하지 않더라도 보안 팀은 수 집 가능한 사용자 정보의 활용도 및 해당 데이터가 사용자에게 미치는 중요도 간에 균형을 유지할 수 있어야 합니다. 보안 프로그램 개발의 전체 수명주기 동안, 특히 분석 프로그램을 설정할 때 개 인 정보 보호를 적용해야 하며, 이때 다음 과 같은 사항을 고려해야 합니다. 수집할 수 있는 데이터의 유형 및 데이터의 사용 방식과 관련하여 고객 및/또는 직원에 대한 약속이 지켜지고 있습니까? 수집하는 모든 기계 데이터가 필요합니까? 데이터 저장소는 얼마나 안전합니까? 빅 데 이터 저장소에 데이터를 집계할 때 정보에 대해 원래 가지고 있는 제어 권한이 사라지 며, 보다 세부적인 제어를 적용할 수 있는 기 능도 제한될 수 있다는 사실에 주의해야 합 니다. 개인 정보 보호와 빅 데이터 8 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

11 기업의 클라우드 활용 사례 보호 4 기업의 클라우드 활용 사례 보호 기업 IT에 대한 클라우드 컴퓨팅의 영향은 크고 작은 많 은 기업에서 자체 IT 인프라스트럭처를 보유하는 대신 클라 우드 서비스를 이용할 것인지 고민하는 사실을 통해서도 잘 알 수 있습니다. 2013년부터 2017년까지 퍼블릭 IT 클라우 드 서비스는 전체 IT 산업 성장률의 5배인 23.5%에 달하는 CAGR(Compound Annual Growth Rate)을 기록할 것 으로 전망되고 있습니다. 2 이러한 놀라운 성장률이 예상되고 있지만 여전히 기업은 기업 IT 인프라스트럭처에서 보관되지 않는 데이터를 어떻 기업의 클라우드 사용에 따른 몇 가지 첨예한 보안 문제를 해결할 수 있도록 최근 다양한 서비스가 출시되었습니다. 업계를 선도하는 보안 팀 중 다수는 이러한 새로운 클라우 드 보안 서비스가 실제로 효과가 있을 것으로 평가하고 1년 내로 하나 이상의 서비스를 구축할 계획을 가지고 있습니 다. 기본적으로 2013년의 21억 달러에서 2015년 31억 달 게 효율적으로 제어할 수 있는지 에 대해 의문을 제기하고 있 습니다. 기업의 클라우드 사용이 증가함에 따라 보안 문제도 더욱 심각해지고 있습니다. 클라우드의 신뢰성에 대해 기업 이 가지고 있는 근본적인 우려와는 별개로, 클라우드에서 호 스팅되는 데이터에 대해 비교적 새롭게 부상하고 있는 잠재적 취약성과 관련한 분야로 정부 감시가 있습니다. 특히 많은 기 업에서는 외국 정부에 의해 모니터링되는 인프라스트럭처로 데이터가 넘어갈 수 있는 경계 외부의 클라우드 서비스로 중 요한 데이터를 전송하는 것을 꺼리고 있습니다. 새로운 클라우드 보안 서비스의 파악 능력 및 제어 기능 러로 시장 규모가 확대될 것으로 예상됩니다. 3 그러나 아직 초기 단계인 클라우드 보안 서비스가 실제로 약속한 기능 을 완벽하게 제공하는지에 대해서는 쉽게 단정지을 수 없 습니다. 아래 표에 이러한 서비스가 제공하는 몇 가지 중요 한 기능이 정리되어 있습니다. 클라우드 보안 문제 섀도우 IT(Shadow IT): 조직의 승인 없이 업무에 클라우드 서비스를 사용하는 직원 위험 진단 및 제어 수단 확인 새로운 클라우드 보안 서비스 오퍼링의 예 기업 환경을 분석하여 현재 직원들이 사용 중인 클라우드 서비스를 탐지하고, 특정 클라우드 애플리케이 션의 사용을 제한 또는 차단합니다. 예를 들어 보안 팀은 일부 파일 공유 서비스를 통해 특정 문서를 공유 하는 것을 금지할 수 있습니다. 개별 클라우드 애플리케이션의 보안 등급을 매깁니다. 클라우드 서비스에 대한 제어가 제대로 작동하는지 여부를 지속적으로 모니터링합니다. 실시간으로 주요 위험 지표를 측정합니다. ID 및 액세스 관리 Active Directory 또는 LDAP 계정을 사용하여 여러 클라우드 애플리케이션에 대한 직원 계정을 간편 하게 프로비저닝 및 프로비저닝 해제합니다. SSO(Single Sign On)를 통해 직원들에게 여러 클라우드 기반 애플리케이션에 대한 액세스를 제공합니다. 강력한 인증을 지원합니다. 사용자의 디바이스 및 지리적 위치를 토대로 액세스를 제한합니다. 데이터 유출 방지 사용자 자격 증명 보호 DLP(Data Leakage Prevention) 또는 IRM(Information Rights Management)의 범위를 클라우 드로 확장합니다. 로그인 시도 및 성공적인 애플리케이션 로그인에 대한 감사 추적을 제공합니다. 사용자 동작을 분석하고 계정이 손상된 것으로 확인되면 기업에 알림을 제공합니다. 규제 요건 준수 또는 감시에 대한 보호를 위해 클라우드 데이터 암호화 정부 또는 다른 기업이 정당한 권한 없이 기업의 데이터를 읽을 수 없도록 클라우드로 전송되기 전에 기업 제어 키를 통해 데이터를 암호화합니다. 일부 보안 팀은 클라우드 기반 애플리케이션이 정렬 및 검색과 같 은 기능에 대해 자유롭게 데이터를 사용하면서 강력한 암호화를 제공한다는 공급업체의 주장에 회의적 입니다. 2 IDC, 2013년 9월 3 Gartner Research, 2013년 10월 EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 9

12 권장 사항 5 권장 사항 S BIC의 주요 보안 임원들에게 다음과 같은 주요 질문에 대한 의견을 물어보았습니다. D 기술 전략을 개발할 때 고려해야 할 요소는 무엇입니까? D 구매한 기술의 가치를 극대화할 수 있는 방법은 무엇입 니까? D 예산에서 가장 중요한 항목은 무엇이고, 제외할 수 있는 것은 무엇입니까? D 기술 계획, 인수 및 구축에서 가장 중요하게 생각해야 할 것은 무엇입니까? 다음은 빠르게 변화하는 오늘날의 환경에서 기업의 요구 사항을 충족하기 위한 주요 권장 사항으로, SBIC 보안 전문 가들이 오랜 기간의 경험을 토대로 선정한 것입니다 최소 3년 이상의 미래 예측 통합을 통해 보다 구체적인 밑그림 확보 체계화된 기술 구축을 통해 비즈니스 가치 극대화 1. 3년 이상의 미래 예측 한정된 예산을 미래에 대비한 보안 투자에 집중하기 위해 서는 3개년 계획을 수립하는 것이 매우 유용합니다. SWOT 분석 활용 정기적 전략 기획 업무의 일환으로 보안 팀은 지금부터 1년, 2년 또는 3년 이후에 기업이 직면하게 될 강점, 약점, 기회 및 위협(SWOT: Strengths, Weaknesses, Opportunities, and Threats)을 예측하고, 이러한 예측에 따라 솔루션에 투 자해야 합니다. 단, 기간이 길어질수록 예측에 대한 신뢰도는 낮아진다는 점을 감안해야 합니다. 10 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

13 권장 사항 앞선 보안을 위한 5가지 전략 보안 프로그램의 아키텍처를 구축 할 때 사용자들이 실제로 사용하는 것 보다 더 많은 기술을 구축하기를 원하 는 경향에 주의해야 합니다. 교체해야 할 기존 제품이나 제품군 보다는 기술에서 필요로 하는 기능을 중심으로 요구 사항을 정해야 합니다. 신흥 보안 공급업체에 주목합니다. 신흥 업체의 새롭고 혁신적인 아이디어 는 당장은 대규모로 구축하기에 필요한 안정성이 부족하겠지만 2년 정도 후에 는 기업의 요구 사항을 충족할 수 있는 솔루션으로 발전할 수도 있습니다. 3년 내로 해결해야 할 비즈니스 문 제를 파악하고, 그때 필요한 툴을 제공 할 수 있도록 지금부터 해당 업체에게 요청합니다. INSTITUTE FOR THE FUTURE ( 같은 리소스를 통해 최신 기술 동향에 대한 정보를 파악합 니다. 광의적인 관점에서 보안 위협만이 아니라 비즈니스에 부 정적인 영향을 미칠 수 있는 모든 것이 위협 이 될 수 있음을 고려합니다. 기회에는 1년부터 3년까지 보안 기술의 발전에 대한 예측이 포함되어야 합니다. 또한 모바일 플랫폼, 클라우 드 컴퓨팅, 사물 인터넷, 소비자 ID 등과 같이 기술 분야에서 흔히 발생하는 획기적인 새로운 기술의 등장도 고려합니다. 기술의 발전과 그에 따라 새롭게 생겨나거나 변화되는 위험을 고려해야 합니다. IT 및 비즈니스 간의 일관성 유지 조직의 기본적인 기술 방향에 따라 가장 효과적인 보안 제 어와 시스템도 달라지므로 보안 아키텍처와 기술 아키텍처 팀 이 긴밀히 협력하여 계획을 수립하는 것이 중요합니다. 일부 회사에서는 한 명의 직원이 두 부서를 모두 책임지기도 하며, 어떤 회사는 팀은 둘로 나뉘어 있지만 서로 협력하여 업무를 수행하기도 합니다. 성공적인 보안 전략을 위해서는 비즈니스도 고려해야 합 니다. 보안 팀은 비즈니스 전략을 고려하여 이를 뒷받침할 수 있는 비전을 제시해야 합니다. 전사적 수준의 빅 데이터 전략 수립 전사적 수준의 빅 데이터 전략 수립은 기술 협력의 주요 분야 중 하나입니다. IT 인프라스트럭처와 데이터베이스, 비 즈니스 애플리케이션의 로그가 보안 팀은 물론, IT 및 기타 사 업부에도 유용하게 사용되는 경우가 많습니다. IT 지원에서 제조 공급망의 최적화에 이르기까지 광범위한 비즈니스 프로 세스에서 빅 데이터 분석을 활용할 수 있습니다. 분석 프로그 램을 도입한 회사에서 CIO(Chief Information Officer)는 IT 지원에서 제조 공급망의 최적화에 이르기까지 광 범위한 비즈니스 프로세스에서 빅 데이터 분석을 활 용할 수 있습니다. 일반적으로 빅 데이터를 중앙 집중화하여 기업 전체에서의 활 용도를 최적화하는 전략을 추진하지만, 이 전략은 일부 특정 부서에 고립된 데이터에는 적용되지 않습니다. 보안이 첫 번 째 활용 사례가 될 가능성이 높으므로 보안 팀은 기업의 전반 적인 빅 데이터 전략을 정립하는 데 도움을 주어야 할 것입니 다. 기술과 파트너를 선택할 때 솔루션에서 전사적 수준의 빅 데이터 전략에 대한 경로를 제공하는지 확인해야 합니다. 보 안에 특화된 빅 데이터 기술은 보안 팀의 기능적 요구 사항은 충족하겠지만 보다 폭넓은 비즈니스 목표를 지원할 수 있는 기회를 놓칠 수 있습니다. 빅 데이터 도입은 한층 더 향상된 보안 위협 탐지는 물론, 시장에 대한 심층적인 분석과 맞춤형 고객 서비스, 유용한 운 영 인텔리전스 등을 제공하므로 기업의 경쟁력 강화 측면에서 도 큰 이점이 있습니다. 기업의 빅 데이터 자산을 보호하면서 전사적 수준에서 빅 데이터 기술을 신속하게 도입하려면 정 보 보안 팀이 새로운 보안 제어 능력을 개발하는 것이 필수입 니다. EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 11

14 권장 사항 미래 지향적인 솔루션을 구축하려면 매우 강력한 아키텍처가 필요합니다. 보안 팀은 3년 후의 미래를 예측하고 기업에 필요 한 기술이 있다면 과감히 투자해야 합니다. KENNETH HAERTLING, TELUS VP 겸 CSO(Chief Security Officer) 감사자와의 긴밀한 협력 관계 구축 외부 감사자와 함께 작업할 경우 3개년 계획을 통해 구축 할 새로운 기술을 해당 감사자가 파악할 수 있도록 해야 합니 다. 기업의 등급을 결정하는 감사 프레임워크는 3년 이상 오래 된 보안 지침서를 토대로 하는 경우가 많습니다. 따라서 신기 술의 사용을 인가받기 위해서는 정기적으로 감사자를 재교육 하여 최신 기술에 대한 동향을 감사에 반영할 수 있도록 해야 합니다. 특히 PCI(Payment Card Industry) 데이터와 같은 규제 대상 정보를 클라우드에 저장할 경우 문제가 될 수 있습 니다. 클라우드 환경이 기존 환경보다 안전하다고 해도 감사자 가 클라우드 환경이 더 안전한지 확인할 수 있는 방법을 모를 수 있습니다. 이처럼 클라우드 기술 또는 가상화 사용을 고려하고 있지 만 감사를 진행하는 데 어려움이 예상되는 경우에는 사전에 감사자와의 긴밀한 협력을 통해 유효한 감사 기준을 수립해야 합니다. 이와 동시에 클라우드로의 단계적인 전환 계획을 수 립합니다. 한 보안 조직은 2015년까지 규제 대상 데이터를 클 라우드에 저장하는 것을 목표로 클라우드 사용 문제를 해결 하기 위해 감사자와 분기별로 회의를 진행하고 있습니다. 12 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

15 권장 사항 2. 통합을 통해 보다 구체적인 밑 그림 확보 최신 보안 기술에 투자할 때 가장 큰 성과는 여러 애플리 케이션의 연동 및 통합에서 나오는 경우가 많습니다. 대부분 의 보안 조직은 내부에 분산된 수십 개의 애플리케이션이 연 동하도록 설계되어 있지 않아 보안 데이터의 잠재적인 가치를 극대화하는 데 어려움을 겪고 있습니다. 그러나 이제 보다 간편하고 효과적으로 시스템을 통합할 수 있는 기술이 제공되고 있습니다. 예를 들어 빅 데이터 분석, 보안 인텔리전스, GRC(Governance, Risk and Compliance) 플랫폼은 비즈니스 애플리케이션 또는 방지 기 술과 보안 위협 탐지 또는 위험 관리를 완벽하게 통합할 수 있 도록 지원합니다. 이러한 통합의 예를 들면 다음과 같습니다. 비즈니스 프로세스 데이터와 보안 데이터 웨어하우스 통합 한 기업에서는 실제 비즈니스 컨텍스트를 보안 이벤트에 통합하기 위해서는 보안 시스템은 물론 비즈니스 애플리 케이션과 데이터베이스의 데이터도 분석해야 한다는 것 을 인식하고 공통 로깅 서비스를 구축하여 비즈니스 애 플리케이션의 관련 데이터를 보안 데이터 웨어하우스에 제공했습니다. 그 결과, 인시던트에 대한 후속 조치를 수 행하는 분석가가 비즈니스 환경을 포괄적으로 파악할 수 있어 신속하고 완벽하게 조사를 완료할 수 있게 되었 습니다. 실시간 애플리케이션 테스트와 보안 인텔리전스 플랫폼 통합 DAST(Dynamic Application Security Testing) 시 스템은 실시간으로 웹 애플리케이션을 조사하여 보안 상 의 결함이 없는지 확인합니다. 한 조직은 SIP(Security Intelligence Platform)를 사용하여 자사의 DAST 시 스템을 방화벽과 통합함으로써 방화벽을 통한 웹 애플리 케이션 보호를 최적화할 수 있었습니다. DAST 시스템 이 애플리케이션에서 결함을 발견하면 NVD(National Vulnerabilities Database)에 따라 해당 취약점의 유형 을 분류한 후 취약성 인덱스 번호를 SIP에 전달합니다. SIP는 결함이 있는 애플리케이션의 이름과 IP, 취약성 인 덱스 번호를 방화벽으로 전송합니다. 이를 통해 특정 애 플리케이션에 결함이 있으며 특정 유형의 멀웨어 또는 프 로토콜에 의해 공격을 받을 수 있음을 방화벽에 알릴 수 있습니다. 방화벽에서는 이제 위험한 트래픽의 유형을 파 악하고 있으므로 해당 애플리케이션에 대해 이와 같은 유 형의 트래픽을 차단합니다. GRC와 프로젝트 관리 통합 사업부는 사업부 내의 전체 비즈니스 프로세스와 관 련된 모든 정보 보안 관련 위험을 파악하고 관리할 수 있어야 합니다. 이러한 목표를 달성하기 위해 일부 앞 선 조직은 프로젝트 관리 시스템에 GRC 툴을 구축하 여 모든 새로운 프로젝트에 대해 위험 진단이 자동으로 요청되도록 했습니다. 프로젝트의 전체 수명주기 동안 사업부는 이러한 위험의 변화 양상이나 해결 여부를 추 적할 수 있습니다. GRC와 모바일 디바이스 통합 업계를 선도하는 한 조직에서는 egrc 시스템에서 위험 에 대한 맞춤형 뷰를 제공하는 모바일 앱을 개발했습니 다. 그 결과, 이 회사의 임직원들은 ipad 또는 기타 모바 일 디바이스를 통해 해당 앱을 액세스하여 담당 분야 또 는 관련 분야의 위험 목록을 확인할 수 있게 되었습니다. 또한 앱을 사용하여 위험 완화 조치, 현재 상태 등의 특 정 위험에 대한 세부 정보를 확인할 수 있습니다. 별도의 설정이 필요 없이 원활하게 연동할 수 있도록 시스 템이 설계되어 있지 않은 경우가 많으므로 이들을 통합하기 란 쉽지 않은 작업입니다. 예를 들어 모든 애플리케이션과 방 화벽, 액세스 제어 등에 대해 보안 인텔리전스 플랫폼을 완벽 하게 구축하려면 ERP(Enterprise Resource Planning) 시스템을 구축하는 것과 같은 규모의 작업이 필요하지만, 그 결과 각 요소를 모두 합한 것보다 훨씬 더 강력한 통합 시스템 을 구축할 수 있습니다. 오늘날의 첨단 보안 기술을 제대로 활 용하려면 각 솔루션이 통합 아키텍처를 구성하는 요소가 되 어야 하며, 이러한 통합 아키텍처를 통해 해결되지 않을 경우 에만 포인트 솔루션을 사용하는 것이 좋습니다. 보안 조직은 현재 서로 연결되어 있지 않거나 상호 작용이 이루 어지지 않는 보안 솔루션을 파악하고 이러한 기술을 통합할 수 있 는 방법을 찾아야 합니다. 관련 컨텍스트를 제공하고 정보의 활 용도를 높이며 모든 것을 하나의 뷰를 통해 파악할 수 있도록 각 솔루션을 통합할 수 있는 방법을 찾아야 합니다. MALCOLM HARKINS Intel VC 겸 CSPO (Chief Security and Privacy Office) EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 13

16 권장 사항 3. 체계화된 기술 구축을 통해 비 즈니스 가치 극대화 새로운 제품에 대해 상세하게 모든 사항을 파악하고 있다 고 하더라도 효율적으로 기술을 구축하기란 쉬운 일이 아닙니 다. 또한 시스템을 완벽하게 구축하는 데 오랜 기간이 소요되므 로 현재 기술 변화의 속도를 고려하면 프로젝트가 완료될 즈음 에는 한층 더 발전된 기술이 출시될 수도 있습니다 또한 신중하 게 선택한 새로운 제품이 기대치를 충족하지 못할 수도 있습니 다. 무엇보다 일상 업무를 지속적으로 운영하기에도 부족한 예 산으로 인해 흥미로운 기술 개발 또는 장기적인 비즈니스 전략 을 따라잡기는 더욱 힘이 듭니다. 이러한 난관에 익숙한 보안 팀 은 사전 예방적으로 위험을 관리할 수 있도록 체계화된 접근 방 식을 통해 새로운 기술을 구축하도록 조언합니다. 5사전 예방적으로 위험을 관리하기 위해서는 구 축에 대한 체계화된 접근 방식을 취해야 합니다. 총 비용과 총 가치의 예측 및 추적 기술 구축 실패를 가져오는 가장 대표적인 요인 중 하나는 기술 운영에 소요되는 비용을 계획에 반영하지 않는 것입 니다. 적절히 교육을 받은 보안 기술 운영 전문가를 고용하 는 것은 기술의 성공적인 구축에 있어 매우 중요하지만 전문 성을 갖춘 인력을 고용하려면 대개 많은 비용이 소용됩니다. 따라서 새로운 기술에 투자하기 전에 TCO(Total Cost of Ownership)를 파악하고 수명주기 동안 지속적으로 운영 예 산을 확보할 수 있어야 합니다. 또한 예상 비용과 그 성과를 파악하고 추적하는 체계적인 프로세스는 보안 팀이 공급업체와 긴밀하게 협력하여 해당 제 품의 성과를 극대화하는 데에도 도움이 됩니다. 공급업체와 의 계약 체결 시 특정 기간(예: 6개월)에 제품이 제공해야 할 가치가 정의되어야 하며 이를 검증해야 합니다. 지정된 기간 이 만료된 후 조직은 예상 가치를 얻지 못했거나 예기치 못한 비용이 발생할 경우 자사에 문제가 있는지, 기술 자체에 문 제가 있는지, 구축 방식에 문제가 있는지 를 확인하는 프로 세스를 거쳐 이 문제를 해결하기 위한 단계를 수행해야 합니 다. 9개~12개월 후에도 예상 가치를 거두지 못할 경우 해당 공 급업체와의 계약을 해지하거나 결제 금액을 축소하거나 기술 구축 방식을 변경하는 옵션을 고려해야 합니다. 성공을 앞당기기 위한 단계적 구축 대규모 기업에서 모든 것을 한 번에 일괄적으로 구축"하 는 것은 기간이 너무 오래 걸리고 비용도 많이 소요된다는 것 은 이미 대부분의 조직에서 경험하고 있는 사실입니다. 비즈 니스를 혁신시킬 획기적인 기술을 구축하면서 기술적인 변화 에 따른 문제를 최소화하기 위해서는 초기 구축을 소규모로 수행할 수 있는 방법을 모색해야 합니다. 즉, 멀웨어 방지 제어 가 가장 시급한 특정 주요 데이터 자산에 한해 해당 제어를 구 축할 수 있는지, 하나의 팀이나 부서에 먼저 새로운 인증 시스 템을 도입해 본 후 확대 적용할 수 있는 기회가 있는지 등을 확 인해야 합니다. 소규모 구축을 통해 기술이 원활하게 작동하 는지 확인한 후 전사적 차원으로 이를 확장하여 더욱 광범위 하게 적용할 수 있습니다. 효율적인 클라우드 공급업체 관리 내부 기술 구축에서만 체계화된 프로세스가 중요한 것이 아닙니다. 기업에서 점점 더 많은 클라우드 보안 서비스 공 급업체를 이용하게 됨에 따라 이러한 공급업체를 현명하게 관리하는 것이 중요하게 되었습니다. 클라우드 보안 서비스 의 신뢰도를 진단하는 방법을 신중하게 고려해야 합니다. 여 기에는 증거에 기반한 제어 수단을 사용하여 지속적으로 보 안 제어의 효율성을 모니터링하는 것도 포함됩니다. 이와 관 련한 자세한 내용은 이 시리즈의 두 번째 보고서인 Future- Proofing Processes를 참조하십시오. 제어가 원활하게 작 동한다는 증거를 공급업체가 정기적으로 제공하도록 계약을 체결해야 합니다. 클라우드 보안 서비스 분야에서는 특히 새 로운 기능이나 경쟁업체가 등장하기 쉬우므로 필요 시 경쟁력 이 떨어지는 공급업체를 변경할 수 있도록 사전에 출구 전략 을 마련해 두어야 합니다. 14 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

17 권장 사항 유지 보수에 대한 전략적인 접근 방식 한층 더 업그레이드된 기술을 원하지 않는 팀은 없을 것입 니다. 하지만 한 보안 팀원의 전문 분야가 바이러스 백신일 경 우 해당 팀원은 이 바이러스 백신을 계속 사용하기를 원할 수 도 있습니다. 기술 발전에 투자할 예산이 부족한 현실 속에서 직원의 익숙한 기술에 대한 선호 성향까지 합쳐져 보안 팀이 기존 기술의 업그레이드 및 포인트 릴리즈에 많은 예산을 투 자하는 것에 대해 비판적인 의견이 제기될 수도 있습니다. 그 러나 EOL(End-of-Life)이 가까운 노후된 기술에 대해 모든 소프트웨어 업데이트 또는 하드웨어 업그레이드를 중단할 경 우 그 위험을 받아들일 수 있는 팀은 없을 것입니다. 전략적 비 용 절감을 통해 여유 리소스를 확보하여 한층 더 발전된 기술 을 도입할 수 있습니다. 한정된 예산으로 균형을 유지하기 위 한 한 가지 방법으로 허용 가능한 수 준의 위험까지만 제어하면서 기존 보 안 인프라스트럭처의 비용을 절감한 다음 이렇게 절감된 비용을 새로운 기술에 투자할 수 있습니다. PETRI KUIVALA Nokia CISO (Chief Information Security Officer) EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 15

18 결론 정보 보안 팀은 지능적인 공격으로부터 방어하거나 비즈 니스 혁신을 가속화하기 위해 첨단 기술을 구축합니다. 그러 나 보안 팀이 전략을 수립할 때 최적의 기술을 선택하는 것만 으로는 충분하지 않습니다. 가치를 극대화하기 위해서는 기업 의 기존 인프라스트럭처에 새로운 기술을 도입하기 위한 종합 적인 다년간 계획도 수립해야 합니다. 다중 계층의 방어 및 보 호 프레임워크를 구축하기 위해서는 기업의 비즈니스 환경과 보호해야 하는 중요한 자산에 대한 심층적인 이해와 함께 기 업이 당면하고 있는 특정 보안 위협에 대해서도 자세히 파악 하고 있어야 합니다. 성공적으로 기술을 구축하려면 새로운 툴을 활용하고 이 툴을 운영할 수 있는 담당자를 확보할 수 있 도록 강력한 프로세스가 뒷받침되어야 합니다. SBIC의 정 보 보안 혁신 시리즈는 인력과 프로세스, 기술의 발전과 통합 을 통해 오늘날 기업을 성공적으로 보호하기 위한 경로를 제 시합니다. Security for Business Innovation Council 이니셔티브 정보 임원들이 새로운 가치와 효율성을 창조하기 위해 글로벌화된 환경과 새로운 기술을 활용하는 데 적극적으로 나서면서 대부 분의 기업에서 비즈니스 혁신은 최우선 과제가 되고 있습니다. 하지만 아직 그러한 목표를 달성하기에는 부족한 부분이 있습니 다. 정보 및 IT 시스템을 기반으로 비즈니스 혁신이 이루어지고 있지만 정보 및 IT 시스템의 보안은 대개 전략적으로 다루지 않 고 있습니다. 갈수록 까다로워지는 규제의 압박과 지능화되는 위협에 직면한 대기업도 마찬가지입니다. 사실상 정보 보안은 뒤 로 밀려나 프로젝트의 말미에 다루거나 심지어 전혀 다루지 않 는 경우가 많습니다. 하지만 적절한 보안 전략 없이는 비즈니스 혁신이 한계에 부딪히거나 조직이 큰 위험에 처하기 십상입니다. RSA는 보안 팀이 비즈니스 혁신 프로세스의 중요한 파트너 로 자리잡는다면 조직에서 전례없는 성과를 달성하는 데 큰 역 할을 할 것이라고 믿습니다. 새로운 접근 방식이 태동할 조건이 무르익은 만큼 이제 보안은 단순한 전문 기술의 틀에서 벗어나 비즈니스 전략으로 한 단계 발전해야 합니다. 대부분의 보안 팀 은 보안과 비즈니스를 보다 효과적으로 융합해야 할 필요성을 인식하고 있지만 이러한 인식을 바탕으로 구체적인 실행 계획 을 수립하는 데 어려움을 겪는 경우가 많습니다. 목표는 알고 있 지만 어떻게 달성해야 할지를 모르는 것입니다. 이러한 이유로 RSA는 전 세계의 대표적인 보안 리더들과 함께 미래 지향적인 접근 방식을 찾기 위한 논의를 진행하고 있습니다. RSA는 다양한 업종의 글로벌 1,000대 기업에서 성공 가도를 달리고 있는 보안 임원을 모아 Security for Business Innovation Council 이라는 그룹을 구성했습니다. 위원회의 임원들과 심도 있는 인터뷰를 여러 차례 진행하고 제시된 아이 디어를 일련의 보고서로 발표하는 한편, 이러한 주제를 다루는 외부 연구를 후원하고 있습니다. 보고서를 보거나 연구 컨텐츠 를 액세스하려면 접속하십시오. 이러한 공동의 노력을 통해 이처럼 중요한 업계 의 혁신을 앞당길 수 있습니다. 16 SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA

19 보고서 기고자 Security for Business Innovation Council MARENE N. ALLISON Worldwide Vice President of Information Security, Johnson & Johnson ANISH BHIMANI CISSP Chief Information Risk Officer, JPMorgan Chase WILLIAM BONI CISM, CPP, CISA CISO(Corporate Information Security Officer), VP, Enterprise Information Security, T-Mobile USA ROLAND CLOUTIER Vice President, Chief Security Officer, Automatic Data Processing, Inc. MARTIJN DEKKER 박사 Senior Vice President, Chief Information Security Officer, ABN Amro JERRY R. GEISLER III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. RENEE GUTTMANN Chief Information Security Officer, The Coca-Cola Company MALCOLM HARKINS Vice President, Chief Security and Privacy Officer, Intel KENNETH HAERTLING Vice President 겸 Chief Security Officer, TELUS PETRI KUIVALA Chief Information Security Officer, Nokia DAVE MARTIN CISSP Vice President 겸 Chief Security Officer, EMC Corporation TIM MCKNIGHT CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments ROBERT RODGER Group Head of Infrastructure Security, HSBC Holdings, plc. RALPH SALOMON CRISC Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery, SAP AG VISHAL SALVI CISM Chief Information Security Officer 겸 Senior Vice President, HDFC Bank Limited SIMON STRICKLAND Global Head of Security, AstraZeneca SBIC 회원의 자세한 약력은 EMC.com을 참조하시기 바랍니다. LEANNE TOLIVER Office of the Chief Information Security Officer, ebay DENISE D. WOOD Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation EMC 보안 사업부 RSA SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 17

20 EMC, EMC 2, EMC 로고, RSA 및 RSA 로고는 미국 및 기타 국가에서 EMC Corporation의 등록 상표 또는 상표입니다. 본 문서에 언급된 기타 모든 제품 및 서비스는 해당 소유주의 자산입니다 EMC Corporation. All Rights Reserved CISO RPT SECURITY FOR BUSINESS INNOVATION COUNCIL 보고서 EMC 보안 사업부 RSA