Taking Enterprise Security to the Next Level

엔터프라이즈 보안의 한 단계 도약

Akamai Technologies 기업 담당 VP 겸 GM 존 서머스(John Summers)와의 인터뷰

비즈니스 리더가 오늘날의 사이버 보안 위협에 관해 알아야 하는 중요한 사항은 무엇인가요?

일반적인 위협만 존재하던 시대가 끝났다는 것을 인지해야 합니다. 주로 지적 재산, 개인 정보, 금융 정보 등 무언가를 탈취하려는 임무를 부여받은 사람이 기업을 표적으로 삼는 위협이 증가하고 있습니다. 또는 단순히 기업의 활동에 참여하여 대화 내용을 엿듣는 것이 목적일 수도 있습니다.

이런 행위를 하는 사람은 고도의 기량과 풍부한 리소스를 보유하고 있습니다. 사이버 방어 체계를 무너뜨리는 기술이 뛰어난 공격자 중의 일부는 탁월한 연기자입니다. 이들은 집요하고 인내심이 강할 뿐 아니라 인프라, 비즈니스, 직원과의 상호 작용을 가능한 무해하고 일상적인 활동으로 보이게 하는 방식으로 탐지망을 완벽하게 피하기 위해 최선의 노력을 다합니다. 완전히 차원이 다른 위협인 셈입니다. 지난 몇 년에 걸쳐 진화를 거듭한 이런 유형의 위협은 보안 부담을 상당히 가중시키고 있습니다.

그러는 동안 비즈니스 리더들에게는 조직의 민첩성 향상을 추구하고 고객, 비즈니스 파트너, 공급망, 배포망에 새로운 가치를 부가해야 하는 막중한 임무가 주어졌습니다. 기업은 비즈니스를 더욱 효율적으로 운영하고 신속히 변화할 수 있도록 디지털 방식을 도입해야 합니다. 필요에 의해 클라우드 인프라에 더 많이 연결하고 더 많이 통신하며 클라우드 인프라를 더 많이 사용하게 됩니다.

따라서 위협적인 공격자들이 기술 인프라를 침투하는 방식이 교묘해질수록 기업은 인프라 보안을 강화하고 비즈니스 경쟁력을 유지할 수 있는 연결을 구현해야 합니다. 그것만이 오늘날의 사이버 보안을 철통같이 유지하는 유일한 방법입니다. 기업은 훨씬 빠르게 변화를 수용하면서도 다양한 위협을 인식하고 방어할 수 있습니다.

비즈니스 리더가 오늘날 널리 사용되는 보안 접근 방식에 대해 알아야 하는 사항은 무엇인가요?

역사적으로 보안 업계에 종사하는 모든 사람은 네트워크 보안 레이어를 다뤄본 경험이 있습니다. 내부와 외부를 구분하는 경계와 높은 장벽이 있는 세계였습니다. 하지만 그런 세계는 이제 사라지고 있습니다. 상호 연결성이 뛰어난 기업에는 인프라의 일부와 사용자가 다른 공간에 있습니다. 방화벽 뒤가 아닌 고객, 비즈니스 파트너와 밀접한 위치에 배치되고 때로는 멀리 떨어진 위치에서 비즈니스 크리티컬 애플리케이션에 다시 연결하는 방식입니다.

이 광범위한 연결 방식은 기존의 네트워크 보안 사고방식과 상당히 다릅니다. 인터넷을 통해 애플리케이션에 접속하는 경우, 제어가 가능한 네트워크를 통과하지 않기 때문에 사이버 위협 탐지 및 방어 측면에서 네트워크 레이어 제어의 효과가 떨어지게 됩니다.

그렇다면 필수불가결한 대안은 무엇일까요?

보안을 바라보는 관점이 네트워크에서 사용자, 데이터, 애플리케이션 레이어로 발전해야 합니다. 이 레이어들은 새로운 컨트롤 포인트이자 클라우드 인프라 세계에서 비즈니스 상호작용을 제어하는 위치입니다. 기업은 사용자가 누구인지 알아야 합니다. 또한 사용자가 접속해야 하는 애플리케이션을 파악하여 사용자에게 해당 애플리케이션의 접속 권한만을 제공해야 합니다. 그리고 사용자와 애플리케이션 간에 이동하는 데이터가 올바른 데이터이고 전송 중에 보안을 보장해야 합니다. 저는 이것을 "패킷, 포트, 프로토콜"에서 "사용자, 데이터, 애플리케이션"으로 진화하는 보안이라고 부릅니다.

문제는 새로운 접근 방식과 제어 방법에 숙련된 보안 전문가가 더 많이 필요하다는 것입니다. 그리고 벤더들은 지금 같이 광범위하게 분산된 커넥티드 세상에서 기업 보안에 관한 사고방식을 전환해야 합니다. Akamai는 인터넷을 통해 콘텐츠를 안전하게 전송하면서 성장해 왔으며 웹 패브릭 위에 플랫폼을 직접 구축하기 때문에 이 분야에서 탁월한 장점을 지니고 있습니다. 지난 19년 동안 사용자, 데이터, 애플리케이션은 물론 우리와 소통하는 디바이스 등 자산 수준에서 보안을 운영해야 했습니다. 이는 사용 중인 네트워크와 상관없이 강력한 인증, 강력한 암호화, 완벽한 가시성으로 이어집니다.

인터넷은 대략 15,000개의 서로 다른 네트워크로 이루어진 통신망입니다. 그 중심에서 비즈니스를 운영할 때는 자산 레이어 보안이 유일한 선택입니다. 우리는 19년에 걸쳐 보안을 한 단계 도약시키는 방법에 대해 학습한 결과를 고객과 공유하고자 합니다.

이러한 자산을 보호하는 비결이 무엇인지 더 자세히 알려주실 수 있나요?

자산을 어느 정도 신뢰할 수 있는지와 자산을 신뢰할 때 어느 정도의 비즈니스 위험을 감수해야 하는지를 판별하려면 자산과 그 작동에 대한 가시성이 필요합니다.

우리는 항상 전통적인 기업 보안 모델에서 사용자 신원 정보를 보유해 왔지만, 지금은 주요 SaaS 애플리케이션과 같이 데이터 센터 대신 클라우드에서 운영되는 애플리케이션에 접속하는 데 이러한 신원 정보를 사용해야 합니다.

사용자층이 확대되면 사용하는 디바이스에 관한 정보를 알아야 합니다. 기업에서 관리하는지 아니면 사용자의 선택으로 대부분 관리되지 않는 디바이스인지를 말입니다. 사용자의 편의를 도모하려면 보안 정책 및 사례에서 BYOD를 다뤄야 합니다.

클라우드에서 제공되는 애플리케이션의 경우에는 사용자가 올바른 애플리케이션에 접속 중인지와 애플리케이션을 완전히 신뢰할 수 있는지, 일부만 신뢰할 수 있는지 아니면 전혀 알 수 없는지도 알아야 합니다. 예를 들어, 익숙한 소스에서 수신되거나 정상적인 비즈니스의 일부로 판단되는 이메일 링크를 사용자가 클릭하여 스피어 피싱 공격의 희생양이 될 때 이는 특히 중요합니다. 잠재적인 공격을 탐지하기 위해서는 통신되는 것이 무엇인지와 대상의 신뢰성을 모두 파악해야 합니다.

그리고 그 다음으로는 데이터가 있습니다. 보안 노력은 그 중요성을 인지하는 것으로 시작됩니다. 사용자와 애플리케이션 간에 전송되는 데이터가 비즈니스에 중요한가요? 그다지 중요하지 않은가요? 아니면 도난되어도 문제될 것이 없나요? 데이터 분류는 대부분의 기업에서 초기 단계에 속합니다. 사람들은 이 단계가 필요하다고 말하지만 소수의 조직만이 제대로 수행하고 있습니다. 한 금융 서비스 기업의 경영진은 기본적으로 두 종류의 데이터만 존재한다고 털어놓았습니다. "내게 문제가 생길 소지가 있는 데이터와 그 외 다른 모든 데이터"라고 말이죠.

이러한 모든 자산을 안전하게 지키려면 보안 의사 결정과 상응하는 조치가 예전보다 훨씬 확정적이지 않다는 점을 인지해야 합니다. IP 주소에 대한 접속 승인 또는 차단에 관한 것이 아닙니다. 이분법적 사고방식도 아닙니다. 보안 의사결정에서 미묘한 차이를 이해하고, 어떤 일이 발생하고 있는지에 대한 더욱 세분화된 가시성이 필요하며, 보안 정책의 적용 측면에서 비즈니스 위험을 더욱 중시해야 합니다.

심층적인 위험 기반 사이버 보안 모델의 비즈니스 이점은 무엇인가요?

목적은 비즈니스와 브랜드에 대한 위험을 줄이는 동시에 혁신, 가속화, 변화를 추구하는 데 지장을 주지 않는 것입니다. 이상적인 보안 사례는 비즈니스 민첩성을 보장하고 기업에서 최신 릴리스로 인해 비즈니스에 추가적인 위험이 가중되지 않는 방식으로 새로운 애플리케이션을 계속해서 출시하도록 지원합니다.

이는 심오한 전환을 의미합니다. 예전부터 보안은 비즈니스 목표를 달성하기 위해 극복해야 하는 장애물로 인식되어 왔습니다. 보안 담당자들은 주로 자신들을 무엇이 가능하고 불가능한지 알려주는 문지기라고 생각합니다.

그 대신 보안은 기업에서 가장 낮은 위험과 가장 높은 기회를 수반하는 방식으로 목표를 달성하는 방법에 대한 조언을 제공하는 역할을 맡아야 합니다. 기업의 기회 창출을 위해 합리적인 수준으로 위험을 낮추는 방법에 대한 안내와 위험 평가의 소스로 인식되어야 합니다. CSO는 비즈니스 수행 시 발생할 수 있는 다양한 위험 수준에 관한 정보를 회사 동료들에게 제공해야 합니다. 위험을 완벽히 없앨 수 있는 보안 조직은 없습니다.

비즈니스 민첩성을 지원하는 보안 사례의 예에는 어떤 것이 있나요?

우리는 대형 금융 서비스 기업의 디지털팀과 공동 작업을 진행한 경험이 있습니다. 새로운 애플리케이션, 신속한 혁신, 빠른 실험, 새로운 비즈니스 가치에 관한 일이었습니다. 이 고객사 팀은 현재 보안에 대한 확신을 갖고 새로운 애플리케이션을 신속하게 배포할 수 있기를 바랬습니다. 우리는 모든 애플리케이션이 근본적으로 확장성 및 안전성이 보장된 상태로 제작될 수 있도록 보안 레이어가 내장된 애플리케이션 배포 프레임워크를 함께 개발했습니다.

확인 및 모니터링, 인증, 접속 제어를 위해 팀에서 사용 중이던 보안 툴이 프레임워크에 모두 포함되었습니다. 이에 따라 개발자는 새로운 앱 구축이라는 본연의 업무에만 집중할 수 있게 되었습니다. 보안은 필요에 따라 추가되는 부가적인 단계가 아니라 내재된 것이었습니다. 보안 방식이 장애물에서 구현자로 바뀐 것입니다.

이 접근 방식을 확장해 보겠습니다. 시간이 지나면서 애플리케이션에는 API와 M2M(machine-to-machine) 통신이 통합됩니다. 대부분의 조직은 이러한 M2M은 물론 API간, 소프트웨어 비트간 통신의 보안에 많은 주의를 기울이지 않습니다. 전체 API 집합을 함께 연결한 다음 애플리케이션이 웹 또는 사용자와 상호 작용하는 경우에만 보안 래퍼를 추가합니다.

하지만 API 레이어에서 보안 통신을 구축할 수 있으면 해당 API를 사용하는 모든 애플리케이션에 엄청난 이점이 됩니다. API가 송수신하는 데 적합한 것을 판별할 수 있도록 보안이 소프트웨어에 구축됩니다. 보다 철저한 보안을 유지하면서 애플리케이션을 더 빠르게 배포할 수 있습니다.

여기서의 기본 원칙은 비즈니스 인프라를 구상하는 대로 보안이 설계되고, 나중에 추가하는 방식 대신 인프라에 직접 통합되어야 한다는 것입니다. 새로운 데이터를 생성할 때는 나중에 보안 분류를 추가하려고 하는 대신 비즈니스에 대한 중요성을 생각해야 합니다. 애플리케이션 배포 시 보안이 이미 적용되어 있어야 합니다. 이는 기업에서 거쳐야 하는 보안 사례의 다음 기준입니다.

기업은 심층적인 자산 기반 및 위험 중심 보안의 구축 과정을 어떻게 시작해야 하나요?

대다수는 비즈니스 패브릭에 보안을 더욱 직접적으로 통합하고 싶어합니다. 먼저 인프라가 아닌 비즈니스 프로세스를 자세히 파악합니다. 프로세스의 다양한 단계 간에 교환되고 있는 데이터를 살펴보고, 각 단계에서 데이터의 일부가 유실될 때 비즈니스에 발생하는 잠재적 위험을 평가합니다. 그런 다음 프로세스에 참여할 수 있는 인원, 커뮤니케이션 종료 시점마다 필요한 인증, 해당 커뮤니케이션에 적용해야 하는 제한 사항 및 관리 기능에 대해 적합한 보안 제어 기능을 배치합니다. 비즈니스 프로세스 레이어에서 보안을 고려할 수 있으면 그 아래에 있는 인프라 레이어로 이동할 때 모든 것이 더욱 명확해집니다.

보안 영역과 애플리케이션 개발 영역 간에 서로 밀접한 관계를 유지하고도 싶을 것입니다. 보안은 모든 소속원의 일이지만 모든 개발자를 보안 담당자가 되도록 교육시킬 수는 없습니다. 그러나 방금 논의한 대로, 보안이 기본적으로 구축된 상태에서 사람들이 훨씬 쉽게 새로운 애플리케이션을 개발하도록 지원하는 애플리케이션 프레임워크를 생성할 수 있습니다. 이 프로세스를 통해 애플리케이션 레이어 보안과 사용자 및 데이터 접속 제어 메커니즘을 위해 어떤 추가적인 역량이 보안 그룹에 필요한지 확인할 수 있습니다.

사이버 보안을 한 단계 도약시키기 위한 과정을 가속화하는 방법에 관해 CIO와 CSO에게 전해주고 싶은 마지막 조언은 무엇인가요?

첫째, 클라우드 도입을 두려워하지 마세요. 반드시 수용해야 합니다. 실제로 클라우드는 훨씬 안전한 환경 조성에 기여하는 동시에 비즈니스 민첩성 향상, 매출 증대, 신속한 성장을 지원할 수 있습니다.

둘째, 제로 트러스트의 원칙을 따르세요. 모든 것이 잠재적으로 위험하다는 가정하에 비즈니스 및 보안 정책을 수립하고 적용해야 합니다. 무언가가 확실히 좋거나 확실히 나쁠 때를 알 수 있는 경우는 흔하지 않습니다. 대부분의 보안 세계는 그 중간의 회색 지대입니다. 따라서 얼마나 위험해질 수 있는지를 평가하고 시간이 지나면서 증거를 수집하여 보안 체계를 업데이트해야 합니다.

셋째, 단순히 문지기 같은 의사 결정을 내리는 대신 위험과 관련하여 비즈니스를 인도해야 한다는 책임감을 가지세요. CIO와 CSO는 더 포괄적이고 더 높은 가치를 창출하는 역할입니다. 실제로 보안 전문가는 보안 위험 자체만이 아니라 보안 위험이 어떻게 비즈니스 위험으로 이어지는지에 관해 깊이 있게 생각해야 하는 진정한 위험 전문가입니다. 이 방식을 수용하면 기업은 비즈니스 전략 및 전술과 마찬가지로 보안 전략과 정책에 관해 미묘한 차이를 파악하고 더욱 효과적인 방법을 적용할 수 있습니다.

Related CIO Content