Cappuccino sapiens

전세계 COVID-19으로 인한 펜데믹 이후, 병원에는 관련 수많은 환자들로 가득 메웠으며, 이러한 병원의 환경은 환자들이 방문을 꺼리는 곳이 되어 버렸습니다. 바이러스의 감염 및 재감염 등의 우려로 인해, 사람들은 병원에 방문하는 대신 원격의료를 선호하게 되었으며, 원격의료를 위한 화상회의, 데이터 모니터링, 스마트폰 앱 등의 사용이 급격하게 증가하였습니다. 최근에 원격 건강검진 회사들의 눈에 띄는 사용자의 증가는 이를 말해 줍니다. 

 - CareClix, 3월에만 기존 대비 50% 사용자(2천만명) 증가

 - Zipnosis, 2월 단 11일 만에 방문자 3,600% 증가

원격의료는 불필요한 응급실 방문과 재입원을 크게 줄이며, 24/7 진찰 및 빠른 진료를 통해 삶의 질을 향상시킬 수 있다는 이점을 가지고 있습니다. 하지만, 아직까지 기술적인 이슈와 법·제도적인 합의점 등에 문제가 남아 있습니다.

 - 의사 10명 당 2명(20%)만이 가상 문진에 참여 하겠다고 응답

  · 가상 회진에 참여하는 의사들 중 33%는 환자정보의 보안에 대해 우려

 - 병원 10개 당 오직 1개(10%) 정도가 완연한 원격의료 기술 보유

  · 원격의료 기술을 보유한 병원의 의사들 중 36%는 기술적 오류에 대해 우려 

  ※ 출처: How Telehealth and Telemedicine are Hacking the Healthcare System

기업의 임원들은 사이버보안이 기업의 최우선순위에 해당하며, 전략적인 위험관리를 해야 된다고 내다보고 있으나, 실질적인 보안에 대한 관심과 투자는 저조하다고 볼 수 있습니다.

- 기업 응답자 중 22%만이 사이버 보안이 최고의 관심사라고 답변(2019 Global Cyber Risk Perception Survey, Marsh & Microsoft)

보안전문가들은 기업의 보안인식 뿐만 아니라, 현장에서 적용되고 있는 보안위험 관리에 있어 문제점이 있다고 보고 있으며, 다음과 같이 대표적인 5가지 사항을 언급 했습니다.

1. 보안운영과 사업전략간의 엇박자 (A lack of security and business alignment)

 - 보안위험이 사업에 미치는 영향보다는, 보안 솔루션 증설과 취약점 갯수 감소에 관심

 - 보안위협과 보안수용의 오류, 보안과 비즈니스 전략간의 간격은 위험관리를 더욱 어렵게 만듦

2. 제한된 가시성(Limited visibility)

 - 많은 임원은 보안위험 관리를 기업의 일부라고 간주하고 있으며, 전체적인 가시성을 제공하지 못함

 - 기업은 외주 공급물자, 클라우드 어플리케이션 등을 포함한 모든 IT자산을 파악하고 있지 않음

3. 보안프레임워크 구축에 우선 (Putting frameworks first)

 - 보안 컴플라언스 요구사항에 따른 다양한 보안프레임워크로 인해 보안운영 및 기능의 복잡도 증가

 - 기업에 적합한 보안전략 수립 및 적용보다는 보안프레임워크 준수를 우선시함

4. 모든 보안위협을 동일하게 취급 (Giving equal weight to every threat)

 - 증가하는 보안위협, 공격방법 및 경로, 취약점 등 모든 위험요소를 다루려 함

 - 보안 취약점의 위험성을 고려한 우선순위적 분석과 대응 미흡

5. 시간적 인자에 대한 고려 미흡 (Failing to consider time elements)

 - 빠르게 진화하고 있는 보안위협 대비 보안정책과 위험관리의 적절한 대응관리 미흡

 - 자동화, 머신러닝, AI 등을 적용한 실시간 보안측정과 이를 적용한 보다 빠른 위험관리 절차 필요 

※ 원문: 5 risk management mistakes CISOs still make By Mary K. Pratt

쉐도우 IT(Shadow IT)는 회사가 승인하지 않은 IT자산(디바이스, 어플리케이션, 서비스 등)을 직원들이 임의적으로 사용함에 따라 발생하는 미인증 IT 환경을 말합니다. 태블릿 PC, 스마트 폰, 스마트 워치 등 직장인들의 업무 및 생활방식의 변화로 인해, 쉐도우 IT는 점점 증가하고 있는 추세 입니다.  

- 현재 기술 비용의 30%가 IT 부서의 관리 범위 밖에서 지출 (Gartner, Richard Gordon)

쉐도우 IT는 보안정책을 우회할 수 있으며, 파일공유, 원격근무, 보안인식 결여 등의 잠재적인 보안 취약점으로 인해 조직에 위협원이 될 뿐만 아니라, 추가적인 IT 자산관리를 위한 비용이 발생할 수 있습니다. 하지만, 직원들의 익숙해진 기기 및 응용프로그램으로 인해 업무 만족감 및 생산성 향상 등의 긍정적이 부분도 있습니다.

따라서, 쉐도우 IT에 대한 무조건 적인 제거보다는, 쉐도우 IT의 가시성을 확보하고 적절한 보안모니터링과 보안대책을 통해, 직원들이 좀더 편리하고 안전하게 사용할 수 있는 업무환경을 제공할 필요가 있습니다.

- 주기적인 임직원 보안교육을 통해, BYOD에 대한 보안 위험성을 알리고 스스로 통제할 수 있도록 합니다.

 - MFA (Multi-Factor Authentication)을 통한 안전한 접근통제 환경을 구현합니다.

 - 직원들이 편리하게 사용할 수 있는 통합단말 보안환경(MDM, VPN, 데이터 보호, 단말 취약점 점검 등)을 제공합니다.  

- 쉐도우 IT 가시성을 확보하고, 모니터링을 강화합니다.

 ※ 참조: Shadow IT: It's a bigger threat than you think

※ IBM Security: 통합 엔드포인트 보안관리 솔루션인 MaaS 360은 모든 단말(PC, 태블릿, 스마트폰, IoT 디바이스 등)의 멀티팩터 인증, 프로그램 및 데이터에 대한 보안관리(보안업데이트, 사용자 권한관리, 프로그램 사용 이력관리 등), 디바이스 보안관리 기능을 제공합니다. (MaaS 360웹사이트, 제품 소개자료 다운받기)

‘주식회사 등의 외부감사에 관한 법률’ (이하, 외부감사법)은 2017년 내부회계관리제도의 실효성과 투명성을 강화한 개정(안)이 통과됨에 따라, 2018년부터 2024년까지 상장기업의 규모에 따라 순차적으로 적용해야 합니다.

기존 회계감사는 외부 회계감사인에게 검토의견을 받도록 했으나, 변경된 법에서는 내부회계관리제도에 대한 감사의견을 받아 금융감독운에 제출하고 공시하여 하는 만큼 기업에 있어서는 부담이 커졌다고 볼 수 있습니다.

외부감사법의 개정에 따라 내부회계관리제도의 투명하고 안전한 운영을 위해, 보안정책과 절차에 대한 개정 뿐만 아니라, 적절한 보안기능 구현으로 업무를 지원할 필요가 있습니다.

외부감사법 및 관련 규정에 따른 법적 요구사항은 다음과 같습니다.

 -  회계정보 기록·보관장부의 관리 방법과 위조·변조·훼손 및 파기 방지를 위한 통제절차 수립 (법 제8조 제1항 제4호)

- 회계정보의 위조·변조·훼손 및 파기 금지 (외감법 제8조 제2항)

- 신뢰할 수 있는 회계정보의 작성과 공시를 저해하는 위험에 대한 예방·조치 가능한 점검 체계 운영 (외부감사 및 회계 등에 관한 규정 제6조 제3항의 1)

- 회계정보 작성·공시 과정에서 부당개입할 수 없도록 설계·운영되는지 평가(외부감사 및 회계 등에 관한 규정 제6조 제3항의 2)

법과 규정에서 요구하는 내부회계관리 작성·공시 시스템 및 회계정보에 대한 사항을 정리하면 다음과 같습니다.

- 보안통제 및 위험평가 절차 마련

- 권한남용에 대한 관리 및 감독

- 보안통제 모니터링 및 개선

- 회계정보의 위조 및 변조 방지

- 데이터 파기 방지

각각의 요구사항에 대응되는 보안활동 및 보안기능(시스템)은 다음과 같습니다.

- 보안정책 및 절차 (접근통제 및 위험평가) 개정

- 사용자 계정관리 및 접근통제/모니터링 시스템

- 회계정보의 위·변조 방지 시스템

- 데이터 백업 및 복구 시스템

보안팀은 회계감사 결과를 기반으로 개정된 법에서 요구되는 사항이 무엇인지 살펴보고, 보안에 필요한 투자항목과 우선순위를 정하여, 사업계획 수립시 미리 반영하여 준비해야 할 것입니다.  

※ IBM Security Secret Server는 모든 운영체제의 계정에 대해 역할별 접근관리를 수행하며, 계정이 부여된 사용자의 모든 행위를 모니터링하고 기록합니다.

조직의 정보보호는 물리적, 기술적, 절차적인 모든 사항에 대해 보안위협을 분석하고, 균형 있는 보안대책을 수립 및 이행함으로써 달성할 수 있습니다. 이론적으로는 ISO 27001, ISMS 등 보안인증 가이드라인의 보안통제 항목을 준수하고, 지속적인 운영현황 모니터링 및 보완을 통해 조직에 적합한 보안을 실현할 수 있습니다.

보안규정, 정책 및 절차는 보안팀 및 인증관련 부서 또는 몇몇 직원들을 제외하고는 접할 기회가 많지 않습니다. 따라서, 임직원은 보안을 이해하기 이전에 실천해야 한다는 부담감을 갖게 되며, 보안팀의 보안정책 준수와는 거리가 멀어지게 됩니다. 임직원들에 있어 보안은 여러가지 틀을 만들고 사용에 제한을 두며 번거롭기만 한 것으로, 꺼려지고 피하고 싶은 영역일 지도 모릅니다.

보안팀은 IT 서비스의 확대와 복잡해져 가는 IT 시스템의 보안위협을 효과적으로 대응하기 위한 업무증가는 물론, 수시로 변하는 보안규정의 이해와 적용 및 준수로 인한 업무부담에 대한 지속적인 도전을 받고 있습니다.

기업은 보안팀의 이러한 도전을 침해사고 예방 및 대응체계를 자동화하고, 인공지능과 위협 헌팅, 위협 인텔리전스 등을 통해 현대화함으로써 해결하려고 노력하고 있습니다. 보안팀의 이러한 보안시스템 현대화와 더불어, 임직원의 보안에 대한 관심과 참여도가 높아진다면 보다 효과적인 보안이 될 수 있을 것입니다.

최근에 발생하는 기업 이메일 사기나 랜섬웨어 등은 보안인식이 낮은 임직원을 우선 장악하고, 조직 내부로 전파하여 중요 자산을 탈취하는 upstreaming 방식으로 진행되고 있습니다. 보안위협 초기에 이를 탐지하고 제거하는 것도 중요하지만, 임직원이 보안정책을 준수함으로써 이를 예방할 수도 있습니다. 

어떻게 하면, 보안에 대해 임직원들이 쉽게 다가서고 스스로 참여할 수 있도록 할 수 있을까요? 우선적으로 보안에 대한 이해도를 높이며, 임직원과 함께 만들어 가는 보안이 되어야 합니다. 이를 위해, 다음과 같이 몇 가지 의견을 제시합니다.  

 - 조직문화 및 업무환경을 반영한 보안정책 개발로 거부감 없는 보안준수를 유도합니다.

 -  보안에 관한 절차를 임직원들과 상의하여 같이 설계하고 보완합니다.

 - 흥미롭고 재미있는 보안교육을 진행합니다. 

 - 칭찬과 포상에 기반한 동기부여식 침해사고 대응 모의훈련을 진행합니다.

 - 다양한 보안 캠페인 (스크린 세이브, 포스터 등)을 통해 친숙해지도록 합니다.

 - ( ____________________________________ )

임직원과 함께하는 보안활동을 위해, 또 어떤 실천사항이 있을 수 있을까요? 마지막 항목은 여러분들의 소중한 의견으로 채워 주시기 바랍니다. 어떤 의견이든 보내주시면 감사하겠습니다.

※ 참조: The Importance of Implementing an Information Security Policy That Everyone Understands

다음 글은 Jim McGarry의 “The Importance of People and Culture within the Security Operations Center”를 각색한 것입니다.  (Jim McGarry는 IBM Security MSS 책임자로, 전세계 8개의 SOC 운영총괄을 맡고 있으며, 정보보호 영역에서 총 35년 이상의 경력을 가지고 있습니다.)

지난 10년 동안 SOC (Security Operation Center)는 괄목할 만한 변화를 거듭해 왔습니다. 가트너는 향후 2년내에 약 50%의 SOC가 통합된 침해사고 대응, 위협 인텔리젼스, 위협헌팅 능력을 갖출 것이라고 예견하고 있습니다.

최전방에서 기업의 보안을 책임지고 있는 SOC는 기업이 잘되든 안되든 부담을 가지고 있습니다. 서비스 확장에 따라 더욱 많은 보안장비를 운영하고, 보안 프로세스를 변경해야 하며, 새로운 기술로 무장해야 합니다. 이러한 변화하는 기업환경에서 SOC는 직원, 운영절차, 기술, 그리고 조직문화를 조화롭게 융합함으로써 기업의 보안수준을 발전시킬 수 있습니다. 그 중에서도 직원과 조직문화는 무엇보다 중요하다고 볼 수 있습니다.

전문역량이 갖춰진 직원을 통해 세계 수준의 SOC운영에 필요한 시스템과 운영절차를 향상 시킬 수 있습니다. 오늘날의 복잡한 업무환경에서 보안팀에 활력을 불어넣고 업무절차 개선과 협업을 통해 기술을 고도화하고, 진보된 침해사고 예방 및 대응을 가능케 하는 것은 긍정적인 조직문화 입니다. 다음은 직원의 전문역량 강화 및 건강한 조직문화를 갖추기 위한 방안을 소개합니다.

커리어 발전을 통해 SOC내에 강한 조직문화를 구축합니다.

보안은 복잡한 문제를 해결하기 위해 경험의 다양성과 전문성을 인정하고 상호 협업체계를 갖추어야 하는, 팀 스포츠와 같은 영역입니다. 팀원들간에 상호 개방과 신뢰, 그리고 전문성 영역에 대한 존중을 통해 상호 기술을 보완 및 발전시킴으로써 전반적인 SOC의 보안수준을 높일 수 있습니다.

문제해결 과정에서의 성취감과 보람을 느낄 수 있도록 합니다.

보안팀은 침해사고를 잘 막았다는 칭찬 보다는 기사화 되는 침해사고에 더 많은 비난에 부각되고 전체 팀의 사기를 꺾어 놓기도 합니다. 크고 대형 침해사고를 막았을 때만 칭찬의 대상이 아니라, 평소에 칭찬이 될만한 이유를 만들고 찾는 것 또한 중요합니다. 예로, 침해사고 공격과 방어훈련에서 단순히 성공적인 공격과 방어만의 결과가 아닌, 창의적인 방어전략, 능숙하고 효과적인 솔루션의 활용, 문제해결 능력 등에 대해 포상을 하는 것입니다. 이는 조직의 지속적인 기술을 발전시키고 SOC의 역량을 제고할 수 있도록 합니다.

건강한 조직문화를 구축하기 위한 추가 팁

 - 선배와 후배간에 멘토링 프로그램

 - SOC내에 전문가 과정설계 및 교육프로그램

 - 전문가들과 함께 점심식사하며 진행하는 기술공유 세미나

 - 실전기술 연마를 위한 실질적인 시뮬레이션 기반 훈련

 ※ 원문: The Importance of People and Culture within the Security Operations Center

기업은 클라우드 도입과 디지털 트랜스 포메이션으로 인해 다양한 보안이슈에 직면하게 됨에 따라, 보안수준을 유지하는 것 조차 쉽지 않은 상황입니다. 증가하는 보안솔루션 대비 부족한 보안인력으로 인해 보안에 대한 가시성은 빈약해 질 수 밖에 없습니다.

 - 기업은 평균 25개의 보안 솔루션 보유, 91%의 보안 담당자는 보안의 복잡도에 대해 우려

2005년, 가트너가 보안의 복잡도를 줄여줄 수 있는 솔루션으로 SIEM (Security Information and Event Management)이라는 새로운 플랫폼을 소개한 이후, SOC(Security Operation Center)를 운영하는 기업의 70% 이상이 SIEM을 도입하여 사용하고 있습니다. 

보안제품 제조사들은 침해사고에 대한 분석과 원인 규명 등을 통해 끊임없이 이를 방어할 수 있는 최첨단의 보안기술을 개발하기에 급급해 왔으며, 이러한 결과들을 통해 SIEM 제조사들은 지속적으로 취약점 및 위협 관리, 네트워크 모니터링, UBA, AI 등 다양한 기능을 추가하였습니다. 이는 다시 보안의 복잡도를 증가시키는 결과를 초래했습니다.    

보안 솔루션의 사용성을 증가시키는 것만으로도 어느정도 복잡도를 해결할 수 있으며, 보안제품 제조 공정에서 다음과 같은 몇가지 디자인 원칙을 지킨다면 목표를 달성할 수 있을 것입니다.

- 사용자 및 작업을 위한 설계 : 사용자의 일상적인 작업 및 워크 플로우 수행을 지원하며, 현재 집중하고있는 업무를 성공적으로 끝내기 위한 방법을 제공

- 일관된 디자인 언어 사용 : 사용자 인터페이스의 통합되고 일관된 프레임 워크를 통해 사용자는 보다 쉽게 기능에 대한 이해력을 갖추게 됨

- 인지적 부담 감소 : 불필요한 복잡성 없이 기능의 다음 단계 선택과 접근방법을 자연스럽게 익힐 수 있도록 사용자 경험 중시

- 컨텍스트 유지 : 불필요한 정보(화면의 IP 주소 등)를 제외하고, 관련된 정보 표시와 한번의 클릭으로 해당 정보에 접근할 수 있도록 구현

※ 관련자료: The Journey to Simplicity: User Experience in Security

※ IBM Qradar: 지속적으로 감지능력을 개선하고, 지능형 보안 프로세스를 통해 작업시간을 절약하며, 보안위협을 선제적으로 찾아내고 방지 프로세스를 자동화하는 지능형 SIEM 솔루션 입니다.

모바일 디바이스는 기존 PC에서 수행하던 인터넷 쇼핑, SNS, 은행업무 등 거의 모든 기능을 대체하고 있으며, 일부는 비즈니스 도구, 인사 및 업무관리 시스템 등 회사업무용으로 사용하기도 합니다. 기업은 업무의 생산성과 효율성을 고려하여, 직원들의 모바일 디바이스 사용을 확대해 나가고 있으며, 이와 더불어 보안에 대한 우려도 증가하고 있습니다.

“이미 컴퓨터 수준의 기능과 성능을 제공하는 스마트폰과 태블릿은 빠르게 자택과 직장 등 모든 영역에서 기존 PC를 대체해 나갈 것이며, 이는 기존 PC보다 더욱 위험한 보안위협에 직면하게 될 것이다.”

– European Police Office and Europol Drugs Unit, Europol -

카스퍼스키의 ”Top7 Mobile Security Threats in 2020“에 따르면, 모바일 디바이스에 대한 보안위협은 지속적으로 증하고 있으며, 다음과 같이 상위 7개 모바일 디바이스 보안위협을 정리하였습니다.

 - 데이터 유출

 - 안전하지 않은 Wi-Fi

 - 네트워크 스푸핑

 - 피싱 및 소셜 엔지니어링 공격

 - 스파이웨어

 - 약한 패스워드, 부적절한 다중인증 또는 부재 등 민약한 사이버 위생

 - 부적절한 세션 핸들링, 패치 미흡 시스템, 암호 통제 미흡 등 빈약한 기술수준

모바일 보안을 위해 무조건 막고 통제하는 것은 바람직하지 않은 방향일 것입니다. 분명 IT기술을 도입함으로써 얻게 되는 생산성, 효율성, 편리성 등의 혜택이 있고, 이러한 장점들을 잘 살리면서 적정한 보안대책을 선택하고 적용할 필요가 있습니다.

 - 응용 프로그램의 화이트리스트 기반 또는 블랙리스트 기반 통제

 - 개인 모바일 기기의 사용 허가 또는 업무와 개인용 디바이스에 대한 분리

 - 승인된 네트워크 사용 및 보안에 취약한 개방 네트워크(공공장소 또는 자택)의 사용 제한

 - MDM, VPN등을 통한 모바일 디바이스 보호 및 응용프로그램 모니터링

어떤 보안정책과 기술을 적용할 것인지에 대한 것은 IT 서비스와 관련된 담당자들이 모여, 보안위협을 최소화 하면서 IT 기술의 장점을 살릴 수 있는 방안을 함께 강구할 필요가 있습니다.

※ 원문: The Latest Mobile Security Threats and How to Prevent Them