디지털 트랜스포메이션 위한 보안 기술: 클라우드 보안⑤
상태바
디지털 트랜스포메이션 위한 보안 기술: 클라우드 보안⑤
  • 김선애 기자
  • 승인 2017.09.20 09:27
  • 댓글 0
이 기사를 공유합니다
[전문가 기고] 비즈니스 거버넌스 관점의 보안관리로 비즈니스 경쟁력 높여야

치열한 경쟁에서 살아남기 위해 많은 기업들은 새로운 기술 혁신을 통해 경쟁력을 유지하기 위해 노력한다. 또한 고객들에게 더 나은 서비스를 제공할 수 있는 새로운 혁신적인 IT 기술을 끊임없이 개발하기 위해 애쓰고 있다. 디지털 트랜스포메이션을 통해 디지털 혁신을 이루고, 비즈니스 경쟁력을 높여서 장기적으로 지속 가능한 성장을 이루기 위해 노력하고 있다.

그러나 많은 기업들은 이러한 기술들을 실제 운영환경에 배포할 때 해결해야할 보안 이슈들로 인해 뒤쳐지기 마련이다. 네트워크·보안 운영 팀은 지속적으로 일일이 보안 변경 관리를 수동으로 작업하는 데서 오는 오류 발생 위험을 안고 있다. 또한 업계 규제에 대한 요구가 날로 커짐에 따라서, 많은 업무 부담에 시달리고 있다. 이러한 이유로 복잡한 기업에서 단일 변경 사항을 처리하는데 종종 며칠이 걸리기도 하며, 몇 주가 걸릴 수도 있다. 매월 이러한 변경 사항이 수 백 번 필요하기 때문에, 신속하게 시장 진입에 실패하는 일이 발생하게 된다.

비즈니스 중심의 보안 관리

2015년 ISACA와 RSA가 공동으로 실시한 설문조사에서 ‘오늘날 보안 전문가에게 가장 큰 갭은 무엇인가?’라는 질문에 72%의 응답자는 “비즈니스를 이해하는 능력”이라고 답변했다. 네트워크 및 보안 운영팀은 비즈니스 요구사항을 제대로 이해하지 못할 뿐만 아니라, 애플리케이션 연결성 요청에 대해 수작업에 의존한 지연된 처리로 인해 비즈니스 애플리케이션 개발 운영팀에 불만을 갖게 한다.

보다 심각한 것은 비즈니스를 제대로 이해하지 못한 상태에서의 네트워크/보안 장비 구성 실수는 핵심 비즈니스에 크리티컬한 영향을 끼칠 수 있는 재앙을 가져오기도 한다. 보안 감사에서 매번 지적되고 있는 단골 이슈중의 하나로, 폐기되고 사용하지 않는 비즈니스 애플리케이션에 대한 보안 규칙을 삭제해야 함에도 불구하고 그대로 남이 있는 문제 또한 숙제이다.

비즈니스 중심(Business Driven)의 보안 관리란, 네트워크/보안 운영팀과 비즈니스 애플리케이션 개발 운영팀과의 갭을 줄이고 비즈니스 민첩성을 향상시키기 위해 지금까지의 ‘IT 중심(IT Driven)’ 보안 인프라에 비즈니스 애플리케이션 뷰를 결합시키는 것을 의미한다.

<그림 1> 비즈니스 중심 보안 관리 아키텍처

방화벽 정책은 시간이 지나면서 개수가 많아지고 복잡해지기 마련이다. 네트워크 보안 팀은 조직 내 누가 어떤 애플리케이션의 접근이 필요하고, 언제 보안 정책을 폐기해야 되는지 필요한 정보를 얻을 수 없기 때문에 방화벽 최적화 작업을 포함해 정책 변경 요청에 많은 애로 사항을 갖고 있다. 따라서 비즈니스 중심의 보안 관리가 되기 위해서는 조직 내에서 현재 운영되고 있는 비즈니스 애플리케이션의 가시성 확보가 필수적이다.

조직 내의 네트워크 스위치에서 미러링으로 센서를 연결해 L7까지 모든 네트워크 트래픽을 실시간으로 분석하는 것을 예로 들어 설명하면, 사용자와 서버가 주고받는 비즈니스 애플리케이션 서비스와 누가 어떤 비즈니스 애플리케이션을 사용하고 있는지 등을 자동으로 식별한다. 식별된 비즈니스 애플리케이션들은 보안 정책 관리 시스템에 비즈니스 애플리케이션을 구성하는 각 네트워크 플로우별로 보안 정책과 매핑 된다.

즉 비즈니스 중심의 보안 관리 솔루션을 사용하게 되면 방화벽과 네트워크 장비의 ACL 과 같은 개별적인 보안 정책이 어떤 비즈니스 애플리케이션과 관계를 갖고 있는지 지능적으로 관리할 수 있게 돼 보안 정책 최적화와 특정 서버의 클라우드 마이그레이션시 연관된 보안 정책을 쉽게 변경할 수 있다.

궁극적으로 자동화 된 보안 정책 관리를 빌드, QA, 프로덕션 환경에 이르기까지 기존의 개발/운영팀에서 협업을 위해 사용할 수 있는 도구 역할을 제공할 뿐만 아니라, 이를 통해 네트웍 보안 팀과 개발 운영 팀 간의 원활한 공동 작업을 가능케하고, 전체 개발 및 엔터프라이즈 환경이 항상 안전하게 운영 및 폐기될 수 있도록 보장하면서 현장에 신속하게 배치 할 수 있다.

비즈니스 중심 보안 침해 대응

비즈니스 중심의 보안 관리는 침해 대응에서도 실효성 있는 많은 이점들을 제공한다. 조직내 SOC 팀은 보안정보이벤트관리(SIEM) 시스템을 통해 보안 위협에 노출돼 있는 의심스러운 시스템을 식별하게 된다. 이 때 SIEM 을 통해서 제공되는 IP와 포트 정보 뿐만 아니라, 해당 서버의 침해로 인해 조직내에 영향을 받게 되는 비즈니스 애플리케이션이 무엇이며, 중요도의 우선순위에 따른 조치사항이 무엇인지에 대해 즉각적인 해답을 찾을 수 있다.

보통 내부에 있는 시스템이 위협에 노출되게 되면 네트워크에 연결돼 있는 시스템 모두가 위험에 빠질 수 있는데, 이러한 감염된 서버로 나오고 들어가는 네트워크 트래픽의 연결성을 손쉽게 확인 할 수 있다. 해당 시스템이 복구 불가능한 정도로 손상돼 심각한 위협을 끼칠 수 있다고 판단이 되면 곧바로 방화벽으로 해금 차단 정책을 자동으로 생성해 적용시키도록 할 수 있다.

이와 같이 비즈니스 중심의 보안 침해 대응은 스플렁크, IBM 큐레이더와 같은 SIEM 솔루션에서 무료로 사용할 수 있는 앱을 제공할 뿐만 아니라 취약성 스캐너와의 통합을 통해 사이버 공격 및 취약점을 비즈니스 프로세스에 연결함으로써 조직의 위험을 평가하고 우선 순위를 지정하고 완화하는 데 필요한 정보를 제공한다.

<그림 2> 비즈니스 중요도에 기반한 보안 침해 대응의 필수 요소

보안 정책 변경 관리 자동화 프로세스

ISMS를 비롯한 보안 컴플라이언스에서 방화벽 정책 변경 시 이력 관리와 사전 위험 평가를 요구하고 있다. 자동화 된 보안 정책 관리 프로세스는 보안 컴플라이언스를 강화하고 수작업으로 인한 위험을 줄일 수 있으며, 분 단위 수준의 보안 정책 변경 프로세스를 구축할 수 있음을 의미한다.

보안 정책 변경 관리 프로세스의 필수적으로 요구되는 사항중의 하나는 사용자가 조직 내부의 프로세스에 맞도록 워크플로우를 커스터마이징할 수 있어야 한다. 또한 보안 정책 계획 및 설계부터 승인, 사전 위험 분석, 구현, 검증 및 감사 등을 필요한 경우에 관리자의 간섭 없이도 자동으로 처리되는 제로 터치 워크플로우를 수행할 수 있는지도 살펴보아야 한다.

이 프로세스는 모든 변경 요청을 자동으로 분석하고, 요청에 의해 영향을 받을 네트워크 전반의 모든 장치를 식별하고, 변경에 대한 가장 최적의 보안 구현을 제시한다. 또한 이미 허용돼 있는 정책들에 대해 불필요한요청이 접수되면 요청자에게 통보되고 자동 종료돼 보통 기업에서 변경 요청 중 최대 30 %가 불필요하게 처리되는 것을 방지할 수 있다

<그림 3> 보안 정책 변경 자동화 라이프사이클

방화벽 정책 정리·최적화·컴플라이언스 대응

보안 정책 관리의 필수적인 기능으로 기존의 네트워크 보안 정책을 문서화하고, 최적화를 수행하며, 위험을 줄이기 위한 실행 가능한 권장 사항을 제공한다. 운영하고 있는 방화벽에서 현재 사용되지 않거나 중복 된 규칙을 찾아내고, 만료된 규칙에 대해 계속 사용할 것을 묻는 재인증 프로세스를 시작하며, 보다 나은 성능을 위해 규칙을 통합하거나 재정렬하는 방법에 대한 권장 사항을 제시해 준다.

보안 감사에서 많이 지적되고 있는 사항 중 하나인 지나치게 관대한 ‘ANY’ 규칙을 비즈니스 요구 사항에 영향을 미치지 않으면서 강화할 수 있다. 최적화를 위한 모든 변경 작업 또한 자동화 된 변경 관리 프로세스를 통해 계획, 구현 및 검증될 수 있어야 업무 효율성을 향상시킬 수 있다.

방화벽 보안 감사에서 필수적으로 요구되는 ISO-27001, SOX, 바젤(BASEL) II, PCI-DSS 및 내부 기업 정책을 비롯한 모든 선도적인 산업 규정에 대한 사전 작성, 감사 준비 규정 준수 보고서를 자동 생성하므로 감사 준비 작업 및 비용을 최대 80% 절감할 수 있으며, 또한 컴플라이언스 위반에 대한 모든 변경 사항을 사전 점검해 감사 전에 문제를 수정하고 전사적으로 지속적으로 컴플라이언스를 유지하는 데 필요한 정보를 제공한다.

앞에서 살펴본 바와 같이, 비즈니스 중심의 보안관리는 단순히 방화벽 정책 최적화를 위한 ‘유틸리티 소프트웨어’ 차원을 넘어서, 네트워크 보안 팀으로 하여금 비즈니스 중심의 보안 관리가 이루어질 수 있도록 비즈니스 애플리케이션 통찰력을 부여하고, IT 자산의 투자 목적인 핵심 비즈니스 역량을 강화하는데 목적이 있다. 요약하면 비즈니스 중심의 보안 관리를 통해 조직 내에서 안고 있는 다음과 같은 이슈들을 효율적으로 해결할 수 있다.

- 수작업에 의한 오류 발생 위험이 큰 변경 관리 프로세스로 인한 시장 진입 시간 지연

- 번거롭고 시간이 많이 소요되는 감사 준비 프로세스 및 감사 실패

- 모든 방화벽 변경, 검토 및 승인 문서화에 따르는 업무량 과다

- 엔터프라이즈 네트워크 환경에서 일관된 보안 가시성 확보의 어려움

- 비즈니스 응용 프로그램들의 클라우드로 마이그레이션 시 업무 단절 위험

- 비즈니스에 영향을 줄 수 있는지 사전 위험 및 준수 위반 평가의 어려움

(글: 탁정수 알고섹코리아 지사장)

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사