Discover Performance

for IT Executives // 3월 2012년
구독신청하기

보안 위험과 보안 두려움의 구별

누구나 엔터프라이즈 보안이 시급한 과제임을 인식합니다. 이에 HP 보안 전문가인 Rafal Los가 IT 시스템 보호라는 중대사항에 논리를 적용하는 기법에 대해 설명합니다.

민첩하게 움직이는 오늘날의 기업 환경에서 보안 관련 주요 사항을 결정할 책임을 맡는 것은 무턱대고 좋아할 일이 아닙니다. 비즈니스적 이점과 추가적인 위험 부담을 절충하다보면 긴장된 환경이 조성되고, 여기서 객관적 분석이 아닌 본능적 직감에 따라 결정을 내릴 수도 있기 때문입니다. 정보 보안은 감정에 이끌리는 경향이 있으며, 따라서 과거의 실수가 반복되곤 합니다. 이는 해킹과 데이터 유출이 큰 피해를 가져올 수 있고, 기업을 노리는 보안 위협이 계속 증가하는 만큼 우리는 감정에 좌우되기 쉽습니다.

이번 호의 특집 기사에서는 더 냉철하게 판단하도록 조언합니다. 그러나 대시보드와 보고서에 무수히 찍혀 있는 빨간색 표시를 보면 당장 이라도 이를 없애기 위해 무엇이든 하겠다는, 감정적인 반응이 나올 수 밖에 없습니다. 오로지 신중하고 객관적인 분석을 실시한 후에야 정보 보안 팀에서 심각하다고 판단한 결함이 비즈니스 크리티컬한 문제도 아니고, 즉각적인 리소스 투입 및 해결이 필요한 사항도 아니 었음을 깨닫게 됩니다. 옛날에 첫 번째 백업 테이프가 사라졌을 때, CIO가 어떤 반응을 보였는지 떠올려 보십시오. 무작정 "다른 모든 것까지 중단하라"는 감정적인 결정 때문에, 얼마나 많은 생산성 및 비용 손실을 감수해야 했습니까?

미디어, 소셜 네트워크 및 동료 집단에서 과열된 대화로부터 거리를 유지하기란 쉽지 않습니다. 하여, 기업의 존망이 걸려 있는 상황에서 정보 보안 전문가와 책임자에게는 올바르고 현실적인 판단을 내리기 위한 분석 도구가 필요합니다. 다행히도 저에게는 엄격한 테스트를 거쳤고 즉시 사용 가능한 솔루션이 있습니다.

냉철한 장애 분석
저는 15년간 정보 보안 및 기업 IT 분야에 몸담으면서, 다양한 활동의 보안 위험을 평가하는 데 고장형태 및 영향분석, FMEA(Failure Mode and Effects Analysis)를 종종 사용했습니다. 아직은 충분히 활용되지 못하고 있으나, 기업의 임원에게 매우 효과적인 도구가 되는 FMEA는 간단한 스프레드시트 하나로 구성되기도 하며, 금방 마스터하여 경제적 효과도 누릴 수 있습니다.

FMEA의 산출물은 현실적으로 가장 큰 위험(장애)을 식별하기 때문에, 제품, 프로젝트 또는 운영 과제와 관련하여 가장 적합한 조치를 결정하는데 도움을 줍니다. 의사결정권자가 가능한 모든 장애 시나리오를 고려하게 한다면, 감정이나 주관적인 사고가 개입될 여지가 줄어들며 이는 바로 미션 크리티컬 보안 결정을 내릴 때 바람직한 방식입니다.

어떤 패치 요구 사항에 대해 FMEA 기반 분석을 실시함으로써, 해킹에 노출되는 패치 미적용 시스템의 위험과 자생적 장애 모드에 노출되는 패치 적용 시스템의 위험을 객관적으로 비교하고 평가할 수 있습니다. 둘 중 어느 쪽으로 선택하든지 간에 냉철한 판단과 객관적인 분석에 기초한 것입니다.

논리적 판단
FMEA 분석은 3가지 핵심 구성 요소를 고려하면서 잠재적 장애를 분석합니다. 즉 발생 가능성, 잠재적 심각도 그리고 장애/위반 탐지의 용이성을 평가하고 그 결과를 RPN(Risk Priority Number)으로 나타냅니다. FMEA에 마법의 공식이란 없습니다. 발생률 x 심각도 x 탐지율 = RPN입니다. 감정을 배제한 객관적인 방식으로 어떤 과업의 위험 우선 순위를 평가할 뿐입니다. 물론 이 공식에 쓰이는 수치가 관건이므로, 여기에 많은 노력이 필요합니다. 

각 기업에서는 위험 관리 팀과 정보 보안 팀의 공조를 통해 심각도, 발생률 및 탐지율 수치를 위한 알맞은 기준을 마련해야 합니다. 그런 다음에는 각각의 프로젝트에서 다양한 옵션의 위험도를 계산하는 평가를 간단하게 실시하고, 보안 책임자가 그에 따라 우선 순위를 정할 수 있습니다. 이를테면 발생 가능성 또는 심각도가 높으면 10, 변경 가능성/영향이 낮으면 1의 값을 부여할 수 있습니다.

패치 적용을 예로 들어보겠습니다. 표준 패치 주기를 따르지 않고 즉시 보안 패치를 구현하려는 충동에 대해 신속하게 기본적이고 불완전한 FMEA를 실시합니다. 즉시 패치를 적용하는 것이 과잉 반응일까요 아니면 분별 있는 조치일까요? 여기서 공용 웹 애플리케이션 서버가 있다고 가정합니다. 이 서버는 회사에 중요한 전자 상거래 업무를 담당하며, 보안 패치를 필요로 합니다.

이 수치, 특히 탐지율 값을 신뢰할 수 있다면 시스템에 패치를 적용하는 것이 현명한 선택일 것입니다. 하지만 그럴 가능성은 낮습니다. 이 예에서는 데이터 유출 탐지의 어려움 그리고 유출된 고객 데이터의 부산물의 순 심각도가 결정적 변수입니다. 상대적으로 중요도가 낮은 취약점을 분석한 결과, 가동 중지의 위험이 업데이트 일정을 고수할 경우의 위험을 능가할 수 있습니다.

특히 발생률 값은 문제의 소지가 될 수 있습니다. 이 값은 해당 유형의 장애가 유사한 다른 제품 또는 프로세스(내부 또는 기타)에서도 얼마나 자주 발생하는가를 나타냅니다. 이 값은 해당 기업의 상황에 맞게 조정해야 합니다. 완전히 새로운 제품이나 프로세스를 다루는 경우 장애 발생률이 확인되지 않은 상태이므로 유사 업종, 플랫폼 등에서 비슷한 발생률 정보를 이용할 수 있습니다.

일반적으로 아래의 값과 용어를 구체적인 요구 사항에 맞게 적용합니다.

10-9: 매우 높음(사실상 불가피)
8-7: 높음(장애가 발생할 것, 확인된 사례 다수)
6-4: 보통(어느 정도 발생할 가능성 있음, 확인된 사례 있음)
3-2: 낮음(확인된 사례 극소수)
1: 없음(확인된 사례 없음)

논리적 선택
FMEA는 과소 평가 받고 있지만, 보안 및 위험과 관련하여 중요한 분석 결정을 내릴 때 매우 유용한 도구입니다. 기업의 요구 사항이 날로 복잡해지는 만큼, IT 보안 팀은 기업의 민첩성과 대응력을 강화하고 전반적인 성능을 높이는 데 적합한 도구를 갖춰야 합니다. FMEA는 그러한 용도에 매우 효과적으로 쓰일 수 있는 자산입니다.

Chief Security Evangelist인 Rafal Los는 HP의 대표적인 보안 전문가 중 한 명입니다. 그의 SecBiz LinkedIn 그룹, 트위터 @Wh1t3Rabbit 그리고 블로그 Following the White Rabbit에서 그와 만날 수 있습니다.


구독신청하기

이벤트

HP Vertica 빅 데이터 컨퍼런스 2014

동료 및 전문가와 만나 빅 데이터 분석 성과를 극대화하는 방법을 알아보십시오. (보스턴, 8월 11일~14일) 자세히


타협 없는 모바일 엔터프라이즈

모빌리티의 폭발적인 성장으로 IT 리더는 어려운 타협을 해야 하는 상황에 부딪쳤습니다. 사용자, 파트너, 고객이 원하는 솔루션을 통해 이들과 소통하는 방법을 알아보십시오. 자세히


주간 Discover Performance

HP Software의 Paul Muller가 최신 IT 사안을 알아보는 주간 비디오 쇼를 진행합니다. 최신 에피소드를 확인하십시오. 자세히


HP 소프트웨어 관련

가장 많이 읽은 기사

Discover Performance

이전 기사