작성일 : 18-01-12 16:24
[보안뉴스] [보안 담당자 설문조사 ④] 탐지·대응 ‘중요’ , [취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
 글쓴이 : happy
조회 : 21  

[보안 담당자 설문조사 ④] 탐지·대응 ‘중요’
경계보안에서 전방위 보안으로 보안 영역 넓혀…보안 인력·권한 강화 요구는 투자 후순위로 밀려
2018년 01월 11일 (목) 10:01:25김선애 기자  iyamm@datanet.co.kr

가상화폐(암호화폐) 거래소 보안 위협이 올해 가장 심각한 위협이 될 것이라는 경고가 잇달아 제기되고 있으며, 기업의 정보보안 담당자 역시 이에 동의하는 것으로 나타났다. 더불어 가상화폐 거래원장으로 사용되는 블록체인과 관련해서는 이 기술이 어떻게 활용될지 잘 알지 못하며, 블록체인을 활용할 수 있는 업무가 제한적이라고 생각하는 것으로 나타났다. 정보보안 담당자 대상 설문조사 결과를 집중 분석해본다.<편집자>

침해 탐지·대응 시스템 도입 계획 가장 많아

이번 설문조사에서 주목할 만한 것은, 보안 전략이 경계보안에서 전방위적인 보안으로 전환하고 있다는 것이다. 보안 담당자들은 선제방어 뿐만 아니라 내부 탐지·대응에도 많은 관심을 두고 있는 것으로 보이는데, 올해 신규 도입할 정보보호 시스템으로 가장 많은 18.2%의 응답자가 침해탐지·대응과 모니터링 시스템을 꼽았다. 보안전략의 무게추가 사전차단에서 탐지·대응으로 옮겨가고 있는 것으로 분석된다.

예년의 설문조사에서 가장 많은 응답을 받은 제품은 네트워크 보안 제품과 APT 방어 제품이었지만, 올해는 침해 탐지와 대응 제품에 가장 많은 관심을 보이고 있다. 엔드포인트 보안 제품은 여전히 높은 수준으로 13.1%의 응답자가 이 제품을 도입할 계획이라고 했으며, 내부정보·개인정보 보호 제품은 12.4%, APT 방어 제품은 11.3%였다.

한편 기업들이 보안 제품 도입 의사를 밝히기는 했지만, 보안예산은 충분히 확보하지 못한 것으로 보인다. 응답자의 절반(49.6%)이 내년 보안 예산 수준은 작년과 같다고 답했으며, 10% 이내 상승할 것이라는 답이 22.3%였다. 20% 이내 상승할 것이라는 답은 11.6%였으며, 지난해보다 줄었다는 답도 9.9%를 차지했다.

<그림 7> 2018년 신규 도입하거나 업그레이드할 시스템/솔루션을 모두 선택해주십시오.

  
(자료: 네트워크타임즈)

<그림 8> 현재 귀사가 직면하고 있는 정보보안 이슈를 해결하는데 가장 걸림돌이 되는 것은 무엇이라고 생각합니까?

  
(자료: 네트워크타임즈)

“보안 걸림돌, 보안 인력 부족·낮은 권한”

보안 담당자들은 현재 직면하고 있는 정보보안 이슈를 해결하는데 가장 걸림돌이 되는 것으로 정보보안 인력·예산 부족, 정보보안 조직의 권한 부족(35.8%)을 꼽았다. 이러한 진단은 최근 사이버 공격이 솔루션만으로는 해결할 수 없다고 인식하는 것으로 해석할 수 있다.

보안 시스템을 잘 갖춰 놓은 환경에서도 대규모 사이버 침해 피해가 일어난다. 따라서 정보보안 담당자들은 보안 제품을 구입하는 것도 중요하지만, 구성원의 인식 제고와 보안조직의 규모와 권한을 확장하는 것이 더 중요하다고 생각하는 것으로 보인다.

그러나 보안 조직의 전문성을 강화해야 한다는 과제는 여전히 투자 후순위로 밀리는 것으로 나타났다. ‘진화하는 사이버 공격에 대응하기 위해 귀하가 속한 조직에서는 어떠한 대응책을 마련하고 있는지요’라는 질문에 ‘정보보안 조직·인력 확대 및 전문성 제고’라고 답한 응답자는7.7%에 불과했으며, 가장 많은 응답을 받은 항목은 ‘기존 보안 시스템/솔루션 재정비 및 업그레이드(33.5%)’로 여전히 소극적인 보안 대책만을 취하고 있는 것으로 보인다.

보안 이슈 해결에 가장 걸림돌이 되는 또 다른 요인으로 ‘정보보안에 대한 경영진의 낮은 인식과 보안정책을 따르지 않는 임직원(24.1%)’ ‘현재 기술로 막기 어려운 지능화된 공격(21.9%)’이 뒤를 이었다.

‘진화하는 사이버 공격에 대응하기 위해 귀하가 속한 조직에서는 어떠한 대응책을 마련하고 있는지요’라는 질문에 33.5%가 ‘기존 보안 시스템/솔루션 재정비 및 업그레이드’를 꼽았으며, 임직원 보안교육 강화(26.9%)가 그 뒤를 이었다.

이어 ▲신규 보안 시스템/솔루션 구매(15.4%) ▲정보보안 컨설팅 수행으로 보안 취약점 파악(9.3%) ▲정보보안 조직·인력 확대 및 전문성 제고(7.7%) ▲ISO, ISMS 등 국내외 권위 있는 인증 획득으로 정보보안 관리체계 재정비(7.1%)의 순으로 나타났다.

이번 설문은 2017년 12월 4일부터 20일까지 정보보안 담당자를 대상으로 이메일로 진행됐으며, 응답자는 276명이다. 산업별로 ▲공공기관 11% ▲금융 16.9% ▲통신·인터넷 서비스 28.0% ▲제조·유통 16.9% ▲의료·교육·방송 27.1%, 정보보안 업계근무 년수는 ▲5년 이하 7.2% ▲10년 이하 34.1% ▲15년 이하 27.5% ▲20년 이하 18.1% ▲그 이상 13.0% 였다. 




[취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
컴플라이언스만을 위한 취약점 관리 한계 있어…클라우드 방식으로 최신 취약점 빠르게 관리
2018년 01월 11일 (목) 10:04:19김선애 기자  iyamm@datanet.co.kr

‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>

IT 복잡성 높아지며 취약점 관리 어려워

지능적인 공격자는 보안이 잘 갖춰진 대문을 공략하지 않는다. 보안에 취약하고 관리되지 않는 쪽문, 뒷문, 혹은 보안 정책을 지키지 않는 사람들을 이용한다. 서비스 종료 후 방치된 서버, 취약점 패치 업데이트를 하지 않는 시스템, 취약한 무선 네트워크를 이용해 업무 시스템에 접속하는 사용자를 노려 공격 성공률을 높인다.

보안 취약점이 없는 시스템은 없다. 보안 전문가들과 솔루션 제공업체들은 끊임없이 취약점을 점검하고 발견된 취약점은 관계기관에 알려 대처할 수 있도록 하며, 해당 취약점이 있는 시스템에 보안패치를 배포해 취약점 공격이 일어나지 않도록 한다.

주요 IT 기업들은 자사 제품과 서비스에 새로운 취약점을 발견하는 사람에게 큰 상금을 주는 버그바운티 제도를 운영하고 있다. 화이트해커의 긍정적인 활동을 유도하면서 자사 제품의 보안 완성도를 높이기 위한 것으로 우리나라에서는 KISA를 중심으로 버그바운티를 운영하고 있다. 네이버, 한글과컴퓨터, 카카오, 네오위즈게임즈, 이니텍, 이스트시큐리티 등이 활동하고 있다.

취약점이 발표되고 보안패치가 배포되면 즉시 해당 시스템에 적용해야 한다. 그러나 실제 IT 환경에서 보안패치 적용이 쉬운 것은 아니다. IT 관리조직은 데이터 센터의 수많은 시스템 중 해당 취약점이 있는 시스템을 찾는 것에서부터 난관에 부딪힌다.

패치해야 하는 시스템을 찾아 패치했다가 시스템 운영에 장애가 발생할 수 있다는 우려에서도 자유롭지 못하다. 패치가 다른 소프트웨어와 충돌을 일으키거나 연결된 다른 시스템에 영향을 미칠 수도 있다. 그래서 몇개 시스템에 시범적으로 적용한 후 단계적으로 차근차근 패치를 적용하는데, 이 과정이 수개월에 이르기도 한다. 물론 파악하지 못한 취약한 시스템이 있을 가능성도 제거하지 못한다.

  
▲취약점과 진단 영역(자료: 에스에스알)

전사 취약점 관리 가능한 자동화 시스템 필수

현재 취약점 점검은 규제에 따라 연 1~2회 가량 진행하지만, 외부 전문조직의 서비스를 이용해 일부 시스템에만 적용한다. 그러다보니 중요한 시스템만 취약점을 관리할 뿐 다른 시스템은 전혀 관리되지 못한다. 그래서 전사 취약점을 관리할 수 있는 솔루션을 찾는 수요가늘어나고 있다.

에스에스알의 ‘솔리드스텝’은 IT 시스템을 자동으로 전수조사하며, 국내 컴플라이언스와 보안 정책·지침을 만족시킬 수 있다. 에스에스알은 클라우드 서비스로도 제공해 보안예산이 부족한 중소기업에게 제공하고 있다. 더불어 민간분야 사이버 위기대응 모의훈련 대응 솔루션인 ‘머드픽스(가칭)’을 출시하며 기업의 보안 수준 업그레이드를 지원할 계획이다.

취약점은 서버에만 존재하는 것이 아니다. 웹, 애플리케이션, 서비스 전반에서 수많은 취약점이 존재한다. 특히 웹과 애플리케이션은 종류가 많고 수시로 변경되며, 누구나 쉽게 접근할 수 있기 때문에 취약점을 발견하기도 쉽고 공격하기도 쉽다.

래피드7, 포지티브테크놀로지는 취약점 점검과 모의해킹 솔루션을 제공하는 대표적인 전문기업이다. 포지티브의 ‘맥스패트롤’은 국내 규제 요건도 만족시킬 수 있으며, 침투테스트(모의해킹), 컴플라이언스 관리가 단일 솔루션으로 결합돼 있다. CVE의 신속한 업데이트로 보안 관리자의 어려움을 해결할 수 있다. 서버, 네트워크 장비, OS, 통신장비, SAP 등 전체 인프라 자원을 지원한다.

래피드7은 취약점 진단 도구 ‘넥스포즈’와 모의해킹 솔루션 ‘메타스플로잇’을 공급하는데, 메타스플로잇은 모의해킹에 가장 많이 사용되는 툴로, 커뮤니티를 통해 공개된 오픈소스 버전을 이용할 수 있으며, 보다 정밀한 테스트가 가능한 유료 솔루션도 인기를 끌고 있다. 래피드7은 전문지식 없이도 쉽게 사용할 수 있다는 점을 강점으로 꼽고 있으며, 전 세계에서 가장 많은 CVE DB를 보유하고 있어 취약점 대응이 빠르다고 자신한다.

한편 래피드7은 웹·애플리케이션 취약점 진단 솔루션 ‘앱스파이더’와 UBA 기반 ‘인사이트IDR’의 국내 영업을 본격화하며 시장 확대에 나서고 있다.