[기고] 자산 목록은 보안 프로그램의 기본이다

[아이티데일리] 기업이 시스템을 효율적으로 운영하기 위해서는 데스크탑 워크스테이션, 모바일 장치, IT/IoT/OT 장치, 가상 시스템, 웹 애플리케이션, 데이터, 클라우드 인프라 등다양한 장비와 장치를 사용해야 한다.

이러한 모든 장치를 사람이 직접 추적하는 것은 사실상 불가능에 가깝다. 자산의 수와 유형이 기하급수적으로 증가하는 상황에서 이러한 장치 및 장비를 관리하기 위해서는 무언가 도움을 받아야 한다.

만일 이러한 장비와 장치가 관리되지 않은 채 방치될 경우 이러한 장치는 악의적인 행위자들이 악용할 수 있는 잠재적인 위협이 될 수 있다. 사이버 자산을 안전하게 보호하기 위해서는 먼저 관리되지 않은 자산을 발견하고 식별할 수 있어야 한다.

자산의 용도, 위치, 상태를 모른다면 효과적으로 조직을 보호할 수 없다.

사이버 보안 프레임워크와 규정은 포괄적인 자산 목록 관리에서부터 시작된다. 자산 목록 관리는 사이버 보안의 출발점으로 보안에 대한 잠재적 위험을 식별하는 첫 번째 단계라 할 수 있다.

자산 목록 관리는 NIST^*1 사이버 보안 프레임워크(CSF)와 CIS^*2 통제 등 많은 사이버 보안 프레임워크에서 핵심 권장 사항으로 제시되고 있다. 기업이 사용하고 있는 하드웨어, 소프트웨어, 사용자 및 디지털 자산의 최신 목록을 유지함으로써 공격 표면을 보다 잘 이해하고 잠재적 위협에 대해 선제적 조치를 취할 수 있다.

이제 자산 목록 관리가 요구되는 주요 프레임워크와 규정을 살펴보자.

CIS 통제

인터넷 보안 센터(CIS)는 최신 사이버 위협으로부터 시스템과 데이터를 방어하기 위한 인식된 표준 목록을 제공한다. 사이버 보안 전문가와 해당분야 전문가들은 합의 기반의 프로세스를 통해 이러한 통제를 설정한다. ISC2^*3 및 SANS 연구소(Institute)와 같은 조직들이 이 과정에 기여하고 있다.

CIS 통제는 보안 모범 사례를 따름으로써 조직의 체계를 제대로 갖추었는지를 확인하도록 해준다.

목록의 첫 번째 통제가 ‘기업 자산의 목록화 및 통제’로, 이는 좋은 사이버 보안의 기본이라 할 수 있다. 최신 자산 목록이 있어야 무엇을 모니터링하고 보호할지 알 수 있다. 자산 목록 관리는 또한 관리되지 않은 자산을 식별하여 제거하거나 수정하는 데 도움을 준다.

NIST CSF

NIST 사이버 보안 프레임워크(NIST CSF)는 미국 정부의 비규제 기관에서 개발한 사이버 보안 지침 모음이다. NIST CSF는 식별, 보호, 탐지, 대응, 복구라는 다섯 가지 핵심 기능을 중심으로 구성된 프레임워크로, 지침과 모범 사례에 중점을 두고 있다.

이 프레임워크의 식별 기능에서는 자산 목록이 현대 사이버 보안 프로그램의 필수 요소로 강조되고 있다. 프레임워크에 따르면 식별 기능은 ‘시스템, 사람, 자산, 데이터 및 역량에 대한 위험’을 다룬다. 이 과정에서 중요한 부분은 실제로 어떤 자산을 보유하고 있는지 파악하는 것이다.

SOC2^*4

SOC2는 자발적인 준수 표준이지만, 특히 SaaS 및 B2B 회사와의 벤더 계약을 체결하는 데 자주 요구된다. SOC2 준수는 회사가 최고 수준의 정보 보안 기준을 유지하고 있다는 사실을 고객과 파트너에게 보여준다.

효과적인 IT 자산 관리는 SOC2 인증을 받는 데 필수적이다. 특히, 인증은 자산에 대한 무단 접근을 방지하고, 자산의 소유자와 사용자를 신뢰할 수 있도록 한다.

HIPAA^*5

건강 보험 이전 및 책임법(HIPAA) 준수는 의료 산업에서 필수적이다. 환자의 민감한 건강 정보를 보호하기 위해서는 높은 수준의 보안이 필요하다. HIPAA 위반은 많은 비용부담으로 이어지며 처벌은 과실의 정도에 따라 달라진다. 전자 건강 정보(ePHI)의 위치를 추적하기 위해서는 IT 자산 목록이 필요히다. 신뢰할 수 있는 최신의 자산 목록은 보안 규칙을 준수하는 데 크게 도움이 된다.

PCI DSS^*6

결제 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소유자의 정보를 보호하기 위한 필수 규정이다. 카드 소유자의 데이터를 저장, 처리 또는 전송하는 회사는 PCI DSS를 준수해야 한다. PCI DSS의 요구 사항 2.4에서는 회사가 물리적 장치, 소프트웨어, 사용자 계정 등을 포함한 자산 목록을 유지할 것을 요구하고 있다.

신뢰할 수 있는 단일 데이터 출처를 찾기 어려운 이유

자산 목록 관리는 건축물의 청사진과 같다. 이를 통해 무엇을 보호해야 하는지 명확하게 이해할 수 있다. 그러나 시간이 지남에 따라 여러 이유로 청사진이 변경될 수 있듯이, 네트워크에 자산이 추가되거나 제거됨에 따라 자산 목록도 변경될 수 있다.

네트워크는 지속적으로 변화하고 있다. 사용자가 개인 장치에서 기업 플랫폼에 로그인하거나 빠르게 새로운 클라우드 인프라를 구축하기도 한다. 승인되지 않은 섀도우 애플리케이션을 여러 부서에서 사용하거나 접근할 수 있다. 여기에 원격 근무와 IoT 장치의 지속적인 확산까지 더해지면, 추적하기가 점점 더 어려워지는 복잡한 IT 생태계가 형성된다.

다음은 이 문제의 심각성을 보여주는 몇 가지 통계다.

ㆍIT 클라우드 사용량은 알려진 클라우드 사용량의 10배에 달하는 것으로 추정된다.

ㆍ설문조사에 따르면, 회사의 28%만이 자산 목록이 75% 이상 완전하다고 생각하고 있다.

그렇다면 왜 이렇게 많은 조직이 자산 목록 관리를 어려워할까? 그 이유 중 하나는 많은 회사가 스프레드시트와 같은 구식 프로세스를 사용하여 사이버 자산을 추적하고 관리하기 때문이다. 그 결과, 오늘날의 역동적인 IT 생태계에서 가시성의 격차가 정기적으로 발생하고, 위험한 보안 시나리오가 일반화되고 있다.

이러한 이유로 자산을 지속적으로 발견하고 모니터링할 수 있는 시스템을 갖추는 것은 매우 중요하다고 할 수 있다.

정확한 자산 목록이 없을 때의 위험

자산 목록을 적극적으로 유지 관리하고 분석하지 않으면 조직이 위험에 처하게 된다. 최신 상태의 포괄적인 자산 목록은 정보에 입각한 비즈니스 결정을 내리고 운영 효율성을 보장하는 데 필수적이다.

자산 목록이 부족할 때 직면할 수 있는 일반적인 문제를 살펴보자.

- 문제 1: IT 팀과 보안 팀 간의 불일치

IT 팀과 보안 팀은 자산 목록을 추적하고 업데이트하는 방법에 따라 서로 다른 수의 자산을 집계하게 된다. 이로 인해 IT 생태계의 실제 모습을 파악하기 어렵고, 위험을 줄이기도 힘들다.

- 문제 2: 보안 통제 범위의 약화

진실된 단일한 소스가 없으면 보안 통제 범위에서 격차가 발생할 가능성이 높다. 서로 다른 팀이 보안의 다양한 영역을 책임지는데, 이러한 팀들이 일치되지 않으면 보안 통제 범위에 대한 가시성이 부족해 다음과 같은 문제를 인지하지 못하게 된다:

ㆍ(CrowdStrike)와 같은 엔드포인트 탐지 및 대응(EDR) 솔루션으로 보호되지 않는 엔드포인트.

ㆍ운영 팀이 진화된 보안 위협에 대해 사전 대응하기 위해 사용하는 SIEM 도구에서 누락된 호스트.

- 문제 3: 위험 자산 관리 실패

자산 목록은 보안 위험을 식별하고 대응하는 데 필수적이다. 모든 자산이 동일한 수준의 위험을 가지는 것은 아니며, 포괄적인 자산 목록은 위험 자산을 식별하는 데 도움이 된다. 예를 들어, 암호화된 트래픽을 사용하는 고립된 장치는 불안전한 설정을 가진 인터넷에 노출된 자산보다 덜 위험할 수 있다. 모든 자산을 추적함으로써 조직은 즉각적인 대응이 필요한 제로데이 취약점에 빠르게 대응할 수 있다. 예를 들어, Log4 취약점은 최대 30억 개의 장치에 영향을 미쳤으며, 최신 자산 목록을 유지하여 효율적인 취약점 대응의 중요성을 강조한다.

- 문제 4: 자산 소유권 부족

자산 소유권은 자산 목록 관리의 중요한 구성 요소로, 각 자산을 관리하고 보호할 책임이 누구에게 있는지를 정의한다. 이퀴팩스(Equifax) 침해 사례는 적절한 자산 소유권이 없을 때 발생할 수 있는 결과가 어떠한가를 잘 보여주고 있다. 인터넷에 노출된 레거시 시스템에 대한 명확한 소유권이 없었기 때문에, 정기적으로 스캔하고 패치하는 책임을 지는 사람이 없었던 것이다. 이와 유사한 사고를 막기 위해 조직은 명확한 자산 소유권을 설정하고 이를 전체 보안 프로그램에 통합해야 한다.

보안 프로그램의 기초를 구축하라

현대의 위협 환경과 유동적인 IT 환경을 고려할 때, 조직은 정확하고 최신 상태의 자산 목록을 효과적인 보안 프로그램의 기본 원칙으로 간주해야 한다. 관련된 도전 과제와 위험을 감안할 때, 이제는 네트워크의 실제 상태를 반영하지 않는 정적 스냅샷을 제공하는 수동 프로세스에서 벗어날 때이다.

보안 태세를 개선하기 위한 첫 번째 단계는 네트워크에 연결된 자산을 따라갈 수 있는 사이버 자산 공격 표면 관리(CAASM) 솔루션으로 전환하는 것이다. 효과적인 CAASM 솔루션은 고급 핑거프린팅 기술을 제공하며, 여러 소스에서 자산 데이터를 활용하여 IT부터 OT 장치까지, 온프레미스에서 클라우드 및 원격 환경에 이르기까지 자산 목록을 포괄적으로 파악할 수 있다.

런제로(runZero)를 통해 사이버 위협에 대응

런제로는 네트워크에 연결된 모든 자산을 가시적으로 파악할 수 있도록 하며, 이를 통해 사이버 위협에 대한 선제적 방어를 할 수 있다.

먼저, 잊혀지거나 간과된 자산을 포함하여 네트워크에 연결된 모든 자산을 식별할 수 있다. 둘째, 시간이 지남에 따라 이러한 자산에 가해진 변경 사항을 추적할 수 있다. 셋째, 각 자산과 관련된 위험을 평가하고, 이에 따라 우선적으로 수정 작업을 할 수 있다. 이를 통해 조직의 자산 목록을 완전히 이해하고, 전반적인 보안 태세를 개선할 수 있다.

참조

*1: NIST(National Institute of Standards and Technology, 미국 국립 표준 기술 연구소)는 미국 상무부 산하의 비규제 기관으로, 과학과 기술 발전을 통해 경제적 경쟁력과 국가 안보를 향상시키기 위해 설립됐다.

*2: CIS(Center for Internet Security, 인터넷 보안 센터)는 사이버 보안 분야에서 시스템과 데이터를 보호하기 위한 모범 사례와 보안 통제를 개발하고 제공하는 비영리 조직이다.

*3: ISC2(International Information System Security Certification Consortium)는 정보 보안 분야에서 가장 권위 있는 비영리 조직 중 하나로, 정보 보안 전문가의 교육과 인증을 제공하는 글로벌 기관이다. ISC2는 CISSP(Certified Information Systems Security Professional)와 같은 여러 정보 보안 관련 자격증을 관리하고 인증한다. 이 단체는 전 세계 보안 전문가들이 최신 보안 기술과 지식을 유지하고, 보안의 모범 사례를 따를 수 있도록 돕는 역할을 한다.

*4: SOC2(System and Organization Controls 2)는 조직의 정보 보안 관리 체계에 대한 신뢰성과 효과성을 평가하는 감사를 통해 발급되는 인증이다. 주로 클라우드 서비스 제공업체, SaaS 기업, 그리고 데이터를 처리하는 B2B 기업들이 이 인증을 받는다. SOC2는 데이터 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호의 5가지 원칙에 중점을 두며, 고객 및 파트너에게 해당 조직이 엄격한 정보 보안 기준을 준수하고 있음을 증명하는 역할을 한다.

*5: HIPAA(Health Insurance Portability and Accountability Act, 건강 보험 이전 및 책임법)는 1996년에 제정된 미국 법으로, 환자의 민감한 건강 정보를 보호하고 의료 정보의 프라이버시 및 보안을 보장하기 위해 만들어졌다.

*6: PCI DSS(Payment Card Industry Data Security Standard, 결제 카드 산업 데이터 보안 표준)는 결제 카드 정보를 처리, 저장, 전송하는 조직이 카드 소유자의 데이터를 보호하기 위해 따라야 하는 보안 표준이다.