보안 담당자가 알아야 할 4가지

보안 담당자들의 관심사는 언제나 핵심적인 것 하나가 있다. 무언가의 합격을 위한 보안, 인증을 위한 인증에서 벗어나, 실질적인 보안 강화를 꿈꾸는 것이다. A인증에서 100점으로 합격하고 사고 1번 발생하는 것보다는 A인증에서 80점을 받는다 해도 사고가 발생하지 않는 것이 좋은 건 당연지사다. 사실 많은 담당자들은 진단을 맡겼을 때 점수가 너무 높은 걸 꺼리기도 한다. 아무튼 각설하고, 담당자들은 사건사고를 0으로 줄이기 위한, 실제 환경에서 적용 가능한 방안을 원하는데, 그렇다면 담당자가 알아야 할 것 4가지는 무엇이 있을까?

1. 제로트러스트

몇 년 전부터 꾸준히 어디서나 들을 수 있는 용어고, 앞으로도 계속 들어야 할 용어다. 대한민국 주도로 제로트러스트가 25년~28년 동안 연구될 예정이며, 연구를 통해 국제표준화를 계획하고 있다. 지금도 제로트러스트에 관심을 많이 두어야 겠지만, 내년부터는 특히나 관심을 집중해야 하는 이유가 이것이다. 

2. 사고사례로 배우는 AWS 보안원칙

점점 AWS 클라우드의 사용이 늘어나면서 AWS 보안원칙에 대한 깊은 이해가 필요한 것은 당연지사일 것이다. 이미 전세계적으로 AWS의 사고사례가 쌓인 것들이 있기 때문에 이를 토대로 AWS 보안원칙을 이해하고 대비할 필요가 있다. 특히 본지에서는 AWS 루트 계정의 위험성, AWS S3 퍼블릭 오픈의 위험성, AWS 크리덴셜 탈취의 위험성 등에 대해 경고하고 있다. 이밖에도 이미 사고사례가 많이 쌓이고 있는 만큼, 이에 대한 대비가 필요할 것이다.

3. 신규 취약점 관리 프로세스

이것은 보안 담당자에게는 평생 끌고가야 할 과제가 아닐까 싶다. 많은 기업에서는 정말 자기들이 갖고 있는 취약점이 무엇인지조차 파악하고 있지 못하는 경우가 많다. 그렇기에 그런 기업의 경우 우선 기존 프로세스로 취약점을 파악할 필요가 있을 것이다. 그리고 나서야 신규 취약점 관리 프로세스를 도입해야 하는 것이 수순이지 않을까 싶다. 

4. 지자체 중심 주력산업에 보안 투자

지자체에서 과연 지역 중소기업의 경쟁적 보안 투자에 있어 유의미한 역할을 할지는... 확신이 없지만, KISA에서는 지자체를 중심으로 각 지역의 주력 산업에 대한 보안 투자를 대폭 늘리는 것을 계획하고 있다. 이로써 지역 정보보호 안전망이 구축되는 것을 기대하고 있는 것이다. 솔직히 실제 조직에 그것이 유의미할지는 아직 지켜봐야 하겠지만, 팔로우업 해야 하는 소식이지 않을까 싶다.

 

 

출처: https://www.boannews.com/media/view.asp?idx=130685&direct=mobile