º¸¾È ¾÷°è¿¡ »õ·Î¿î À§Çùµé·ÎºÎÅÍ ¡®µðÁöÅÐ ¹ßÀÚ±¹¡¯ º¸È£ÇÏ´Â Àü·« ¼ö¸³ Çʿ伺 °Á¶
ÆÒµ¥¹ÍÀ¸·Î ÇÏÀ̺긮µå ¾÷¹«, Ŭ¶ó¿ìµå Àüȯ °¡¼ÓÈ... »çÀ̹öº¸¾È °üÇà¿¡ ´ëÇÑ »õ·Î¿î ´ëÀÀÃ¥ Á¦½Ã
[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] º¸¾È ¹× ¸®½ºÅ© °ü¸® ¸®´õµéÀº ²÷ÀÓ¾øÀÌ È®ÀåÇÏ´Â Çö´ë Á¶Á÷ÀÇ ¡®µðÁöÅÐ ¹ßÀÚ±¹(digital footprint)¡¯À» 2022³â¿¡ ³ªÅ¸³ª°í ÀÖ´Â À§Çù»Ó¸¸ ¾Æ´Ï¶ó ±× ÀÌÈÄ¿¡µµ °è¼ÓÇؼ µîÀåÇÒ »õ·Î¿î À§Çùµé·ÎºÎÅÍ º¸È£Çϱâ À§ÇØ 7°¡Áö ÁÖ¿ä Æ®·»µå¸¦ ÆľÇÇØ¾ß ÇÑ´Ù°í °¡Æ®³Ê(Gartner)°¡ ¹àÇû´Ù.
[À̹ÌÁö=utoimage]
°¡Æ®³ÊÀÇ ¸®¼Ä¡ ºÎ»çÀå ÇÇÅÍ ÆÛ½ºÆ®ºê·è(Peter Firstbrook)Àº ¡°Àü ¼¼°èÀÇ Á¶Á÷µéÀÌ Á¤±³ÇÑ ·£¼¶¿þ¾î, µðÁöÅÐ °ø±Þ¸Á¿¡ ´ëÇÑ °ø°Ý, ±íÀÌ ³»ÀçµÈ Ãë¾àÁ¡ µî¿¡ Á÷¸éÇØ ÀÖ´Ù¡±¸ç, ¡°ÆÒµ¥¹ÍÀ¸·Î ÀÎÇØ ÇÏÀ̺긮µå ¾÷¹«¿Í Ŭ¶ó¿ìµå·ÎÀÇ ÀüȯÀÌ °¡¼ÓȵǸé¼, ÃÖ°íÁ¤º¸º¸È£Ã¥ÀÓÀÚ(CISO)µéÀº ¼÷·ÃµÈ º¸¾È Àη ºÎÁ· ¹®Á¦¸¦ ÇØ°áÇØ¾ß ÇÏ´Â µ¿½Ã¿¡ Á¡Á¡ ´õ ºÐ»êµÇ¾î°¡´Â ±â¾÷À» º¸È£ÇØ¾ß ÇÏ´Â °úÁ¦¸¦ ¾È°Ô µÇ¾ú´Ù¡±°í ¸»Çß´Ù.
ÀÌ·¯ÇÑ °úÁ¦µéÀº »çÀ̹öº¸¾È °üÇà¿¡ ¿µÇâÀ» ¹ÌÄ¡´Â Áö¹èÀû Æ®·»µå ¼¼ °¡Áö, Áï ¨çÁ¤±³ÇÑ À§Çù¿¡ ´ëÇÑ »õ·Î¿î ´ëÀÀ ¨èº¸¾È °üÇàÀÇ ÁøÈ¿Í À籸¼º ¨é±â¼ú¿¡ ´ëÇÑ Àç°í¿¡ ºÎÇÕÇÑ´Ù. °¡Æ®³Ê¿¡¼ ÀÌ ¼¼ °¡Áö ¿µ¿ª¿¡ °ÉÃÄ ¾÷°è¿¡ ±¤¹üÀ§ÇÑ ¿µÇâÀ» ¹ÌÄ¥ °ÍÀ¸·Î Àü¸ÁÇÑ Æ®·»µå´Â ´ÙÀ½°ú °°´Ù.
Æ®·»µå 1: °ø°Ý ¿µ¿ª È®Àå
±â¾÷ÀÇ °ø°Ý ¿µ¿ªÀÌ È®ÀåµÇ°í ÀÖ´Ù. »çÀ̹ö ¹°¸® ½Ã½ºÅÛ°ú IoT, ¿ÀǼҽº ÄÚµå, Ŭ¶ó¿ìµå ¾ÖÇø®ÄÉÀ̼Ç, º¹ÇÕ µðÁöÅÐ °ø±Þ¸Á, ¼Ò¼È ¹Ìµð¾î µîÀÇ »ç¿ë°ú °ü·ÃµÈ ¸®½ºÅ©·Î ³ëÃâµÈ Á¶Á÷ÀÇ Ç¥¸éÀº ÅëÁ¦ °¡´ÉÇÑ ÀÚ»ê ÁýÇÕÀ» ¹þ¾î³µ´Ù. Á¶Á÷Àº º¸¾È ¸ð´ÏÅ͸µ, ŽÁö ¹× ´ëÀÀ¿¡ ´ëÇÑ ±âÁ¸ÀÇ Á¢±Ù ¹æ½ÄÀ» ¶Ù¾î³Ñ¾î ´õ ±¤¹üÀ§ÇÑ º¸¾È ³ëÃâÀ» °ü¸®ÇØ¾ß ÇÑ´Ù.
DRPS(Digital Risk Protection Services: µðÁöÅÐ ¸®½ºÅ© º¸È£ ¼ºñ½º), EASM(External Attack Surface Management: ¿ÜºÎ °ø°Ý¿¡ ´ëÇÑ Ç¥¸é °ü¸®) ±â¼ú ¹× CAASM(Cyber Asset Attack Surface Management: »çÀ̹ö Àڻ꿡 ´ëÇÑ °ø°Ý Ç¥¸é °ü¸®)ÀÌ CISOÀÇ ³»¡¤¿ÜºÎ ºñÁî´Ï½º ½Ã½ºÅÛ °¡½Ãȸ¦ Áö¿øÇØ º¸¾È Ä¿¹ö¸®Áö °ÝÂ÷ÀÇ ¹ß°ßÀ» ÀÚµ¿ÈÇϵµ·Ï ÇÑ´Ù.
Æ®·»µå 2: µðÁöÅÐ °ø±Þ¸Á ¸®½ºÅ©
»çÀ̹ö ¹üÁËÀÚµéÀº µðÁöÅÐ °ø±Þ¸Á¿¡ ´ëÇÑ °ø°ÝÀÌ ³ôÀº ÅõÀÚ ¼öÀÍÀ²À» Á¦°øÇÒ ¼ö ÀÖ´Ù´Â °ÍÀ» ¹ß°ßÇß´Ù. °ø±Þ¸ÁÀ» ÅëÇØ Log4j¿Í °°Àº Ãë¾àÁ¡ÀÌ È®»êµÇ¸é¼ ´õ ¸¹Àº À§ÇùÀÌ µîÀåÇÒ °ÍÀ¸·Î ¿¹»óµÈ´Ù. ½ÇÁ¦·Î, °¡Æ®³Ê´Â 2025³â±îÁö Àü ¼¼°è Á¶Á÷ÀÇ 45%°¡ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á °ø°ÝÀ» °æÇèÇÏ°Ô µÉ °ÍÀ¸·Î ¿¹ÃøÇϴµ¥, ÀÌ´Â 2021³âº¸´Ù 3¹è Áõ°¡ÇÑ ¼öÄ¡ÀÌ´Ù.
µðÁöÅÐ °ø±Þ¸Á ¸®½ºÅ©´Â º¸´Ù ½ÅÁßÇÑ ¸®½ºÅ© ±â¹Ý °ø±Þ¾÷ü ¶Ç´Â ÆÄÆ®³ÊÀÇ ¼¼ºÐÈ ¹× Á¡¼ö ºÎ¿©, º¸¾È ÅëÁ¦ Áõ°Å ¹× º¸¾È ¸ð¹ü »ç·Ê ¿äû, ź·Â¼º ±â¹Ý »ç°í·ÎÀÇ Àüȯ°ú ÇâÈÄ ±ÔÁ¤º¸´Ù ¾Õ¼±â À§ÇÑ ³ë·ÂÀ» Æ÷ÇÔÇÑ »õ·Î¿î ¿ÏÈ Á¢±Ù ¹æ½ÄÀ» ¿ä±¸ÇÑ´Ù.
Æ®·»µå 3: ½Å¿ø À§Çù ŽÁö ¹× ´ëÀÀ
Á¤±³ÇÑ À§ÇùÇàÀ§ÀÚµéÀº IAM(Identity and Access Management: °èÁ¤ Á¢±Ù °ü¸®) ÀÎÇÁ¶ó¸¦ Àû±ØÀûÀ¸·Î °ø·«ÇÏ°í ÀÖÀ¸¸ç, ÀÚ°Ý Áõ¸í ¿À¿ëÀÌ ÇöÀç ÁÖ¿ä °ø°Ý º¤ÅÍ°¡ µÇ°í ÀÖ´Ù. °¡Æ®³Ê´Â ½Å¿ø ½Ã½ºÅÛÀ» ¹æ¾îÇϱâ À§ÇÑ Åø ¹× ¸ð¹ü »ç·Ê ¸ðÀ½ÁýÀ» ¼³¸íÇϱâ À§ÇØ ¡®ITDR(Identity Threat Detection and Response: ½Å¿ø À§Çù ŽÁö ¹× ´ëÀÀ)¡¯À̶ó´Â ¿ë¾î¸¦ µµÀÔÇß´Ù.
ÆÛ½ºÆ®ºê·èÀº ¡°Á¶Á÷µéÀº IAM ±â´ÉÀ» °³¼±ÇÏ´Â µ¥ »ó´çÇÑ ³ë·ÂÀ» ±â¿ï¿©¿ÔÁö¸¸, ÀÌ·¯ÇÑ ³ë·ÂÀÇ ´ëºÎºÐÀÌ »ç¿ëÀÚ ÀÎÁõÀ» °³¼±Çϱâ À§ÇÑ ±â¼ú¿¡ ÁýÁßµÇ¾î »çÀ̹ö º¸¾È ÀÎÇÁ¶óÀÇ ±âÃÊÀûÀÎ ºÎºÐ¿¡ ´ëÇÑ °ø°Ý Ç¥¸éÀ» Áõ°¡½ÃÄ×´Ù¡±¸ç, ¡°ITDR ÅøÀº ½Å¿ø ½Ã½ºÅÛÀ» º¸È£ÇÏ°í, ¼Õ»óµÈ ½ÃÁ¡À» °¨ÁöÇϸç, È¿À²ÀûÀÎ ¹®Á¦ ÇØ°áÀ» Áö¿øÇÑ´Ù¡±°í ÀüÇß´Ù.
Æ®·»µå 4: ÀÇ»ç°áÁ¤ ºÐ»ê
±â¾÷ÀÇ »çÀ̹ö º¸¾È ¿ä±¸¿Í ±â´ëÄ¡°¡ ¼º¼÷ÇØÁö°í ÀÖÀ¸¸ç, °æ¿µÁøµéÀº °ø°Ý ¿µ¿ªÀÌ È®´ëµÇ´Â °¡¿îµ¥ º¸´Ù ¹ÎøÇÑ º¸¾ÈÀ» ¿ä±¸ÇÑ´Ù. µû¶ó¼ µðÁöÅÐ ºñÁî´Ï½ºÀÇ ¹üÀ§, ±Ô¸ð ¹× º¹À⼺À¸·Î ÀÎÇØ Áß¾ÓÁýÁᫎ ±â´É¿¡¼ ¹þ¾î³ª Á¶Á÷ ±¸¼º´ÜÀ§ Àüü¿¡ °ÉÃÄ »çÀ̹ö º¸¾È ÀÇ»ç°áÁ¤, Ã¥ÀÓ ¹× Àǹ«¸¦ ºÐ»ê½Ãų ÇÊ¿ä°¡ ÀÖ´Ù.
ÆÛ½ºÆ®ºê·èÀº ¡°CISOÀÇ ¿ªÇÒÀÌ ±â¼úÀûÀÎ ÁÖÁ¦ Àü¹®°¡¿¡¼ °æ¿µÁø ¸®½ºÅ© ¸Å´ÏÀú·Î À̵¿Çß´Ù¡±¸ç, ¡°2025³â¿¡´Â Áß¾ÓÁýÁᫎ ´ÜÀÏ »çÀ̹ö º¸¾È ±â´ÉÀÌ µðÁöÅÐ Á¶Á÷ÀÇ ¿ä±¸¸¦ ÃæÁ·ÇÒ ¸¸Å ¹ÎøÇÏÁö ¸øÇÒ °Í¡±À̶ó°í ÀüÇß´Ù. ±×´Â ÀÌ¾î ¡°CISO´Â ÀÌ»çȸ, CEO¹× ±âŸ ºñÁî´Ï½º ¸®´õµéÀÌ Á¤º¸¿¡ ÀÔ°¢ÇÑ ¸®½ºÅ© °áÁ¤À» ³»¸± ¼ö ÀÖµµ·Ï Ã¥ÀÓ ¸ÅÆ®¸¯½º(matrix)¸¦ Àç°³³äÈÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù.
Æ®·»µå 5: ÀνÄÀ» ³Ñ¾î¼´Ù
Àΰ£ÀÇ ½Ç¼ö´Â °è¼ÓÇؼ ¸¹Àº µ¥ÀÌÅÍ Ä§ÇØÀÇ ¿äÀÎÀÌ µÇ°í ÀÖÀ¸¸ç, ÀÌ´Â º¸¾È ÀÎ½Ä ±³À°¿¡ ´ëÇÑ ±âÁ¸ÀÇ Á¢±Ù ¹æ½ÄÀÌ ºñÈ¿À²ÀûÀ̶ó´Â °ÍÀ» º¸¿©ÁØ´Ù. Áøº¸ÀûÀÎ Á¶Á÷µéÀº ½Ã´ë¿¡ µÚ¶³¾îÁø ±ÔÁ¤ Áؼö Áß½ÉÀÇ º¸¾È ÀÎ½Ä Ä·ÆäÀκ¸´Ù´Â ÀüüÀûÀÎ SBCP(Security Behavior and Culture Programs: º¸¾È Çൿ ¹× ¹®È ÇÁ·Î±×·¥)¿¡ ÅõÀÚÇÏ°í ÀÖ´Ù. SBCP´Â Á¶Á÷ Àüü¿¡ °ÉÃÄ º¸´Ù ¾ÈÀüÇÑ ÀÛ¾÷ ¹æ½ÄÀ» À¯µµÇÏ´Â °ÍÀ» ¸ñÀûÀ¸·Î »õ·Î¿î »ç°í¹æ½ÄÀ» Á¶¼ºÇÏ°í »õ·Î¿î ÇൿÀ» ³»Àç½ÃÅ°´Â µ¥ ÃÊÁ¡À» ¸ÂÃá´Ù.
Æ®·»µå 6: °ø±Þ¾÷ü ÅëÇÕ
º¹À⼺°ú °ü¸®»óÀÇ ¿À¹öÇìµå¸¦ ÁÙÀÌ°í È¿À²¼ºÀ» ³ô¿©¾ß ÇÒ Çʿ伺¿¡ µû¶ó º¸¾È ±â¼ú À¶ÇÕÀÌ °¡¼Óȵǰí ÀÖ´Ù. XDR(Extended Detection and Response: °ÈµÈ ŽÁö ¹× ´ëÀÀ), SSE(Security Service Edge: º¸¾È ¼ºñ½º ¿§Áö) ¹× CNAPP(Cloud Native Application Protection Platforms: Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀÌ¼Ç º¸È£ Ç÷§Æû)¿Í °°Àº »õ·Î¿î Ç÷§Æû Á¢±Ù ¹æ½ÄÀÌ À¶ÇÕ ¼Ö·ç¼ÇÀÇ ÀÌÁ¡À» °¡¼ÓÈÇÏ°í ÀÖ´Ù.
¿¹¸¦ µé¾î, °¡Æ®³Ê´Â 2024³â±îÁö 30%ÀÇ ±â¾÷ÀÌ µ¿ÀÏÇÑ °ø±Þ¾÷üÀÇ Å¬¶ó¿ìµå Á¦°ø SWG(Secure Web Gateway: º¸¾È À¥ °ÔÀÌÆ®¿þÀÌ), CASB(Cloud Access Security Broker: Ŭ¶ó¿ìµå Á¢±Ù º¸¾È Áß°³), ZTNA(Zero Trust Network Access: Á¦·Î Æ®·¯½ºÆ® ³×Æ®¿öÅ© ¾×¼¼½º) ¹× ¼ºñ½ºÇü Áö»ç FWaaS(Firewall as a Service: ¼ºñ½ºÇü ¹æȺ®) ±â´ÉÀ» äÅÃÇÒ °ÍÀ¸·Î ¿¹ÃøÇÏ°í ÀÖ´Ù. º¸¾È ±â´ÉÀ» ÅëÇÕÇϸé ÃÑ ¼ÒÀ¯ ºñ¿ëÀÌ ³·¾ÆÁö°í Àå±âÀûÀ¸·Î ¿î¿µ È¿À²¼ºÀÌ Çâ»óµÇ¾î Àü¹ÝÀûÀÎ º¸¾ÈÀÌ °ÈµÈ´Ù.
Æ®·»µå 7: »çÀ̹ö º¸¾È ¸Þ½Ã(mesh)
º¸¾È »óÇ° ÅëÇÕ Æ®·»µå°¡ ¾ÆÅ°ÅØó ±¸¼º¿ä¼ÒÀÇ ÅëÇÕÀ» ÁÖµµÇÏ°í ÀÖ´Ù. ±×·¯³ª ¿©ÀüÈ÷ ÀÏ°üµÈ º¸¾È Á¤Ã¥À» Á¤ÀÇÇÏ°í ¿öÅ©Ç÷ο츦 È°¼ºÈÇÏ¿© ÅëÇÕµÈ ¼Ö·ç¼Ç °£¿¡ µ¥ÀÌÅ͸¦ ±³È¯ÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. CSMA(Cybersecurity Mesh Architecture: »çÀ̹öº¸¾È ¸Þ½Ã ¾ÆÅ°ÅØó)´Â ¿ÂÇÁ·¹¹Ì½º, µ¥ÀÌÅÍ ¼¾ÅÍ ¶Ç´Â Ŭ¶ó¿ìµå¿¡ ÀÖµç ¸ðµç ÀÚ»êÀ» º¸È£ÇÒ ¼ö ÀÖ´Â ÅëÇÕµÈ º¸¾È ±¸Á¶ ¹× ż¼¸¦ °®Ãߴµ¥ µµ¿òÀÌ µÈ´Ù.
ÆÛ½ºÆ®ºê·èÀº ¡°°¡Æ®³ÊÀÇ ÁÖ¿ä »çÀ̹ö º¸¾È Æ®·»µå´Â µû·Î Á¸ÀçÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó, ¼·Î¸¦ ±â¹ÝÀ¸·Î ±¸ÃàµÇ°í °ÈµÈ´Ù¡±¸ç, ¡°ÀÌ·¯ÇÑ ±â¼úµéÀº CISO°¡ ¹Ì·¡ÀÇ º¸¾È ¹× ¸®½ºÅ© °ü¸® °úÁ¦¸¦ ÇØ°áÇÏ°í Á¶Á÷ ³»¿¡¼ ±×µéÀÇ ÀÔÁö¸¦ Áö¼ÓÀûÀ¸·Î ³ôÀÏ ¼ö ÀÖµµ·Ï ¿ªÇÒÀ» ¹ßÀü½ÃÅ°´Â µ¥ µµ¿òÀÌ µÉ °ÍÀÌ´Ù¡±°í ¸»Çß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>