국제표준부터 신규 취약점 관리까지 보안 담당자가 꼭 알아야 할 4가지

클라우드는 보안 원칙 중요, 신규 취약점 관리는 효율성 있는 프로세스로 관리해야
ITU-T 국제표준, 2025년~2028년 한국 주도로 제로트러스트, 인공지능 보안 등 차기 연구
KISA, 정보보호 클러스터 역할과 기능 확대해 사이버보안 클러스터 추가 구축 추진

[보안뉴스 김경애 기자] 보안 현업 종사자들의 실질적인 보안 강화를 위한 방안이 제시돼 관심이 모아지고 있다. 특히 AWS 클라우드의 경우 많이 사용하고 있는 만큼, 보안 사고 예방을 위한 보안 원칙을 준수해야 한다는 목소리가 커지고 있다. 또한 실질적인 보안 강화 방안으로 효율적인 취약점 관리 프로세스 수립을 통해 신규 취약점을 관리해야 한다는 의견도 제시됐다.

[이미지=gettyimagesbank]

1. 2025년~2028년, 한국 주도로 제로트러스트 등 차기 연구
국제표준에서는 최신 보안위협 트렌드를 반영하는 추세다. 특히 ITU-T SG17에서는 차기연구 분야로 제로트러스트, 인공지능 보안, 6G보안 등이 꼽히며 한국 주도로 연구될 예정이다.

▲국제전기통신연합 전기통신표준화 부문(ITU-T) 정보보호연구반(SG17) 염흥열 국제의장이 ‘ITU-T 정보보호 국제표준화 및 시사점’을 주제로 발표하고 있다[사진=보안뉴스]

국제전기통신연합 전기통신표준화 부문(ITU-T) 정보보호연구반(SG17) 염흥열 국제의장은 ‘PLUS2024 보안 컨퍼런스’에서 ‘ITU-T 정보보호 국제표준화 및 시사점’을 주제로 발표한 가운데, 한국 주도의 차기 연구로 제로트러스트, 인공지능 보안 등 연구가 제시됐다며 국제표준 움직임이 활발하다고 밝혔다.

현재 정보보호연구반(ITU-T SG17: International Telecommunication Union-Telecommunication Standardization Sector, Study Group 17)은 국제전기통신연합 전기통신 표준화 부문(ITU-T) 산하 연구반으로 정보보호 분야 표준화를 담당하고 있다.

표준화 범위는 △보안구조 및 네트워크 보안 △정보보호 관리체계 기술 △사이버보안 △스팸 대응 △응용서비스 보안 △신원 관리 및 텔레바이오인식 기술 △보안 응용을 지원하는 일반 기술 △차량 통신 보안 △분산원장기술 보안 △양자암호통신 및 차세대 보안 등이다.

조직 구성은 분야별 국제표준 개발을 주도하는 12개의 연구과제(Question)이며, 5개의 작업반(Working Party)에서 2~3개의 연구과제를 담당한다. 표준화 과정은 신규 표준 과제 승인→ 표준 개발→ 표준 사전채택→ ITU-T 회원국 회람→ 표준 최종승인(ITU-T) 등의 절차를 거친다.

특히 차기 연구과제로 한국 주도의 제로트러스트, 인공지능 보안 등이 추진되고 있다. 염흥열 국제의장은 한국 주도의 차기 연구에 대해 “연구회기는 오는 2025년~2028년까지이며, 제로트러스트, 인공지능 보안, 메타버스 보안, 소프트웨어 공급망 보안, 프라이버시 강화 기술 등 신흥 정보보호 기술 표준화 준비를 완료했다”고 밝혔다.

이어 염 의장은 “연구과제 의장단과 12개 연구과제 중 6개 연구과제 라포처를 유지해야 한다”며 “이를 바탕으로 산·학·연·관 협력을 통한 정보보호 국제표준화를 추진해야 한다”고 강조했다.

2. AWS 사고사례로 배우는 AWS 보안원칙

▲인터파크트리플 이동현 CISO가 ‘사고사례로 배우는 AWS 보안원칙’에 대해 발표하고 있다[사진=보안뉴스]

이어 인터파크트리플 이동현 CISO는 ‘사고사례로 배우는 AWS 보안원칙’에 대해 설명했다. 많은 기업이 클라우드를 도입 및 운영하면서 보안사고가 발생하고 있기 때문이다.

그중 AWS 루트 어카운트 사고 유형은 이른바 요금폭탄 사고로 국내외에서 자주 발생하는 사고사례다. 지난 2021년 12월 25일 발생한 이 사고는 해커가 AWS Root Account를 해킹해 2022년 1월 6일 해커가 600개 이상의 리소스를 생성했다. 피해 기업은 2022년 2월 3일 16,779달러의 요금폭탄 청구서를 받았다.

① AWS 루트 어카운트(AWS Root Account : 루트 계정) 사용 금지
이에 이동현 CISO는 “AWS Root Account는 사용하지 말아야 한다”며 “이는 AWS IAM(Identity and Access Management)의 Administrator는 권한제어가 가능한 반면, AWS Root Account는 권한제어 기능이 없기 때문”이라고 설명했다.

이어 이 CISO는 “이처럼 위험성이 높은데도 불구하고 기업에서는 AWS Root Account 사용율이 여전히 높다”며 “AWS Root가 탈취되면 채굴 등에 악용돼 클라우드 요금 폭탄의 피해를 받을 수 있어 사용하지 말 것”을 당부했다.

②AWS S3 퍼블릭 오픈(AWS S3 Public Open)
다음으로 AWS S3(스토리지) 보안 사고다. 한 사용자는 2021년 12월 말 12,500달러 청구서를 받아 해킹이 의심돼 해킹된 과정 정보를 요청했다. 사용자 입장에서는 강력한 비밀번호, 2단계 인증 등 보안을 강화했기 때문이다.

그러나 사용자가 AWS S3를 퍼블릭 오픈으로 설정한 게 문제가 된 것으로 드러났다. 이는 모든 사람이 데이터를 가져오고 추가할 수 있도록 버킷(Bucket) 정책을 허락으로 설정한 사례로 이 경우 해커가 파일에 바로 접근할 수 있다.

이 CISO는 “S3 버킷 내에 어떤 데이터가 얼마나 있는지 파악하는 게 중요하다”며 “사용자가 이를 잘 파악하지 못한 관리 실수 사례로 S3 버킷에는 텍스트, 그림, 소스, 스크립트, 동영상 등 다양한 형태의 Object가 저장돼 있어 데이터가 유출될 경우 파급력이 크다”로 설명했다.

③AWS 클리덴셜(AWS Credential)
마지막으로 AWS 크리덴셜은 공격자들이 가장 선호하는 것이다. 이는 그만큼 크리덴셜 관리가 중요하다는 얘기다. 이동현 CISO는 “크리덴셜이 탈취되기 쉬운 형태로 관리되고 있지는 않은지 세심한 주의를 기울여야 한다”고 강조했다.

3. 신규 취약점 관리 프로세스

▲카카오페이 고영건 매니저가 신규 취약점 관리 프로세스에 대해 발표하고 있다[사진=보안뉴스]

기업의 보안 리스크를 최소화하기 위해 신규 취약점 관리가 필요하다는 의견도 제시됐다. 이와 관련 카카오페이 고영건 매니저는 카카오페이의 경우 △자산정보 및 취약점 정보 수집 환경 구성 △단계별 취약점 분류 및 대응 기준 수립 △대시 보드 구축 및 알림 시스템 연동 △PVE(Pay Vulnerabilities and Exposures) 결과물, 기타 활용방안 등으로 신규 취약점 관리 프로세스를 수립했다고 밝혔다.

고 매니저는 “소프트웨어 버전 및 취약점 정보와 IT 구성 및 인프라 정보(담당자 포함)를 결합해 자산정보 및 취약점 정보 수집 환경을 구성했더니 IT 자산의 소프트웨어 정보(버전)와 담당자 파악이 가능해졌다”고 밝혔다.

IT 자산 취약점 현황 파악과 취약점 조치 우선순위 등 단계별 취약점 분류 및 대응 기준을 수립하고 대시보드 구축 및 알림 시스템과 연동함으로써 신규 취약점 관리 프로세스가 70% 정도 효율적으로 개선됐다고 설명했다.

4. 2025년 지자체 중심 주력산업에 보안 투자

▲KISA 이용필 단장이 KISA의 중소기업 지원사업 및 보안인력 양성에 대해 발표하고 있다[사진=보안뉴스]

한국인터넷진흥원 이용필 단장은 지역 정보보호 안전망 확충 사업에 대해 △지역 정보보호 인식제고 △지역 정보보호 수준 제고 지원 △지역 센터별 정보보호 활동 등을 통해 지역 정보보호 역량을 강화하고 있다고 설명했다.

올해는 시범사업으로 지역 전략 산업 맞춤형 지원을 통해 컨설팅, 보안장비, SECaaS 등으로 지역 중소기업 수준 제고를 지원하고 있다.

2025년 신규 사업과 관련해 이용필 단장은 “지역 수요기반 전략산업 경쟁 공모를 통해 지자체를 중심으로 지역 주력산업에 대한 경쟁적 보안 투자를 유도할 계획”이라며 “특히 기존 판교, 동남권에 구축된 ‘정보보호 클러스터’의 역할과 기능을 확대함으로써 충청, 전라, 대구·경북권에도 ‘사이버보안 클러스터’가 추가 구축될 수 있도록 추진 중”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)