[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Èûµç ÇÑ Çظ¦ º¸³Â´Ù. CISOµé¿¡°Ô´Â ´õ´õ¿í Á¤½ÅÀÌ ¾ø¾úÀ» ¸¸ÇÑ ¶§¿´À» °ÍÀÌ´Ù. »õ·Î¿î Çö½Ç ¾Õ¿¡ °¢Áö·Î Èð¾îÁø Á¶Á÷ ±¸¼º¿ø Àüü¿Í, »ç¶÷ ¾øÀÌ µ¢±×·¯´Ï ³²¾Æ ÀÖ´Â ¿ÂÇÁ·¹¹Ì½º ȯ°æÀ» º¸È£ÇØ¾ß ÇÑ´Ù´Â ¸·ÁßÇÑ Ã¥ÀÓ°¨¿¡ ¸¹Àº ¹ãÀ» Áö»õ¿üÀ» °ÍÀÌ´Ù. °Ô´Ù°¡ »õÇØ°¡ µÆ´Ù°í Çؼ »çÅ°¡ ³¡³ °ÍÀÌ ¾Æ´Ï´Ï, CISOµéÀÇ ¸¶À½Àº ¿©ÀüÈ÷ ¼ö¸¹Àº °èȹµé·Î º¹ÀÛº¹ÀÛÇÏ´Ù. À̹ø ÁÖ¸»ÆÇ¿¡¼ º»Áö´Â ÀÌ·± º¹ÀâÇÑ »óȲ °¡¿îµ¥ CISOµéÀÌ ²À ±â¾ïÇØ¾ß ÇÒ »õÇØ °á½É Ç׸ñµéÀ» ¸ð¾Æ º¸¾Ò´Ù.
[À̹ÌÁö = utoimage]
1. ±â¼ú °ø±Þ¸Á º¸È£
¹Ì±¹¿¡¼ 12¿ù¿¡ ¹ß»ýÇÑ ¼Ö¶óÀ©Áî(SolarWinds) »çŸ¦ ÅëÇØ ±â¼ú °ø±Þ¸Á °ø°ÝÀÇ ¾î¸¶¾î¸¶ÇÑ Æı޷ÂÀÌ ¿©½ÇÈ÷ Áõ¸íµÆ´Ù. ¹°·Ð ¸ðµç °ø±Þ¸Á °ø°ÝÀÌ ÀÌ Á¤µµÀÇ Æı޷ÂÀ» °¡Áö´Â °Ç ¾Æ´ÏÁö¸¸, °ø±Þ¸Á °ø°ÝÀÌ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®³ª ÆÄÀ̾î¾ÆÀÌ, ¹Ì±¹ »ç¹ýºÎ³ª ±¹Åä¾Èº¸ºÎ¿Í °°Àº »ï¾öÇÑ Á¶Á÷µéµµ °ø·«ÇÒ ¼ö ÀÖ´Ù´Â °Í ÀÚü´Â ºÐ¸íÇÏ´Ù. °Ô´Ù°¡ »çÀ̹ö °ø°ÝÀÚµé »çÀÌ¿¡¼ °ø±Þ¸Á °ø°ÝÀÌ ½ÇÇàµÈ °ÍÀÌ Ã³À½ ÀÖ´Â °Íµµ ¾Æ´Ï´Ù. ÇÑ º¸°í¼¿¡ µû¸£¸é 2020³â µ¿¾È °ø±Þ¸Á °ø°ÝÀº 430% Áõ°¡Çß´Ù°í ÇÑ´Ù.
2020³âÀÇ ÁÖ¿ä º¸¾È »ç°Ç Áß Çϳª´Â ¸®ÇÃ20(Ripple20)À̶ó´Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù´Â °ÍÀÌ´Ù. ¸®ÇÃ20Àº TCP/IP ¼ÒÇÁÆ®¿þ¾î ¶óÀ̺귯¸®¿¡¼ ¹ß°ßµÈ ´Ù¼öÀÇ Ãë¾àÁ¡µé·Î, ÀÌ ¶óÀ̺귯¸®°¡ °ÅÀÇ ¸ðµç IoT Á¦Á¶»çµé¿¡¼ »ç¿ëµÇ°í Àֱ⠶§¹®¿¡ »ç½Ç»ó Àü ¼¼°è ¸ðµç IoT ÀåºñµéÀÌ ¸®ÇÃ20 ÀͽºÇ÷ÎÀÕ °ø°Ý¿¡ ³ëÃâµÇ¾î ÀÖ´Ù´Â ¶æÀ¸·Î Çؼ®µÇ¾ú´Ù. ÀÌ ¹®Á¦´Â Àå±âÀûÀÎ °ñÄ©°Å¸®°¡ µÉ Àü¸ÁÀ̸ç, ȯ°æ ³» »ç¹°ÀÎÅÍ³Ý Àåºñ¸¦ ¿î¿µÇÏ°í ÀÖ´Â Á¶Á÷À̶ó¸é ¡®¸®ÇÃ20¡¯À» ¹Ýµå½Ã ¿°µÎ¿¡ µÎ¾î¾ß ÇÒ °ÍÀÌ´Ù. CISOµéÀº ÀÌ¿Í À¯»çÇÑ »çÅ¿¡ ´ëºñÇØ ¼ÒÇÁÆ®¿þ¾î ±¸¼º ¿ä¼Ò ÃßÀû ½Ã½ºÅÛ°ú ÀÚ»ê °ü¸® ½Ã½ºÅÛÀ» º¸´Ù È®½ÇÇÏ°Ô ¸¶·ÃÇÒ »Ó¸¸ ¾Æ´Ï¶ó Ãë¾àÁ¡ °ü¸® ÇÁ·Î±×·¥µµ ¼³Á¤ÇØ¾ß ÇÒ °ÍÀÌ´Ù.
2. VPNÀ» ³Ñ¾î¼¾ß ÇÑ´Ù
2020³â º¸¾È ´ã´çÀÚµéÀÇ °¡Àå Å« °úÁ¦´Â °©ÀÛ½º·´°Ô ±¸¼ºµÈ ÀçÅà ±Ù¹« üÁ¦¸¦ º¸È£ÇÏ´Â °ÍÀ̾ú´Ù. ÀÌ °úÁ¤¿¡¼ ¿À´Ã³¯ ±â¾÷µéÀÌ °¡Áø ¿©·¯ °¡Áö Ãë¾àÁ¡µéÀÌ °¡°¨ ¾øÀÌ µå·¯³µ´Ù. ƯÈ÷ VPN¸¸À¸·Î ¿ø°Ý ±Ù¹«ÀÚµéÀ» º¸È£ÇÒ ¼ö ¾ø´Ù´Â °ÍÀÌ Áõ¸íµÈ °ÍÀÌ ÄÇ´Ù. VPNÀÌ °¡Áø Å»ýÀû ÇÑ°è ¶§¹®¿¡ ¿ø°ÝÀÇ ±Ù¹«ÀÚµéÀÌ È¸»ç ³» µðÁöÅÐ Àڻ꿡 Á¢¼ÓÇÏ°í È°¿ëÇÏ´Â °ÍÀ» CISO°¡ Á¦´ë·Î ÅëÁ¦ÇÒ ¼ö ¾ø´Ù´Â °ÍÀ» ¼ö¸¹Àº CISOµéÀÌ ÇнÀÇÑ °ÍÀÌ´Ù.
´Ù¸¸ 2020³âÀÌ ¿ö³« Á¤½Å¾øÀÌ Áö³ª°¡´Â ¹Ù¶÷¿¡ ¿ï¸ç °ÜÀÚ ¸Ô±â ½ÄÀ¸·Î VPNÀ» °í¼öÇÒ ¼ö¹Û¿¡ ¾ø¾ú´Ù. ±×·¯´Ï »õÇØ°¡ µÇ¸é¼ º¸´Ù È¿°úÀûÀÎ ´ëüÀ縦 ã´Â ¿òÁ÷ÀÓµéÀÌ ÀϾ °ÍÀ¸·Î º¸ÀδÙ. ¿ø°Ý¿¡¼ÀÇ ÀÚ»ê °ü¸®¸¦ º¸´Ù ¾ÈÀüÇÏ°í È¿°úÀûÀ¸·Î Çϱâ À§Çؼ´Â VPN ÀÌ»óÀÇ °ÍÀÌ ÇÊ¿äÇÏ°í, ¿ÃÇØ ¸¹Àº CISOµéÀÌ ¼Ö·ç¼Ç ¼îÇο¡ ³ª¼³ °ÍÀÌ´Ù.
3. ¼³°è¿¡ ÀÇÇÑ º¸¾È(Security by Design)
2020³â°ú °°Àº Çظ¦ º¸³ÂÀ¸´Ï CISOµéÀº À̸¦ È£±â·Î È°¿ëÇØ ¡®º¸¾È ¹®È¡¯¸¦ Á¶Á÷ ³» Á¤Âø½Ãų ¼ö ÀÖÀ» °ÍÀ¸·Î º¸ÀδÙ. ƯÈ÷ ¼ÒÇÁÆ®¿þ¾î³ª À¥ ¼ºñ½º °³¹ßÀ» ÇÏ´Â Á¶Á÷À̶ó¸é ¡®¼³°è¿¡ ÀÇÇÑ º¸¾È¡¯ ¹®È¸¦ µåµð¾î µµÀÔÇÒ ¶§´Ù. ¡®¼³°è¿¡ ÀÇÇÑ º¸¾È¡¯À̶õ, ¸ðµç °³¹ßÀ» ³¡³½ ÈÄ¿¡ º¸¾ÈÀ» µ¡¾º¿ì´Â °Ô ¾Æ´Ï¶ó ¼³°è ´Ü°è¿¡¼ºÎÅÍ º¸¾ÈÀ» °í·ÁÇØ ¼ÒÇÁÆ®¿þ¾î¿Í ¼ºñ½º¸¦ ¿Ï¼º½ÃŲ´Ù´Â ¶æÀÌ´Ù. ¿À·¡ ÀüºÎÅÍ °Á¶µÇ¾î ¿Â °³³äÀε¥, µµÀÔÀº °è¼ÓÇؼ ¹Ì·ïÁ® ¿Ô´Ù.
´Ù¸¸ ¹ðÅ©¿Àºê¾Æ¸Þ¸®Ä«(Bank of America)³ª ³ª½º´Ú(Nasdaq)°ú °°Àº ´ëÇü Á¶Á÷µé¿¡¼´Â µðÁöÅÐ º¯ÇõÀ» ÁøÇàÇÏ¸é¼ ¡®¼³°è¿¡ ÀÇÇÑ º¸¾È¡¯À̶ó´Â °³³äÀ» ±¸ÇöÇÑ ¹Ù ÀÖ´Ù. Á¤º¸º¸¾ÈÆ÷·³(Information Security Forum, ISF)°ú °°Àº Á¶Á÷µéÀÇ °æ¿ì ¡®¼³°è¿¡ ÀÇÇÑ º¸¾È¡¯Àº Àΰ£ Áß½ÉÀÇ º¸¾È ÈÆ·ÃÀ» ¹Ýµå½Ã µ¿¹ÝÇØ¾ß ÇÑ´Ù°í ÁÖÀåÇϱ⵵ ÇÑ´Ù. ÀÏ¹Ý ÀÓÁ÷¿ø µî »ç¿ëÀÚµéÀÇ Âü¿© ¾øÀÌ °³¹ßÀÚµé »çÀÌ¿¡¼¸¸ ³íÀÇµÇ°í ½ÇõµÇ¾î ºÁ¾ß Å« Â÷À̸¦ ¸¸µéÁö ¸øÇÑ´Ù´Â °ÍÀÌ´Ù. CISOµé·Î¼´Â »õÇØ ÀÌ·± Á¶Á÷µé¿¡¼ ³ª¿À´Â ¼Ò½Äµé¿¡ ±Í¸¦ ±â¿ï¿© º¸´Â °Íµµ ÁÁÀ» µíÇÏ´Ù.
4. ´õ ³ªÀº ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È
¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀº CISOµé¿¡°Ô ÀÖ¾î ¿©ÀüÈ÷ ÃÖ¿ì¼± ¼øÀ§¿¡ ¼ÓÇÏ´Â Áß¿ä °úÁ¦´Ù. ±×·¯³ª 2020³â Äڷ㪶ó´Â µ¶Æ¯ÇÑ »óȲ ¶§¹®¿¡ ¼øÀ§°¡ Á¶±Ý ¹Ð·È´Ù. ÇÑ Á¶»ç¿¡ ÀÇÇϸé 2020³â µ¿¾È 10%ÀÇ Á¶Á÷µéÀÌ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ® °ü¸®¿Í ¼³Á¤À» Á¦´ë·Î ¸øÇÏ´Â ¹Ù¶÷¿¡ °ø°ÝÀÇ 90%¸¦ Çã¿ëÇß´Ù°í ÇÒ Á¤µµ´Ù. ÀÌÁ¦ ´Ù½Ã Æò³âó·³ - ¹°·Ð Áö±Ý »óȲÀÌ Æò³â°ú´Â °Å¸®°¡ ¸ÖÁö¸¸ - ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ ½Å°æÀ» ½á¾ß ÇÒ ¶§´Ù.
±â¾ïÀ» ¶°¿Ã·Á º¸ÀÚ¸é Äڷγª°¡ ÅÍÁö±â Àü ¸¹Àº Á¶Á÷µéÀÌ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ» À§ÇØ µ¥ºê¼½¿É½º(DevSecOps)¶ó´Â ¹æ¹ý·ÐÀÇ µµÀÔÀ» °í¹ÎÇϰųª ½ÃµµÇÏ°í ÀÖ¾ú´Ù. °³¹ßÀÚµéÀÌ ¼ÒÇÁÆ®¿þ¾î³ª ¼ºñ½º¸¦ °³¹ßÇÒ ¶§ ¡®¼³°è ´Ü°è¿¡¼ºÎÅÍ º¸¾È(security by design)¡¯À» º¸´Ù ½±°Ô Àû¿ëÇÒ ¼ö ÀÖ°Ô ÇØ Áֱ⠶§¹®ÀÌ´Ù.
µ¥ºê¼½¿É½º¸¦ ¼º°øÀûÀ¸·Î µµÀÔÇÑ Á¶Á÷µéÀÇ °æ¿ì °¡Àå Å« ¼º°ø ¿äÀÎ Áß Çϳª·Î ¡®¼¿ÇÁ¼ºñ½º º¸¾È(self-service security)¡¯°ú ¡®¼¿ÇÁ¼ºñ½º Áؼö Æò°¡(self-service compliance validation)¡¯¸¦ ²Å´Â´Ù. Áï °³¹ßÀÚµéÀÌ ½º½º·Î º¸¾È°ú ±ÔÁ¤ Áؼö¸¦ È®ÀÎÇϵµ·Ï ÇÒ ¶§ µ¥ºê¼½¿É½º°¡ ´õ ¼º°øÀûÀ¸·Î Á¤ÂøÇß´Ù´Â °ÍÀÌ´Ù. ƯÈ÷ ¡®ÄÚµå·Î¼ÀÇ º¸¾È(security-as-code)¡¯ÀÇ ÇüÅ·ΠÃß±¸µÇ´Â ¡®¼¿ÇÁ¼ºñ½º º¸¾È¡¯ÀÌ °³¹ßÀڵ鿡°Ô Å« µµ¿òÀÌ µÇ¾ú´Ù°í ÇÑ´Ù.
5. DMARCÀÇ µµÀÔ
¿ä ¸î ³â µ¿¾È ¹ß»ýÇÏ´Â »çÀ̹ö °ø°ÝÀÇ ¾ç´ë»ê¸Æ Áß Çϳª´Â ¡®±â¾÷ À̸ÞÀÏ Ä§ÇØ(business email compromise, BEC)¡¯ °ø°ÝÀÌ´Ù. À̸ÞÀÏÀÌ ¹®Á¦¶ó´Â °ÍÀÌ´Ù. ±× ¿ÜÀÇ ÇÇ½Ì °ø°Ý ¿ª½Ã À̸ÞÀÏÀ» ÅëÇØ ½ÃµµµÇ´Â °ÍÀÌ ´ë´Ù¼ö´Ù. Äڷγª »çÅ°¡ ÁøÇàµÇ´Â µ¿¾È »çÀ̹ö °ø°ÝÀÚµéÀº Äڷγª¿Í °ü·ÃµÈ ¹Ì³¢ ¸ÞÀÏÀ» ¿Â ¼¼»ó¿¡ »Ñ·Á´ë¸é¼ »ç¿ëÀÚµé°ú ±â¾÷µéÀ» ³ó¶ôÇß´Ù. CISOµé·Î¼´Â Äڷγª°¡ °è¼ÓÇؼ Áö¼ÓµÉ 2021³â µ¿¾È À̸ÞÀÏ º¸¾È¿¡ ´ëÇØ ´Ù½Ã ÇÑ ¹ø »ý°¢Çغ¸Áö ¾ÊÀ» ¼ö ¾ø´Ù.
±×·¯¸é¼ 1¼±¿¡¼ °í·ÁµÉ °ÍÀÌ µð¸¶Å°(DMARC)¶ó´Â À̸ÞÀÏ º¸¾È ÇÁ·ÎÅäÄÝÀÌ´Ù. º¸¾È Àü¹®°¡µéÀº ¸î ³â µ¿¾È Áö¼ÓÀûÀ¸·Î µð¸¶Å°ÀÇ µµÀÔ°ú ±¸ÃàÀ» ±ÇÀåÇØ ¿Ô´Ù. °ø°ÝÀÚµéÀÌ ÇÕ¹ýÀûÀÌ°í Á¤»óÀûÀÎ À̸ÞÀÏ µµ¸ÞÀÎÀ» ³Ê¹«³ª ½±°Ô °¡·Îä °ø°Ý¿¡ È°¿ëÇϴµ¥, À̸¦ º¸´Ù ¾î·Æ°í º¹ÀâÇÏ°Ô ¸¸µå´Â °ÍÀÌ µð¸¶Å°À̱⠶§¹®ÀÌ´Ù. ÇÏÁö¸¸ µð¸¶Å°¸¦ ½ÇÁ¦ È°¿ëÇÏ°í ÀÖ´Â Á¶Á÷Àº ¾ÆÁ÷ µå¹°´Ù. Æ÷Ãá 100´ë ±â¾÷µé »çÀÌ¿¡¼ µð¸¶Å°°¡ ±¸ÃàµÈ °÷Àº 15%¿¡ ºÒ°úÇÏ´Ù°í ÇÑ´Ù.
6. ·£¼¶¿þ¾î °ø°Ý¿¡ ¸Â¼´Ù
¾ç´ë»ê¸Æ Áß Çϳª°¡ BEC¿´´Ù¸é ³ª¸ÓÁö Çϳª´Â ´Ü¿¬ ·£¼¶¿þ¾î´Ù. ¿ÃÇØ´Â ·£¼¶¿þ¾î °ø°ÝÀÚµéÀÌ ÀÌÁß Çù¹ÚÀ̶ó´Â »õ·Î¿î Àü·«À» ±¸»çÇϱ⠽ÃÀÛÇÏ¸é¼ Á¦2ÀÇ Àü¼º±â¸¦ ±¸°¡Çϱ⵵ Çß´Ù. ±×·¯¸é¼ µ¶ÀÏ¿¡¼´Â ·£¼¶¿þ¾î °ø°Ý ¶§¹®¿¡ º´¿ø ȯÀÚ°¡ ½ÇÁ¦·Î »ç¸ÁÇÏ´Â »ç°Çµµ ¹ú¾îÁ³´Ù. ·£¼¶¿þ¾î °ø°ÝÀº 2021³â¿¡ µé¾î¿Í ´õ °Å¼¼Áú Àü¸ÁÀÌ´Ù.
¸¹Àº CISOµéÀÌ ÀÌ¹Ì ·£¼¶¿þ¾î¸¦ °í·ÁÇØ ¿©·¯ °¡Áö °èȹÀ» ¼¼¿ì°í ÀÖÀ» °ÍÀÌ´Ù. ½ÇÁ¦·Î º¸¾È °ü·Ã Ä¿¹Â´ÏƼ³ª Æ÷·³¿¡ µé¾î°¡ º¸¸é ·£¼¶¿þ¾î¿¡ °É·È´Ù¸ç µµ¿òÀ» ¿äûÇÏ´Â ÇÇÇØÀÚµéÀÇ ±ÛÀÌ ¸¹ÀÌ ¿Ã¶ó¿Â´Ù. ÀÌ Áß¿¡ ¿ì¸® ȸ»ç Á÷¿øµéÀÌ ÀÖÀ» ¼öµµ ÀÖ´Ù. ¾Ç¼º ÇàÀ§ÀÇ Å½Áö, ³×Æ®¿öÅ© ¸ð´ÏÅ͸µ, ºñ»ó º¹±¸ ´ëÃ¥ ¸¶·Ã, ÀÓÁ÷¿ø ±³À° µî CISOµéÀÌ ·£¼¶¿þ¾î ¹æÁö¸¦ À§ÇØ ÇØ¾ß ÇÒ ÀϵéÀÌ ²Ï ³²¾Æ ÀÖ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>