보안 태세란 무엇인가요?

IBM 데이터 유출 비용(CODB) 보고서에 따르면 전 세계적으로 데이터 유출로 인한 평균 비용은 488만 달러입니다. 강력한 전반적인 보안 태세는 조직이 위협을 탐지, 대응 및 복구할 수 있는 준비 상태를 개선하여 이러한 공격을 방어하는 데 도움이 됩니다.

조직은 강력한 보안 태세를 갖추기 위해 데이터, 클라우드 및 ID 보안을 비롯한 IT 에코시스템의 여러 측면을 보호하기 위해 상호 연결되는 표적 보안 제어를 배포합니다.

조직의 제어가 위협을 탐지하고, 취약점을 폐쇄하고, 공격을 차단하고, 피해를 완화하는 데 효과적일수록 보안 태세는 더 강력해집니다.

조직의 보안 태세는 전반적인 사이버 보안 수준을 나타냅니다. 이 중요한 범주 내에서 조직은 IT 에코시스템의 여러 부분을 보호하기 위해 다양한 툴과 기술을 사용합니다. 보안 태세의 가장 일반적인 유형 또는 하위 분야는 다음과 같습니다.

• 데이터 보안 태세
• 클라우드 보안 태세
• ID 보안 태세

데이터 보안 태세는 무단 액세스를 방지하거나 의심스러운 행동을 감지하고 차단하여 민감한 데이터를 보호하는 데 중점을 둡니다. 이러한 의심스러운 행동은 권한이 있거나 권한이 없는 사용자, 애플리케이션 프로그래밍 인터페이스(API), 사물인터넷(IoT) 디바이스, 맬웨어, 피싱 공격, 랜섬웨어 또는 기타 소스에서 발생할 수 있습니다.

조직이 클라우드 네이티브 개발, 인공 지능(AI) 및 머신 러닝(ML)과 같은 새로운 기술을 채택함에 따라 데이터 보안 위험과 취약성이 증가할 수 있습니다. 디지털 시스템에 새로운 기술을 지속적으로 추가하면 데이터 보안 관리가 복잡해지고 조직은 데이터 침해 및 규정 준수 위반의 위험에 노출될 수 있습니다.

데이터 보안 태세 관리(DSPM) 툴은 여러 클라우드 환경과 서비스에서 중요한 데이터를 식별하여 보안 위협에 대한 취약성을 평가하고 규정 준수를 지원합니다. DSPM은 보안팀이 데이터 보안 및 규정 준수 문제를 신속하게 해결하고 재발을 방지할 수 있도록 인사이트와 자동화를 제공합니다.

DSPM은 보통 데이터를 저장하거나 이동 또는 처리하는 디바이스, 시스템, 애플리케이션을 보호하는 대신 데이터를 직접 보호하는 데 중점을 둡니다. DSPM은 정보 보안(InfoSec) 솔루션을 포함하여 조직의 보안 기술 스택에 있는 다른 솔루션을 보완합니다.

조직이 멀티클라우드(여러 클라우드 서비스 제공업체의 서비스) 및 하이브리드 클라우드(퍼블릭 클라우드와 프라이빗 클라우드 인프라의 결합) 구성을 채택함에 따라 공격 표면이 증가합니다. 클라우드 보안 태세는 클라우드 환경을 보호하여 공격 표면을 줄이는 데 중점을 둡니다.

적절한 보안 조치가 없으면 클라우드 인프라는 보안 인시던트에 매우 취약할 수 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면 전체 침해의 40%는 프라이빗 클라우드, 퍼블릭 클라우드 및 온프레미스와 같은 여러 환경에 분산된 데이터와 관련이 있다고 합니다.

클라우드 애플리케이션에는 수백 또는 수천 개의 마이크로서비스, 서버리스 기능, 컨테이너 및 Kubernetes 클러스터가 포함될 수 있습니다. 새로운 연결이 이루어질 때마다 데이터와 애플리케이션을 사이버 위협에 취약하게 만드는 잘못된 구성을 프로그래밍, 배포 및 영구화하는 것이 너무 쉬워집니다.

클라우드 보안 태세 관리(CSPM) 툴은 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS), 서비스형 소프트웨어(SaaS)를 비롯한 하이브리드 클라우드 및 멀티클라우드 환경 및 서비스 전반에서 잘못된 구성 및 사이버 보안 위험을 식별하고 해결하는 것을 자동화하고 간소화할 수 있습니다.

ID 보안 태세는 잘못된 ID 구성 및 가시성 격차를 감지하고 이를 해결하는 데 중점을 둡니다. 이 기능은 특히 ID가 사이버 보안의 새로운 경계이자 핵심 기둥이 되었기 때문에 조직의 전반적인 보안 태세에 매우 중요합니다.

기존의 많은 보안 조치는 네트워크 경계에서 액세스 제어를 적용하는 데 초점을 맞췄습니다. 그러나 네트워크 경계는 클라우드 컴퓨팅, 서비스형 소프트웨어(SaaS) 및 하이브리드 업무 환경이 도입되면서 네트워크 보안과의 관련성이 낮아졌습니다. 이러한 새로운 환경에서 사이버 위협을 완화하기 위해서는 인간과 기계 ID의 활동에 대한 완전한 가시성과 제어가 핵심입니다.

IBM Threat Intelligence Index Report에 따르면 위협 행위자가 유효한 ID를 하이재킹하여 네트워크에 침입하는 ID 공격이 주요 공격 벡터가 되었습니다. 보고서에 따르면 사이버 공격에 사용된 유효한 ID가 전년 대비 71% 증가한 것으로 나타났습니다. 이는 인프라 보안과 ID 액세스 및 취약성 관리 솔루션에 대한 상당한 투자에도 불구하고 발생한 결과입니다.

오늘날 사이버 범죄자들은 단순히 해킹만 하는 것이 아닙니다. 많은 사람들이 잘못된 구성과 가시성 격차를 악용하여 로그인합니다. ID 구성 오류는 ID 인프라, 시스템 및 액세스 제어가 올바르게 구성되지 않을 때 발생합니다. 가시성 격차는 조직의 기존 ID 제어에서 간과될 수 있는 위험으로, 위협 행위자가 악용할 수 있는 탐지되지 않은 취약점을 남깁니다.

ID 및 액세스 관리 툴과 포괄적인 Identity Orchestration 솔루션은 조직이 계정을 보호하고 유효한 권한의 남용을 방지하는 데 도움이 될 수 있습니다. 

강력한 보안 태세는 강력한 보안 프로그램에서 비롯됩니다. 포괄적인 보안 프로그램에는 일반적으로 다음과 같은 구성 요소가 포함됩니다.

• 자산 재고
• 거버넌스
• 보안 제어
• 인시던트 대응 계획
• 교육
• 지속적인 개선

IT 시스템과 데이터를 보호하려면 조직은 자산의 종류, 위치, 취약성, 위험 완화 방법 등 자산을 전체적으로 파악해야 합니다. 이러한 재고 파악은 방어해야 할 공격 표면을 정의하고 이 표면에 필요한 제어를 정의하는 데 도움이 됩니다.

거버넌스는 조직이 IT 시스템을 적절하게 사용하고 관련 법률 및 규정을 준수하는 데 도움이 되는 프레임워크와 프로세스를 말합니다.

거버넌스 프로세스는 개인 식별 정보(PII), 재무 데이터, 독점 시스템 또는 영업 비밀과 같은 회사 자산에 대한 액세스 및 사용을 제어하는 데 중점을 두는 경우가 많습니다. 액세스 수준은 데이터의 상대적 민감도와 개인의 알아야 할 필요성에 따라 결정되는 경우가 많습니다. 일반적으로 사용자는 작업을 수행하는 데 필요한 적절한 권한 수준에서만 자산에 액세스할 수 있습니다.

조직은 일반 데이터 개인정보 보호 규정(GDPR), 결제 카드 산업 데이터 보안 표준(PCI DSS) 또는 California Consumer Privacy Act(CCPA)와 같은 특정 규제 프레임워크를 준수해야 할 수도 있습니다. 이러한 규제 요구 사항을 위반하면 값비싼 정부 벌금과 대중의 반발이 발생할 수 있습니다.

거버넌스, 위험 및 규정 준수(GRC) 자동화는 진행 중인 거버넌스 업무를 강화하고 가속화하는 데 도움이 될 수 있습니다. 조직은 미국 국립표준기술연구소(NIST)의 사이버보안 프레임워크(NIST CSF)와 같은 특정 거버넌스 및 위험 관리 프레임워크를 채택할 수도 있습니다.

포괄적인 보안 아키텍처는 피싱 및 소셜 엔지니어링, 랜섬웨어, 분산 서비스 거부(DDos) 공격, 내부자 위협 등을 포함한 모든 종류의 공격으로부터 보호하기 위해 다양한 보완 보안 툴을 통합합니다. 일반적으로 사용되는 제어 기능은 다음과 같습니다.

• 엔드포인트 보안 솔루션
• 방화벽
• 침입 탐지 및 방지 시스템(IDPS)
• SIEM(보안 정보 및 이벤트 관리)
• 보안 오케스트레이션, 자동화 및 대응(SOAR)
• 데이터 손실 방지(DLP) 
• ID 및 액세스 관리(IAM) 제어
• 위협 인텔리전스 플랫폼

많은 엔터프라이즈급 보안 솔루션은 높은 수준의 자동화를 제공하며 민감한 데이터와 자산이 어디에 있든 지속적으로 스캔합니다. 자동화되고 지속적인 모니터링을 통해 조직은 리소스를 추적하고 실시간으로 위협을 발견하고 이에 대응할 수 있습니다.

인시던트 대응 계획(IRP)은 조직이 진행 중인 공격에 대응하기 위해 취하는 단계를 정의합니다. 이 계획에는 보안 팀원의 역할과 책임, 사용해야 하는 툴, 위협을 근절하기 위해 완료해야 하는 작업이 간략하게 설명되어 있습니다.

IRP를 실행할 때 보안 팀은 위험 평가를 실행하고, 실시간 보고를 제공하며, 심각도에 따라 잠재적 위험의 우선순위를 지정하는 데 도움이 되는 대시보드가 있는 보안 솔루션에 의존하는 경우가 많습니다. 이러한 솔루션은 위협 해결을 간소화하는 단계별 해결 지침이나 사전 구축된 인시던트 대응 플레이북을 제공할 수도 있습니다.

일부 솔루션은 시스템 설정을 자동으로 수정하거나 새로운 제어 및 패치를 적용하여 사이버 보안을 강화하고 지속적인 공격으로부터 더 효과적으로 보호할 수 있습니다.

직원, 이해 관계자 및 기타 사용자는 보안의 취약점인 경우가 많습니다. 정기적인 보안 인식 교육은 모든 사용자가 거버넌스 요구 사항 및 보안 모범 사례를 숙지하도록 하여 조직의 능력을 강화하는 데 도움이 될 수 있습니다.

위협 환경은 항상 변화하고 있습니다. 최신 위험을 파악하고 사이버 복원력을 유지하기 위해 조직은 정기적으로 안전 메트릭을 검토하고, 보안 성능을 평가하고, 침투 테스트를 수행하고, 완전한 보안 태세 평가를 실행합니다.

이러한 조치는 조직이 위험을 식별하고 새로운 공격을 차단하는 방법을 개발하는 데 도움이 됩니다. 이를 통해 조직은 진화하는 위협에 더 잘 대응할 수 있도록 보안 프로그램을 업데이트하는 지속적인 개선 프로세스를 수행할 수 있습니다.

공격의 종류가 다양해지고 기업 공격 표면이 계속 확장됨에 따라 적절한 보안 전략을 수립하기 어려워지고 조직의 보안 태세가 약해질 수 있습니다.

특히 조직은 다음과 같은 문제가 보안 태세에 어떤 영향을 미칠 수 있는지 고려해야 할 수 있습니다.

• 인공 지능(AI)
• ID 및 액세스 관리 과제
• 섀도우 IT

AI는 사이버 공격을 시작하는 데 사용될 수 있으며 AI 학습에 사용되는 데이터는 보안 침해의 유혹적인 표적이 될 수 있습니다.

예를 들어, 대규모 언어 모델(LLM)은 공격자가 보다 개인화되고 정교한 피싱 공격을 생성하는 데 도움이 될 수 있습니다. 비교적 새로운 기술인 AI 모델은 위협 행위자에게 공급망 공격 및 적대적 공격과 같은 사이버 공격에 대한 새로운 기회를 제공하기도 합니다.

답은 더 적은 AI가 아니라, 더 많은 AI일 수 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면 조직이 보안 운영 센터 전반에 보안 AI 및 자동화를 배포하는 것은 시스템 보안을 강화하고 비용을 절감할 수 있습니다.

공격 표면 관리(ASM), 레드팀 및 태세 관리 등 예방 워크플로 전반에 걸쳐 이러한 조치를 광범위하게 배포한 경우, 예방 워크플로에서 AI를 사용하지 않는 조직에 비해 조직의 유출 비용이 평균 220만 달러 절감되었습니다. 이 결과는 보고서에서 밝혀진 가장 큰 비용 절감 효과였습니다.

ID는 오늘날 사이버 보안의 핵심 요소입니다. 그러나 하이브리드 및 멀티클라우드 환경의 분산된 인력에서 다양한 사용자의 ID와 액세스 권한을 관리해야 하는 복잡성은 심각한 보안 위험의 원인이 될 수 있습니다.

• 잘못된 구성: 올바르게 구성하지 않으면 리소스가 풍부한 관리자나 위협 행위자가 IAM 제어를 우회할 수 있어 보호 기능이 크게 저하될 수 있습니다.
  
  
• 잊어버린 서비스 계정: 서비스 계정은 애플리케이션 실행, 서비스 자동화, 인증된 API 호출 등의 작업을 수행하는 데 도움이 되도록 설계되었습니다. 따라서 이러한 계정은 일반적으로 시스템 권한이 높습니다. 비활성 서비스 계정을 올바르게 폐기하지 않으면 공격자는 해당 계정을 이용해 무단으로 액세스할 수 있습니다.
  
  
• 부적절한 권한: '권한 초과'라고도 하는 과잉 권한은 사용자에게 업무 수행에 필요한 것보다 더 많은 데이터 액세스 권한 또는 권한을 부여하는 것을 말합니다. 이러한 상승된 권한은 쉽게 남용될 수 있습니다. 반대로, 조직에서는 민감한 데이터를 보호하기 위해 사용자에게 지나치게 제한적인 권한을 부여할 수도 있는데, 이로 인해 사용자가 업무를 효과적으로 수행하지 못할 수 있습니다.
  
  
• 비밀번호 위생: 취약하거나 일반적인 비밀번호를 허용하는 조직은 해커가 간단한 추측이나 무차별 대입 공격을 통해 계정에 쉽게 침입할 수 있습니다.

섀도 IT는 IT 부서의 승인, 지식 또는 감독 없이 기업 네트워크에서 사용되는 앱, 디바이스 및 데이터와 같은 IT 자산을 말합니다. 이러한 IT 자산은 관리되지 않기 때문에 해커가 악용할 수 있는 완화되지 않은 취약점을 포함하고 있을 가능성이 높습니다.

섀도 IT는 다음과 같은 다양한 형태로 제공됩니다.

• 섀도 액세스: 섀도 액세스는 사용자가 편의를 위해 또는 문제 해결 속도를 높이기 위해 로컬 계정을 사용하여 애플리케이션 또는 서비스에 대한 관리되지 않는 액세스 권한을 유지하는 경우입니다.

• 섀도 자산: 섀도 자산은 IT 팀과 시스템에서 알려지지 않은 애플리케이션, 디바이스 또는 서비스입니다. 이로 인해 액세스 제어, 사용자 인증 및 규정 준수 검사와 같은 보안 조치를 적용하는 것이 더 어려워집니다.
  
  
• 섀도 데이터: 섀도 데이터에는 IT 및 보안 팀에서 관리하지 않는 데이터 세트와 데이터 저장소가 포함됩니다. 조직이 적절한 데이터 보안 및 거버넌스에 대한 이해도가 낮은 더 많은 사용자에게 데이터 액세스를 확대함에 따라 데이터 유출 위험도 증가합니다. 또한 클라우드 시스템의 등장으로 사용자가 민감한 데이터를 승인되지 않은 개인 데이터 저장소로 더 쉽게 전송할 수 있게 되었습니다.