업데이트 날짜: 2024년 7월 26일
기고자: Jim Holdsworth, Matthew Kosinski
정보 보안(InfoSec)은 무단 액세스, 공개, 사용, 변경 또는 중단으로부터 중요한 정보를 보호하는 것입니다. 권한 있는 사용자가 중요한 조직 데이터를 사용할 수 있고, 기밀을 유지하고, 무결성을 유지할 수 있도록 도와줍니다.
우리는 금융, 기밀, 개인정보 또는 민감한 데이터를 포함할 수 있는 정보 자산을 보호해야 합니다. 이러한 자산은 디지털 파일 및 데이터, 종이 문서, 물리적 미디어 및 심지어 사람의 말의 형태를 취할 수 있습니다. 데이터 라이프사이클 전반에 걸쳐 InfoSec은 인프라, 소프트웨어, 테스트, 감사 및 아카이빙과 같은 기능을 감독합니다.
수십 년 된 원칙에 기반을 두고 있는 정보 보안은 점점 더 증가하는 하이브리드 및 멀티 클라우드 환경을 끊임없이 변화하는 위협 환경으로부터 보호하기 위해 지속적으로 발전하고 있습니다. 이러한 위협의 진화하는 특성을 고려할 때, 여러 팀이 협력하여 이러한 방어에 사용되는 기술과 프로세스를 모두 업데이트해야 합니다.
데이터 보안이라고도 불리는 디지털 정보 보안은 오늘날 정보 보안 전문가들이 가장 많은 관심을 기울이고 있는 분야이며, 이 글의 핵심 주제이기도 합니다.
정보 보안, IT 보안, 사이버 보안 및 데이터 보안이라는 용어는 종종 (그리고 실수로) 같은 의미로 사용됩니다. 이러한 필드는 겹치고 서로 정보를 제공하지만 주로 그 범위가 다릅니다.
IT 보안은 물리적 및 디지털 IT 자산과 데이터 센터를 보호하는 것과도 관련이 있지만 종이 파일 및 기타 미디어의 저장에 대한 보호는 포함하지 않습니다. 정보 자체보다는 기술 자산에 초점을 맞춥니다.
사이버 보안은 디지털 정보 시스템을 보호하는 데 중점을 둡니다. 목표는 사이버 위협으로부터 디지털 데이터와 자산을 보호하는 것입니다. 사이버 보안은 방대한 작업이지만 종이 또는 아날로그 데이터 보호와 관련이 없기 때문에 범위가 좁습니다.
데이터 보안은 전체 라이프사이클에서 디지털 정보를 무단 액세스, 손상 또는 도난으로부터 보호하는 관행입니다. 여기에는 하드웨어 및 스토리지 장치의 물리적 보안과 관리 및 액세스 제어가 포함됩니다. 또한 소프트웨어 애플리케이션의 논리적 보안과 조직의 정책 및 절차에 대해서도 다룹니다.
데이터는 세계 경제의 많은 부분을 주도하고 있으며 사이버 범죄자들도 그 가치를 인정하고 있습니다. 민감한 정보를 도용하려는 사이버 공격(랜섬웨어의 경우 데이터 인질)이 점점 더 흔해지면서 피해와 비용이 커지고 있습니다. InfoSec 관행과 원칙은 이러한 위협에 맞서 데이터를 보호하는 데 도움이 될 수 있습니다.
IBM의 '데이터 유출 비용(CODB) 보고서'에 따르면, 데이터 유출로 인한 평균 총 비용은 2023년에 미화 445만 달러로 최고치를 기록했다고 합니다. 이는 2020년 보고서의 386만 달러보다 15.3% 증가한 수치입니다.
피해 기업은 데이터 유출로 인해 다양한 방식으로 손해를 입습니다. 예상치 못한 가동 중단 시간은 비즈니스 손실로 이어집니다. 고객의 민감한 정보가 노출되면 기업은 종종 고객을 잃고 평판에 심각한, 때로는 돌이킬 수 없는 손상을 입게 됩니다. 도난당한 지적 재산은 기업의 수익성을 떨어뜨리고 경쟁력을 약화시킬 수 있습니다.
또한 데이터 유출 피해 기업은 규제에 따른 벌금이나 법적 처벌을 받을 수도 있습니다. 일반 데이터 보호 규정(GDPR)과 같은 정부 규정과 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 업계 규정에 따라 기업은 고객의 민감한 정보를 보호해야 합니다. 그렇게 하지 않으면 막대한 벌금이 부과될 수 있습니다.
기업들은 정보 보안, 기술 및 인재에 그 어느 때보다 많은 투자를 하고 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면, 조직의 51%가 보안 침해 이후 보안 투자를 늘릴 계획을 세운다고 합니다.
추가 투자가 필요한 것으로 확인된 주요 영역에는 인시던트 대응(IR) 계획 및 테스트, 직원 교육, 위협 탐지 및 대응 기술이 포함되었습니다. 보안 AI와 자동화에 대규모 투자를 한 조직은 보안 AI와 자동화 기능을 사용하지 않은 조직에 비해 데이터 유출 비용이 176만 달러 낮았다고 보고되었습니다.
정보 보안 노력을 감독하는 최고 정보 보안 책임자(CISO)는 기업 최고 경영진의 필수 요직이 되었습니다.
또한 ISC2의 공인 정보 시스템 보안 전문가(CISSP) 자격증과 같은 고급 정보 보안 인증을 획득한 정보 보안 분석가에 대한 수요도 증가하고 있습니다. 노동통계국은 정보 보안 분석가의 고용이 2032년까지 32% 증가할 것으로 예상하고 있습니다.1
정보 보안 관행은 수십 년 동안 끊임없이 진화해 온 일련의 원칙에 기반을 두고 있습니다.
- CIA 3대 요소
- 정보 보증
- 부인 방지
1977년 미국 국립표준기술연구소(NIST)에서 처음 제안한 CIA Triad는 조직이 정보 시스템을 보호하기 위한 기술, 정책 및 관행을 선택하는 데 지침을 제공하기 위한 것입니다. CIA Triad의 요소는 다음과 같습니다.
- 기밀성
- 무결성
- 가용성
기밀성은 권한이 없는 당사자가 데이터에 접근할 수 없도록 보장하는 것을 의미합니다.
기밀성은 기업 데이터의 대부분에 액세스할 수 있는 권한이 있는 내부자부터 일반인에게 공개된 정보만 볼 수 있는 권한이 있는 외부자에 이르기까지 다양한 수준으로 존재합니다.
개인 정보는 비공개로 유지되어야 합니다. 민감한 데이터는 중요합니다. 권한이 없는 사람이 보호된 데이터에 대한 암호를 얻으면 기밀 유지 위반이 됩니다.
무결성은 회사 데이터베이스에 포함된 모든 정보가 완전하고 정확한지 확인하는 것을 의미합니다.
무결성 노력은 사람들이 무단으로 추가, 변경 또는 삭제하는 등 데이터를 변조하는 것을 방지하는 것을 목표로 합니다. 데이터 무결성은 의도적으로 데이터를 변경하는 악의적 사용자와 무단 방식으로 데이터를 변경하는 선의의 사용자를 모두 방지하는 데 적용됩니다.
가용성은 사용자가 필요할 때 액세스 권한이 부여된 정보를 이용할 수 있도록 보장합니다.
가용성은 정보 보안 조치 및 정책이 승인된 데이터에 대한 액세스를 방해해서는 안 된다는 원칙을 담고 있습니다. 대부분의 가용성은 조직의 사이트 다운을 방지하기 위해 하드웨어 및 소프트웨어의 견고성을 보장하는 작업과 같이 간단합니다.
정보 시스템 내에서 데이터의 기밀성, 무결성, 가용성을 달성하는 지속적인 프로세스를 '정보 보증'이라고 합니다.
부인 방지는 사용자가 애초에 거래를 수행하기 위해 인증을 통과해야 했기 때문에 데이터 변경 또는 메시지 전송과 같은 트랜잭션을 수행한 것을 거부(즉, 부인)할 수 없음을 의미합니다.
엄밀히 말하면 CIA Triad의 일부는 아니지만, 부인 방지는 정보 기밀성과 무결성의 측면을 결합합니다. 부인 방지에는 권한이 있는 사용자만 데이터로 작업하고 승인된 방식으로만 데이터를 사용하거나 수정할 수 있도록 하는 것이 포함됩니다.
정보 보안 전문가는 정보 보안 프로그램을 만들어 InfoSec의 원칙을 정보 시스템에 적용합니다. 이러한 프로그램은 정보 보안 정책, 보호 조치 및 정보 보증을 시행하기 위한 계획을 종합한 것입니다.
정보 보안 프로그램의 핵심 구성 요소는 다음과 같습니다.
- 위험 평가
- 취약성 식별
- 위협 식별
- 인시던트 대응 계획
취약점은 공격자가 데이터에 무단으로 액세스하기 위해 악용할 수 있는 정보 기술(IT) 인프라의 모든 약점을 말합니다. 예를 들어 해커는 컴퓨터 프로그램의 버그를 악용하여 맬웨어나 악성 코드를 합법적인 앱이나 서비스에 삽입할 수 있습니다.
일반 사용자도 정보 시스템의 취약점이 될 수 있습니다. 예를 들어 사이버 범죄자는 피싱과 같은 소셜 엔지니어링 공격을 통해 사용자가 민감한 정보를 공유하도록 유도할 수 있습니다.
위협이란 정보 시스템의 기밀성, 무결성 또는 가용성을 손상시킬 수 있는 모든 요인을 말합니다.
사이버 위협은 디지털 취약점을 악용하는 위협입니다. 예를 들어 서비스 거부(DoS) 공격은 사이버 범죄자가 기업 정보 시스템의 일부에 트래픽을 과도하게 발생시켜 시스템을 다운시키는 사이버 위협입니다.
또한 물리적 위협도 발생할 수 있습니다. 자연 재해, 물리적 또는 무장 공격, 심지어 시스템 하드웨어 장애도 기업 정보 시스템에 대한 위협으로 간주됩니다.
인시던트 대응 계획(IRP)은 일반적으로 조직이 인시던트에 대응하는 데 필요한 지침을 제공합니다.
컴퓨터 보안 인시던트 대응 팀(CSIRT)은 조직 전체의 이해 관계자가 참여하여 IRP를 만들고 실행하는 경우가 많습니다. CSIRT의 구성원에는 최고 정보 보안 책임자(CISO), 최고 AI 책임자(CAIO), 보안 운영 센터(SOC), IT 직원 및 법률, 위험 관리 및 기타 비기술 분야의 담당자가 포함될 수 있습니다.
IRP는 중요한 위협이 감지되었을 때 조직이 취하는 완화 단계를 자세히 설명합니다. IRP는 이를 제작하는 조직과 표적으로 삼는 위협에 따라 다르지만 일반적인 단계는 다음과 같습니다.
- 보안 팀을 가상으로 또는 직접 구성합니다.
- 위협의 출처를 확인합니다.
- 위협을 억제하고 가능한 한 빨리 중단하기 위한 조치를 취합니다.
- 어떤 손상이 발생했는지 확인합니다(손상이 있는 경우).
- 조직 내 이해관계자, 이해관계자 및 전략적 파트너에게 알립니다.
정보 보안 프로그램은 특정 위협을 해결하기 위해 여러 가지 툴과 기술을 사용합니다. 일반적인 InfoSec 툴 및 기술은 다음과 같습니다.
- 암호화
- 데이터 손실 방지(DLP)
- 엔드포인트 탐지 및 대응(EDR) 실행
- 방화벽
- 침입 탐지(IDS) 및 침입 방지(IPS) 시스템
- 정보 보안 관리 시스템(ISMS)
- SIEM(보안 정보 및 이벤트 관리)
- 보안 운영 센터(SOC)
- 강력한 인증 조치
- 위협 인텔리전스
- 사용자 및 엔티티 행동 분석(UEBA)
암호화는 알고리즘을 사용하여 정보를 가려서 허가와 암호를 해독할 능력이 있는 사람만 해당 정보를 읽을 수 있도록 합니다.
DLP 전략과 툴은 네트워크 전체에서 데이터 사용과 이동을 추적하고 세부적인 보안 정책을 시행하여 데이터 유출과 손실을 방지합니다.
EDR 솔루션은 각 디바이스의 파일과 애플리케이션을 지속적으로 모니터링하여 맬웨어, 랜섬웨어 또는 지능형 위협을 나타내는 의심스럽거나 악의적인 활동을 찾아냅니다.
방화벽은 합법적인 트래픽은 통과시키고 의심스러운 트래픽은 네트워크에 들어오거나 나가는 것을 막는 소프트웨어나 하드웨어입니다. 방화벽은 네트워크 에지에 배포하거나 내부적으로 사용하여 더 큰 네트워크를 더 작은 하위 네트워크로 분할할 수 있습니다. 네트워크의 한 부분이 손상되면 해커가 나머지 부분에 액세스할 수 없도록 차단됩니다.
ISMS에는 조직이 민감한 데이터를 보호하고 데이터 침해에 대응하는 데 도움이 되는 지침과 프로세스가 포함되어 있습니다. 지침을 마련해두면 직원 이직이 잦은 경우에도 업무 연속성을 유지하는 데 도움이 됩니다. ISO/IEC 27001은 널리 사용되는 ISMS입니다.
SOC는 IT 인프라 보안을 24시간 모니터링하는 데 전념하는 IT 보안 전문가 팀을 위해 모든 사이버 보안 기술과 운영을 통합하고 조정합니다.
이중 인증(2FA) 및 다중 인증(MFA)은 사용자가 자신의 신원을 증명하고 민감한 리소스에 액세스하기 위해 여러 증거를 제공해야 하는 신원 확인 방법입니다.
위협 인텔리전스를 통해 보안 팀은 보다 사전 예방적으로 효과적인 데이터 기반 조치를 실행하여 사이버 공격이 발생하기 전에 예방할 수 있습니다.
UEBA 는 행동 분석 및 머신 러닝 알고리즘을 사용하여 비정상적이고 잠재적으로 위험한 사용자 및 디바이스 행동을 식별하는 보안 소프트웨어 유형입니다.
조직은 정보 보안에 대한 수많은 잠재적 위협에 직면해 있습니다.
- 사이버 공격
- 직원 오류
- 비효율적인 엔드포인트 보안
- 내부자 위협
- 구성 오류
- 소셜 엔지니어링
이러한 공격은 지능형 지속 위협(APT) 공격, 봇넷(로봇 네트워크), 분산 서비스 거부(DDoS), '드라이브 바이' 다운로드 공격(악성코드 자동 다운로드), 맬웨어, 피싱, 랜섬웨어, 바이러스 및 웜 등 다양한 방향에서 조직의 데이터를 손상시키려고 시도할 수 있습니다.
사람들은 민감한 정보가 담긴 모바일 장비를 분실하거나, 회사 장비에서 위험한 웹사이트를 방문하거나, 해독하기 쉬운 비밀번호를 사용할 수 있습니다.
적절한 바이러스 백신이나 엔드포인트 보안 솔루션이 없다면 모든 노트북, 모바일 기기 또는 PC는 조직의 IT 시스템의 진입점이 될 수 있습니다.
내부자 위협에는 두 가지 유형이 있습니다.
- 악의적인 내부자는 개인적 이득이나 악의를 위해 조직의 정보를 고의로 손상시키는 직원, 파트너 또는 기타 권한 있는 사용자입니다.
- 부주의한 내부자는 보안 모범 사례를 따르지 않아 의도치 않게 보안을 손상시키는 권한 있는 사용자입니다.
X-Force Threat Intelligence Index 보고서에 따르면 보안 인시던트의 32%가 합법적인 도구의 악의적인 사용과 관련이 있다고 합니다. 이러한 인시던트에는 자격 증명 도용, 정찰, 원격 액세스 및 데이터 유출이 포함됩니다.
조직은 클라우드 기반 데이터 스토리지 옵션, 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS) 통합, 다양한 제공업체의 웹 애플리케이션 등 다양한 IT 플랫폼 및 툴을 사용합니다. 이러한 자산을 잘못 구성하면 보안 위험이 발생할 수 있습니다.
또한 공급자 또는 내부 변경으로 인해 유효한 설정이 만료되는 '구성 드리프트'가 발생할 수 있습니다.
X-Force Threat Intelligence Index에 따르면 침투 테스트 참여 중에 클라이언트 환경에서 가장 많이 관찰된 웹 애플리케이션 위험은 보안 구성 오류였으며 전체의 30%를 차지했습니다.
소셜 엔지니어링 공격은 직원을 속여 민감한 정보나 암호를 누설하도록 유도하여 악의적인 행위로 이어집니다.
또한 직원들이 소셜 미디어를 통해 조직을 홍보하는 과정에서 실수로 공격자가 사용할 수 있는 개인 정보나 비즈니스 정보를 너무 많이 공개하는 경우도 발생할 수 있습니다.
강력한 InfoSec 프로그램이 있으면 조직 전체의 팀을 지원할 수 있다는 장점이 있습니다.
- 비즈니스 연속성
- 규정 준수
- 비용 절감
- 효율성 향상
- 평판 보호
- 위험 감소
중요한 비즈니스 정보를 보다 효과적으로 보호하고 저장하여 보안 인시던트 후 재시작 시 사용할 수 있도록 할 수 있습니다.
HIPAA 및 PCI-DSS와 같은 데이터 개인정보 보호 및 보호 규정은 종종 민감한 정보를 보호하도록 요구합니다. 정보 보안은 규정 준수를 보장하고 법적 책임이나 벌금 가능성을 줄이는 데 도움이 됩니다.
엔터프라이즈급 보안 시스템을 통해 조직은 다양한 수준의 데이터에 대해 적절한 조치를 취할 수 있으며, 덜 민감한 데이터의 보안에 대한 과도한 지출을 방지할 수 있습니다.
직원들은 데이터의 민감도가 보다 명확하게 표시되고 더 안전한 프로세스가 마련되어 있을 때 정보를 적절하게 다룰 수 있습니다.
보안 침해는 비즈니스에 악영향을 미칩니다. 보안 인시던트가 발생하면 즉각적인 비용이 발생할 수 있을 뿐 아니라 대중의 신뢰를 잃을 수도 있습니다.
인시던트 대응 계획과 시스템을 구축하면 정보 보안 조치를 통해 데이터 침해 및 서비스 거부(DoS) 위협과 같은 보안 인시던트 및 사이버 공격을 방지할 수 있습니다.
재무 및 영업 비밀을 포함한 민감한 개인 및 조직 데이터를 보호하기 위해 인증 조치를 시행할 수 있습니다. 보안 인시던트로부터 더 빠르게 복구할 수 있도록 재해 복구 계획을 준비할 수 있습니다.
조직은 직접적인 정보 보안 위협 외에도 강력한 정보 보안 전략과 시스템을 구축하고 관리할 때 여러 가지 문제에 직면합니다.
- 만족도
- 복잡성
- 글로벌 연결
- 유연성 부족
- 서드파티 통합
새로운 시스템이 구축되면 작업이 완료되었다는 만족감으로 자리를 비우는 일이 생길 수 있습니다. 그러나 해킹 기술은 새로운 보안 조치에 발맞춰 지속적으로 발전하고 있습니다. 유지 관리 및 데이터 보안 작업이 완료되는 경우는 거의 없으며 보안 제어에 대한 지속적인 개선이 필요합니다.
끊임없이 변화하는 기술 환경에서는 점점 더 복잡해지는 시스템을 관리하기 위해 정교한 시스템과 철저한 최신 정보를 갖춘 IT 팀이 필요합니다. 이러한 노력에는 사물인터넷(IoT) 및 모든 모바일 장치와 안전하게 정보를 교환하는 것이 포함됩니다.
복잡성은 시간 낭비일 수 있습니다. 일부 IT 팀은 보안 시스템을 지속적으로 재구성하고 유지 관리하는 데 주력하고 있습니다.
전 세계 기업은 서로 다른 컴퓨터 시스템을 사용하고, 정보 보안 수준이 다르며, 규정이 다를 수 있습니다. 이러한 모든 상황으로 인해 안전한 글로벌 데이터 교환이 점점 더 어려워지고 있습니다.
모든 정보를 차단하면 모든 비즈니스 진행이 중단될 수 있습니다. 조직 내에서 데이터를 안전하게 보호하고 적절하게 사용하면서 동시에 건설적인 데이터 흐름을 유지하는 것은 어려운 일입니다.
보안 수준에 따라 타사 공급업체 또는 기타 비즈니스 파트너와 정보 시스템을 통합하는 것이 어려워지거나 새로운 보안 위험을 초래할 수 있습니다.
각주
1 직업 전망 핸드북: 정보 보안 분석가(ibm.com 외부 링크), 미국 노동 통계국, 2024년 4월 17일.