"CISO 리스크 관리, 자동화-통합으로 대응해야"

포티넷 매튜 관 마케팅 디렉터, 지디넷코리아 컨퍼런스 기조연설

인터넷입력 :2016/04/05 14:30

손경호 기자

기업 내 보안을 책임지는 최고보안책임자(CISO) 입장에서 각종 위협에 대응할 수 있는 방법은 크게 3가지다. 위협을 처리하거나 다른 곳에 전가시키거나 그냥 위협이 흘러가도록 내버려두는 일이다.

포티넷 매튜 콴 마케팅 디렉터는 지디넷코리아가 5일 서울 삼성동 코엑스 그랜드볼륨에서 개최한 시큐리티 넥스트 컨퍼런스(SNC) 기조연설에서 이러한 3가지 방법 중 가장 바람직한 방향은 "위협을 처리하는 것"이라며 "제대로 된 처리를 위해서는 자동화와 통합이 필수"라고 강조했다.

CISO가 취할 수 있는 3가지 위협 관리 방법 중 위협이 흘러가도록 내버려두는 전략은 보안에 대한 투자 대비 효율성을 따지겠다는 것이다. 투자비용이 공격으로 인해 피해를 입을 때 손실보다 크다면 굳이 투자할 이유가 없다는 뜻이다.

포티넷 매튜 콴 마케팅 디렉터.

매튜 콴 마케팅 디렉터는 "시설구축비용(CAPEX), 운영비용(OPEX)을 고려해 여러 포인트 솔루션을 도입하는 방법으로 기업의 보안을 강화하려는 것은 오히려 보안을 해칠 수 있다"고 지적한다. PCI, HIPPA, ISO27001 등 보안 컴플라이언스에 따라 방화벽이나 백신 등을 설치하는 단순한 방법으로는 위협을 제대로 관리할 수 없기 때문이다.

두번째는 위협을 다른 곳으로 전가시키는 방법이다. 대표적으로 기업이 보안사고에 대한 피해를 보장하는 보험상품에 가입하는 경우를 생각해 볼 수 있다. 클라우드 혹은 온프레미스 형태로 외부 보안관제서비스(MSSP)를 도입하는 것도 방법이다. 그러나 이러한 방법으로 모든 위협에 대응하기는 어렵다. 보안 관련 보험은 아직까지 피해에 따른 보상범위 등을 명확히 규정하지 않고 있고, MSSP의 경우에도 역량이 부족한 곳에서 맡았다가 문제가 될 수 있다는 것이 그의 설명이다.

결국 가장 바람직한 방법은 위협을 회사 내에서 직접 처리하는 방법이다. 이 과정에서 또 다시 포인트 솔루션에 대한 문제가 등장한다. 기업 내에서 다루는 복잡한 시스템에 각각 영역마다 서로 다른 보안솔루션을 도입했을 경우 오히려 복잡성으로 인한 보안취약점이 생길 수도 있는 탓이다.

결국 엔드포인트 영역에서 PC, 노트북, 스마트폰 등 단말기에 대한 보안부터 안전한 접속, 네트워크 보안, 애플리케이션 보안, 클라우드 보안에 이르는 전 영역을 아우르는 종합적인 대책을 꾸려야한다는 것이다.

관련기사

매튜 콴 마케팅 디렉터에 따르면 포티넷의 경우 포티가드를 통해 보안 위협에 대한 인텔리전스 정보를 얻어 포티게이트, 지난해 인수한 메루 네트웍스가 제공하는 무선액세스포인트(AP)와 연동한 보안접속, 클라우드 환경에 대한 보안까지 종합적으로 제공할 수 있다고 설명했다. 이들이 모두 포티OS라는 자체 개발한 OS를 통해 자동화된 형태로 빠르게 처리할 수 있도록 돕는다.

그렇다고 위협을 처리하는 것만이 완벽한 해결책이 될 수는 없다. 그는 "위협을 처리하거나(treat), 흘려보내거나(accept), 전가시키는 방법(transfer) 사이 절묘한 균형을 찾아야한다"고 강조했다.