본문 바로가기

IT Note/Etc.

2019 시큐리티플러스 세미나 Quick Review

이미지 출처=SecurityPlus

지난 10월 19일 한국 정보보안 커뮤니티 SecurityPlus 의 기업보안 담당자를 위한 마스터 클래스에 참석했습니다. 전 SK 커뮤니케이션즈 CSO 이자 현재 정보보호 컨설팅 및 교육사업을 하고 계시는 CISO Labs의 강은성 대표님, 한국기업보안협의회 김재수 회장님, 티몬 이은경 팀장님, 테라펀딩 이동현 CISO, 시큐리티플러스 박형근 대표님 다섯 분이 소개해주신 세션 내용들을 액기스만 요약해 드리겠습니다.

#1 5가지 키워드로 풀어보는 보안 동네 이야기 (CISO Labs 강은성 대표님)

저는 지금 SaaS 보안 제품이나 여타 기업의 인프라에 보안 제품이 서비스로 어떻게 구축되는지를 공부하고는 있는데 정작 국내 보안 산업 생태계가 어떻게 구성되었는지는 몰랐습니다. 강은성 대표님의 세션은 주로 국내 정보보안 업계의 전반적인 현실과 앞으로 정보보안 리더분들이 나아가야 할 길, 주니어들의 진로에 대해서 진행되었는데요.

기존 기업의 통제 권한 안에 있는 것들만 보호하던 기업 보안의 개념에서 기업이 판매하는, 기업의 통제 권한이 작동하지 않는 제품까지 보호하는 제품 보안으로 패러다임이 바뀜에 따라 적절한 기업보안 거버넌스의 확립, 정보보호 협업(커뮤니케이션) 능력, 보안 체계의 관리적 영역 강화와 같은 부분의 필요성이 대두되고 있습니다.

또한 보안 담당자들의 커리어에 있어서 기술보안, 관리보안, 관련 분야 기술 및 지식 등등으로 자신의 능력 및 보안 영역의 스펙트럼을 넓혀가야 한다고 당부해주셨습니다.

#2 세상을 바꾸는 시큐리티, 기업비밀 유출 예방을 위한 행위 위험도 분석 전략 (한국기업보안협의회 김재수 회장님)

개인적으로 제일 재미있었던 세션이었습니다. 저는 조직 내의 연구와 실제 적용이 떨어져 있는 걸 굉장히 불만스러워 하는 사람인데  김재수 회장님은 스스로 논문을 읽어보시고 석사 논문을 쓰시면서 현업에서 어떻게 적용하고자 했는지, 어떤 허들이 있었는지를 공유해주셔서 좋았습니다.

석사 박사 연구에도 방법론이 있듯 기업 기밀 유출 식별을 위한 사용자 시나리오를 도출하는 데도 방법론이 있습니다.

우선 RNN, N-gram 등 기존의 통계분석 방법을 적용한 학계의 문헌들을 연구합니다. 물론 이문헌들은 사고 실험, 논문작성자가 규정한 가상의 상황에 기반하고 있기 때문에 현실에 적용하기에는 한계도 있고 적절한 트리밍이 필요합니다. 모든 기술자 분들은 아시겠지만 통계나 머신러닝도 완전한 객관이라고 하기 어렵습니다. 연구자의 주관으로 판단해야하는 부분이 적지 않기 때문입니다. 따라서 잘못된 도메인 Knowledge를 바탕으로 한 모델은 정탐률이 굉장히 낮을 확률이 큽니다. 문헌 연구를 바탕으로 어떻게 시나리오를 만들었을까요?

사용자 로그와 각종 로우 데이터를 모아 우선순위 후 가공을 하면 주로 기업 기밀을 유출할 때 나타나는 행동 패턴들을 식별할 수 있습니다. 행동 패턴들을 바탕으로 보안 담당자 사용자 설문, KISA 판례 등을 참고 후 실제적이라고 판단되는 행동패턴을 추출하고 세부 항목으로 나눕니다. 사용자 시나리오를 도출하기 위해 단순히 통계적 분석에 의존하기 보다는 이론적, 경험적 수집도 함께 적용됩니다.

연사님께서 공유해주신 발표자료(http://bit.ly/2Jwm9DJ)에서 세부 적용 내용을 자세히 확인해 보실 수 있습니다.

#3 감성보안 : 인문학과 IT보안의 만남 (티몬 이은경 팀장님)

ㅎㅎ 딱 지치는 중간 시간대에 말랑말랑한 주제여서 존재 자체가 빛이었던 세션이었던거 같습니다. 심지어 중간에 비디오도 있어요. 이은경팀장님은 세미나좀 해보신 분이라고 생각합니다.

주요 내용은 전사적으로 정보 보안에 대한 인식을 개선하고 회사의 가장 큰 보안 취약점인 "사람(직원)"이 걸려들 수 있는 해킹 위협을 어떻게 최소화 하느냐 에 대한 것이었습니다. 해킹 위협은 고도화됬고 취약점은 늘어났는데 사실 매일 할 일이 넘쳐나는 타부서 직원들은 그 위협에 공감하기 어려운 나날을 보내고 있습니다.

이런 분들에게 기업 사이버 보안 온라인 강의 듣고 퀴즈 푸세요 라고 한다거나 마치 어렸을 때 초등학교 표어 공모전처럼 "노트북을 안끄고 다니면 사무실에 들어온 다른 사람이 볼 수 도 있고 그래서 우리 회사에 악영향을 끼칠 수 있어요!!" "모르는 이메일을 열거나 회신하지 마세요, 개인정보가 탈취되요!!"같은 일방적인 전달은 거의 의미가 없습니다.

어떻게 해야 회사 모든 구성원들이 악성으로 의심되는 이메일을 열지 않고 노트북을 끄고 다닐 수 있을까? 라는 사용자 중심적인 관점에서 티몬이 어떻게 사내 캠페인을 진행했는지 확인해 보세요. 자비로우시게도 발표자료를 카페에 공유해주셨습니다. 관심있으시거나 자사에 감성보안 사내 캠페인을 도입해보시고 싶다 하시는 분은 http://bit.ly/2MTSO8q 에서 자료 다운받아보셔도 좋을 것 같습니다.

#4 AWS IAM 관리 (테라펀딩 CISO 이동현 님)

AWS 가 국내 뉴스 매체에서 핫 키워드가 된 지는 오래됬는데 클라우드를 제외한 AWS의 제품이 국내 비즈니스 사이드에서 실제로 fit에 잘 맞게 적용되었다는 사례를 들어본 건 거의 없는 것 같습니다. 특히 보안이 더 그렇습니다. 그래서 국내에서 아마존 IAM을 가장 많이 사용해보신 연사님의 세션이 더 귀중했습니다.

IAM 의 풀 명칭은 Identity and Access Management로, 주로 계정 관리 솔루션이라고 국내에서는 칭합니다. 주로 기업 데이터 베이스에 접근하는 온라인 사용자의 신원을 식별하고 그 사용자의 레벨에 맞게 특정 데이터베이스의 접근권한을 주거나 접근을 제어할 수 있는 솔루션입니다. 이때 AWS IAM의 좋은 점은 기존 AWS 클라우드 사용자라면 기존에 설정해 둔 인증 방법으로 사용자를 인증하고 접근을 제어할 수 있다는 겁니다. IAM 단에서 별도로 인증 체계를 구축할 필요가 없어 제품 도입이 빠르게 가능합니다.

AWS IAM의 아키텍처 설명 및 활용사례, 그리고 기업에서 어떻게 구축할 수 있는지 예시를 쭉 설명해 주셨는데 그 모든 것을 꿰뚫는 클라우드 IAM의 핵심은 Key 관리입니다. 온프렘에서는 접속 사용자의 신원을 증명할 수 있는 여러가지 방법이 있는데 클라우드에서는 key 관리가 유일하기 때문입니다. AWS에서 접속할 때 쓰는 Key는 크리덴셜 키인데, 이 크리덴셜 키를 노린 해커들의 크리덴셜 스터핑이 요새 기승을 부리고 있습니다. 크리덴셜 키는 말그대로 인증 정보 등 모든게 다 담겨있기 때문에 임팩트가 굉장히 크고, AWS의 90퍼센트 보안사고는 이 크리덴셜 키와 관련된 것입니다. AWS IAM 을 활용한 보안 아키텍처를 구성해야 한다면 크리덴셜 키 활용을 최소화 하는것을 추천해 주셨습니다.

 

#5 최신 보안동향 및 기업보안 담당자 그룹에 바라는 바 (시큐리티플러스 박형근 대표님)

전체 세미나 Wrap up 으로 적절한 세션이었습니다. 유익한 세션을 4줄으로 요약하자면 아래와 같습니다.

- Back to the Basic 비즈니스와 잘 연결되는 보안의 핵심은 Risk management, compliance로 귀결됨. 보안 인재 확보에 대한 수요는 증가하는데 매칭은 어려워짐에 따라 보안 업무 자동화에 대한 내용들이 요구되고 있음
- Do Security Yourself 단순히 보안 부서가 아니라 전사적으로 직원들이 보안에 대해 협업해야 함
- Shadow of IT 많은 기업들이 클라우드 기반으로 옮겨가고 있는데 클라우드에서는 보안에 필수적인 자산의 식별이 더욱 어려워짐. 이 때 보안 부서가 클라우드를 자체 업무 scope로 여기지 않고 할 일을 나누면 결국 보안에 큰 허점이 발생할 수 있음. 데브옵스 및 새로워진 개발 및 운영 문화와 시큐리티가 협업하여 진행하도록 해야 함.
- Community 4.0 5G와 IoT의 도래에 따라 잠재 보안 위협은 더욱 증가함. 기존의 경우와 굉장히 다른 보안을 운영함에 있어서 보안 종사자들은 하나의 커뮤니티로 모여 서로를 도와야 할 필요성 증가.

 

느낀점

4시간이라는 길다면 길고 짧다면 짧은 시간 동안 국내 보안의 현재 상황과 업계 트렌드, 신기술 선진 도입사례 등등을 잘 설명한 세미나였다고 생각합니다. 비전공자로서 기회에 늘 목말라있고 한달에 한개씩 공모전하던 대학 시절 컨퍼런스, 소규모 밋업 등등을 되게 많이갔는데 개인적으로는 대규모 컨퍼런스보다는 가깝게 호흡할 수 있는 중-소 규모 세미나가 제일 공부가 많이 됬던 걸로 기억합니다. 이번 세미나 역시 공부도 하시고 필드에 적용도 하시는 분들의 솔직한 인사이트를 얻을 수 있어서 좋았습니다.

사실 보안은 미래 블루오션이다 블루오션이다 하는데 타 분야에 비해 전문가의 풀이나 활성화 된 연구 분야들이 극히 적습니다. 그 특수성과 전문성이 굉장히 깊은 수준에서 형성되 있기 때문입니다. 문제는 앞으로 오픈뱅킹이나 클라우드 기반의 정보 인프라 환경이 구축되면 이전의 방화벽 내에서 보안과는 다른 차원의 접근이 필요하다는 겁니다. 하긴 해야되는데 어떻게해야할지 잘 모르겠고 세미나에 가봤자 알아들을 것 같지 않다 라고 생각하시는 분들은 아래 보안 관련 뉴스레터를 구독하거나 커뮤니티에 가입해서 보안 관련 뉴스나 컨텐츠를 자주 접하는 것에서 시작해 보는 것을 추천합니다.

▶ 정보보안 커뮤니티 SecurityPlus 네이버 카페 가입하기 : http://bit.ly/2Pus2VB
▶ 페이스북 보안 비즈니스 그룹 가입하기 : http://bit.ly/34fdI7x
▶ 보안 뉴스레터 구독하기 : http://bit.ly/2Jwm9DJ

마지막으로, IT 분야에서 커리어를 쌓고 있는 저 스스로를 위해서라도 보안 분야에 대한 공부를 계속해 나가려고 합니다. Coursera 나 Mooc 에서 하나의 커리큘럼을 골라 무료 체험 7일간 스프린트로 보안 기본에 대한 강의를 완강후 공부 후기 콘텐츠를 올리려고 하는데 기대해 주세요! 언제가 될지는.. 자세히 모르겠습니다