CTO실 보고서
보안에 대한 위험 기반 접근 방식을 수용하려면 보안과 디지털 자산에 대한 사고 방식에 큰 변화가 필요합니다. 하지만 디지털 위협이 빠르게 진화하고 기존 보안 모델로는 이를 방어하기는커녕 완화할 수 없다는 점을 고려할 때 이러한 변화는 필수적입니다.
기존의 엔터프라이즈 아키텍처 프레임워크는 보안을 염두에 두지 않고 만들어졌습니다. 일반적으로 보안은 주로 사후 대응 모델로 발전해 왔으며, 악의적인 공격자가 공격을 일으켜 공급업체와 기술 리더가 방어 체계를 구축한 것은 사실입니다. 이는 디지털 혁신의 특성 때문입니다. 초기 단계에서는 어플리케이션을 통해 생산성과 효율성을 높이는 데 중점을 두었습니다. 이러한 어플리케이션은 대부분 고립된 데이터 센터에 상주하면서 고정적이고 정적이었으며 인터넷 시대가 열리기 전까지 데이터 센터로 진입하는 지점이 없었으므로 외부에서 공격할 위험은 거의 없었습니다.
초기의 보안은 기술 스택의 가장 낮은 계층인 네트워크에서 인터넷에 노출된 어플리케이션을 보호하는 데 중점을 두었습니다. 초당 너무 많은 패킷은 일종의 서비스 거부 공격을 의미했습니다. 보안 대응은 공격의 근원을 차단할 수 있는 방화벽이었습니다. 포트와 프로토콜은 특정 어플리케이션을 사용하려는 패킷의 양과 속도를 기반으로 임계값을 설정하는 보안 정책의 기초가 되었습니다. 이 단계의 보안은 단순하고 정적인 규칙을 사용하여 공격을 차단함으로써 중단을 방지하는 데 중점을 두었습니다.
공격은 강력한 방어에 맞서 빠르게 진화했습니다. 어플리케이션이 더욱 풍부해지고 성능이 향상됨에 따라 공격자들은 소프트웨어 스택의 취약점을 빠르게 발견했습니다. 업계는 사용자와 어플리케이션 간에 교환되는 메시지 페이로드에 임베드된 공격을 발견하기 시작했으며, 각각은 서비스 중단을 유발하거나 무단 액세스를 제공하거나 데이터를 유출하는 알려진 취약점을 악용하려고 했습니다. 보안 업계는 이러한 새로운 형태의 공격에 다시 대응하여 임베드 공격을 탐지하고 무력화할 수 있는 솔루션을 구축했습니다. 이 단계에서 보안의 핵심은 거래에 포함된 공격을 탐지하고 무력화시키는 것이었습니다.
디지털 경제가 확장되어 우리 삶의 모든 측면에 더 깊고 넓게 영향을 미치면서 공격자의 기회도 확대되었습니다. 데이터의 가치와 소비자 및 기업 계정에 대한 액세스는 기하급수적으로 증가하고 있습니다. Steam, EA Sports, Epic 등의 비디오 게임 계정 수천 개가 "매달 도난당하고 있으며, 대량 계정 데이터베이스는 비공개 텔레그램 채널에서 1만 달러에서 4만 달러 사이의 금액에 거래되고 있습니다."(BitDefender) 오늘날 계정 탈취는 게임, 금융, 의료, 정부 서비스에 이르기까지 모든 산업에서 만연해 있습니다. 2021년에 미국 정부는 사기 피해로 약 870억 달러(CNBC) 의 연방 지원금이 손실되었습니다. 주로 디지털 서비스를 통해 운영되었던 팬데믹 실업 프로그램 때문으로 추정되는 이 손실은 주로 디지털 서비스에서 기인한 것입니다.
한정된 제품 중 하나를 소비자가 구매할 수 있도록 설계된 특수 봇의 개발이 증가하고 있습니다. 이러한 봇은 기술과 속도를 활용하여 소비자가 올바른 크기와 색상을 선택하는 것보다 더 짧은 시간에 온라인에서 제품을 구매할 수 있도록 합니다. 소비자를 위한 도우미 기술로 제시된 이러한 봇은 거의 즉시 악의적인 행위자가 높은 가격에 재판매할 목적으로 자원을 빠르게 고갈시키는 데 활용되었습니다. 운동화 봇, 그린치 봇 및 기타 특수 봇은 수요가 많은 특정 제품 및 공급업체를 대상으로 점점 더 많이 사용되고 있습니다.
"StockX와 GOAT와 같은 재판매 사이트 덕분에 소장용 운동화는 상품이 얼마나 빨리 매진되는지에 따라 가격이 느슨하게 책정되는 자산 클래스가 되었습니다. 수천 달러에 달하는 정교한 운동화 봇은 운동화의 가치를 높이고 브랜드를 멋지게 보이게 하는 인위적인 희소성을 만드는 핵심 요소입니다."(뉴욕타임스)
이제 보안 업계는 네트워크 서비스 및 어플리케이션을 대상으로 하는 기존 공격 외에도 서비스 로그인이나 제품 구매와 같은 비즈니스 프로세스를 대상으로 하는 공격에 대응해야 합니다. 기존의 검사 및 평가 방법으로는 합법적인 비즈니스 프로세스에 대한 공격을 탐지하는 데 무력합니다. 이러한 프로세스는 취약점이 아니며 프로토콜 익스플로잇의 대상이 아닙니다. 적절한 인증 정보를 얻을 수 있거나 구매할 수 있는 돈을 가진 사람들이 악용하기에 취약한 디지털 기능으로 노출되어 있는 프로세스입니다.
프로세스를 보호하는 도구는 소프트웨어와 인간 소비자를 구분할 수 있어야 합니다. 봇과 같은 소프트웨어는 효율성을 추구하는 소비자와 이점을 노리는 공격자 모두가 사용하는 현실에서 이 작업은 더욱 어려워집니다. 보안은 다시 진화해야 하며, 이번에는 위험 관리로 전환해야 합니다.
위험 관리 접근 방식을 수용한다고 해서 이전의 보안 반복 작업을 포기하는 것은 아닙니다. 실제로 기술 스택의 모든 계층에서 공격은 끊임없이 발생하며 반드시 해결해야 합니다. 위험 관리 접근 방식은 볼륨 공격이나 악성 콘텐츠가 전달하는 공격을 방지하기 위한 기술 사용을 배제하지 않습니다. 위험 관리 접근 방식은 위협을 식별하고 위험을 결정하는 방법만큼이나 구현 세부 사항에 중점을 두지 않습니다.
위험 기반 사고방식으로 보안에 접근하면 조직은 공격에 대한 부산한 대응에서 벗어날 수 있습니다. 대신 비즈니스 성과에 부합하고 비즈니스의 위험 허용 범위를 고려한 보안 결정을 신중하게 내릴 수 있습니다.
오늘날의 디지털 기업은 최신 어플리케이션을 통해 매개되는 디지털 경험을 제공함으로써 고객 및 파트너와 연결됩니다. 따라서 어플리케이션 보호는 보안 현대화 작업에서 가장 중요합니다. 이러한 어플리케이션과 그 구성 요소인 워크로드 및 서비스는 어떤 방식으로든 기업의 디지털 자산에 대한 액세스 방법을 생성, 강화, 제공함으로써 가치를 제공하므로 최신 보안 사고방식의 핵심입니다. 오늘날 일반적으로 언급되는 사이버 보안은 이러한 어플리케이션을 노출하여 모든 유형의 사용자를 디지털 비즈니스의 원동력이 되는 디지털 자산에 연결하는 어플리케이션 및 API의 보호에 중점을 둡니다.
기술 리더는 사후 대응 및 사전 예방적 보안을 구현하는 데 필요한 도구와 기술을 잘 알고 있습니다. 문제는 "조직을 주로 ID와 자산에 의존하는 위험 평가에 기반한 접근 방식으로 어떻게 전환할 것인가?"입니다
이러한 변화의 중심에는 인증과 접근 제어라는 두 가지 핵심 기술이 있습니다. 인증은 신원 구성 요소와 함께 정책을 제공하고, 접근 제어는 디지털 자산에 대한 거버넌스를 제공합니다.
인증은 기본적으로 어플리케이션 소비자의 신원을 확인하고 확인하는 프로세스입니다. 과거에는 주로 프라이빗 데이터 센터에 있는 모놀리식 어플리케이션에 접속하려는 사람이었습니다. 따라서 모든 인증 시스템과 서비스가 동일한 데이터 센터 내에 상주할 수 있었습니다. 오늘날의 어플리케이션은 분산 아키텍처와 노출된 API를 사용하므로 인증도 진화해야 합니다. 이제 인증은 사람 소비자뿐만 아니라 자동화된 에이전트와 같은 사람 프록시도 인식해야 합니다. 또한 분산 어플리케이션은 여러 클라우드에서 제공하는 서비스로 구성되므로 인증은 연합된 기업 간 ID 저장소의 세계에 존재해야 합니다. 간단히 말해, 인증은 여전히 기본 방어의 핵심 요소이지만 오늘날 디지털 서비스의 확장 특성 때문에 신원에 대한 발전된 시각과 신원 검증 방식이 요구됩니다.
액세스 제어는 기업 리소스에 접속할 수 있는 사용자 또는 대상을 결정하는 프로세스였으며, 지금도 마찬가지입니다. 그러나 인증과 마찬가지로 접속 제어에 필요한 기능도 기업 어플리케이션과 함께 발전해 왔습니다. 접속 제어의 첫 번째 화신은 네트워크 계층에 있었고, 잠재적인 어플리케이션 소비자는 네트워크 IP 주소로 정의된 경계 '내부' 또는 '외부'에 있었습니다. 그러나 오늘날 모바일 소비자가 여러 전송 지점을 통해 제공되는 분산 어플리케이션에 접속하는 상황에서 내부와 외부의 개념을 정의할 깔끔하고 정적인 경계는 없습니다. 따라서 접속 제어는 인증을 통해 검증된 사용자 ID 측면에서 이루어져야 합니다. 최신 어플리케이션 사용자는 더 이상 네트워크 위치에 따라 구분할 수 없으며 대신 ID에 따라 분류합니다.
이러한 기술을 모든 주요 디지털 자산의 전체 인벤토리와 결합하면 특정 자산에 대한 접근 허용 위험과 관련된 결정을 실행하는 데 사용할 수 있습니다. 이러한 결정은 해당 자산이 노출되는 방식과 해당 자산이 노출되어야 하는 대상 또는 노출되어서는 안 되는 대상에 대한 이해를 바탕으로 이루어집니다.
따라서 보안 현대화의 첫 번째 단계는 자산이 액세스되는 수단과 그 이유에 초점을 맞춰 자산 인벤토리를 생성하거나 개선하는 것입니다. 또한 기술 리더는 어플리케이션이 모든 데이터에 액세스하는 주요 수단이라는 점을 명심해야 하며, 따라서 인벤토리는 자산과 상호작용하는 어플리케이션에 자산을 매핑할 수도 있어야 합니다.
다음으로, 기술 리더는 비즈니스 리더와 협력하여 주요 자산에 대한 위험/보상 프로필을 수립해야 합니다. 그 결과 도출된 위험/보상 프로필은 보안 조치를 비즈니스 성과와 연계해야 합니다. 예를 들어, AiteNovarica의 연구에 따르면 "판매자는 사기보다 허위 거절로 인한 매출 손실이 75배 더 크다"고 하며, 허위 거절로 인한 위험이 거래 허용으로 인한 위험보다 클 수 있다고 합니다.
따라서 해당 거래와 관련된 상호작용은 조직의 위험 허용 범위에 따라 허용 또는 거부되어야 합니다. 결정에 영향을 줄 수 있는 요소에는 거래의 가치와 사용자의 적법성과 관련된 확실성이 포함됩니다. 시스템이 사용자가 적법하다고 50% 확신합니까? 더 확신합니까? 덜 확신합니까? 각 조직은 위험 허용 범위를 결정하고 해당 허용 범위 내에서 보안을 적용하도록 프로필을 조정합니다. 위험/보상 프로필은 사람과 시스템이 잠재 위험을 해결하는 방법을 결정하도록 안내합니다. 위험을 회피하는 조직은 위험에 더 큰 비중을 두고 이를 방지하기 위해 제어 기능을 적용하는 경향이 있습니다. 반대로 위험 허용 범위가 더 큰 조직은 보안 제어 기능을 적용할 방법을 결정하는 데 있어서 보상을 더 중요한 요소로 평가할 것입니다.
여기서 말하는 세분화, 즉 트랜잭션 수준에서의 평가는 디지털 상호작용을 지속적으로 평가하고 정책에 따라 평가된 실시간 컨텍스트를 기반으로 보안 결정을 조정하는 기능을 의미합니다. 이 백서 "제로 트러스트 보안: 제로 트러스트가 중요한 이유(그리고 액세스 그 이상)"에서 설명하는 것처럼 이 접근 방식은 의사 결정에 사용되는 핵심 기술인 인증(누구) 및 액세스 제어(무엇)와 마찬가지로 제로 트러스트 접근 방식의 핵심 기능입니다.
디지털 상호 작용을 지속적으로 평가할 수 있는 능력은 엔터프라이즈 수준의 데이터 및 관찰 가능성 전략, 즉 조직이 전략을 가지고 있고 풀스택 관찰 가능성과 더불어 단일 저장소에 데이터를 중앙 집중화하지 않는 경우 서로 다른 저장소에 걸쳐 상호 작용을 연결하고 상호 연관시킬 수 있는 수단을 구현하는 방향으로 나아가고 있는지에 따라 달라집니다.
따라서 위험 관리로의 전환은 실행을 관리하는 중요한 제로 트러스트 접근 방식과 함께 ID, 관찰 가능성, 액세스 제어라는 세 가지 특정 기술을 채택하는 것을 중심으로 이루어집니다.
디지털 비즈니스의 핵심 역량은 디지털 자산, 데이터, 고객의 금융 및 개인 정보에 대한 보안입니다.
디지털 비즈니스에서는 거의 모든 상호 작용이 디지털 방식으로 이루어지므로 보안은 비즈니스의 일류 시민이 되어야 하며, IT의 경우 엔터프라이즈 아키텍처의 일류 시민이 되어야 합니다. 대부분의 경우, 이는 증가하는 공격과 새로운 위협에 대처하기 위해 임시방편으로 마련된 보안 관행, 도구 및 정책을 주로 디지털 환경에서 여전히 적절한지 여부를 고려하여 평가하는 것을 의미합니다. 디지털 경제에서 조직이 성공하는 데 필요한 모든 디지털 자산과 상호 작용을 완전히 보호하려면 보다 신중하고 종합적인 접근 방식이 필요합니다.
조직이 엔터프라이즈 아키텍처의 형태로 기술 기반을 구축할 때 디지털 비즈니스 운영의 많은 측면이 고려되지 않았습니다. 보안도 충분히 고려되지 않은 측면 중 하나입니다.
디지털이 기본이 되는 세상을 향해 달려가면서 조직은 변화의 속도와 미래에 성공하는 데 필요한 데이터 기반 의사 결정을 지원하고 활성화하기 위해 IT를 현대화해야 합니다. 중요한 단계는 엔터프라이즈 아키텍처를 현대화하는 것입니다. 여기에는 보안에 대한 보다 광범위하고 포괄적이며 궁극적으로 적응할 수 있는 접근 방식인 위험 관리 접근 방식이 포함되어야 합니다.
디지털 비즈니스를 지원하기 위한 아키텍처 현대화, 특히 보안에 대해 자세히 알아보려면 새 O'Reilly 도서, 디지털 비즈니스를 위한 엔터프라이즈 아키텍처를 읽어보십시오.