BLOGS

[Security Insight #1] 측정 가능한 모든 것을 측정하라!

    안녕하세요!
    Security Insight를 포스팅하게된 컨설팅팀 팀장 이재열입니다.
    이번 포스팅 내용은 “측정 가능한 모든 것을 측정하라(내PC지키미의 진화)”입니다.

    ‘내PC지키미’는 공공기관에서 근무하는 분들은 한번쯤 사용해본 경험이 있는 보안 제품이다.
    공공기관에서는 매월 셋째 주 수요일을 ‘사이버보안점검의날’로 지정해서 보안점검을 시행하고 있다.
    ‘사이버보안점검의날’에 단말 보안 점검을 하고 이를 점수로 지수화해서 보여주는 프로그램 이름이 내PC지키미이다.

    내PC지키미는 현재 v3.0이 최신 버전이고 모든 공공기관에서 유료 또는 무료 버전을 사용하고 있다.
    내PC지키미를 기반으로 상용화된 솔루션들이 2013년부터 보안시장에 출시되었고, 규모가 큰 공공기관을 중심으로 사용의 편의성 등을 위해 유료 버전을 도입해서 사용하고 있다.

    2014년부터 공공기관에서 본격적으로 상용화된 내PC지키미 솔루션들을 도입하고 있고, 공공시장에 성공적으로 안착하고 있다. 이제 2015년부터는 공공시장을 넘어 금융권 및 기업 시장에 본격적으로 문을 두드리고 있다.
    하지만 아직 금융권 및 기업 시장에서는 아직 도입을 주저하고 있는데, 금융권 및 기업 시장에서 요구하는 사항에 대해서 알아보자.

    첫 번째 요구사항은 점검대상의 확장이다.
    현재 상용화된 내PC지키미의 점검대상은 Window OS 기반의 단말에 한정되어 있다. 금융권에서는 올해 4월부터 ‘정보보안점검의날’을 지정해서 시행하고 있는데, ‘정보보안점검의날’ 점검 대상에는 단순히 단말뿐만 아니라, 출입통제, 각종 서버 등 다양한 점검대상을 포함하고 있다.

    금융권 담당자들은 대부분 수동으로 점검하고 있는 점검항목들을 상용화된 내PC지키미 솔루션을 도입하면서 단말에 대한 점검만이 아니라 ‘정보보안점검의날’에 포함되어 있는 모든 항목들을 자동화해서 점검하는 방안을 고민하고 있다. 예를 들면 ‘정보보안점검의날’에 출입통제 담당자에게 출입통제 운영에 대한 설문을 진행하고, 답변에 대한 증적자료를 첨부하는 방식이다. 이런 기능을 제품에 적용하는 방안에 대해서는 여러 벤더들이 고민하고 있고, 선도적으로 기능을 구현하는 벤더가 금융권에서 진행하고 있는 보안 지수화 사업에서 유리한 고지를 점유할 전망이다.

    두 번째 요구사항은 사용자 행동양식에 대한 지수화이다.
    현재 상용화된 내PC지키미의 단말 보안점검은 단순히 보안설정 및 업데이트 등 정적인 부분에 머물러 있다. 단순한 보안설정 및 업데이트 등 정적인 부분들은 엔터프라이즈 고객에서는 보안시스템을 이용해서 강제적으로 시행하고 있기 때문에 이런 부분들을 점검해서 지수화하는 것에 대해서 큰 의미를 두지 않는다.

    엔터프라이즈 고객 담당자들이 측정하고자 하는 대상은 단말에 대한 보안 점검뿐만 아니라 단말을 사용하는 사용자의 행동양식에 대한 보안 점검이다. 그리고 궁극적인 목적은 단말을 사용하는 사용자의 보안수준 점검이다. 단말을 사용하는 사용자가 조직에서 금지하고 있는 유해사이트에 접속을 시도했는지, 권한없는 서버 시스템에 접근 시도를 했는지, 금지하고 있는 자료를 가지고 있는지 등의 사용자 행동양식을 측정해서 지수화 하고자 한다. 이런 부분은 상용화된 내PC지키미 솔루션 자체적으로 해결할 수는 없고, 각각의 전문적인 역할을 하는 보안시스템과 연동하는 방식으로 해결책을 도모해야 한다. 예를 들면 유해사이트 차단 시스템과 연동해서 각 사용자의 웹사이트 접속 패턴 및 기록을 가져와서, 관리자가 지정한 기준에 의해서 지수화를 할 수 있을 것이다.

    단순히 단말보안 점검에서 출발한 내PC지키미 솔류션이 치열한 보안시장에서 살아남으려면 고객의 요구에 맞추어 점점 더 진화해야 한다.

    ‘측정 가능한 모든 것을 점검하고 지수화해라’

    경영학에서 자주 회자되었던 이 말이 보안시장에서 내PC지키미의 생존전략으로 대두되고 있다.

    GENIANS

    GENIANS

    지니언스는 BYOD, IoT 시대 안전한 내부 네트워크 운영을 위한
    글로벌 보안 소프트웨어 전문기업입니다.
    고객의 소중한 정보 자산을 보호하고 IT인프라의 효율성을 높이는데 필요한
    핵심기술을 바탕으로 내부 보안관리의 어려움을 겪는 기업을 돕고자 합니다.
    고객이 필요한 기술, 그 가장 가까운 곳에 지니언스가 있습니다.

    Show Comments (0)

    This is a unique website which will require a more modern browser to work! Please upgrade today!