EMC가 밝힌 ‘정보 보안전략 구축에 필요한 7가지 원칙’

가 +
가 -

가상화, 클라우드 컴퓨팅, 모바일 애플리케이션, 소셜 컴퓨팅 등 새로운 IT 유행이 등장할 때마다 IT 보안팀은 골머리를 앓는다. 어떻게 새로운 유행을 받아들이면서 동시에 안전한 IT 환경을 구축할 것인지 준비할 것이 너무나 많기 때문이다.

전문가들은 새로운 바람이 불어오더라도 체계적인 전략 수립이 중요하다고 강조한다.

arthur_covielloras0910EMC RSA 아트 코비엘로 사장은 “지난 100년 동안 기술과 정보는 인간이 따라잡을 수 없을 만큼 급속도로 변화하고 발전해왔다”며 “기업은 IT 기술의 발전과 진보를 다양하게 활용하며, 이와 함께 정보 보안을 위한 효과적인 방안과 미래의 정보 인프라스트럭처 구축을 위한 체계적인 전략을 수립해야 한다”고 강조했다.

EMC RSA 정보보안사업부가 ‘RSA 컨퍼런스 유럽 2009’에서 기업의 체계적인 보안 전략 수립을 위한 새로운 방향을 제시했다.

EMC RSA 정보보안사업부의 아트 코비엘로(Art Coviello) 사장과 크리스토퍼 영(Christopher Young) 부사장은 합동 기조 연설을 통해 오늘날 점차 확대돼 가는 기술 트렌드는 보안 수준을 향상시키고 안전한 정보 인프라스트럭처를 구축할 수 있는 좋은 기회임을 강조했다.

또한 데이터 센터 가상화, 클라우드 컴퓨팅, 모바일 애플리케이션의 증가, 소셜 컴퓨팅 등 차세대 보안 전략이 적용되는 새로운 기술 트렌드의 발전으로 기업은 체계적인 보안 전략을 수립할 필요성이 있다고 역설하며, 효과적인 정보 보안 전략 구축에 필요한 7가지 핵심 원칙에 RSA의 최근 사례를 더해 발표했다.

1. 보안 기능은 반드시 IT 인프라스트럭처에 내장할 것 – 보안 기능을 IT 인프라스트럭처에 내장함으로써 위험 요소를 감소시키고 전반적인 보안 체계를 강화할 수 있다. RSA는 시스코, VM웨어와의 상호협력을 통해 관련 제품과 인프라스트럭처에 보안 기능을 내장하고 있다.

2. 솔루션 에코시스템 개발 – 여러 조직의 제품과 서비스를 함께 운용하며 공통된 보안 문제를 해결하기 위해서는 에코시스템을 구성해야 한하다. RSA는 금융 보안 범죄가 두 개 이상의 금융 기관을 통해 이루어 지는 것에 기반해 전 세계 수천 개의 금융 기관과 공동으로 ‘RSA e-프로드 네트워크(eFraudNetworkTM)’ 커뮤니티를 운영 하고 있다.

3. 빈틈없고 투명한 보안 구축 – 정보 보호를 위한 시스템과 사용자 보안의 빈틈없는 구축은 기술의 발전 속도와 이를 따라잡아야 하는 인간의 능력 사이에서 발생하는 격차를 극복하는 중요한 요소이다. RSA와 신용카드 정보처리 업체인 퍼스트데이터는 최근 신용카드 결제 시 개인 정보가 IT시스템 내에 저장되는 것을 막고 개인과 카드 가맹점의 신용카드 정보 보안을 유지하는 새로운 서비스를 선보였다. 이 서비스는 퍼스트데이터의 지불 처리 시스템에 내장되어 카드 가맹점과 개인 고객에게 빈틈없이 투명한 보안을 제공한다.

4. 보안 통제와 연계돼있고 콘텐츠를 인식하도록 지원 – 일반 사용자들의 정보 접근이 폭발적으로 증가함에 따라 정보를 보호하기 위한 규정과 요구 사항도 함께 증가하고 있다. EMC 사고 대응 센터(CIRC, Critical Incident Response Center)에서는 보안 정보 관리 기능을 중앙 정보 컨트롤의 데이터와 상호 연계하고 리스크 기반 인증 통제와, 인프라스트럭처 통제를 한 곳에서 인식할 수 있도록 하고 있다.

5. 완벽한 내부 통제와 외부  통제 – 보안은 경계선(밖에서부터 안으로)과 정보 자체(안에서부터 밖으로)를 모두 보호하는 두 가지 접근 방식을 포용해야 한다. 사용자는 네트워크 안팎은 물론 클라우드의 다양한 기기에서 정보에 접근하므로 보안 정책과 통제 정책은 정보 인프라스트럭처의 구석구석에서 발생하는 정보 관리에 충실해야 한다.

6. 능동적인 리스크 기반의 보안 – 예측할 수 없는 다각적인 공격에 대처하려면 다양한 소스의 정보를 서로 연관시켜 인프라스트럭처 및 정보와 관련된 실시간 공격에 대응 가능한 태세를 갖춰야 한다. RSA는 기업이 위기 와 IT컴플라이언스 프로그램을 보다 효과적으로 관리할 수 있도록 보안 운영 기능의 구현과 개선을 지원하는 새로운 컨설팅과 자문 서비스를 새롭게 발표할 예정이다.

7. 자가 학습 기반의 효과적인 보안 – IT 인프라스트럭처의 동적 특성에 기반한 악의적인 공격은 기술 발전 속도와 복잡성을 따라 잡으려는 인간의 노력을 뛰어넘는다. 이 때문에 정보 보안 전략은 행동을 기반으로, 동적으로 수립돼야 한다. RSA는 트렌드 마이크로(Trend Micro)와 손잡고 스파이웨어, 바이러스, 스팸을 비롯해 트렌드 마이크로의 위협 리소스(Threat Resource) 센터에서 감지하는 데이터를 공동으로 활용할 예정이다.