블로그

보안을 쿨하게 만들기: 국가 사이버 보안 인식의 달 2020

F5 썸네일
F5
2020년 10월 1일 게시

10월 내내 F5는 Twitter , LinkedIn , Facebook , Instagram 에서 사이버보안에 대한 통찰력을 공유할 예정입니다 .

국가 사이버보안 인식의 달은 17 주년 을 맞았습니다. 약 20년 동안, 사이버 보안 및 인프라 보안국(CISA)은 매년 10월마다 미국인들에게 온라인에서 더 안전하고 보안을 강화하는 방법을 알려주는 데 전념해 왔습니다. 그동안 무엇인가가 바뀌었나요?

글쎄요, 그렇기도 하고 그렇지 않기도 합니다. 정보 보안 위험은 근본적으로 변하지 않았습니다. 조직은 오늘날에도 항상 직면해 온 것과 동일한 위협에 직면해 있습니다. 바뀐 것은 위험 관리 전략과 허용 가능한 위험이 무엇인지에 대한 의견입니다. 사이버 보안과 관련해, 데이터에 따르면 우리는 국가 사이버 보안 인식의 달에 전파하고자 하는 메시지를 사용자나 전문가에게 전달하지 못하고 있습니다. 제가 최근 Securityweek CISO 포럼 기조연설에서 말했듯이, 우리는 홍보에 문제가 있습니다. 보안을 멋진 것으로 만들어야 합니다 .

우선순위 위기

보안 기술자들은 수년 동안 문제 자체보다는 통제에 더 집중해 왔습니다. 그 결과는 최근 USENIX 논문에서 "조언 우선순위의 위기"라고 불리는 것입니다.  웹상의 보안 및 개인정보 보호 조언에 대한 포괄적인 품질 평가 에서 저자는 전문가들이 사용자가 해야 할 "상위 5가지" 중 하나로 사이버보안 관행 118개를 식별했으며, 최종 사용자가 스스로 해당 행동의 우선순위를 정하고 스스로를 보호하기 위한 조치를 취하도록 놔둔다고 공유했습니다.

이 위기의 결과는 비효율적인 보안입니다. 우리는 수십 년 동안 사용자에게 회사 및 비업무용 접속에 동일한 비밀번호를 사용하지 말라고 요청했지만, 연구에 따르면 재사용된 비밀번호의 94%가 정확히 일치했습니다. 우리는 검증되지 않은 출처에서 검증되지 않은 출처로 전송되는 이메일의 링크를 클릭하지 말라고 알리는 보안 인식 교육 세션을 실시했지만 피싱 공격은 33-11%의 성공률을 유지하고 있습니다.

이런 접근 방식으로 인해 피해를 보는 것은 최종 사용자뿐만이 아닙니다. 오늘날 기술 산업은 놀라운 속도로 혁신되고 있지만, 기업들은 보안 관점에서 그 기술을 구현하는 방법을 발전시키지 못하고 있습니다. 지난 10년 동안 가장 큰 기술 혁신인 IoT, 클라우드, API는 기업 운영 방식에 혁명을 일으켰지만, 대부분은 기본적인 보안 제어 없이 배포되었습니다. IoT 기기는 보안이 가능합니다. API는 보안이 가능합니다. 클라우드는 보안될 수 있습니다.  그러나 그렇게 하지 못하는 조직의 목록에는 Fortune 50 기업, 대형 기관, 돈으로 살 수 있는 최고의 보안 팀을 갖춘 정교한 기술 회사가 포함됩니다.

지금, '쿨'이란 빠르게 움직이고 무언가를 부수는 것을 뜻합니다.  보안은 멋진 것이 아니다. 방해가 되죠. 쉽지 않아요. 이는 우리가 혁신하는 방식과 맞지 않습니다.

경쟁

"쿨" 이란 게 뭔지 알아? 해킹. 업계에 종사하는 우리 중 다수는 해킹이 우리의 단어였던 시절을 기억할 만큼 나이가 많습니다. 해킹은 혁신과 진화를 위해 수행된 일이었습니다. 이제 사이버범죄자와 공격자들은 그 단어와 그 뒤에 숨은 정신을 그들만의 것으로 삼았습니다. 그들은 소통한다. 그들은 공유한다. 그들은 봇의 소스를 오픈했습니다. 그들은 새로운 시장 기회에 민첩하고 빠르게 적응하고 대응합니다. 이런 악의적인 해커들은 13살짜리 아이들에게 봇을 만드는 방법을 훈련시키고 있는 반면, 우리 이웃의 고등학생은 정보 보안이 직업이 될 수 있다는 사실조차 전혀 모르고, 장학금을 받을 수 있는 분야라는 사실은 더더욱 모릅니다. 

그러면 나쁜 놈들이 무기를 만들고 빠르게 공유할 수 있다면 우리는 왜 그럴 수 없겠습니까? 사이버보안 분야에서는 왜 성장하지 못하는 새로운 방법을 발명하는 데 많은 시간과 돈, 노력을 쏟고 있을까?

세 가지 사실

보안 전문가로서 우리는 몇 가지 사실을 직시해야 합니다. 첫 번째는 제어 설계에 문제가 있다는 것입니다. 지속적인 실패에도 불구하고 수십 년 동안 기본적인 통제는 발전하지 않았습니다. 우리는 말 그대로 다른 결과를 기대하면서 똑같은 일을 똑같은 방식으로 계속합니다. 보안 통제가 너무 어렵거나 방해가 되거나 시간이 너무 오래 걸리면 사람들은 이를 우회할 방법을 찾습니다. 

또한 우리는 이 직업이 무엇을 수반하는지, 그리고 우리 분야 밖에서 보안의 가치에 대한 인식을 높이는 데 더 노력해야 합니다. 물론 보안 업체는 보안 담당자를 대상으로 보안 제품을 마케팅하는 데 능숙합니다. 하지만 다른 IT 전문가나 다른 직원에게 보안의 필요성과 가치에 대해 교육하는 일은 거의 하지 않았습니다. (그리고 대부분의 보안 인식 교육의 질에 대해서 이야기해 볼까요? 직원들이 가능한 한 빨리 영화를 클릭하는 것을 비난하기는 어렵습니다. 그들이 매트릭스 를 백 번이나 보는 동안에도 여전히 흥미를 잃지 않을 테니까요.)

그리고 진입 장벽이 너무 높다는 사실도 있습니다. 매일 저는 특정 자격증이 없거나, 특정 방화벽 전문가가 아니거나, 출시된 지 얼마 되지 않은 제품에 대한 15년 이상의 경험이 없어서 일자리를 구할 수 없는 재능 있는 보안 전문가들의 온라인 스레드를 봅니다. 우리 모두는 재능 있는 인재를 찾는 데 어려움이 있다고 말하지만, 재능 있는 인재가 들어오지 못하게 하는 경우가 너무 많습니다. 사이버보안 분야에 대한 인지도 부족, 진입 장벽이 높고, 사이버보안 커리큘럼과 졸업생이 부족한 탓에 기업의 요구에 맞춰 확장하는 데 어려움이 따릅니다.

보안을 멋지게 만드는 방법

우리는 2020년에 보안을 멋진 것으로 만들 수 있는 모든 요소를 갖추고 있습니다. 그러면 어떻게 해야 할까요? 여기서 저는 제 조언을 따르고 이를 상위 3개로 요약해 보겠습니다.

1.      더 많이 공유하세요. 공격자는 공유를 좋아하고, 우리도 그래야 합니다. 보안 전문가 동료가 아닌 사람들과 재밌고 멋진 스토리를 공유해서 다른 사람들이 우리가 하는 일과 그 영향에 관심을 갖도록 하세요. 귀하의 공격에 대한 데이터를 이익을 얻을 수 있는 모든 사람과 공유하세요. STEM 프로그램에 투자하여 조직의 자원을 공유하세요. 사이버 보안 분야에서 사람들을 교육하고 훈련시키는 자원봉사 활동을 통해 전문 지식을 공유하세요.

2.      변화를 받아들이세요. 공격자의 속도로 공격하고, 자동화하며, 작동하는 새로운 기술을 도입하세요. DevSecOps를 옹호하고 전파합니다.

3.      더 나은 소통을 하세요. 보안 인식 교육은 회사의 모든 직원과 사이버 보안에 대해 긍정적인 방식으로 소통할 수 있는 좋은 기회입니다. 낭비하지 마세요! 언어와 이미지를 활용하여, 훈련이 그들의 삶과 그들이 가장 관심을 두는 것과 관련이 있는지 확인하십시오. 그들을 억누르는 것이 아니라 승리하도록 돕는 데 집중하세요.

현실적으로 보안은 멋진 것 입니다 . 우리가 접근 방식을 현대화하면, 전 세계도 그 사실을 알게 될 겁니다.

F5의 최고정보보안책임자(CISO)인 Mary Gardner가 작성