익숙한 시나리오가 하나 있다: 기업 보안 팀이 기업의 네트워크를 잠그고 싶어 한다. 그럴 필요가 있다고 강변한다. 하지만 네트워크 팀은 그
하지만 알아두어야 할 사실이 있다. 그들 또한 보안 담당자만큼 좌절감을 느끼곤 한다는 사실이다. 보안 담당자가 안전을 위해 싫은 소리를 듣는 만큼 그들도 네트워크를 유지하고 트래픽 흐름을 빠르게 만들기 위해 각종 싫은 소리를 듣는다.
어쩌면 보안 팀은 전체 조직을 부드럽게 운영하는 방법에 대해 네트워크 팀으로부터 배울 점이 아주 많다. CSO 편집부가 보안 및 네트워크 전문가들로부터 조언을 수집했다.
겹치는 영역
네트워크와 보안 팀 사이의 다툼은 ‘영역 중첩’으로 인해 흔히 발생한다. 각기 다른 우선순위를 가진 그룹들이 동일한 기업 영역에 대해 각각 책임을 부여 받는 상황이다. HP 엔터프라이즈 산하 소프트웨어 솔루션 마케팅 아루바(Aruba)의 보안 디렉터 트렌트 피에로는 “네트워크 접속 보안에 있어서 정책 또는 AAA 솔루션 관리자는 일반적으로 네트워크팀에 속한다. 보안팀은 보통 엔드포인트에서 일어나는 일을 책임진다. 이로 인해 단절 현상이 발생한다. 이밖에 데스크톱팀이 BYOD 관련 상황에 관계돼 있을 수 있다. 종단 기기, 암호 대 인증과 방화벽 규정 등에 대해 논의할 때 아주 애매해지기 쉽다”라고 말했다.
자동화 측면에서는 네트워크 부문이 선구자다
보안 팀이 네트워킹 직원으로부터 배울 수 있는 한 가지는 자동화를 활용해 매끄럽게 운영하는 법이다. 봄가(Bombar)의 고급 보안 솔루션 디렉터 조 쇼는 “네트워크 전문가의 경우 회사의 시스템 운영에 통달한 이들이다. 이들은 운영 작업에 아주 뛰어나서 문제가 일어나는 일이 거의 발생하지 않는다. 보안은 지루한 네트워크 운영과 아주 비슷한 측면이 있다: 네트워크 담당자들은 빨간불도 깜빡이지 않고, 알람도 없는 상황 속에서도 잘 대처한다. 모든 게 자동화된 환경이라면 보안 수준도 아주 탁월한 상황일 것이다”라고 말했다.
조기에 개입하라
갈등을 피하기 위해 네트워크와 보안 팀은 그들의 역할과 목표를 일찌감치 설정할 필요가 있다. 아루바의 피에로는 “많은 그룹이 연계될 수밖에 없다. 우리는 팀 모두가 논의 초기에 관여할 필요가 있다고 제안한다. 각자의 역할, 예상 권한, 인증 이슈 등을 설정하라고 조언하고 있다”라고 말했다.
뉙스(Nuix)의 사이버 위협 선임 분석 부회장 크리스 포그는 부문간 상호 관여가 인력 구성 과정에서 시작되어야 한다고 주장했다. 그는 “IT 실무, 네트워킹, 혹은 프로그래밍 경험이 있는 보안 직원을 채용해 IT 부문과 같은 눈높이에게 이야기할 수 있게 할 필요가 있다. 원활한 소통은 IT문제를 더 빨리 해결하는데 도움을 주며, 결국 추가적인 신뢰와 프로젝트 내 관심사 공유로 이어지게 된다”라고 말했다.
현업과 원활한 관계를 유지하는 법
만약 보안 팀이 기업 경영진과 싸우느라 지쳤다면 기업 고위직들과 어떻게 상대해야 하는지에 대해 네트워크 직원에게서 힌트를 얻을 수 있다. 봄가의 쇼는 “이제 보안은 기업 전반의 이슈로 부상했다. 현업이나 경영진과 어떻게 원활히 소통하고 조율할지에 대해 네트워크 담당자들로부터 교훈을 배울 수 있다”라고 말했다.
그는 이어 “모든 비지니스가 온라인으로 옮겨가는 일은 상당히 혁명적이었고 네트워크 직원들은 그 과정에서 비즈니스를 처리해야 했다. 현재 보안은 네트워크 직원들이 몇 년 전 했듯 비즈니스의 언어를 배울 필요가 있다”라고 덧붙였다.
네트워크 팀에는 데이터가 있다
만약 보안 사고가 발생했다면 네트워크 동료들에게서 데이터를 먼저 구해야 한다. 사비우스(Savvius)의 제품 관리 디렉터 제이 보텔로 “많은 보안 전문가들이 인식하지 못하는 점은 네트워크 엔지니어들이 종종 네트워크를 거치는 모든 데이터를 개별 패킷까지 수집하거나 최소한 이를 수집할 장소를 시스템에 갖추고 있다는 점”이라고 귀뜸했다.
그는 이어 “이러한 정보는 침투 분석은 물론, 유출 분석 시에서도 보안 팀에게 대단히 유용할 수 있다”라고 말했다
라드웨어 시큐리지 에반젤리스트 론 윈워드는 “넷플로 같은 툴들은 네트워크를 드나드는 트래픽 상 타임스탬프를 포함한 히스토리컬 데이터를 유지할 수 있게 해준다. SNMP 그래프는 네트워크 내부 볼류베트릭(volumetric) 공격의 목적지를 추적하는데 유용하다”라고 설명했다.
훈련, 훈련, 훈련
기업 보안 팀은 입사 첫째 날부터 관련 네트워킹 기술에 훈련돼 있어야 한다. 옵티브 시큐리티(Optiv Security)의 CISO실 선임 수석 디렉터 션 코데로는 “전직 네트워크 아키텍트로 근무한 경험에 볼 때, 비-네트워크 인물이 그저 ‘안전하게 하라’라고 쉽게 말하는 상황을 잘 안다”라고 표현했다..
그는 “많은 이들이 적절한 변화, 커뮤니케이션, 테스팅을 하는데 몇 주 혹은 몇 달간의 노력이 요구할 수 있다는 점을 잘 이해하지 못하곤 한다. 보안 담당자가 네트워크에 대해 이해하고 훈련돼 있다면 보안 팀에 대한 신뢰가 한층 올라갈 것”이라고 말했다.
인프라 이력을 파악
한가지 명심할 점은 보안 팀이 보호하는 네트워크와 네트워크 툴 상당수가 오래된 것이라는 점이다. 오픈스카이(OpenSky)의 인프라 서비스 전국 프랙티스 디렉터 브라이언 몰리나리는 “지난 10년 동안 배치되어온 보안 제품 다수가 네트워크와 비교할 때 새롭고, 미성숙한 특성을 지닌다”라고 평가했다.
그는 이어 “제대로 관리되지 않은 것들이 잦다는 의미다. 보안 제품이 말썽을 일으키고 네트워크가 비난 받는 상황이 발생할 수 있다”라고 경고했다.
목표 갈등을 이해
각기 다른 팀은 각기 다른 동기와 인센티브를 가지고 있을 수 있다는 사실을 기억해야 한다. 뉴 컨텍스트(New Context)의 보안 서비스 부회장 앤드류 스톰스는 “많은 조직적 갈등을 유발하는 핵심 결함이 있다. 팀들이 서로 상충되게 보이는 목표상에 측정된다는 점이 그것이다”라고 말했다.
그는 이어 “보안은 리스크 축소에 초점을 맞춘다. 운영 팀은 안정성과 업타임을 보장하고 싶어한다. 데브 팀은 고객에게 더 바르게 코드를 주고 싶어한다. 비록 궁극적으로 조직의 동일한 큰 목표를 향해 나아가면서도 모두가 상충되는 목표들을 추구하고 있다. 나는 이런 갈등이 한 부서가 다른 부서가 접속하는 것을 막기 위해 방화벽을 구축하기 위한 예산을 편성하는 수준까지 심화되는 상황도 봤다”라고 덧붙였다.
상황은 개선되는 중
인터뷰한 몇몇 전문가는 상황이 개선되고 있다고 평가했다. 사비우스의 보안 전략가 톰 로울리는 “내 경험상 IT와 보안팀 사이에는 자원을 확보하려는 경쟁은 있었을지언정 힘 싸움은 그리 많지는 않았다”라고 말했다.
블루코트(Blue Coat)의 COO이자 회장 마이크 페이는 위협적인 적이 출현하면서 상황이 개선된 측면이 있다고 진단했다. 그는 “모든 팀이 보안을 핵심 우선순위로 간주하게 되면서 우선순위가 정리됐다”라고 말했다.
그는 이어 “동시에 보안 팀은 오늘날의 복잡한 네트워크가 요구하는 강력한 성능 요건을 만족하고 이해하는 보안 벤더를 찾아나서기 시작했다. 아마 대부분의 보안 팀은 네트워크 운영 팀이 승인하지 않는 기술이라면 고려하지도 않을 것이다; 과거에 비해 통일성이 개선되고 있는 조짐이다”라고 말했다.
dl-ciokorea@foundryco.com
