[source=pixabay]

대다수 기업 모두 보안을 강화하는 방법은 각각 다르다. 목표로 하는 보안 태세를 갖추는데 영향을 줄 수 있는 요소로는 운영 리스크, 고유한 운영 워크플로우, 정책과 절차, 위험 허용 수준 등이 있다. 하지만 안타깝게도 리스크에서 완벽하게 벗어날 수 있는 방법은 없다. 고유한 운영환경에 따라 허용 가능한 수준의 위험을 수립하는 것에 목표를 설정해야 한다.

산업 보안 역량과 보안 태세를 강화하기 위한 여정은 복잡해 보일 수 있다. 그리고 그렇게 보이는 것도 당연하다. 방법론, 산업표준, 사용 가능한 기술의 종류가 너무도 다양해서 어디에서부터 시작해야 할지 혼란스러울 수 있다.

이를 위해 시작할 수 있는 하나의 방법으로는 보안 평가를 수행하는 것이다. 가장 단순하게 말하자면, 보안 평가는 시스템이나 조직의 보안 상태에 대한 체계적인 측정이라고 할 수 있다.

적절하게 사용할 경우 평가는 현재 보안 상태를 평가하고, 현재 상태와 이상적인 상태 사이의 차이를 확인하며, 목표로 하는 보안 태세를 갖추기 위해 명확한 계획을 세울 수 있는 매우 효과적인 방법이 될 수 있다.

우선, '보안 평가'라는 말은 여러 의미를 내포하고 있어 계획하고자 하는 바에 따라 평가 범위를 적절히 정하는 것이 중요하다. 아래의 항목과 같은, 가장 일반적인 유형의 평가를 통해 여러분의 보안 프로그램에 계획에 영향을 미칠 수 있는 서로 다른 형태의 결과를 얻을 수 있다.

1. 취약성 평가: 취약성 해결을 위한 실행 계획을 세우기 위해 현재 존재하는 알려진 취약점을 식별한다.

2. 갭 평가: 조직 내 현재의 보안 상태와 이상적인 보안 태세 간의 차이를 식별한다. 갭 분석은 일반적으로 기업이나 산업표준을 고려하며, 원하는 목표 보안 태세를 달성하는 데 필요한 단계를 명확하게 정의하기 위해 사용한다.

3. 위험 평가: 조직의 보안에 대한 전반적인 상태를 제공한다. 위험 평가에서는 취약성 평가와 갭 평가의 요소를 결합해 조직의 위험 허용 수준 기반으로 알려진 위험과 이상적인 보안 상태에 대해 식별하고 평가한다.

4. 보안 감사: 이 평가 기반 서비스는 특정 산업표준 또는 요구 사항에 대한 조직의 보안 상태와 관행을 감사하여 NERC-CIP 또는 기타 표준을 준수하도록 지원한다.

위에서 설명한 내용은 일반적인 유형의 보안 평가이지만, 방법 선택 이전에 목적을 먼저 이해하는 것이 매우 중요하다. 적절한 기대치를 설정하고 이에 부합할 수 있도록 하는 것이 가장 중요하며, 이를 기반으로 선택한 가장 효과적인 평가 방법으로 사이버보안 프로그램을 진행해야 한다.

현실적인 접근방식
조직에 적합한 평가 유형을 고려할 때 평가는 한 시점에서의 일부분임에 유의해야 한다. 이를 조직의 보안 프로그램에 대한 유일한 해결책으로 생각해서는 안 된다. 오히려 평가는 유지보수, 관리·기술 통제가 설정한 위험 허용 범위 내에 있는지 정기적으로 점검하는 일과 같다.

예산과 리소스가 제한적이어서 조직 전체에 대한 평가를 수행할 수 없는 경우에는 '대표 샘플' 접근 방식을 사용할 수 있다. 평가의 범위를 조직의 일부로 축소하여 이를 통해 기준선을 파악하는 것을 뜻한다.

보안 평가는 현재의 보안 상태를 평가하는 효과적인 툴일 수 있지만, 목표 보안 태세를 갖추기 위해서는 적절한 범위로 원하는 평가 방식을 선택하여 명확하고 실행 가능한 단계로 구성된 로드맵과 함께 실행해야 하는 것이 무엇보다 중요한 것임을 명심해야 한다.

글 : 데이브 메이어(Dave Mayer) / 프로덕트 매니저 / 로크웰오토메이션

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지