EMC, 체계적 보안전략 수립 위한 방향 제시
정보 인프라스트럭처 솔루션 기업인 EMC의 RSA 정보보안사업부가 영국 런던에서 열린 ‘RSA 컨퍼런스 유럽 2009’에서 기업의 체계적인 보안전략 수립을 위한 7가지 원칙을 제시했다.
EMC RSA 정보보안사업부 아트 코비엘로(Art Coviello) 사장과 크리스토퍼 영(Christopher Young) 부사장은 새로운 기술 트렌드의 발전에 따라 기업이 체계적인 보안전략을 수립할 필요가 있다고 강조했다.
이하는 컨퍼런스에서 발표된 효과적인 정보보안 전략구축에 필요한 7가지 핵심원칙이다.
첫째 보안 기능은 반드시 IT 인프라스트럭처에 내장해야 한다.
보안 기능을 IT 인프라스트럭처에 내장함으로써 위험 요소를 감소시키고 전반적인 보안체계를 강화할 수 있다. RSA는 시스코, VM웨어와의 상호협력을 통해 관련 제품 및 인프라스트럭처에 보안 기능을 내장하고 있다.
둘째 솔루션 에코 시스템을 개발해야 한다.
여러 조직의 제품과 서비스를 함께 운용하며 공통된 보안 문제를 해결하기 위해서는 에코 시스템을 구성해야 한다. RSA는 금융보안 범죄가 두개 이상의 금융기관을 통해 이뤄진다는 점을 착안해 전 세계 수천개의 금융기관과 공동으로 ‘RSA e-프로드 네트워크(eFraudNetworkTM)’ 커뮤니티를 운영하고 있다.
셋째 빈틈없고 투명한 보안구축이 필요하다.
RSA와 신용카드 정보처리 업체인 퍼스트데이터는 최근 신용카드 결제시 개인 정보가 IT시스템 내에 저장되는 것을 막고 개인과 카드 가맹점의 신용카드 정보보안을 유지하는 새로운 서비스를 선보였다. 이 서비스는 퍼스트데이터의 지불처리 시스템에 내장되어 카드 가맹점과 개인 고객에게 빈틈없고 투명한 보안을 제공한다.
넷째 보안통제와 연계되어 컨텐츠를 인식하도록 지원한다.
일반 사용자들의 정보 접근이 폭발적으로 증가함에 따라 정보를 보호하기 위한 규정 및 요구도 함께 증가하고 있다. EMC 사고대응센터에서는 보안정보 관리기능을 중앙정보컨트롤 데이터와 상호연계하고 리스크 기반 인증 통제와 인프라스트럭처 통제를 한 곳에서 인식할 수 있도록 하고 있다.
다섯째 완벽한 내부통제와 외부통제가 필요하다.
보안은 경계선(밖에서 안으로)과 정보 자체(안에서 밖으로)를 모두 보호하는 두 가지 접근 방식을 포용해야 한다. 사용자는 네트워크 안팎은 물론 클라우드의 다양한 기기를 통해 정보에 접근하므로 보안정책과 통제정책은 정보 인프라스트럭처의 구석구석에서 발생하는 정보관리에 충실해야 한다.
여섯째 능동적인 리스크 기반의 보안이 요구된다.
예측할 수 없는 다각적인 공격에 대처하려면 다양한 소스의 정보를 서로 연관시켜 인프라스트럭처 및 정보와 관련된 실시간 공격에 대응 가능한 태세를 갖춰야 한다. RSA는 기업이 위기 및 IT컴플라이언스 프로그램을 보다 효과적으로 관리할 수 있도록 보안운영 기능 구현 및 개선을 지원하는 새로운 컨설팅과 자문 서비스를 발표할 예정이다.
일곱째 자가학습 기반의 효과적인 보안을 제공한다.
IT 인프라스트럭처의 동적 특성에 기반한 악의적인 공격은 기술발전 속도와 복잡성에 따라 그것을 따라잡으려는 인간의 노력을 뛰어넘는다. RSA는 트렌드 마이크로(Trend Micro)와 손잡고 스파이웨어, 바이러스, 스팸을 비롯해 렌드 마이크로의 위협 리소스(Threat Resource) 센터에서 감지할 수 있는 데이터를 공동으로 활용할 예정이다.
<文惠貞 기자>mika@kbanker.co.kr