IT 보안의 이해

IT 보안은 컴퓨터 시스템, 네트워크 및 데이터와 같은 정보 기술의 무결성을 시스템 공격이나 손상 또는 무단 액세스로부터 보호합니다. 디지털 트랜스포메이션의 시대에 경쟁력을 갖추고자 하는 기업은 설계 단계부터 보안을 고려한 정보 보안 솔루션을 도입하는 방법을 알아야 합니다. 이는 인프라 및 제품 라이프사이클에서 가능한 한 이른 시점부터 보안을 통합하는 '초기 보안 통합'을 의미합니다. 이를 통해 문제를 사전에 예방하는 동시에 실제 문제 상황에 빠르게 대응하는 보안을 구현할 수 있습니다.

지속적인 보안은 정기적으로 피드백 수집 및 수정을 수행하는 시스템을 기반으로 하며, 이러한 시스템은 주로 자동 체크포인트를 통해 관리됩니다. 자동화를 활용하면 제품 라이프사이클을 지연시키지 않으면서 빠르고 효과적으로 피드백을 수집할 수 있습니다. 이러한 방식으로 네트워크 보안을 통합하면 보안 환경의 변화에 유연하게 대응하는, 빠르고 전면적인 업데이트 및 인시던트 대응을 실현할 수 있습니다.

IT와 사이버 보안의 주된 역할은 전통적으로 데이터센터의 경계를 강화, 유지하고 감시하는 것이었지만, 이제 그러한 경계가 사라지고 있습니다. IT를 개발, 배포, 통합하고 관리하는 방식은 급격하게 변화하고 있습니다. 퍼블릭 클라우드 및 하이브리드 클라우드 환경에서는 규제 준수와 데이터 보안에 대한 책임이 여러 벤더로 분산됩니다. 컨테이너를 대규모로 도입하기 위해서는 애플리케이션 제공을 새로운 방식으로 분석, 보호하고 업데이트해야 합니다. 모바일 앱은 여러 기기에 분산되어 있으며, 점점 더 많은 인프라가 하드웨어에서 소프트웨어로 이동하고 있습니다. 기기 또는 프로세스 네트워크가 복잡해질수록 내부자 위협, 맬웨어와 같은 보안 침해의 위험도 증가합니다.

기존의 보안 관리 방식으로는 이러한 변화를 따라잡을 수 없습니다. 디지털 트랜스포메이션은 IT 서비스 및 프로그램의 변화를 요구합니다. 즉, 디지털 시대의 보안은 지속적이고 유연하며 통합된 형태여야 합니다.

일부 기업에서 적절한 보안 관리는 비즈니스 정보 보안 책임자(Business Information Security Officer, BISO)를 임명하는 것이 될 수 있습니다. BISO는 비즈니스에 깊숙이 관여하며, 설계부터 제공, 채택에 이르는 제품 라이프사이클 전반에 참여합니다. BISO는 종종 보안 분석가와 함께 최고 정보 보안 책임자(CISO)를 보좌하며 보안 이니셔티브 및 우려 사항이 신중하게 관리되고 모든 단계에 통합되도록 합니다 .또한 보안 요구 사항과 비즈니스에 미치는 위험 간에 균형을 유지하여 올바르게 작동하는 제품을 빠르게 제공하도록 돕습니다.

SELinux(Security-Enhanced Linux)는 관리자가 정보 시스템에 액세스할 수 있는 사용자를 효과적으로 제어할 수 있는 Linux® 시스템용 보안 아키텍처입니다. SELinux는 원래 미국 국가안보국(NSA)에서 Linux Security Module(LSM)을 사용하여 Linux 커널에 대한 일련의 패치로 개발되었습니다.

SELinux는 2000년에 오픈소스 커뮤니티에 릴리스되어 2003년에 업스트림 Linux 커널로 통합되었습니다.

제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제를 기반으로 네트워크 보안 아키텍처를 설계하는 방식입니다. 이는 통신이 방화벽 내부에서 시작되는지 여부에 따라 신뢰성을 결정하던 전통적인 아키텍처와는 대조적입니다. 구체적으로 말하자면, 제로 트러스트는 절대적 신뢰 모델과 일회성 인증에 의존하는 보안 아키텍처의 빈틈을 메우려는 시도라고 볼 수 있습니다.

전 세계적으로 사이버 보안 위협 환경이 진화하고 네트워크 내부의 활동은 신뢰할 수 있다는 오랜 믿음이 흔들리면서 제로 트러스트 아키텍처가 인기를 얻기 시작했습니다. 체계적인 사이버 범죄자 조직은 내부자를 모집하여 전통적인 보안 아키텍처의 외부 경계를 뚫을 수 있는 새로운 방법을 계속해서 찾아 나갑니다. 노련한 해커와 상용화된 서비스 플랫폼으로서의 랜섬웨어의 확산도 돈을 노리는 새로운 유형의 사이버 범죄를 더 손쉽게 저지를 수 있도록 하는 요인입니다. 이러한 모든 사이버 위협은 귀중한 데이터가 유출되게 하거나, 비즈니스와 상거래에 지장을 주거나, 인명 피해를 유발할 가능성이 있습니다.

DevSecOps는 DevOps 관행과 보안 전략을 결합한 것으로, 조직은 이를 통해 IT 보안을 강화하고 소프트웨어 환경에 대한 위험을 줄일 수 있습니다. DevSecOps를 도입한 조직은 기존 IT 보안 전략을 사용할 때보다 더 빠르고 대규모로, 그리고 더욱 포괄적으로 소프트웨어 환경을 보호할 수 있습니다.

컨테이너를 사용하면 다양한 환경과 배포 대상 전반에서 더욱 간편하게 애플리케이션 또는 서비스를 구축하고 패키지화하여 단계적으로 배포할 수 있습니다. 그러나 컨테이너 보안에는 몇 가지 과제가 있습니다. 컨테이너 기술을 채택하는 기업이 늘어나고 있으며, 이제 보안 팀은 새로운 위협 모델에 대응하고 새로운 인프라 구성 요소를 안전하게 보호해야 합니다. 

정적인 보안 정책과 체크리스트가 엔터프라이즈 컨테이너로 확장되지는 않습니다. 공급망에는 더 많은 보안 정책 서비스가 필요하며, 팀은 컨테이너의 네트워킹 및 거버넌스 관련 요구 사항 간에 적절한 균형을 유지해야 합니다. 성공적인 기업 컨테이너 보안 프로그램은 컨테이너 라이프사이클의 구축, 배포, 실행 단계 전반은 물론 기반이 되는 컨테이너 인프라에서도 주요 제어 수단을 구현해야 합니다. 

많은 사람이 클라우드 서비스의 장점에 대해 인식하고 있으면서도 보안 위협으로 인해 해당 서비스의 도입을 망설입니다. 그러한 우려에는 일리가 있습니다. 인터넷을 통해 전송되는, 형태가 없는 리소스와 물리 서버 사이 그 어딘가에 존재하는 것을 온전히 이해하는 것은 쉽지 않은 일입니다. 이는 마치 보안 위협처럼 모든 것이 끊임없이 변화하는 동적인 환경입니다.

클라우드 네이티브 기술의 도입은 새로운 보안 문제를 야기하지만, 기존의 보안 전략을 개선할 수 있는 기회도 제공합니다. 효과적인 클라우드 네이티브 보안 전략은 팀이 더 우수한 소프트웨어를 제공하는 동시에 더욱 안전한 시스템을 구축하는 것을 목표로 해야 합니다. 

하이브리드 클라우드 환경은 사용자에게 폭넓은 선택지와 뛰어난 유연성을 제공합니다. 중요하거나 민감한 데이터는 퍼블릭 클라우드에 저장되지 않도록 하는 동시에 퍼블릭 클라우드와 관련된 동일한 종류의 위험이 없는 데이터는 계속 클라우드 공급업체를 통해 관리할 수 있습니다. 다음은 하이브리드 클라우드 보안과 관련된 문제와 이를 해결하는 데 필요한 툴입니다. 

하이브리드 클라우드 환경 보안에 대해 자세히 알아보기

저축한 돈을 침대 밑에 보관하는 사람들은 아마 거의 없을 것입니다. 대부분의 사람들은 신뢰할 수 있는 환경(은행)에 돈을 맡기고, 별도의 방법을 통해 결제를 승인하고 인증합니다. API 보안도 이와 유사합니다. 승인 및 인증을 위한 정책이 마련되어 있는 신뢰할 수 있는 환경이 필요합니다.

API 보안 모범 사례에는 토큰, 암호화 및 서명, 할당량 및 제한, API 게이트웨이 사용이 포함됩니다. 하지만 가장 중요한 사실은 API 보안이 우수한 API 관리를 전제로 한다는 점입니다.

악성 소프트웨어를 뜻하는 맬웨어는 사용자의 이익을 침해하는 모든 소프트웨어입니다. 맬웨어는 랜섬웨어와 애드웨어, 봇넷을 모두 아우르는 개념으로, 데이터를 파괴하고 사람들의 프라이버시를 침해할 뿐만 아니라 생산성 손실을 메우느라 매우 많은 시간을 낭비하게 만듭니다. 피싱 사기를 통해 몰래 배포되기도 하는 맬웨어는 감염된 컴퓨터, 노트북 또는 기기는 물론, 감염된 기기가 통신할 수 있는 다른 기기에까지 영향을 줄 수 있습니다. 맬웨어 공격은 심각한 위협입니다. 하지만 효과적인 IT 보안을 통해 조직의 취약점과 사이버 공격에 대한 노출을 줄일 수 있습니다.

쿠버네티스(k8s 또는 '큐브(kube)'라고도 함)는 컨테이너화된 애플리케이션을 배포, 관리, 확장할 때 수반되는 다수의 수동 프로세스를 자동화하는 오픈소스 컨테이너 오케스트레이션 플랫폼입니다. IT 보안 팀이 효과적인 예방 조치와 위험 관리 수단을 마련하기 위해서는 쿠버네티스 및 클라우드 네이티브 기술에 대한 이해가 선행되어야 합니다. 

쿠버네티스 네이티브 보안은 더욱 심층적인 인사이트와 신속한 분석을 제공하고 운영 간소화를 지원하여 보안을 구현하는 데 필요한 시간과 노력, 인건비를 전체적으로 절감합니다.

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함의 목록입니다. 또한 CVE는 보안 결함에 할당된 CVE ID 번호의 약칭이기도 합니다. CVE는 IT 전문가들이 이러한 취약점에 우선순위를 지정하고 해결하기 위해 협력함으로써 컴퓨터 네트워크를 더욱 안전하게 관리하도록 지원합니다.

취약점 관리는 사이버 공격과 보안 침해의 위험을 줄이기 위해 기기, 네트워크, 애플리케이션의 보안 결함을 식별, 평가, 해결하는 IT 보안 실행 방식입니다. 취약점 관리 프로그램은 보안 팀이 취약점 스캔과 패치 적용이 포함된 감지 및 문제 해결 프로세스를 자동화하는 데 도움이 됩니다.

SPIFFE와 SPIRE는 역동적이고 가변적인 컴퓨팅 환경에서의 ID 관리를 위한 한 쌍의 오픈소스 프로젝트입니다. SPIFFE('spiffy'로 발음)는 모두를 위한 안전한 프로덕션 Identity 프레임워크(Secure Production Identity Framework for Everyone)를 나타냅니다. 이는 Identity의 구조를 결정하는 동시에 ID를 암호학적으로 검증하여 신뢰할 수 있는 것으로 간주하는 방법을 제공합니다. SPIRE는 SPIFFE 런타임 환경의 약자입니다. SPIRE는 SPIFFE의 표준 구현입니다.

컨테이너 및 하이브리드 클라우드 기술이 등장하면서 보안 환경이 훨씬 더 복잡해졌습니다. 이러한 기술에 수반되는 위험의 변동, 컴플라이언스 요구 사항, 툴, 아키텍처의 변경을 처리해야 하는 보안 팀의 어려움이 가중되고 있습니다. 전통적인 경계 기반 네트워크 보안만으로는 더 이상 대응하기가 어려우므로 보안 팀은 접근 방식을 새로운 관점에서 검토할 필요가 있습니다.

Red Hat의 계층화된 심층 방어 코드형 보안 접근 방식을 바탕으로 고객은 전체 인프라와 애플리케이션 스택 및 라이프사이클 전반에 걸친 보안을 구현할 수 있습니다.

Red Hat은 귀사가 지속적인 보안 전략을 자신 있게 채택할 수 있도록 돕고자 하며, 이를 위해 엔터프라이즈에 최적화된 오픈소스 솔루션을 제공합니다. Red Hat은 기업이 경쟁력과 유연성, 민첩성을 유지하는 동시에 IT 환경을 보호하고 규제를 준수하도록 지원하는 것을 목표로 합니다.

Red Hat만의 독특한 서브스크립션 모델을 통해 고객은 전문가로 구성된 전담 팀으로부터 1년 365일 내내 Red Hat 기술과 관련된 지원을 받을 수 있습니다. 오픈소스 보안 솔루션에 포함된 다양한 혜택 중 몇 가지만 소개하면 다음과 같습니다.