[독후감] ISACA 저널 2020년 6호: Trust in Technology

 

출처: Journal Volume 6, 2020 (isaca.org)

 

ISACA는 2달에 한번씩 정보시스템 감사에 관련된 최신 주제를 다루는 저널을 발행한다. 저널에서 읽었던 몇개 글에 대한 내 생각을 짤막하게 독후감 형식으로 여기에 기록하고자 한다. 개인적으로는 내 생각의 흔적을 남기기 위함과 더불어 관심있는 분들과 정보교류를 위해서이다. 저널을 읽고 싶으면 ISACA 홈페이지 (Journal Volume 6, 2020 (isaca.org)에 가서 회원가입 후 다운로드를 받으면 된다. 물론 회원가입은 무료가 아니지만 관심이 가는 주제라면 그에 대한 투자를 하는 것이 좋다.

*Note: This Korean writing is description of my personal thought about the articles in the ISACA journal. This is not a translation of full text from ISACA journal. If you would like to read the original and full copy, please visit ISACA website.

 

2020년 6호지에는 신뢰 및 사용자 인증에 관련된 총 11개의 기고문이 실렸다.

 

• 팬데믹 이후 사이버보안이 맞이할 변화: The Context of Cybersecurity in Post-Pandemic World (By Steven J. Ross)
  
  • 팬데믹 이후 사이버 보안이 맞이할 새로운 변화에 대해 이야기한다. 팬데믹 동안 코로나 바이러스에 관련된 개인 정보를 탈취하려는 사이버 공격 횟수가 증가했다는 자료를 가지고 이야기를 시작한다. 많은 사람들이 재택근무를 하게 되면서 개인정보기기와  같은 엔드포인트 (endpoint)를 통해 회사 네트워크에 접속한다. 사이버 공격자 입장에서는 재택근무자들의 정보기기를 통해서 회사 네트워크에 침투하는 것이 보다 용이해졌다. 또한 랜섬웨어 배포 및 설치를 통해 코로나 바이러스 백신에 관련된 정보를 불법적으로 수집하는 행위들이 많아졌다. 
  • 필자는 결국 엔드 포인트 보안 (Endpoint Security)가 중요해졌다고 이야기한다. 이미 시중에는 개인용 정보기기를 보호하기 위한 엔드 포인트 보안제품들이 많이 나와있다. 하지만 아래와 같은 사항을 고려해야 하다고 강조한다.
    1. 원격근무자들의 보안 교육
    2. 등록된 기기만이 회사 네트워크에 접속할 수 있도록 허용 
    3. 원격근무자들이 접속하는 중앙 서버시스템에 대한 보안 강화
  • 사이버 보안의 새로운 경향은 중앙 서버 시스템에서 엔드포인트로의 보안 강화로 변화하고 있다. 이에 따른 정보 보안 아키텍쳐 (Information Security Architecture)가 중요하다. 
  • 사견: 결국 기업의 IT 리스크 평가에도 이러한 경향이 반영될 것이다. 이미 감사시행회사에서는 핵심 시스템과 관련된 서버 관리 및 애플케이션에 대한 취약점 관리 활동(Vulnerability Management)을 IT 감사 영역에 포함시키기 시작했다. 엔드 포인트 보안 강화에 대한 감사활동이 증가할 것으로 보인다. 

 

• 정보기술분야에서의 윤리에 대한 고찰: Ethics in Information Technology (By Ian Cooke) 
  
  • 윤리 운영체계 (The Ethical Operating System)라는 흥미로운 주제를 꺼냈다. 성공적인 IT 감사을 위해서는 기업 정보 내에 내재되어었는 윤리적인 측면을 이해하는 것이 중요하다. Institute for the Future and Omidyar Network에서 제시한 윤리 운영체계 리스크 영역 (Ethical OS risk zone)을 아래와 같이 제시했다.
    1. 사실, 왜곡, 선전물 (Truth, Disinformation and Progpaganda)
    2. 중독과 도파민 경제 (Addiction and the Dopamine Economy)
    3. 불평등한 경제와 자산 배분 (Economic and Asset Inequalities)
    4. 인공지능 기기에 적용될 윤리 의식과 알고리즘 선입견 (Machine Ethics and Algorithmic Biaes)
    5. 감시 (Surveillance State)
    6. 데이터 통제와 화폐화 (Data Control and Monetization)
    7. 혐오 범죄 (Hateful and Crimina Actors)
  • 이러한 리스크 영역들은 아래와 같은 활동를 이용해 평가되어진다.
    1. 리스크 시나리오 작성
    2. 윤리 운영체계 리스크 영역별 체크 리스트
    3. 리스크 시나리오 및 체크리스트 작성과정에서 얻은 교훈을 발판으로 미래 지향적이 프레임워크 구축
  • 결국 이러한 윤리 운영체계를 평가하는 활동이 기업 통제 활동들이 보다 윤리적으로 이루어지도록 공헌한다. 
  • 사견: 윤리 경영 체계 리스크 영역에 대한 연구가 참 흥미로웠다. 나중에 시간내서 구체적으로 알아보면 재밌겠다는 생각이 든다. 

 

• 사물 인터넷 보안: The Dog Days of IoT (by Dustin Brewer)
  
  • 잠시 "The Dog Days of IoT"라는 영문해석에 대해 생각해본다. 이것을 어떻게 이해해야 하나? 작성된 글의 맥락을 보면 사물인터넷이 아직도 발전하고 있는 핫(hot)한 영역이라고 말하고 있는건지 아니면 사물인터넷이 현재 정보기술 발전 속도를 쫓아가지 못하고 더딘 발전(stagnation)을 이루고 있다는 것인지 헷갈린다. 아마도 Dog days라는 표현이 익숙치 않아서일 것이다 영어 잘하시는 분께서 한 수 가르쳐주시면 정말 감사하겠다.
  • 이 글은 짤막한 글이다. 사물 인터넷 보안을 중요하다고 강조하면서 이에 따른 잠재적 리스크에 대해 이야기한다. 주로 사물인터넷 장치의 물리적 보안이 다른 기기들에 대해 느슨하고 소프트웨어의 업데이트가 빨리 이루어지는 편이 아니다. 주로 이용자가 의식하지 못하는 상태에서의 행위 또는 활동(이를 cognitive offloading이라 표현했다)을 모니터링하는 데이터가 많기 때문에 이에 대한 보안 대책이 있어야 한다고 강조한다. 
  • 특히 5G 통신기술이 보급되면서 사물인터넷 기기와 기술 사용이 증가할 것이다. 이에 따른 보안대책을 강구해야한다.
  • 사견: 일반적으로 원론적인 수준에서 사물 인터넷 보안에 대한 이야기를 짤막하게 했다. 

 

• 신뢰; 사용자 인증기술의 혁신 : Innovation on Trust (by K. Brian Kelley)
  • 다중 인증 기술 (MFA : Multi Factor Authentication)과 패스워드 금고 (Password Managers/Vaults)에 대해 이야기하면서 사용자에 대한 신뢰를 향상시키는 방안에 대해 기술하고 있다. 대부분의 엔드 포인트 보안에 있어서 금융업계에서는 이미 다중 인증 기술이 사용되고 있으며 특권 접근 관리 (Privileged Access Management)의 경우 사이버아크(CyberArk)와 같은 패스워드 금고 기술을 쓰는 경우가 많다. 

 

• 개인정보 보안규정 준수 - 기술적인 측면에서 바라본 개인정보 보안향상: Privacy Compliance - A Path to Increase Trust in Technology (by Vasant Raval)
  • 개인정보를 관리하는데 알아야할 개인정보 프레임워크, 업계 기준 및 권고사항 등을 정리한 글이다. 주로 NIST 개인정보 프레임워크, 보안 통제 프레임워크 (the Security Controls Framework : SCF), 개인정보 디자인(Privacy by Design : PbD) 등이 대표적인 개인정보에 관련된 프레임워크인데 여기에서는 사물인터넷(IoT)을 대상으로 어떻게 PbD를 실행할 수 있는지에 대해 기술했다. 
  • 사견: 유럽의 GDPR (General Data Protection Regulataion) 그리고 미국 캘리포니아주의 CCPA (California Consumer Privacy Right) 등으로 프라이버시 정보관리에 대한 관심이 높아지고 있다. 내가 직접 관여하는 업무는 아니지만 정보기술 리스크 및 통제관리에 있어서 최근 중요성이 부각되고 있는 분야임에는 틀림 없다.

 

• 기업이 퀀텀 컴퓨팅을 시작할 때 알아두어야 할 사항: How to Start Your Quantum Migration Journey (by Paul Lucier)
  • 나중에 시간되면 읽어보고 차후 업데이트하겠다.

 

• 뉴노멀 시대의 보안과 개인정보 보호: Security and Privacy in the New Noraml (By Deepa Seshadri)
  • 나중에 시간되면 읽어보고 차후 업데이트하겠다.

 

• 기업이 제로 트러스트 모델 실행시 고려해야할 사항: The Unintended Consequences of Zero Trust on Enterprise Culture (By Grace F. Johnson)
  • 제로 트러스트 모델은 조직 내 사람들도 믿어서는 안된다는 전제하에 보안 아키텍쳐를 설계하는 방법으로 2010년 제시되었다. 술자리에서 푸념조로 자주 나오는 "이 세상 믿을 사람 하나도 없다"는 말이 보안 아키텍쳐 설계에 구현된 셈이다. 이 기고문은 기업이 제로 트러스트 모델 실행시 인사/조직 문화 측면에서 고려해야할 사항에 대해 언급했다. 제로트러스트 모델이 조직 구성원간 신뢰도와 조직에 대한 충성도에 미칠 부정적인 영향을 가지고 문제제기를 하면서 제로 트러스트 모델이 가져올 조직문화 변화와 구성원의 반응에 대해 살펴보았다. 
  • 사견: 경영학 대학원에서 인사/조직을 전공 하시는 분들이 이것을 가지고 논문을 써보면 재밌겠다는 생각이 든다. 팬데믹 이후 원격근무환경에서 기업은 조직 구성원을 통제하는 방법과 그 방법의 효용성 그리고 구성원의 조직 충성도와 조직 문화에 미치는 영향 등등... 논문거리가 많을 것이다.

 

• 베이에시언 기반 머신 러닝을 이용한 사이버 보안 심각성 예측 : Predicting Cybersecurity Risk Severity Using Bayesian-Based Machine Learning (by Srinidhi Mallur)
  • 나중에 시간되면 읽어보고 차후 업데이트하겠다.

 

• 사례연구: 비즈니스 전략적 측면에서 바라본 오픈 소스: Leaving the Cathedral, A Case Study of Open Source as a Business Strategy (by Ed Moyle)
  • 나중에 시간되면 읽어보고 차후 업데이트하겠다.

 

• 보안 거버넌스를 위한 핵심 성과 지표 측정 : Key Peformance Indicators for Security Governance (by Andrej Volchkov)
  • 정보기술에 관련된 성과측정지표 (Key Performance Indicator)를 설계하고 집행하는 것은 매우 피곤한 일이다. 리스크 및 통제활동 책임자들과 끊임 없는 대화를 통해 리스크를 평가하고 통제활동이 어떻게 집행/관리되고 있는지에 대한 구체적인 이해가 필요하기 때문이다. 이 글에서는 정보 보안에 관련된 핵심 성과 측정을 하는 방법론에 대해 이야기한다.
  • 핵심 성과 지표 측정 (KPI)는 1) 정보보안의 적절성, 2) 정보보안 프로그램의 질, 3) 보안관련 투자 자본 수익률 (Return on security investiment) 등을 정기적으로 평가하면서 이에 대한 진행상황을 정량적으로 측정하여 고위 경영진을 쉽게 이해할 수 있는 형태의 정보를 제공하는데 도움을 준다. 결국 핵심 성과 지표 측정은 고위경영진이 정보기술 및 정보보안에 대한 거버넌스를 갖출 수 있는 기초적인 틀이라고 보면 된다.
  • 기고문은 핵심 성과 지표 측정을 수립하는데 있어서 아래와 카테고리로 고려할 것을 제안하고 있다.
    • 투자비용 대비 기대 수익 분석 
    • 조직 내 정보 보안 성숙도 측정
    • 빅 데이터 등을 이용한 시뮬레이션 모델링
    • 전제조건을 정의하고 핵심 측정 요소에 집중
    • 정보 보안 프로세스와 통제활동에 대한 효과성 측정
    • 비용 관리
    • 유사 업계내 정보보안 벤치마킹
  • 사견: 매해마다 정보기술 및 정보보안 리스크 평가를 하는데 있어서 이러한 핵심 성과 지표 또는 핵심 리스크 지표 (Key Risk Indicator)를 정의하는 것에 대해 팀원들과 고민이 많았는데 이 기고문이 도움이 되지 않을까 한다.