파수닷컴 "데이터-애플리케이션 보안도 챙겨야"

DRM솔루션 전문업체 파수닷컴이 인프라 중심의 기업내 보안 시스템을 강화하기 위해 데이터와 애플리케이션 영역에서의 보호를 강조하고 나섰다.

김용길 파수닷컴 상무는 27일 서울 잠실 롯데호텔에서 열린 '시큐리티넥스트컨퍼런스(SNC)'에서 '2015 데이터 및 애플리케이션 보안 전략'이란 주제 강연을 통해 이같이 밝혔다.

그에 따르면 국내 고객 개인정보 데이터 유출 사고가 증가 추세고 개인정보 유출에 대한 규제 및 책임도 강화되고 있다. 그런만큼 기업내 보안 담당자들이 데이터 보안에 대한 인식을 높이고 대응을 다변화해야 한다는 지적이다.

데이터 보안 관점의 주요 이슈는 권한이 있는 내부자, 직원이나 외주 인력에 의한 위협이 증가하고 있다는 점과 시큐리티사일로이펙트, 보안 솔루션을 유기적 연계로 조직의 전반적 보안 환경을 강화할 필요성이 늘고 있다는 점 등 두가지다.

데이터 보안 솔루션 구축 현황을 보면 일반적으로 기업내 구축된 보안 인프라에 더해 보완돼야 할 지점들이 적잖다. 김 상무가 예시한 것만 해도 출력물 내 포함된 정보들, DB 다운로드 파일, 외부 사용자들에게 배포하는 DM 전송 파일, 망분리 인프라에서의 데이터 전송 수단에 따른 헛점 등이 있다.

김 상무는 이 가운데 DB보안에 대해 구체적으로 설명해 예를 들었다. 기업들이 클라이언트에서 서버 관리자가 지정한 DB 접근 툴로만 DB에 접근할 수 있고 지정된 툴은 DB쿼리를 암호화하는 방식을 적용해 DB를 보호할 수 있다는 설명이다.

파수닷컴은 클라이언트 에이전트 '페이스(FACE)'와 DB보안솔루션 '솔리드베이스'로 기성 보안솔루션에서 아우르지 못한 영역의 DB보안을 강화할 수 있다는 입장이다. 이는 DRM업체 파수닷컴의 전문성을 활용한 기법에 해당한다.

김 상무는 이어 애플리케이션 보안 전략에 대해 설명했다. 여기서 말하는 애플리케이션 보안은 기업에서 실사용자가 업무를 위해 접근하는 웹사이트 영역, 웹 애플리케이션을 가리킨다.

그는 2005년 12월 가트너 보안관련 보고서를 인용해 애플리케이션을 겨냥한 보안 위협이 전체 75% 비중을 차지한다고 전했다. 이는 SW의 취약점을 악용한 방식에 해당하는데 이는 통상적인 '웹방화벽' 기술만으로는 완벽한 대응이 어렵다고 덧붙였다.

김 상무는 또 2014년 가트너 보안관련 보고서를 인용해 사이버공격 위협에 대응하는 전략 중 하나로 정적 및 동적 분석 SW테스트(SAST, DAST)와 그 SAST의 구체적인 기법인 '시큐어코딩'이 있지만, 이게 국내 시장 환경의 애플리케이션 보안 현황과 일치하진 않다고 언급했다.

김 상무는 웹방화벽이 불필요하다는 건 아니고 개발 단계부터 보안 취약점을 줄이기 위해 노력함으로써 더 안전한 애플리케이션 구축과 운영을 할 수 있다며 그런데 국내 애플리케이션 보안 현황은 접근의 초점이 인프라 구축과 운영, 실행 관점에 더 쏠려 있다고 평했다.

파수닷컴 측은 애플리케이션 보안 강화를 위해 웹방화벽 같은 솔루션의 도입 이전 과정에 시큐어코딩과 같은 기법을 개발인프라에 적용할 수 있다면 전체 보안을 향상시킬 수 있다고 강조했다. 파수닷컴의 '스패로우'같은 시큐어코딩 진단도구 도입시 고려사항은 다양한 언어와 개발환경을 지원하고, 검출력이 높고 오탐률이 낮은 등의 요건이라고 덧붙였다.

이어 김 상무는 빅데이터를 활용한 보안 분석에 대해서도 설명했다. 이는 내부자 유출이나 외부 공격 시도에 대해, 일반적인 보안제품의 모니터링으로 포착할 수 없는 사례들을 연관분석으로 찾아내 사고를 막을 수 있어 중요성이 증가 추세라는 게 그의 설명이다.

파수닷컴 측은 현재 시장에서 기업내 보안규정과 규제에 대한 위반, 조직원의 의도적 자료 유출같은 이상동작, 유출대상 콘텐츠 사용 이력 등을 모니터링하고 이상징후를 파악하거나 다양한 시나리오에 따른 실시간 위험 검출, 각 데이터간 유기적 결합에 따른 시각화에 대한 요구가 있다고 전했다.