Cloud CISO Perspectives: 사이버-물리 시스템의 탄력성을 높이는 10가지 방법
Phil Venables
VP, TI Security & CISO, Google Cloud
Anton Chuvakin
Security Advisor, Office of the CISO, Google Cloud
Hear monthly from our Cloud CISO in your inbox
Get the latest on security from Cloud CISO Phil Venables.
Subscribe* 해당 블로그의 원문은 2024년 10월 31일 Google Cloud 블로그(영문)에 게재되었습니다.
“2024년 10월 두 번째 클라우드 CISO 관점에 오신 것을 환영합니다. 오늘은 구글 클라우드 CISO 오피스의 수석 보안 컨설턴트인 Anton Chuvakin이 백악관의 새로운 PCAST 보고서를 분석하여, 사이버-물리 시스템을 강화하는 데 도움이 될 10가지 핵심 지표를 소개합니다. 모든 CISO 관점 뉴스레터는 구글 클라우드 블로그에도 게시됩니다. 구독하면 뉴스레터로 편히 받아 볼 수 있습니다.”
--Phil Venables, VP, TI Security & CISO, Google Cloud
사이버-물리 시스템의 탄력성을 높이는 10가지 주요 지표
Anton Chuvakin, senior security consultant, Office of the CISO, Google Cloud
조직은 보안과 탄력성을 평가할 때 흔히 이미 발생한 사건이나 상황에 대한 결과를 기준으로 하는 후행 지표를 사용해 성과를 측정하곤 합니다. 이러한 지표는 과거 성과를 분석하는 데는 유용하지만, 미래의 위협을 사전에 차단하거나 능동적으로 개선하는 데는 한계가 있습니다.
반면에 미래에 발생할 수 있는 문제나 위험을 예측하고, 이를 통해 현재 상태를 평가하는 선행 지표는 취약점을 파악하는 데 도움이 됩니다. 선행 지표를 활용하면 조직이 사이버 공격이나 자연재해와 같은 예상치 못한 사건에 얼마나 잘 대처하고 회복할 수 있는 능력인 탄력성을 더 능동적으로 관리할 수 있으며, 위협을 보다 효과적으로 예측하고 대응할 수 있습니다.
예를 들어 NIST의 안전한 소프트웨어 개발 프레임워크(SSDF)에 따라 보안 취약점을 최소화하고, 안전한 소프트웨어를 개발하는 방법은 조직의 전반적인 보안 수준을 높이는 좋은 선행 지표라 할 수 있습니다.
보안 책임자나 비즈니스 리더들은 선행 지표를 효과적으로 활용하기 위해 최근 발표된 미국의 대통령 과학기술 자문위원회(PCAST)의 사이버-물리적 탄력성과 중요 인프라 강화 보고서를 참고할 필요가 있습니다. 이 보고서는 조직이 선제적으로 분석할 수 있는 지표들을 설명한 깊이 있는 가이드를 제공합니다. 보고서는 51페이지로 구성되어 있으며, 구글 클라우드 CISO 오피스에서는 이 중요한 조언이 더 널리 알려지기를 희망합니다.
사이버-물리 시스템의 탄력성을 높이려면 정부 기관, 민간 조직, 개인이 함께 협력해야 합니다. 우리의 목표는 이러한 시스템이 안전하고 유연하며, 예기치 못한 상황에서도 빠르게 복구될 수 있는 미래를 구축하는 것입니다.
조직이 사이버-물리 시스템의 탄력성을 강화하는 데 도움이 될 수 있도록 PCAST 보고서는 10가지 선행 지표를 검토를 제안합니다.
- 강제 재시작 복구 시간은 시스템을 처음부터 다시 구축하는 데 걸리는 시간을 뜻합니다. 이 지표로 재시작 시 순환 종속성을 제거하고 백업이 완전한 종료나 공격을 견딜 수 있는지, 소프트웨어와 데이터를 복원할 수 있는지를 평가합니다. 먼저 중요한 시스템의 강제 재시작에 필요한 모든 하드웨어, 소프트웨어, 설정을 목록화한 뒤 작은 규모의 복원력 테스트를 시작해 점차 확장하며 개선점을 반영하세요.
- 사이버-물리적 모듈화는 물리적 요소와 디지털 구성 요소를 잘 정의된 모듈로 구성하여 서로의 의존성을 줄이는 시스템 설계를 의미합니다. 이 지표로 시스템 장애 발생 시 운영 능력을 평가합니다. 먼저 사이버-물리 시스템의 구성 요소와 연결성을 다이어그램 등의 시각 자료로 표현해 의존 관계를 명확히 하세요.
- 인터넷 차단과 통신 탄력성은 인터넷이 끊겼을 때 서비스가 저하되거나 연속성이 유지될 수 있는지를 평가하는 중요한 지표입니다. 먼저 조직의 시스템과 프로세스를 분석하여 인터넷 연결이 끊어졌을 때 어떤 영향을 미칠지를 파악한 다음에 이를 바탕으로 탄력성 계획을 수립하세요.
- 수동 운영은 자동화가 불가능할 때를 대비해 수동 제어의 가능성과 필요성을 평가합니다. 이는 인터넷 연결된 OT 환경의 장애 대비에 중요한 역할을 합니다. 먼저 물리적으로 작동하는 시스템의 자동화 의존도를 파악하고 수동 제어가 가능한 부분을 확인하세요.
- 보안 통제 효과지수(Control Pressure Index)는 심층 방어가 얼마나 잘 적용되어 있는지를 평가하여, 보안 시스템을 구성하는 여러 보안 통제 중 단 하나의 통제가 제대로 작동하지 않는 단일 통제의 실패 상황이 발생했을 때 전체 시스템에 미치는 영향을 파악하는 지표입니다. 예를 들어 기밀 데이터 보호와 같은 목표를 선택하고 이를 달성하기 위한 모든 통제를 목록화하세요.
- 소프트웨어 재현성은 특정 시스템의 소프트웨어가 NIST의 SSDF 요구 사항을 준수하면서 반복적이고 지속적으로 빌드 및 배포될 수 있는 정도를 검사합니다. 여기에는 소프트웨어 구성품 목록(SBOM)과 소프트웨어 아티팩트의 공급망 수준(SLSA)을 공개하는 것도 포함됩니다.
- 예지 기반 유지보수 수준은 업그레이드, 보안 패치, 기술적 부채 감소 등 유지보수에 할당된 운영 비용 비율을 의미합니다.정기 유지보수가 필요한 중요한 장비 및 시스템 목록을 작성하세요.
- 자산 관리 수준(Inventory completeness)은 정보 기술, 운영 기술, 공급망을 포함한 모든 자산이 재고나 자산 등록부에 잘 기재되어 있는지를 보여주는 지표입니다. 자산 등록부를 유지하고 관리할 담당자를 지정하여 명확한 책임 구조를 구축하세요.
- 스트레스 테스트 활성화(레드 팀 활동)는 극도의 공격적 보안 테스트를 통해 시스템의 방어력을 평가하는 것입니다.시스템의 기본 보안 평가를 먼저 수행해 레드 팀 테스트가 필요한 잠재적 취약 지점을 식별하세요.
- 공통 모드 실패(Common-mode failure) 및 종속성은 한 조직이나 공급망이 전체 산업에 미칠 수 있는 영향을 파악하는 지표입니다. 순환 종속성을 찾아 제거하는 것이 중요합니다. 운영에 큰 영향을 미칠 수 있는 외부 공급업체나 소프트웨어 공급업체를 식별하세요.
사이버-물리 시스템을 더욱 탄력적으로 만들기 위해서는 정부, 민간, 개인의 공동 노력이 필요합니다. 우리의 목표는 이러한 시스템이 안전하고 유연하며, 위기에 빠르게 회복할 수 있는 미래를 만드는 것입니다.
PCAST 보고서의 10가지 선행 지표에 대한 전체 분석은 이 링크를 통해 확인하실 수 있습니다. 구글 클라우드 전문가들의 리더십 지침은 CISO 인사이트 허브에서 확인하세요.
Google Cloud의 보안 관련 최신 소식
- 사이버 위험 상위 5가지, 모든 이사회가 알아야 할 사항: 이사회는 조직을 더 잘 관리하기 위해 보안과 디지털 전환에 대한 이해가 필요합니다. 모든 이사회 멤버가 꼭 알아야 할 5가지 주요 위험을 소개합니다. 더 알아보기
- 구글 클라우드, 새로운 취약점 보상 프로그램 출시: 구글 클라우드 제품과 서비스 전용의 취약점 보상 프로그램을 새롭게 시작합니다. 더 알아보기
- SAIF 리스크 평가, AI 시스템 보안을 위한 산업 전반의 지원 도구: SAIF 리스크 평가는 AI 개발자와 조직이 보안 상태를 파악하고 위험을 평가하며 보안을 강화할 수 있도록 돕는 대화형 도구입니다. 더 알아보기
- 공공 부문에 대한 구글 클라우드의 시큐리티 지원 확대: 구글 클라우드 시큐리티는 정부 기관과 조직이 방어 능력을 강화할 수 있도록 지원하고 있습니다. 지원 방법을 확인해 보세요. 더 알아보기
- 제품과 서비스에 보안을 설계로 통합하는 7가지 방법: 기본 암호 설정, 다중 인증, 새로운 보안 위협 감소 기술 개발 등 보안을 설계에 통합하는 다양한 접근 방식을 소개합니다. 더 알아보기
- Chrome Enterprise Premium의 최신 기능 확인하기: 신뢰받는 엔터프라이즈 브라우저 Chrome Enterprise가 보안, 위협 감지 및 사용성을 강화하는 강력한 기능을 새롭게 도입했습니다. 자세히 알아보세요. 더 알아보기
- Intel AMX CPU 가속기를 사용한 AI 테스트 결과: Confidential VM이 Intel AMX가 내장된 CPU 가속 기능을 제공합니다. AI에 적합한 선택은 무엇일까요? 테스트 결과를 확인해 보세요. 더 알아보기
- 지금 읽어보세요, 2024 DORA 보고서: 지난 10년간 DORA, AI, 플랫폼 엔지니어링, 개발자 경험에 집중한 2024 구글 클라우드 DORA 보고서의 주요 내용을 소개합니다. 더 알아보기
위협 인텔리전스 소식
- 우크라이나 군인 모집을 방해하는 러시아의 하이브리드 캠페인: 구글 위협 인텔리전스 그룹은 러시아의 새로운 첩보 및 영향 작전을 발견했습니다. 이 작전은 텔레그램을 통해 악성 소프트웨어를 배포하고, 우크라이나 군 동원에 대한 지지 약화를 목표로 하는 메시지를 퍼뜨리고 있습니다. 더 알아보기
- FortiManager 제로데이 악용 조사: 이번 달 맨디언트는 Fortinet과 협력하여 다양한 산업에서 사용 중인 50개 이상의 FortiManager 장치가 악용된 대규모 사례를 조사했습니다. 이 악용은 2024년 6월부터 시작된 것으로 파악되었으며, 이에 대한 보안 권고 사항을 제공했습니다. 더 알아보기
- 어디까지 악용할 수 있을까? 2023년 취약점 악용 시간 분석: 맨디언트는 2023년에 공개된 138개의 취약점을 분석하여 실시간 악용 사례를 추적했습니다. 최근 제로데이 악용이 증가하면서 제로데이와 n-데이 악용 간의 차이가 더 커진 것을 확인했습니다. 더 알아보기
최신 팟캐스트
- 두 인텔리전스가 만났을 때: 위협 인텔리전스를 운영하면서 가장 어려운 과제는 조직이 위협 정보를 효과적인 보안 조치로 전환하는 것입니다. 구글 클라우드 시큐리티의 제품 관리 이사인 Vijay Ganti가 호스트 Anton Chuvakin과 함께 AI가 어떻게 위협 인텔리전스를 더 쉽게 활용할 수 있도록 돕는지 탐구합니다. 팟캐스트 듣기
- 보안 대결, 컨테이너 대 VM: Kubernetes 팟캐스트의 공동 진행자인 Kaslin Fields와 Abdel Sghiouar가 구글 클라우드 시큐리티의 Michele Chubirka와 함께 컨테이너와 가상 머신의 보안 장점을 주제로 토론을 나눕니다. 팟캐스트 듣기
- ADR 자세히 보기: 애플리케이션 탐지 및 대응(ADR)이란 무엇이며, 클라우드, 컨테이너, 애플리케이션 컨텍스트를 어떻게 연결하여 위협을 더 잘 파악할 수 있는지에 대해 Miggo Security의 공동 창립자 겸 CEO인 Daniel Shechter가 Anton과 함께 설명합니다. 팟캐스트 듣기
- 효과적인 테이블탑 연습(Tabletop Exercise)방법: 맨디언트 수석 컨설턴트 Alishia Hui가 호스트 Luke McNamara와 함께 테이블탑 연습의 구성 요소, 준비 단계, 성공 요소 및 연습 후 조직에 학습 내용을 적용하는 방법을 설명합니다. 팟캐스트 듣기
이상으로 2024년 10월 두 번째 클라우드 CISO 관점 뉴스레터의 주요 내용을 알아보았습니다. 2주 후에 최신 뉴스레터로 찾아 뵙겠습니다.