[한국정보공학기술사 보안을 論하다-9] 기술적 보안의 효과를 극대화하려면
[한국정보공학기술사 보안을 論하다-9] 기술적 보안의 효과를 극대화하려면
사이버 공간에서 창과 방패의 싸움은 무척이나 치열하다. IT기술의 발전 속도는 예측 불가능할 정도로 빠르며, 사이버 공격 기법도 최신 기술을 활용하면서 나날히 치밀해지고 또 정교해졌다.
www.boannews.com
- 사이버 공격의 진화와 대응 필요성
- IT 기술 발전에 따라 사이버 공격이 정교화되고 있음
- 2023년 조사에 따르면 사이버 공격의 81%가 사람을 겨냥한 공격(피싱, 패스워드 탈취 등)으로 발생
- 사회공학적 공격이 대표적이며, QR코드를 악용한 큐싱(Qshing), 소프트웨어 공급망 공격 등이 주요 사례
- 사람에 대한 보안 인식 개선
- 기술적 방어만으로는 한계가 있으며, 사람의 보안 의식을 높이는 것이 필수
- 정보보안 교육
- 온·오프라인 교육, 사례 중심 학습, 상황별 행동 요령 전달
- 단순한 의무 이수가 아닌, 교육 필요성에 대한 공감대 형성이 중요
- 효과적 교육 콘텐츠
- 교육 목적을 명확히 하고, 전달 메시지를 간결하고 구체적으로 구성
- 예시: 사례를 활용한 지식 전달, 상황별 대처법 안내
- 보안 정책과 프로세스 구축
- 정책과 지침
- 보안 정책은 환경 변화에 따라 지속적으로 업데이트되어야 함
- 현실과 동떨어진 형식적 정책은 효율성을 저해
- 프로세스 활용
- 예: SSDLC(Secure Software Development Life Cycle)
- 소프트웨어 설계부터 구현까지 보안이 자연스럽게 프로세스에 통합
- 사례: 마이크로소프트는 SSDLC로 취약점 감소 및 유지보수 비용 절감
- 정책과 지침
- 정보보호 관리체계의 중요성
- 기술적·인적 요소를 모두 아우르는 관리체계 필요
- 관리체계는 기술적 통제를 중복 또는 누락 없이 적용하도록 지도
- 기술적 통제가 먼저 구현되고 관리체계가 이를 보완하는 순환 구조
- 결론 및 보안 권고
- 기술적 방어와 사람의 보안 인식 강화는 상호보완적으로 작동해야 함
- 정보보호 관리체계를 통해 기술적·인적 요소를 통합하여 지속 가능하고 효과적인 보안 체계 구축
- 기업은 단순 기술 투자에서 벗어나 사람과 기술, 정책의 균형을 통해 조직 문화로 보안을 내재화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 오래된 보안 소프트웨어의 위험성: 악용 사례와 대처 방안 (0) | 2024.12.01 |
|---|---|
| 최초의 리눅스용 UEFI 붓키트 '붓키티(Bootkitty)' 발견 (0) | 2024.12.01 |
| Bootkitty: 리눅스 시스템을 대상으로 한 최초의 UEFI 부트킷 (1) | 2024.12.01 |
| 2025년 사이버 보안 10대 전망: 양자암호, 디지털 신뢰, AI 기반 위협 (1) | 2024.11.30 |
| 마이크로소프트 드래시: 가벼운 이벤트 기반 프로그래밍 툴 (0) | 2024.11.28 |