충분한 보안이란?

충분한 보안은 보호할 대상, 공격 가능성, 자산을 보호하고 있는 회사 리소스 등에 따라 달라집니다. 기업에서는 보안 위협을 파악하는 데 다소 느린 부분이 있습니다. 사물 인터넷이 지속적인 관심을 끌면서 장치의 활용도가 크게 향상되었지만, 공격을 받을 가능성도 그만큼 높아졌습니다. 실제로 여러분의 자동차, 집 또는 온라인 장치가 공격 위협을 받고 있습니다.

어느 정도는 기술로 위협을 차단할 수 있고 또 차단하고 있습니다. 문제는 지속적으로 그렇게 할 수 있느냐는 것입니다. 예를 들어 클라우드 서비스 사용자의 수가 증가하면서 퍼블릭 클라우드 위협이 커지고 있는 클라우드 컴퓨팅의 시대에 데이터 보안이 “충분”하다고, 그것으로 충분하다고 생각할 수 있을까요? 사실은 그렇지 않을 것입니다.

충분한 보안에 대한 규정

보호에 많은 투자를 하는 대기업들도 공공 보안 공격의 대상이 되는 시대에 소규모 기업도 마찬가지로 취약합니다. 많은 기업들이 아직도 사이버 보안을 잠재적인 위협을 줄이는 필수 요소로 보지 않습니다. 보안 침해의 거의 대부분은 “충분한” 통제가 이루어지고 산업 규제 요구 사항이 준수되는 상황에서 발생했습니다.

목표 및 트레이드 오프

중요한 질문이 있습니다. “무엇을 보호하려고 하십니까?” 궁극적으로 이 질문은 보안 목표를 정의합니다. 트레이드 오프는 위험 관리를 포함합니다. 중요 항목을 보호하기 위해 얼마나 많은 시간을 할애할 수 있고 또 할애해야 합니까? 이는 지속적으로 할애할 수 있는 시간을 의미합니다.

일반적으로 조직은 위협을 따라가지 못하며 무엇이 위협인지도 파악하지 못합니다. 이벤트, 손상된 데이터, 맬웨어, 직원이 사용하는 장치, 이미 적용 중인 정책 등을 추적하는 것부터 시작하여 잠재적 취약성을 낮추십시오. 방화벽, 모바일 장치 게이트웨이, VPN, 인증 방법, 암호화 등 무엇을 적용하고 있습니까? 보호 방법이 지금까지 얼마나 성공적이었는지 수치화할 수 있습니까? 공격이 발생한 적이 있다면 그 발생 경로는 무엇입니까? 이 위협 인텔리전스를 활용하여 우선 순위를 설정하고 기존 취약성을 합리적으로 평가할 수 있습니다. 안전하지 않은 부분은 무엇입니까? 또한 얼마나 빠르고 정확하게 문제를 해결할 수 있습니까?

위반이 발생할 경우 위협에 대응하고, 공격을 차단하고, 공격 결과를 정리할 리소스를 할당해야 합니다. 실제로 위험한 것은 “충분한” 보호 수준만으로는 손실될 수 있는 지적 재산, 개인 데이터, 재무 데이터 및 영업 비밀입니다.

예방 및 보호 구현

대부분의 취약성은 상대적으로 쉽게 처리될 수 있습니다. 경우에 따라 특정 감지 방법을 사용하거나 특정 기술을 구현하여 액세스를 차단하기도 합니다. 변조를 차단하거나 정보를 변조하거나 변경할 수 없는 체인을 구축하여 취약성을 완화할 수 있는 경우도 있습니다.

예방 방법에는 일굴 인식, 지문 확인 등과 같은 기술이 포함될 수 있습니다. 예를 들어 Omron의 HVC-P2 얼굴 인식 모듈은 두 카메라 헤드(장거리 감지 유형 및 광각 감지 유형)에 제공됩니다. 이 모듈에서는 사람 얼굴 및 신체 감지를 결정하고, 성별, 연령, 표정 및 기타 얼굴 특성을 예상하는 데 뛰어난 Omron 이미지 인식 알고리즘을 사용합니다.

그림 1: Omron 카메라 모듈은 특정 얼굴 특징을 확장하는 얼굴 인식 기능을 제공합니다. (이미지 출처: Omron)

HVC-P2가 내장된 장비는 당사자가 카메라의 존재를 알지 못하는 상태에서 주변의 사용자를 감지합니다. 또한 개발자는 기성 마이크로 컨트롤러와 카메라를 조합하여 내장형 시스템에 얼굴 인식 기능을 빠르게 추가할 수 있습니다.

다른 DFRobot SEN0188 솔루션은 독립적인 Arduino 호환 지문 모듈입니다. 이 모듈은 고속 DSP를 탑재하여 MSP430, AVR®, PIC®, STM32, Arm®, FPGA 장치에서 작동합니다. 1000개의 지문을 저장할 수 있는 이 모듈은 지문 입력, 지능형 이미지 처리, 지문 비교 및 검색 모드를 지원합니다.

그림 2: DFRobot SEN0188 지문 모듈은 비교, 이미지 처리 및 지문 검색 모드를 제공합니다. (이미지 출처: DFRobot)

보안 보호 영역에서 Infineon의 Blockchain Security 2 GO 시험용 키트는 동급 최고의 보안을 모든 블록체인 시스템 설계에 빠르고 쉽게 구축할 수 있습니다. 다양한 블록체인 기술에 대한 평가 환경을 제공하는 이 키트는 5개의 즉시 사용 가능한 NFC 카드를 포함하여 보안 키 생성, 핀 보호, 서명 방법과 같은 기본 블록체인 기능을 지원합니다.

간단히 말해서, 블록체인은 블록의 체인을 기반으로 하는 분산 디지털 원장이며, 각 블록은 이전 블록에 암호로 연결되어 있습니다. 각 트랜잭션은 디지털 서명에 의해 보호됩니다. Blockchain Security 2GO 시험용 키트는 개인 키를 안전하게 생성하여 저장할 수 있도록 하드웨어 기반 보호 메커니즘을 제공합니다.

Maxim의 DS28C40 조작 방지 및 보안 인터페이스 평가 기판은 DS28C40 보안 인증자를 평가하는 데 필요한 하드웨어 및 소프트웨어를 제공합니다. 이 장치는 통합된, 비대칭 및 대칭 보안 기능에서 파생된 핵심적인 암호화 도구 세트를 제공합니다. 하드웨어 암호화 엔진에서 제공되는 보안 서비스 외에도 이 장치는 FIPS/NIST 난수 생성기, 사용자 데이터/키/인증서를 위한 일회용 프로그래밍 가능 메모리, 하나의 구성 가능한 GPIO, 고유한 64비트 ROM 식별 번호를 통합합니다.

그림 3: Maxim DS28C40 보안 인증자 평가 기판은 개발자를 위한 핵심 암호화 도구 세트를 제공합니다. (이미지 출처: Maxim Integrated)

DS28C40의 DeepCover 내장형 보안 솔루션은 강력한 보안 키 스토리지를 제공하여 여러 계층의 고급 보안 아래에서 민감한 데이터를 클로킹합니다. 장치 수준의 보안 공격, 침해 및 비침습으로부터 보호하기 위한 대처 방안으로 활성 다이 차폐, 암호화된 키 스토리지, 알고리즘 방법 등이 구현됩니다. 응용 분야에는 자동차 보안 인증과 식별, 자동차 부품 보정, IoT 노드 암호화 보호, 부속품 및 주변 장치 보안 인증, 펌웨어 보안 부트 또는 다운로드, 호스트 컨트롤러를 위한 암호화 키 보안 스토리지 등이 있습니다.

“충분한”의 의미에 대한 기대

“충분한” 보안은 항상 이동하는 표적이 됩니다. 시장이 빠르게 움직이고 있는 상황에서 대부분의 경우 충분한 것만으로는 부족합니다. 시스템과 해커가 모두 정교해지면서 충분하다는 것은 결국 기업이 자산 보호를 위해 할애할 의지 또는 능력이 있는 비용/보상 금액과 관련됩니다.

내부 직원 교육, 회사 네트워크를 보호하는 정책, 인증 및 암호화 방법을 최소한의 합당한 보호를 제공하는 데 충분한 기술과 결합하여 시행할 수 있습니다. 다행히, 범죄자는 손상되기 가장 쉬운 계정을 찾으려고 시도하므로 충분하다는 것은 사용자를 선별적으로 차단하고 연결할 수 있는 보안 방법을 구현하는 것을 의미할 수 있습니다.