[책 리뷰] 보이지 않는 위협_한빛 미디어_김홍선
장르 : IT/ 출판사 : 한빛미디어/ 저자 : 김홍선/ 출판일 : 2023년 08월 15일 / 페이지 : 291/ 시작일 : 2024년 01월 22일 / 완료일 : 2024년 01월 26일 (재독)
책을 읽게 된 동기
이미 일독을 했지만 제대로 읽지 않았다는 생각과 다시 한번 책의 내용을 숙지해야 할 필요가 있다고 생각되어서 재독을 하게 되었습니다.
책의 주제
보안 업무를 하는데 있어서 필요한 기본적인 업무 소양과 정보보안 업무를 하는데 있어서 평소에 필수적으로는 인지를 하고 있어야 하는 업무 지식에 대해서 전달하고 있습니다.
책의 내용
85p 취약점은 사이버 보안과 한 배를 탄 영원한 동반자다.
86p IT 및 보안 담당자는 회사 경영진이 기술을 이해하지 못하더라도 경영 언어로 소통하는 방법을 익혀야 한다.
112p 관리 부실은 보안 사고의 근본 원인이다.
115p 불확실성이라는 리스크는 고민하는 과정을 안전하고 위험을 줄이는 방향으로 한 단계씩 발전해가는 여정이었다.
116p 리스크는 고대 그리스어로 바다의 위험한 장애물을 뜻하는 rhizikon에서 유래했다. 우리가 미래에 일어날 것이라는 상상하는 모든 일이 리스크이다.
118p 미국이나 EU의 규제 방식은 문제를 스스로 만들어 답을 찾아가는 형태이다.
118p 리스크를 파악해 관리하는 방법론을 앞서 말한 리스크 관리 체계(RMF) 라고 한다. 체크리스트 방식은 PC에 백신이 잘 설치되었는지 제대로 작동하는지 점검하는 형태이다.
RMF방식은 어떤 유형의 PC를 사용하는지 각 PC에 어떤 위협이 예상되는지 그로 인한 피해가 얼마인지를 계량화한 뒤 리스크를 줄일 수 있는 통제 방안을 마련하는 것이다.
NIST CSF는 기업이나 기관이 사이버 리스크 관리 체계를 구축하는 틀을 제공한다.
120p RMF는 사이버 보안을 비즈니스 관점에서 즉 조직 내의 자원과 업무 전반에 대한 총제적인 리스크로 바라보게 해주므로 훨씬 디테이라고 입체적이며 실용적이다.
121p 사이버 보안의 목표는 가시성과 거버넌스이다.
123p 내가 갖고 있는 자산과 서비스에 대해 각각의 CIA 등급을 정하는 것이 리스크 관리의 시작이다.
127p BIA(Business Impact Analysis)등급은 자산별로 어떤 위협에 민감한지에 대한 특성을 구분하는 기준이다.
128p BIA는 사이버 사고의 피해를 예측해서 우선순위를 정하는 기준이다.
129p 보안 제품은 보안 통제의 한 수단일뿐이다. 기업 입장에서는 사이버 리스크를 줄이는게 중요하지 제품이나 기술 도입 자체가 목적은 아니다.
131p 보안 통제도 기술, 프로세스와 사람의 직접적인 관리 삼박자로 이루어진다.
132p 보안 통제의 본질을 놓치면 안된다. 보안 통제는 리스크를 감소시키기 위한 방안이다. 보안 통제의 목적과 성과 즉 그 가치를 정확히 측정할 수 있어야 한다.
136p 사이버 리스크 관리 체계(RMF)가 자신이 보유하고 있는 IT 자산과 조직이 운영 모델을 바탕으로 리스크를 평가하는 것이라면, MITRE ATT&CK은 공격자 관점에서 매트릭스를 통해 위협 모델을 보여준다.
137p 우리가 초점을 맞추어야 하는 것은 비즈니스다.
143p 안전한 빌드업을 하는 방법은 첫째, 표준을 정립해 불확실성을 줄여야 한다. 둘째, 모든 IT 자산은 도입부터 운영, 폐기에 이르는 전체 라이프사이클을 단단하게 유지해야 한다. 리더의 확고한 신념과 보안에 대한 인식이 필수다.
152p 하드웨어 제품에 들어있는 부품 리스트를 BOM이라고 한다. 마찬가지로 소프트웨어를 구성하는 요소를 SBOM이라고 한다. 이제 소프트웨어 공급망에 대해서도 SBOM을 통해 품질과 신뢰도를 판단하고 있다.
161p 한국이 글로벌 기업에서 꼭 배웠으면 하는 체계가 3단계 방어선 모델이다. 1차 방어선은 매일 업무를 처리하면서 점검하는 현업 부서이다. 2차 방어선은 1차에서 이뤄진 업무를 독립적으로 검증한다. 최종 방어선은 감사 역할이다.
162p 사람의 마음은 매우 커다란 힘을 갖고 있으면서도 사소한 계기로도 잘못을 범하는 나약한 면보를 갖고 있다. 그러므로 사람의 마음을 바탕으로 경영할 생각이라면 사람의 마음이 가진 나약함으로부터 사원을 지키려는 의지가 필요한다.
이중 체크란 회사 내의 각종 업무에서 사람과 조직의 건전성을 지키는 '보호 매커니즘'이다.
171p 취약점은 제로가 될 수도 없고 취약점을 100% 조치하는 일도 불가능하다.
182p 사이버 보안은 여러 가지 위협의 가능성을 우선순위에 기반해 접근해야 한다.
213p 사이버 보안은 불편함을 줄일 수 있는 혁신적인 방법을 끊임없이 연구해야 한다.
239p 그 조직의 보안 수준은 가장 취약한 연결 고리에 달려 있다.
240p 사이버 보안에서는 최선의 노력은 의미가 없다.
251p 우리는 평범한 진실을 외면하고 있다. 예방과 방지가 사고 수습보다 훨씬 돈이 적게 든다는 사실이다.
253p 습관은 건강에만 중요한 것이 아니다. 기업 리스크는 내부 프로세스, 규율, 조직 문화가 얼마나 잘 정착해 있는가에 의해 좌우된다.
255p 사이버 보안은 책임감과 습관에 의해 유지된다.
인상 깊은 구절
171p 리스크는 현실이다.
책을 읽고난 후의 생각이나 느낌
확실이 처음 읽었을 때 보다 재독을 해야 보이지 않던 내용이 보이는 것 같습니다. 정보보안에서 기술적인 면도 중요하지만 기술과 정책, 관리 등 모든 것이 유기적으로 함께 되어야 하며, 단순하게 기술이 최고라고 하는 보안 담당자들이 있다면 한번씩 읽어봐야 하는 책이라는 생각이 들었습니다. 또한 이제 보안을 시작하거나 보안을 하고 있고 알고 있다고 생각되는 담당자들도 한번씩 읽어보면서 보안에 대해서 새로운 관점에 대한 접근이 필요하다는 것을 인지 할 수 있을 것 같습니다.