pile·

보안을 숫자로 관리해 보겠습니다! #우아콘2023 #우아한형제들

우아한테크·우아콘 2023 2023·

챕터별 상세

010:00 – 8:23

"얼마나 위험한데요?"라는 질문과 위험 지표

우아한형제들 정보보호실 CISO 김동현이 "보안을 숫자로 관리해 보겠습니다" 를 발표한다. 보안 자체보다 숫자와 관리, 즉 취약점·보안 위험·펜 테스터를 중심으로 풀겠다고 예고한다. 보안 업계 20여 년간 "얼마나 안전해졌나", 더 많이는 "그래서 얼마나 위험한데요?" 라는 답하기 어려운 질문을 받아 왔는데, 질문자와 자신의 보안 지식·배경이 달라 일치할 무언가로 말하기가 어려웠기 때문이다. 그래도 답을 해 보기로 한다. 외부 지표들을 살펴보면, 크리미널 IP는 IP의 위험을 크리티컬~세이프 다섯 단계로, 퀄리스는 취약점을 어전트~미니멀 다섯 단계로 분류하는데 취약점은 존재 자체로 위험하므로 "안전" 등급은 없다. 국내 사례로 KISA 보호나라의 사이버 위기 경보(정상·관심·주의·경계·심각)를 들며, 2003년 "1·25 대란" 당시는 심각에 해당했을 텐데 그 지표가 대란 이후 만들어졌다는 일화를 덧붙인다. 이런 외부 기준을 그대로 쓸 수 없어 우리에게 적합한 기준 으로 바꾸기로 하고, 취약점에서 출발한다. 취약점은 공격자가 침입에 이용할 수 있는 자산의 문제점(열린 문·창문)이며, 많아지면 위험도 높아진다.