최근 해외의 권위 있는 신문은 결제시스템을 포함한 많은 IT 제품들과 애플리케이션들이 적절한 보안을 갖추고 있지 못하다고 경고했다. 신문은 첫째, 보안이 최우선적인 고려사항으로 간주되지 않고 있으며, 둘째는 시스템의 디자인 구현에 보안 전문가들이 관여하고 있지 않기 때문이라고 이유를 밝혔다.

F5 네트웍스는 보안을 일회성의 조치나 행위가 아닌 일련의 과정으로 생각하고 있으며, 보안은 이런 관점에서 접근되어야 한다. 조직 내의 보안과 규정 준수를 담보하기 위한 정책들을 수립하는 보안 전문가들에게는 매우 중요한 역할이 있으며, 소프트웨어 개발을 담당하는 프로그래머들 역시 이에 못지 않게 중요한 역할이 있다. 하지만, 둘의 역할에는 분명한 차이가 있다.

비즈니스 애플리케이션들은 기업에게 핵심적인 자산인 만큼, 기업의 보안을 보안 전문가들이 아닌 소프트웨어 엔지니어들에게만 맡겨두는 것은 금물이다. 따라서, 소프트웨어 프로그래머들이 보안정책을 소프트웨어로 만드는 부담을 덜어주고 업무를 신뢰할 있는 보안 솔루션 전문가들이 담당하도록 하는 것이 현명한 접근법이라고 있다.

이런 관점에서 , 보안은 엔드--엔드 과정이며 디바이스, 액세스, 네트워크, 애플리케이션 스토리지를 포함해 사용자와 기업간의 상호작용이 이루어지는 모든 분야를 빠짐 없이 관장하는 정책을 필요로 한다. 이렇게 움직이는 부분들의 복잡성으로 인해, 때로는 지점의 보안 문제들을 하나의 솔루션으로 통합하는 것이 바람직하다. 간단하게 말해 이것은 절차의 간소화와 유사하며, 비즈니스 세계에서 컨설턴트들이 “BPR (업무 프로세스 재설계 – Business Process Reengineering)”이라고 부르는 것과 크게 다르지 않다. 개인에게는 이것이 어떻게 보일지 몰라도, CFO (최고재무책임자) 관점에서는 운영비용 투자비용에서 엄청난 절감효과를 의미하는 것이다.

예를 들어, 최근 애플리케이션 보안은 애플리케이션 딜리버리 컨트롤러 (ADC: Application Delivery Controller) 내에 탑재되는 추세이다. ADC 태생적으로 애플리케이션을 최종 사용자에게 안전하게 제공하기 위한 목적으로 개발되었다. 오늘날, ADC 허가되지 않은 접근을 차단하는 한편, 국제 표준기구인 OWASP에서 규정한 것들과 같은 고도의 애플리케이션 레벨 공격들을 막아주는 역량이 추가되면서 일종의 안전한 애플리케이션 보안관과 같은 역할을 담당한다.

그러나, 상황은 더욱 복잡하게 변하고 있다. CIO (최고정보책임자)들은 젊고, 유능하며, 요구사항이 많은 Y세대 직원들의 요구를 해결해야 하는 상황에 직면해 있는데, 이들은 자신이 선택하는 디바이스를 이용해 일하기를 원하고, 개인생활과 직장 네트워크 사이를 자유롭게 전환할 있기를 바란다. CIO들은 더욱 복잡해지고 증가하는 위협들로부터 기업의 자산을 지켜야 하는 과제를 안고 있다. 게다가, 비용관리와 확장성을 위해 클라우드를 이용해야 함에 따라 보안 문제는 통제가 불가능한 수준으로 커지고 있다.

이러한 상황으로 인해, 사용자의 행동양식만이 아니라 기업 애플리케이션들의 행동양식도 이해하고, 사용자 경험에 최소한의 영향을 미치면서 기업의 보안 정책을 집행할 있는 혁신적인 보안 솔루션들이 요구되고 있다. F5 보안 사업이 신뢰를 기반으로 하는 사업이라고 믿는다. 올바른 절차와 정책을 수립하는 것이야말로 업체를 선택하는 것보다 중요한 일이다. 정책과 절차가 필요한 솔루션을 결정하는 것이지 반대가 되어서는 된다.

 

Original blog post by Kuna.