SANS TOP20 2007 공식 한글 번역본 출간

보안 연구 및 교육으로 유명한 SANS에서 해마다 미국 FBI에 제출하는 보안 취약성 보고서인 SANS TOP 20 보안 리스트는 가장 기본적인 보안 취약점에 대한 대응 지침서로써, 많은 보안 전문가들에게 좋은 기초 자료로 활용되고 있다.

2006년도부터 SANS의 TOP20 보안 리스트에 대한 한글 번역 파트너인 정보 보안 전문 커뮤니티인 SecurityPlus(http://cafe.naver.com/securityplus)에서는 1월 24일 SANS 공식 웹 사이트(http://www.sans.org/top20)를 통해 “SANS TOP20 2007 공식 한글 번역본”을 발표하였다.

SecurityPlus의 대표 운영자인 박형근(CISA, CISSP, 현 IBM Tivoli 보안 컨설턴트) 씨에 의하면, 2006년 SANS TOP20에 비해 2007년 SANS TOP20는 기존의 보안 취약점과 함께 웹 2.0과 같은 최신 보안 위협을 반영하듯 사용자 및 어플리케이션으로 보다 확장되었으며, 관리적 보안 부분과 실제 취약점에 대한 대응 방안에 좀더 주목하였다. 아래 표는 2006년과 2007년 사이의 SANS TOP20 보안 리스트에서의 차이점을 정리하였다.

위 표에서 보면, 2007년 들어 새롭게 등장한 보안 취약점은
- e메일 클라이언트
- 안티 바이러스 소프트웨어
- 암호화되지 않은 랩탑과 이동 가능한 미디어
이다.

웹 브라우저에 이어 HTML 기반의 e메일 증가와 함께, 이를 대상으로 한 공격 증가는 e메일 클라이언트 상의 보안 취약점의 증가로 이어졌으며, 안티 바이러스 소프트웨어도 소프트웨어라는 관점(100% 완전한 S/W는 없음.)과 함께 사용자를 대상으로 한 공격에 있어, 장애가 되는 안티 바이러스 소프트웨어에 대한 공격 증가는 이에 대한 보안 취약점 증가로 이어졌다. 마지막으로 중요 정보에 대한 유출 증가에 따른 데이터 보호 관점에서 데이터의 암호화와 이동 가능한 미디어에 대한 위협에 대해 다뤄졌다.

SANS TOP20 2007과 함께 현재 자신의 환경 내에서 보안 위협에 대해 살펴 보고, 관련된 대응 방안을 적용함으로써 기업 내의 잠재된 위험을 최소화할 수 있도록 해야겠다.