레거시 시스템 보안을 최신 상태로 유지하는 것이 중요한 이유
레거시 시스템에는 보험사에 필수적인 정보가 담겨 있지만 보안 위험이 발생할 수도 있습니다. 레거시 시스템이 오래될수록 새로운 기술 개발을 따라잡을 수 있는 능력이 줄어들어 디지털 위협에 취약해집니다. 또한 오래된 레거시 시스템에는 참조할 수 있는 원래 개발자 또는 설명서가 있을 가능성이 적습니다.
레거시 시스템은 개발자가 더 이상 지원하지 않거나 현재 규정 준수 표준을 충족할 수 없는 시스템이라고 Heimdal Security의 커뮤니케이션 및 PR 책임자인 Miriam Cihodariu는 말합니다. 내부용으로 설계된 운영 체제 또는 플랫폼일 수 있으며 고객 대면 소프트웨어일 수도 있습니다.
보험 회사는 레거시 시스템을 완전히 버릴 필요가 없습니다. 그러나 보험사는 해당 규정을 준수하고 전용 레거시 시스템 보안을 통해 고객과 회사를 노출로부터 보호해야 합니다.
보험사가 레거시 시스템 보안을 해결해야 하는 이유
사이버 범죄는 대규모 사업입니다. Cybersecurity Ventures의 설립자인 Steve Morgan은 해킹 및 이와 유사한 행위로 인해 2015년에 세계 경제에 3조 달러의 비용이 발생했으며 2021년까지 연간 최대 6조 달러의 비용이 발생할 것으로 예상된다고 말합니다. 메릴랜드 대학의 미셸 쿠키에(Michel Cukier ) 부교수의 연구에 따르면 해커들은 평균 39초마다 전 세계 어딘가의 컴퓨터 시스템을 공격하는 것으로 추정됩니다.
구식이거나 규정을 준수하지 않는 설정이 있는 레거시 시스템은 보험 회사 데이터를 훔치거나 디지털 장난을 일으키려는 사람들이 더 쉽게 액세스할 수 있도록 합니다.
조직이 레거시 시스템을 좋아하는 이유는 무엇입니까?
레거시 시스템은 전 세계 기업 및 기타 조직에서 일반적으로 사용됩니다. 조직에서는 오래된 소프트웨어를 계속 사용하는 경우가 많은데, 그 이유는 해당 소프트웨어가 중요한 시스템이나 정보에 대한 생명 유지 장치 역할을 하기 때문입니다.
예를 들어 Microsoft가 2014년에 Windows XP를 더 이상 지원하지 않을 것이라고 발표했을 때 미 국방부는 펜타곤이 Windows 10으로 전환하는 동안 지원을 요청했습니다. 기술 저널리스트인 Jeremy Hsu에 따르면 2014년에도 전 세계 컴퓨터의 약 30%가 여전히 Windows XP를 실행하고 있었으며 여기에는 여러 주요 미국 군사 시스템이 포함되어 있었습니다.
또한 조직은 소프트웨어 및 유지 관리에 대한 투자 가치를 극대화하기 위해 레거시 시스템을 계속 사용하도록 선택할 수 있습니다. “인프라에 투자할 때 조직은 제품에서 특정 기간을 얻을 수 있다는 기대를 가지고 투자합니다. 이 수명 주기는 재무 담당자가 꼭 필요한 경우가 아니면 벗어나기를 꺼리는 다년간의 분할 상환 예산 및 사업 계획의 일부가 됩니다”라고 정보 보안 연구원이자 Venkon.us 의 설립자인 Jaime Manteiga는 말합니다.
마지막으로, 레거시 시스템은 비즈니스가 필요로 하는 것을 정확히 수행하는 맞춤형 소프트웨어이기 때문에 유지 관리될 수 있다고 Manteiga는 덧붙입니다. 이러한 맞춤형 시스템을 교체하는 것은 비용이 많이 들고 어려울 수 있습니다.
그러나 레거시 시스템이 일반적이고, 가치가 있으며, 없어서는 안 될 존재라는 사실이 위험이 전혀 없다는 것을 의미하지는 않습니다. 보험 회사는 더 나은 옵션이 없기 때문에 심각한 보안 위험을 초래하는 레거시 시스템을 사용하는 경우가 많습니다. 예를 들어, 주요 플랫폼에는 기능 대체품이 없거나 일부 소프트웨어가 작동하지만 최신 보안 법률 또는 규정을 준수하지 않을 수 있습니다. 이러한 경우 레거시 시스템 보안에 주의를 기울여야 합니다.
쉽게 들어갈 수 있습니다.
레거시 시스템의 오래된 보안이 해당 시스템 내에 저장된 정보를 어떻게 위험에 빠뜨릴 수 있는지 쉽게 알 수 있습니다. 그러나 이러한 시스템은 보험 회사 네트워크의 다른 모든 시스템에도 위험을 초래합니다.
예를 들어, 알려진 취약점이 포함된 15년 된 운영 체제가 있는 서버를 정보 시스템에 포함하는 보험 회사를 상상해 보십시오. 이러한 취약점을 해결하지 않으면 무단 액세스의 문이 될 수 있습니다.
데이터 센터 및 클라우드 보안 회사인 Guardicore의 제품 담당 부사장인 Lior Neudorfer는 “공격자가 패치가 적용되지 않은 이 단일 시스템에 액세스할 수 있다면(패치가 잘 적용된 최신 서버를 해킹하는 것보다 훨씬 쉬움) 네트워크 깊숙한 곳으로 측면으로 이동할 수 있습니다.
이 예제는 완전히 상상이 아닙니다. 2019년 5월 Microsoft는 Windows XP 및 Windows Server 2003용 패치를 출시했습니다. 두 운영 체제 모두 20주년을 앞두고 있지만 여전히 많은 조직의 IT 시스템의 일부로 운영되고 있다고 Guardicore의 Daniel Goldberg와 Ophir Harpaz 는 말합니다.
해커는 이미 액세스 권한을 얻기 위해 네트워크에서 가장 안전하지 않은 노드를 찾고 있습니다. 한 가지 유명한 예로, 해커들은 스마트 어항 센서를 사용하여 라스베이거스 카지노의 네트워크에 액세스했으며, 결국 카지노가 안전하다고 생각했던 카지노 고객에 대한 정보 데이터베이스를 침해했습니다.
사이버 AI 회사인 다크트레이스(Darktrace)의 사이버 인텔리전스 및 분석 책임자인 저스틴 피어(Justin Fier)는 “누군가 어항을 이용해 네트워크에 침입했고, 어항 안에 들어가면 스캔하여 다른 취약점을 발견하고 네트워크의 다른 위치로 측면으로 이동했다”고 말했다.
어항과 마찬가지로 레거시 시스템은 보험 회사 네트워크의 가장 취약한 부분을 나타낼 수 있으며 전체 IT 인프라를 취약하게 만들 수 있습니다.
레거시 시스템의 데이터 보안 과제
레거시 시스템은 데이터 보안 문제의 중심에 위치하는 경우가 많습니다. 유니레버의 부사장 겸 글로벌 최고 정보 보안 책임자인 바비 포드(Bobby Ford)는 “레거시 IT 시스템은 사이버 침해 사고의 핵심인 경우가 많으며, 폐기는 일반적으로 선택 사항이 아니기 때문에 정보 보안 전문가가 위험을 관리해야 한다”고 말합니다.
레거시 시스템은 IT 팀에 많은 문제를 제기합니다. 예를 들어, 보안 패치를 포함한 새로운 소프트웨어 업데이트는 이전 시스템에 적용하기가 더 어렵습니다. 레거시 시스템에는 기존 보안 제어에 대한 적절한 문서화가 부족할 수도 있습니다. 이 문서가 없으면 IT 팀은 방화벽, 암호화 장치, 멀웨어 탐지기 및 기타 보안 도구를 추가하기가 더 어렵다고 Carnegie Mellon University Software Engineering Institute의 선임 엔지니어 Susan Crozier Cox 는 말합니다.
또한 IT 팀은 레거시 시스템을 안전하게 유지하려고 할 때 증가하는 압력에 직면합니다. 팀은 끊임없이 변화하는 보안 위험과 도구에 대한 최신 정보를 유지해야 할 뿐만 아니라 이러한 위험과 도구가 레거시 시스템(적절한 문서가 없을 수 있는 동일한 시스템)의 컨텍스트에서 올바르게 이해되고 조정되도록 해야 합니다.
이러한 모든 문제로 인해 레거시 시스템을 유지 관리하고 보호하는 데 어려움이 있을 수 있습니다. 동시에 완전히 새로운 시스템으로 전환하는 데 드는 재정적 비용과 불편 비용도 만만치 않게 느껴질 수 있습니다.
레거시 시스템 보안 업데이트에 대한 모범 사례Best Practices for Legacy Systems Security Updates
레거시 시스템은 P&C 보험사의 일상 업무에서 핵심적인 역할을 하는 경우가 많습니다. 레거시 시스템 보안을 업데이트하고 유지하기 위한 모범 사례를 따르면 보험 회사가 레거시 시스템 데이터를 안전하게 사용할 수 있도록 보장할 수 있습니다.
팀으로 작업하십시오.
레거시 시스템 보안은 숙련된 IT 보안 전문가의 도움이 필요하지만, 프로젝트를 이들만의 손에 맡길 수는 없습니다. 대신 보안 전문가와 비즈니스 전문가가 함께 협력해야 합니다.
“보안 전문가의 역할은 사이버 공격의 가능성과 잠재적 영향을 평가하는 것이고, 비즈니스 [professionals] 의 역할은 어떤 시스템과 프로세스가 가장 중요한지 식별하는 것”이라고 Ford는 설명합니다.
보안 지평을 확장하십시오.
많은 보험 회사는 비즈니스 생태계를 구축하고 다른 회사와 협력하여 보험 회사를 삶의 여정의 모든 단계에서 고객을 돕기 위해 필요한 곳에 정확히 배치하기 위해 노력하고 있습니다.
데이터 전송 및 공유를 개선하기 위해 소프트웨어와 시스템을 연결하는 API(애플리케이션 처리 인터페이스)를 사용하는 것과 같은 여러 기술이 에코시스템 생성을 지원합니다. 그러나 레거시 시스템이 API 기반 에코시스템에 포함되면 특히 레거시 기술 보안에 대한 지침이 부족한 경우 프로세스가 더욱 복잡해진다고 Mphasis의 뱅킹 및 자본 시장 솔루션 책임자인 Shuvo G. Roy는 말합니다.
레거시 시스템은 보험 회사가 실행 가능한 에코시스템을 구축하는 것을 막을 필요가 없습니다. 그러나 보험사와 에코시스템 파트너는 레거시 시스템이 방정식에 진입할 때 발생하는 추가적인 보안 문제를 고려함으로써 이점을 얻을 수 있습니다.
효율성을 수용합니다.
새로운 플랫폼으로 업그레이드하는 데 드는 비용은 압도적으로 느껴질 수 있습니다. 그러나 구식 레거시 시스템을 따라 계속 간호하는 비용보다 훨씬 낮을 수 있습니다.
예를 들어, GAO 보고서에 따르면 연방 정부의 900억 달러에 달하는 IT 예산 중 약 80%가 50년 이상 된 레거시 시스템을 포함하여 오래된 시스템을 운영하고 유지 관리하는 데 지출되는 것으로 추정됩니다. 시간이 지남에 따라 레거시 시스템은 새로운 기술을 업그레이드하는 데 더 잘 사용될 수 있는 모든 조직의 예산 일부를 소비합니다. 업그레이드 비용에 직면한 일부 회사는 레거시 시스템을 현대화하기 위해 펌웨어 패치로 전환합니다. 패치가 어떤 경우에는 효과적일 수 있지만 시간이 지남에 따라 업그레이드보다 더 많은 비용이 드는 경우가 많다고 Vertiv의 David Dedinsky와 Ricardo Duque는 말합니다.
“시스템이 최적화되지 않아 활용률이 놀라울 정도로 낮고 좀비 서버가 비효율적입니다”라고 그들은 썼습니다. 펌웨어 패치는 레거시 시스템이 절뚝거리는 데 도움이 될 수 있지만 레거시 시스템을 지속적인 투자에 적합하지 않게 만드는 근본적인 문제를 해결하지는 못합니다.
랩어라운드 시스템과 같은 옵션은 보험 회사가 보안 조치 및 업그레이드 작업을 하는 동안 효율성을 개선하고 고객에게 계속 서비스를 제공하는 데 도움이 될 수 있다고 In2IT의 뱅킹 및 보험 지역 영업 관리자인 Kumar Utpal은 말합니다. 보안이 최우선 순위에 있을 때 보험 회사는 기존 투자를 활용하는 동시에 최신 기술을 단계적으로 도입할 수 있는 방법을 찾을 수 있습니다.
이미지 작성자: everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com
추가 자료
추천
19 9월 2024
19 9월 2024
19 9월 2024