정보통신 기술의 발전과 함께 해킹 기술도 진화하고 있으며, 이에 따른 정보유출 및 금전피해 등 보안이슈가 끊임없이 발생하고 있다.
또한, IoT가 실생활과 밀접한 관계를 형성하여 본격적인 시장 활성화가 진행 중이며, 다양한 O2O 서비스가 봇물 터지듯 출시되고 있는 초연결 환경에서의 보안이슈는 사이버 공간의 경계를 넘어 현실세계까지 전이/확대되어 인간의 생명까지 위협할 수 있을 정도의 심각한 영향을 미칠 수 있다는 점을 주목해야 할 것이다.
기업들은 이제 IT투자의 많은 부분을 보안부분 투자로 할당하고 있다.
기업마다 보안 강화를 위해 정보보안 전문가를 영입하여 정보보안 전담부서를 조직하고 각각의 영역에 대한 보안 솔루션들을 도입하고 있다. 그러나, 아직도 보안사고가 발생해야 뒤늦게 대응하는 경우가 많으며, 평상시 체계적인 프로세스에 의한 보안활동은 미흡한 실정이다.
보안 솔루션은 각각의 영역에서 해당 역할을 적절히 수행하고 있기 때문에 보안 솔루션을 도입하지 않은 조직보다는 보안위협에 비교적 안전하다할 수 있다. 그러나, 보안 솔루션이 도입되었으니 보안에는 문제없다는 생각은 상당히 위험한 생각이다.
이러한 생각은 보안진단의 중요성을 망각하게 하고, 누락되거나 미흡한 보안진단으로 인해 보안 홀이 발생하여 이를 통한 보안사고로까지 발전하는 밑바탕이 되고 있다.
이 같은 보안 현실을 체계적으로 개선하기 위해서는 관리적, 기술적, 물리적 융합 보호체계를 갖춰야 하며, Secure Coding 사전 적용, 모의해킹 및 보안 취약점 분석/점검을 통한 보안 강화가 무엇보다 중요하다.
지속적으로 늘어나는 기업의 다양한 서비스에 대해 적재적소에 보안 취약점 진단을 수행하고 신속하게 취약점을 제거하여 기업의 잠재된 보안위협을 제거할 수 있는 효과적인 프로세스 개선에 대한 필요성이 대두되기 시작했다.
본 논문에서 보안 취약점 진단 업무의 문제점을 소개하고, 이에 대한 개선 방안과 기업들이 기 운영하고 있는 개별 보안 솔루션과 보안 취약점 진단 프로세스와의 연계를 통해 기업이 요구하는 특화된 보안 진단 프로세스에 대해 소개하고자한다. 아울러, 기업 IT 인프라스트럭처 및 애플리케이션에 대한 보안 취약점 진단 이력관리를 통해 기업 내부의 보안위협 요소를 효과적으로 제거할 수 있는 통합 보안취약점진단관리시스템에 대한 소개도 하고자한다.