10년 전 Global Surveillance Disclosures는 데이터 침해의 심각한 결과를 보여주었습니다. 그러나 정부만 위험에 처한 것은 아닙니다. 2014년에는 Heartbleed와 같은 버그가 출현하여 기업과 개인에게 위협이 되었습니다. 이 시기는 보안 감시 카메라를 포함한 IP 네트워크 장치에 대해 고유한 취약성을 해결해야 할 필요성을 분명히 보여주었습니다.
오늘날 많은 파트너와 최종 사용자는 사이버 보안 여정에서 상당한 발전을 이루었습니다. 하지만 사이버 보안은 계속해서 움직이는 목표입니다. 조직은 포괄적인 사이버 보안 정책 및 절차와 투명한 접근 방식을 결합한 공급업체와 지속적으로 협력해야 합니다.
일부 조직에서는 사이버 보안을 위해 관리 예산을 확보하는 것이 여전히 어려운 과제가 될 수 있습니다. 가용 예산 및 리소스를 사이버 보안 위험과 견주어 볼 때, 후자의 전체 범위를 이해하는 것이 중요합니다. 이미 사이버 보안 여정을 거친 조직으로부터 배우는 것이 유용할 수 있습니다.
오늘날, Axis는 사이버 보안 여정이 시작된 이래로 큰 발전을 이루었습니다. 우리는 사이버 보안을 우리 제품의 최전선에 두고 회사로서 Axis를 운영하는 방법에 관해 성숙 단계에 도달했습니다. 성숙 단계로 이르기까지의 과정을 공유하는 것은, 파트너와 최종 사용자가 강력한 사이버 보안 전략을 개발하는 데 유용한 교훈을 제공할 수 있을 것입니다.
사이버 보안에 대한 인식을 키우다
2014년, Axis는 사이버 보안에 초점을 맞추고 성숙도를 높이기 위한 전략을 정의하기로 결정했습니다. 그 시점까지 IP 기반 물리적 보안 시장의 사이버 보안은 대부분의 제조업체, 통합업체 또는 최종 사용자의 의제가 아니었습니다. 그 이전에는 많은 시스템이 여전히 아날로그 시스템이었고 초기 디지털 네트워크도 일반적으로 개방형 네트워크에 연결되지 않았기 때문에, 사이버 보안은 중요한 문제가 아니었습니다.
하지만, 인터넷 프로토콜(IP) 연결은 보안 카메라의 미래였습니다. PC 부문은 2000년대 초반에 성숙기를 거쳤는데, 그 후 2013년의 문제가 발생했습니다. Axis는 이미 이 시점 이전에 카메라에 사용자 관리, HTTPS, IP 필터링 등 기본적인 보안 제어 기능을 포함하면서 사이버 보안을 강화하기 시작했습니다. 또한 Axis R&D 팀은 취약성 검색과 같은 기본적인 보안 활동을 수행했으며 펌웨어 업데이트와 "IEEE 802.1X 네트워크 액세스 제어 기술"을 제공했습니다. 하지만 개발 중인 위협 환경은 새로운 전략을 요구했습니다
성숙도를 이루기 위한 기반을 다지다
2013년에 발생한 유명한 사이버 보안 공격은 Axis가 비디오 카메라 시장에서 처음으로 사이버 보안에 더 많은 초점을 맞춘 촉매제가 되었습니다. 하지만 이 시점에서 우리는 또한 파트너와 고객으로부터 사이버 보안을 개선하는 방법에 대한 질문을 받기 시작했습니다. 2015년 초기 사이버 보안 전략을 정의하는 과정에서 Axis는 파트너와 최종 사용자의 네트워크, 장치 및 서비스 보안을 지원하는 Axis 보안 강화 가이드의 첫 번째 버전을 발표했습니다.
우리의 성숙도가 높아짐에 따라, 새로운 보안 기능을 개발하는 것만으로는 사이버 보안을 달성할 수 없다는 사실을 깨달았습니다. 전략, 프로세스 및 정책도 시간이 지남에 따라 개발, 개선 및 유지 관리되어야 했습니다. 이러한 인식은 부분적으로 사이버 보안 여정에서 이미 성숙 단계에 있는 투자 은행 및 보안 조직과 같은 고객과 협력하고 학습함으로써 얻을 수 있었습니다.
취약성에 대한 투명성을 갖추다
사이버 보안 여정의 이 단계에서, 독립 연구원과의 만남은 또한 우리의 성숙도를 높이는 데 도움이 되었습니다. 2016년, 한 독립 연구원이 중요한 취약성을 발견했습니다. 우리는 결함을 해결하고 대응과 투명성을 인정받았습니다. 이러한 상황은 또한 서로 다른 장치에 여러 버전을 유지하는 것보다는 단일 플랫폼 소프트웨어를 유지하는 것이 유익하다는 것, 그리고 정기적인 소프트웨어 업데이트가 필요하다는 것을 보여주었습니다.
정책 및 절차 개발을 통해, 보안 산업 제품에 널리 사용되는 gSOAP 코드 내에 위치한 '악마의 아이비' 취약점이 또 다른 취약점으로 확인되자 신속하게 해결되었습니다. 우리는 ONVIF 표준 통신 인터페이스에 대한 지원을 개발하기 위해 공급업체에서 사용하는 오픈 소스 패키지에서 이 취약점을 발견했고, 이를 경쟁업체들에 조기 경고했습니다. 이러한 투명성에 대해 Wired 잡지는 Axis를 칭찬했습니다.
중요하게도, 독립 연구원들과의 우리의 경험은 사이버 보안을 우선순위에 두어야 한다는 것을 보여주었습니다. 이를 달성하기 위해, Axis는 현재 소프트웨어 보안 이니셔티브 또는 프로그램에 대한 연구인 BSIMM(Building Security in Matures Model)과 협력하여 성숙한 사이버 보안을 보유한 조직의 관행을 평가했습니다.
사이버 보안의 성숙도를 갖추다
2017년, 이러한 사이버 보안 정책 및 절차는 Axis 소프트웨어 개발에 사이버 보안을 필수적인 요소로 만든 ASDM(Axis Security Development Model)에서 공식화되었습니다. 또한 모든 제품 개발이 모범 관행을 기반으로 이루어졌는지 확인하기 위해 Axis 소프트웨어 보안 그룹(SSG)을 발족하여 설계, 개발 및 테스트 중에 Axis 개발 엔지니어와 협력하여 취약성 위험을 최소화할 수 있게 했습니다.
이전의 경험은 투명성이 강력한 사이버 보안의 근본적인 요구 사항이기도 하다는 것을 증명했습니다. 따라서 2017년에는 우리는 잠재적인 취약성을 식별하고 완화하기 위한 모든 개발 단계의 공동 노력을 보장하기 위해 Axis Vulnerability Management Policy를 발표했습니다. 동시에, 시장에 설치된 IP 카메라의 양은 지금까지 기하급수적으로 증가했습니다. 효율적인 관리 업데이트를 통해 사이버 보안을 보장하기 위해 AXIS Device Manager와 나중에 추가 도구로 출시된 AXIS Device Manager Extend가 점점 더 중요한 역할을 하기 시작했습니다.
고객과 파트너의 사이버 보안 여정에 대한 가이드를 제공하다
2019년 이후, 필요한 자원의 지원을 바탕으로 한 프로세스 개발과 전담 팀 덕분에 사이버 보안은 Axis의 일상 활동에서 필수적인 부분입니다. Axis의 사이버 보안은 성숙한 수준에 도달했지만, 이러한 여정으로부터 얻은 학습 경험에서 볼 때 사이버 보안에 지속적인 우선순위를 가져가는 것이 중요합니다.
조직이 자체적인 사이버 보안 여정을 진행하도록 안내할 때에는, 사이버 보안 제품의 기능에만 집중하기보다는 정책과 절차를 개발하기 위한 위협에 대한 이해를 구축하는 것이 중요하다는 점을 강조해야 합니다. 이러한 목표가 달성되면, 사이버 보안은 지속적인 여정이며, 이를 유지하는 데 필수적인 리소스와 전문 지식을 보유해야 한다는 점을 꼭 유념해야 합니다.
지속적인 개발의 일환으로, Axis는 Axis 제품의 CNA(Common Vulnerability and Exposure) 번호 부여 기관)로 승인되었으며 최근 AXIS OS용 소프트웨어 BOM(Bill of Materials)을 발표했습니다. 여기에는 외부 보안 연구원 및 윤리적 해커와 전문적인 관계를 구축하기 위한 Axis의 헌신을 강화하는 사설 버그 바운티 프로그램도 포함됩니다. 개방성과 정직성은 파트너, 고객 및 모든 이해 관계자 간에 신뢰를 구축하며, 이 투명한 접근 방식은 가장 효과적인 방어 수단을 만드는 데 도움이 됩니다.