Offcanvas

리더십|조직관리 / 보안

기고 | 직원 대상 보안 의식 교육이 필요 없는 이유

2012.07.20 Dave Aitel  |  CSO


기업들은 직원들의 보안 인식 제고를 위한 교육에 시간, 돈, 인적 자원을 투자하는 대신, 환경 보안과 네트워크 분리에 초점을 맞춰야 한다. IT는 직원들이 링크를 클릭하거나, 첨부 파일을 열어봐도 기업에 피해가 없도록 한다는 사고방식을 가져야 한다. 어찌됐든 이런 일이 발생할 것이기 때문이다. 따라서 이에 대한 대책을 마련하는 것이 중요하다. CSO와 CISO, IT 보안 담당자는 보안 위협이 직원들에게 도달하기 전에 이를 멈춰야 한다. 이런 대책이 실패한다면, 감염이 확산되지 않도록 네트워크를 적절히 분리해야 한다.

다음은 직원들을 대상으로 한 보안 교육 대신 중점을 둬야 하는 내용들이다.

환경을 감사한다: 내부 보안 담당자는 물론 외부 모의해킹 테스터가 웹사이트, 백엔드 데이터베이스, 서버, 네트워크의 취약성, msDash를 정기적으로 감사해야 한다. 현재는 물론 앞으로 발생하지도 모를 공격 상황을 모두 감안해야 한다. 시티그룹(Citigroup)이 웹 애플리케이션의 취약점 테스트를 했다면, 2011년 6월 20만 고객 계정을 대상으로 한 공격을 피할 수 있었을 것이다. 이는 가장 저렴하면서도 쉬운 보안 대책 방법이다.

경계 방어/감시: 경계를 탄탄하게 방어하고, 정기적으로 테스트를 해야 한다. 침입과 데이터 유출로부터 네트워크를 보호해야 한다 또 지속적으로 데이터가 유출되는지 감시를 해야 한다.

중요한 데이터를 분리하고 보호: 온라인 데이터베이스에 기업에 중요한 정보를 보관하고 있는가? 기밀 데이터는 CSO/CISO가 직접 챙겨야 한다. CSO/CISO는 온라인에 저장해둔 정보를 철저하게 조사하고, 정말 중요한 데이터는 오프라인으로 이동시키거나, 엄격하게 네트워크에서 분리해야 한다.

네트워크를 분리: 네트워크와 정보를 분리해, 사이버 공격이 성공하더라도 전사적인 파급이 없도록 해야 한다. RSA가 네트워크와 정보를 분리했다면, 시큐어ID 토큰 도난을 방지할 수 있었을 것이다. 즉 특정 직원의 PC가 감염되었다 하더라도, 전체 시스템에 확산이 되지 않도록 해야 한다.

액세스 크립: 각 직원들이 네트워크와 중요한 데이터에 접근하는 권한 수준은 어떠한가? 얼마나 잘 감시를 하고 있는가? 효과적인 보안을 위해서는 불필요한 접근을 제한해야 한다.

사고 대응: 중요한 루트킷을 사전에 조사해야 한다. 놀랄만한 사실을 발견할 수도 있다. 그리고 이는 'APT(Advanced Persistent Threats)'에 대한 방어체계에 있어 첫 걸음이 된다.

보안 리더십: CSO/CISO를 임명하는 것만으로는 불충분하다. 보안 책임자에게 그만한 권한을 줘야 한다. 보안 책임자는 보안에 실패한 프로젝트에 대한 결정을 내릴 수 있는 권한을 가져야 하고, 보안 예산과 관련해 의견을 개진할 수 있어야 한다. 보안 프로그램에는 마케팅 예산과 유사한 수준의 예산을 배정해야 한다.

직원 보안 교육 프로그램에 많은 투자를 하고 있다. 그러나 CSO/CISO는 이보다는 네트워크 위협 방지와 잠재적 위협 경감에 초점을 맞추는 것이 낫다. 직원들이 회사를 안전하게 보호할 것이라고 기대하기는 힘들다. 사실 정반대이다. 보안 교육은 혼란만을 초래할 수 있다.

기업들은 공격적인 보안 프로그램을 통해 네트워크와 직원을 보호할 수 있다.

*Dave Aitel은 이뮤니티(Immunity Inc.,)의 CEO이자 전직 미국국가안전보장국(National Security Agency)의 컴퓨터 과학자다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.