2012.05.31

기밀 데이터, 삭제할 것인가 보관할 것인가

Taylor Armerding | CSO
기업이 기밀 데이터를 도난 당하지 않는 유일한 방법은 삭제뿐이다. 그러나 보안 전문가들은 이를 실천에 옮기는 기업은 소수에 불과하다고 지적한다.
 
알란 브릴 크롤 어드바이저리 솔루션스 수석 관리 이사는 최근 다크 리딩(Dark Reading)과 가진 한 인터뷰에서 "기밀 데이터가 없다면 훔칠 방법도 없다"는 말을 한 바 있다.
 
그러나 말처럼 쉽지는 않은 게 현실이다. 또한 불행히도 이런 생각을 실천에 옮기는 기업도 많지 않다.
 
체스터 위즈니스키 소포스 수석 보안 컨설턴트는 "이는 중요한 문제"라고 말했다. 위즈니스키는 "디지털 시대에 많은 기업들은 사용자와 고객에 대한 방대한 정보를 수집한다. 그리고 미래에 쓸모가 있을 것이라고 판단해 이를 감춰두곤 한다. 이로 인해 필요 이상으로 데이터 침해 사고가 일어나곤 한다. 기업이 자신들의 정보를 비축해두고 있기 때문"이라고 설명했다.
 
위즈니스키는 기밀 데이터 삭제가 '일상 업무'가 돼야 한다고 주장했다. 그러나 최초 데이터 구조 설계에 반영되지 않았다면 이는 어려운 문제다. 이런 문제가 발생하는 이유 가운데 하나는 정보를 비축해두는 것이 저렴하고 쉽기 때문이다. 디지털 시대인 만큼 파일 캐비넷에 공간이 없을까 걱정하는 등의 문제는 없다.
 
위즈니스키는 "사람들은 비축해 둔 데이터가 언젠가는 큰 값어치를 할 금광이라고 생각한다. 또한 보관에 문제도 없다. 과거와는 달리 많은 정보를 비축해두는 것이 너무 쉬어졌다. 그러나 이를 수집하는 책임을 진 사람들 가운데 정보 도난이 얼마나 쉬울지 이해하고 있는 사람들이 많지 않은 실정"이라고 지적했다.
 
딘 곤소우스키 시만텍 수석 e디스커버리 컨설턴트는 다크 리딩과의 인터뷰에서, 수집한 정보가 늘어나는 동시에 위험도 커진다고 강조했다. 데이터 침해 위험, 법과 규제를 준수하지 못했을 때의 문제들, 만약 판사가 특정 정보를 찾으라고 명령했을 때의 비용 등이다.
 
곤소우스키는 많은 기업들이 유지해야 하는 데이터와 폐기해야 하는 데이터를 구분하는 방법조차 모른다고 지적했다.  심지어는 데이터 파괴 정책을 보유하고 있는 기업조차도 너무 일반적으로 이를 규정하고 있다. 또는 IT 부서가 이를 실천에 옮길 역량을 갖고 있지 못한다.
 
컨설팅 업체 프로티비티가 최근 실시한 설문 조사에 따르면, 응답자의 81%가 데이터 유지 및 폐기와 관련된 정책을 보유하고 있지만, 이 가운데 유지해야 하는 데이터를 계획적으로 판단하고 있다고 응답한 이는 전체의 50%에 불과했다.
 
위즈니스키는 "회사마다 우선순위가 다를 수 있다"고 말했다. 그는 "어떤 데이터에 가치를 두는지에 달려있다. 나는 데이터를 유지하지 말라고 충고한다. 그러나 개인 식별 정보를 포함해 마케팅과 고객에 대한 정보를 유지할 계획인데, 민감한 정보와 그렇지 않은 정보를 분류할 수 없다면, 최소한 이들 데이터는 암호화를 통해 보호해야 한다"고 주장했다.
 
크노스(KNOS) 프로젝트의 공동 설립자이자 수석 아키텍트인 케빈 맥알리비는 더 이상 필요 없는 데이터를 제거하고 가치 있는 데이터를 유지하도록 데이터베이스를 프로그래밍해야 한다고 말했다.
 
맥알리비는 "모든 데이터를 비축해뒀을 경우, 단 한 번의 데이터 침해에도 기업의 평판이 무너져 내릴 수 있다. 데이터 침해 사고로 초래되는 비용은 민감한 데이터를 적절히 관리하는데 드는 비용에 비할 바가 아니다. 그러나 많은 기업들이 사고가 일어나고 난 후에야 이를 깨닫곤 한다"고 지적했다.
 
맥알리브는 "나와 아내가 지금의 회사를 시작했을 때 기술 진단 기능을 설계해 집어넣어 PII가 수집되지 않도록 했다. 기술 데이터만 보관한 것"이라고 말했다. 또한 "보관해야 하는 데이터라 할지라도 가능한 빨리 오프라인으로 옮기고 있다"고 덧붙였다.
 
위즈니스키는 민간 기업이든 공공 기업이든 모든 기업들이 데이터 분류를 위한 시스템을 구축해야 한다고 강조했다.
그는 "기업들은 자신들이 벽 안에서 보호받고 있다고 생각을 하곤 했다. 그러나 모바일 환경이 자리를 잡으면서, 더 이상 내부와 외부의 구분이 없는 실정이다. 직원이든 또는 불순한 의도를 가진 사람이든 전세계 어디에서나 데이터에 접근할 수 있다. 현재 일부 기업들은 데이터를 능숙하게 분류하고 있다. 마치 군대와 같다. 예를 들어, A급(Class A) 데이터는 무조건 암호화를 한다. 잃어버리거나 도난을 당해도 보호를 할 수 있게 하기 위해서"라고 말했다.
 
그러나 그는 "여전히 데이터 침해 사고가 발생한다. CEO를 비롯 경영진이 이를 제대로 인식하지 못하기 때문"이라고 덧붙였다.
 
위즈니스키는 3년 전 소니의 데이터 침해 사고를 상기시켰다. 신용카드 데이터가 들어있는 서버에 대해 깜박해 일어난 사고다. 좀더 최근에 발생한 유타 주 보건부의 의료 기록 침해 사고도 마찬가지다. 보건부가 매일 데이터를 지우도록 되어 있는 보안 절차를 제대로 지키지 않아 발생한 사건이다.
 
그는 규모가 작거나 보안 부서의 역량이 부족한 기업이라면 이를 잘 처리할 수 있는 외부 업체에 아웃소싱할 것을 제안했다. 그는 이런 대책을 준비하지 않는다면, 데이터를 수집해서는 안 된다고 강조했다. editor@itworld.co.kr



2012.05.31

기밀 데이터, 삭제할 것인가 보관할 것인가

Taylor Armerding | CSO
기업이 기밀 데이터를 도난 당하지 않는 유일한 방법은 삭제뿐이다. 그러나 보안 전문가들은 이를 실천에 옮기는 기업은 소수에 불과하다고 지적한다.
 
알란 브릴 크롤 어드바이저리 솔루션스 수석 관리 이사는 최근 다크 리딩(Dark Reading)과 가진 한 인터뷰에서 "기밀 데이터가 없다면 훔칠 방법도 없다"는 말을 한 바 있다.
 
그러나 말처럼 쉽지는 않은 게 현실이다. 또한 불행히도 이런 생각을 실천에 옮기는 기업도 많지 않다.
 
체스터 위즈니스키 소포스 수석 보안 컨설턴트는 "이는 중요한 문제"라고 말했다. 위즈니스키는 "디지털 시대에 많은 기업들은 사용자와 고객에 대한 방대한 정보를 수집한다. 그리고 미래에 쓸모가 있을 것이라고 판단해 이를 감춰두곤 한다. 이로 인해 필요 이상으로 데이터 침해 사고가 일어나곤 한다. 기업이 자신들의 정보를 비축해두고 있기 때문"이라고 설명했다.
 
위즈니스키는 기밀 데이터 삭제가 '일상 업무'가 돼야 한다고 주장했다. 그러나 최초 데이터 구조 설계에 반영되지 않았다면 이는 어려운 문제다. 이런 문제가 발생하는 이유 가운데 하나는 정보를 비축해두는 것이 저렴하고 쉽기 때문이다. 디지털 시대인 만큼 파일 캐비넷에 공간이 없을까 걱정하는 등의 문제는 없다.
 
위즈니스키는 "사람들은 비축해 둔 데이터가 언젠가는 큰 값어치를 할 금광이라고 생각한다. 또한 보관에 문제도 없다. 과거와는 달리 많은 정보를 비축해두는 것이 너무 쉬어졌다. 그러나 이를 수집하는 책임을 진 사람들 가운데 정보 도난이 얼마나 쉬울지 이해하고 있는 사람들이 많지 않은 실정"이라고 지적했다.
 
딘 곤소우스키 시만텍 수석 e디스커버리 컨설턴트는 다크 리딩과의 인터뷰에서, 수집한 정보가 늘어나는 동시에 위험도 커진다고 강조했다. 데이터 침해 위험, 법과 규제를 준수하지 못했을 때의 문제들, 만약 판사가 특정 정보를 찾으라고 명령했을 때의 비용 등이다.
 
곤소우스키는 많은 기업들이 유지해야 하는 데이터와 폐기해야 하는 데이터를 구분하는 방법조차 모른다고 지적했다.  심지어는 데이터 파괴 정책을 보유하고 있는 기업조차도 너무 일반적으로 이를 규정하고 있다. 또는 IT 부서가 이를 실천에 옮길 역량을 갖고 있지 못한다.
 
컨설팅 업체 프로티비티가 최근 실시한 설문 조사에 따르면, 응답자의 81%가 데이터 유지 및 폐기와 관련된 정책을 보유하고 있지만, 이 가운데 유지해야 하는 데이터를 계획적으로 판단하고 있다고 응답한 이는 전체의 50%에 불과했다.
 
위즈니스키는 "회사마다 우선순위가 다를 수 있다"고 말했다. 그는 "어떤 데이터에 가치를 두는지에 달려있다. 나는 데이터를 유지하지 말라고 충고한다. 그러나 개인 식별 정보를 포함해 마케팅과 고객에 대한 정보를 유지할 계획인데, 민감한 정보와 그렇지 않은 정보를 분류할 수 없다면, 최소한 이들 데이터는 암호화를 통해 보호해야 한다"고 주장했다.
 
크노스(KNOS) 프로젝트의 공동 설립자이자 수석 아키텍트인 케빈 맥알리비는 더 이상 필요 없는 데이터를 제거하고 가치 있는 데이터를 유지하도록 데이터베이스를 프로그래밍해야 한다고 말했다.
 
맥알리비는 "모든 데이터를 비축해뒀을 경우, 단 한 번의 데이터 침해에도 기업의 평판이 무너져 내릴 수 있다. 데이터 침해 사고로 초래되는 비용은 민감한 데이터를 적절히 관리하는데 드는 비용에 비할 바가 아니다. 그러나 많은 기업들이 사고가 일어나고 난 후에야 이를 깨닫곤 한다"고 지적했다.
 
맥알리브는 "나와 아내가 지금의 회사를 시작했을 때 기술 진단 기능을 설계해 집어넣어 PII가 수집되지 않도록 했다. 기술 데이터만 보관한 것"이라고 말했다. 또한 "보관해야 하는 데이터라 할지라도 가능한 빨리 오프라인으로 옮기고 있다"고 덧붙였다.
 
위즈니스키는 민간 기업이든 공공 기업이든 모든 기업들이 데이터 분류를 위한 시스템을 구축해야 한다고 강조했다.
그는 "기업들은 자신들이 벽 안에서 보호받고 있다고 생각을 하곤 했다. 그러나 모바일 환경이 자리를 잡으면서, 더 이상 내부와 외부의 구분이 없는 실정이다. 직원이든 또는 불순한 의도를 가진 사람이든 전세계 어디에서나 데이터에 접근할 수 있다. 현재 일부 기업들은 데이터를 능숙하게 분류하고 있다. 마치 군대와 같다. 예를 들어, A급(Class A) 데이터는 무조건 암호화를 한다. 잃어버리거나 도난을 당해도 보호를 할 수 있게 하기 위해서"라고 말했다.
 
그러나 그는 "여전히 데이터 침해 사고가 발생한다. CEO를 비롯 경영진이 이를 제대로 인식하지 못하기 때문"이라고 덧붙였다.
 
위즈니스키는 3년 전 소니의 데이터 침해 사고를 상기시켰다. 신용카드 데이터가 들어있는 서버에 대해 깜박해 일어난 사고다. 좀더 최근에 발생한 유타 주 보건부의 의료 기록 침해 사고도 마찬가지다. 보건부가 매일 데이터를 지우도록 되어 있는 보안 절차를 제대로 지키지 않아 발생한 사건이다.
 
그는 규모가 작거나 보안 부서의 역량이 부족한 기업이라면 이를 잘 처리할 수 있는 외부 업체에 아웃소싱할 것을 제안했다. 그는 이런 대책을 준비하지 않는다면, 데이터를 수집해서는 안 된다고 강조했다. editor@itworld.co.kr

X