2012.07.31

글로벌 칼럼 | 저렴하고도 가장 큰 효과를 내는 보안 조치, 보안 의식

Ira Winkler | CSO
필자는 이전에 다국적 석유기업의 문제 상담 요청을 받은 적이 있다. 그 요청은 회사의 직원 가운데 한 명이 목격한 다른 직원의 평소와 다른 행동때문이었다. 조사가 이뤄진 후, 의심스러웠던 그 직원은 중국 정보요원에게 정보를 유출하고 있다는 사실이 밝혀졌다. 
 
또 다른 기업에서는, 직원이 자신의 뒤를 졸졸 따라와서 시설에 진입하려는 사람을 막아섰는데, 나중에 알고보니 그 사람이 회사에서 열대가 넘는 노트북 컴퓨터를 훔친 절도범으로 드러났다.
 
한 기업에서 침투 테스트를 시행할 때, 보안 관리자는 필자에게 특정 음식점에 가서 오랫동안 점심을 먹으며 그저 주변의 대화를 듣고만 있으라고 말했다. 그것만으로 회사 최고 상품의 마케팅 계획에 대해 많은 것을 알 수 있었다. 반면 보안 의식에 심혈을 기울이는 미국 국가 안보국 주변의 열몇 군데 음식점에서 점심을 먹었지만, 중요한 내용은 단 한 가지도 듣지 못했다.
 
엄격히 기술적인 테스트인 방화벽 침투 테스트 도중, 필자는 한 은행의 부행장에게서 쓸데없는 소셜 엔지니어링(social engineering) 행동을 그만두라는 전화를 받았다. 
 
필자는 그게 대체 무슨 소리인지 물었는데, 그 부행장은 그의 직원이 방화벽의 세부사항에 대해 묻는 전화를 받았고, 그들의 보안 의식 교육에서 알려준 그대로, 담당자의 연락처를 주면 다시 전화를 주겠다고 대답했다고 말했다. 관리자는 그 전화가 필자의 침투 테스트의 일부라고 생각했었지만, 사실은 그게 아니었다.
 
그 전화는 실제 공격이었고, 그들이 다행히도 제대로 대응했던 것이다.
 
필자는 이런 일들을 수도없이 경험했고, 그만큼의 보안 의식 성공 사례도 알고 있지만, 사실 모두가 그런 이야기 몇 개정도는 알고있다. 솔직히, 이 기사를 읽는 모든 이들이 공격의 피해자가 될 뻔했다가 다행히 벗어난 경험담을 하나씩은 갖고 있을 것이다.
 
우선 보안이 무엇인지 생각해보자. 데이브 에이텔의 최근 칼럼 '직원 대상 보안 의식 교육이 필요하지 않은 이유(Why you shouldn't train employees for security awareness)'는 모든 보안 조치가 100% 효과적이어야 한다는 생각을 갖게 한다. 에이텔은 그 기사를 비판하는 수많은 댓글에 대응해, 자신의 주장을 오히려 강화했다.
 
에이텔은 "보안 의식 교육에 대해 당신이 정확히 아는 한 가지가 있다면, 그것은 당신이 얼마의 돈을 쓰던간에, 열번 가운데 한번은 완전히 실패한다는 점이다. 보안 의식에 철저해야 할 단 한 사람을 꼽자면, 당연히 당신의 CSO인데, 그를 통해 보안 의식을 신경쓰지 않아도 될 보안 조치들을 시행할 수 있다"고 말했다. 
 
하지만 기술적, 비기술을 아우른 모든 보안 조치들은 언젠가 분명히 실패하기 마련이다. 만약 당신이 그걸 깨닫지 못한다면, 당신은 보안 전문가로서는 꽝이다. 보안의 정의는 말 그대로 '위험으로부터의 해방'이다. 당신은 세상의 위험으로부터 절대 해방되지 못할 것이다. 그래서 보안 전문가들은, 실제로는 '위험 관리'를 하고 있는 셈이다.
 
보안 전문가들은 최소한의 비용으로 위험을 최소화하도록 보안 프로그램을 기획하고 시행해야 하는 사람이다. 위험을 완벽히 방지하는 것이 아니라, 단지 최소화할 뿐이다. 당신은 전혀 손해를 입지 않을 수 없겠지만, 당신의 목표는 그 손해 수준을 적당히 제어하는 것이다.
 



2012.07.31

글로벌 칼럼 | 저렴하고도 가장 큰 효과를 내는 보안 조치, 보안 의식

Ira Winkler | CSO
필자는 이전에 다국적 석유기업의 문제 상담 요청을 받은 적이 있다. 그 요청은 회사의 직원 가운데 한 명이 목격한 다른 직원의 평소와 다른 행동때문이었다. 조사가 이뤄진 후, 의심스러웠던 그 직원은 중국 정보요원에게 정보를 유출하고 있다는 사실이 밝혀졌다. 
 
또 다른 기업에서는, 직원이 자신의 뒤를 졸졸 따라와서 시설에 진입하려는 사람을 막아섰는데, 나중에 알고보니 그 사람이 회사에서 열대가 넘는 노트북 컴퓨터를 훔친 절도범으로 드러났다.
 
한 기업에서 침투 테스트를 시행할 때, 보안 관리자는 필자에게 특정 음식점에 가서 오랫동안 점심을 먹으며 그저 주변의 대화를 듣고만 있으라고 말했다. 그것만으로 회사 최고 상품의 마케팅 계획에 대해 많은 것을 알 수 있었다. 반면 보안 의식에 심혈을 기울이는 미국 국가 안보국 주변의 열몇 군데 음식점에서 점심을 먹었지만, 중요한 내용은 단 한 가지도 듣지 못했다.
 
엄격히 기술적인 테스트인 방화벽 침투 테스트 도중, 필자는 한 은행의 부행장에게서 쓸데없는 소셜 엔지니어링(social engineering) 행동을 그만두라는 전화를 받았다. 
 
필자는 그게 대체 무슨 소리인지 물었는데, 그 부행장은 그의 직원이 방화벽의 세부사항에 대해 묻는 전화를 받았고, 그들의 보안 의식 교육에서 알려준 그대로, 담당자의 연락처를 주면 다시 전화를 주겠다고 대답했다고 말했다. 관리자는 그 전화가 필자의 침투 테스트의 일부라고 생각했었지만, 사실은 그게 아니었다.
 
그 전화는 실제 공격이었고, 그들이 다행히도 제대로 대응했던 것이다.
 
필자는 이런 일들을 수도없이 경험했고, 그만큼의 보안 의식 성공 사례도 알고 있지만, 사실 모두가 그런 이야기 몇 개정도는 알고있다. 솔직히, 이 기사를 읽는 모든 이들이 공격의 피해자가 될 뻔했다가 다행히 벗어난 경험담을 하나씩은 갖고 있을 것이다.
 
우선 보안이 무엇인지 생각해보자. 데이브 에이텔의 최근 칼럼 '직원 대상 보안 의식 교육이 필요하지 않은 이유(Why you shouldn't train employees for security awareness)'는 모든 보안 조치가 100% 효과적이어야 한다는 생각을 갖게 한다. 에이텔은 그 기사를 비판하는 수많은 댓글에 대응해, 자신의 주장을 오히려 강화했다.
 
에이텔은 "보안 의식 교육에 대해 당신이 정확히 아는 한 가지가 있다면, 그것은 당신이 얼마의 돈을 쓰던간에, 열번 가운데 한번은 완전히 실패한다는 점이다. 보안 의식에 철저해야 할 단 한 사람을 꼽자면, 당연히 당신의 CSO인데, 그를 통해 보안 의식을 신경쓰지 않아도 될 보안 조치들을 시행할 수 있다"고 말했다. 
 
하지만 기술적, 비기술을 아우른 모든 보안 조치들은 언젠가 분명히 실패하기 마련이다. 만약 당신이 그걸 깨닫지 못한다면, 당신은 보안 전문가로서는 꽝이다. 보안의 정의는 말 그대로 '위험으로부터의 해방'이다. 당신은 세상의 위험으로부터 절대 해방되지 못할 것이다. 그래서 보안 전문가들은, 실제로는 '위험 관리'를 하고 있는 셈이다.
 
보안 전문가들은 최소한의 비용으로 위험을 최소화하도록 보안 프로그램을 기획하고 시행해야 하는 사람이다. 위험을 완벽히 방지하는 것이 아니라, 단지 최소화할 뿐이다. 당신은 전혀 손해를 입지 않을 수 없겠지만, 당신의 목표는 그 손해 수준을 적당히 제어하는 것이다.
 

X