2012.09.07

물리적 보안과 정보 보안 통합하기, 의료 기관의 사례

Kim S. Nash | CIO

야간 경비원과 IT 보안 담당자가 맡고 있는 역할은 사실 유사하다. 회사를 보호하는 것이 핵심이다. 그러나 두 직종이 협력하는 경우는 드물다. 많은 기업에서 물리적 보안과 정보 보안을 별개로 취급하고 있다. 그러나 두 기능을 통합하면 기업 운영에 필요한 값진 데이터, 임직원, 자산을 더 잘 보호할 수 있다.

통합은 기업의 전반적인 위험을 평가하기 위한 첫 단추다. 그러나 최근 이런 통합을 완료한 약물 및 알콜 중독 치료 시설인 오스틴 리커버리(Austin Recovery)의 조나단 로스 CEO는, 물리적 보안과 정보 보안 통합에 대한 여러 도전을 극복해야 한다는 의미라고 전했다.
오스틴 리커버리는 시설 건물과 출입구에 레드클라우드(RedCloud)의 물리적 접근 관리 시스템을 설치했다. 이는 내부 인력과 기술을 연결하는 시스템이다. 오스틴 리커버리의 직원들은 허가증이나 인증서를 가지고 있어야 보안 처리된 웹 인터페이스를 통해 레드클라우드 시스템을 제어할 수 있다.

오스틴 리커버리가 물리적 보안과 정보 보안을 통합하는 과정에 터득한 보안과 관련된 교훈은 기업들이 정보와 직원, 고객을 더 잘 보호할 수 있는 방법을 제시한다.

도움이 필요하다는 사실을 깨닫는다
재활 센터는 다른 의료 시설과 마찬가지로 HIPPA(Health Information Protection and Portability Act), 기타 개인 정보와 의료 정보 보호를 규정하고 있는 법과 제도를 준수해야 한다. 오스틴 리커버리 또한 이를 충족하기 위해 노력했다.

그러나 전반적인 분위기는 데이터, 시스템, 물리적 시설을 차단하는 것이 나을 수 있다고 생각하는 보안 담당자들의 인식과 상충됐다. 로스 CEO는 "지원을 나온 정보 보안 전문가들 사이에서는 개방적이어야 한다는 인식이 있었다”라고 말했다.

많은 기업들이 너무 많은 개방성을 용인하거나, 구멍을 방치하고 있다. 4개국의 법 집행 기관과 공동으로 보안 침해에 대한 연례 보고서를 발표한 버라이즌에 따르면, 지난해인 2011년 소매, 금융 서비스, 석유 및 가스, 관광, 식품 서비스, 제조업 분야의 기업에 발생한 데이터 침해사고는 모두 855건에 달한다.

이들 데이터 사고의 약 10%에는 물리적 보안이 무너진 사례가 포함되어 있었다. 중요한 정보가 들어있는 장비와 시스템에 물리적으로 접근하거나, 적법한 접근 코드를 가짜 코드로 바꿔 사무실이나 기계에 접근하며 발생한 사고들이었다.

보안 전문가 양성에 초점을 맞추고 있는 연구 단체인 NBISE(National Board of Information Security Examiners)의 마이클 아산테 CEO는 물리적 보안과 정보 보안을 분리하면 둘 사이에 간극이 생겨 침투를 하더라도 알아채지 못하는 상황이 발생한다고 지적했다. 또 사고 사실을 파악해도 효과적인 대책을 할 수 없다고 덧붙였다.

아산테는 과거 전력 그리드 성능을 감시하는 노스 아메리칸 일렉트릭 릴라이어빌리티(North America Electric Reliability Corp)의 CSO를 역임한 인물로, 전력 그리드에 보안 기준을 이행하는 업무를 관장했었다.

그에 따르면 물리적 보안 담당자와 정보 보안 담당자로 구성된 보안 팀은 문제를 더 신속하게 파악하기 위해 다양한 조사 기법을 적용할 수 있다. 그는 "상존하는 취약성을 가장 완벽하게 없애는 방법이 무엇인지 파악하는 것이 아주 중요하다"고 말했다.

한편 경영진들은 때때로 자신들의 보안 역량을 과대 평가하는 경향이 나타났다. 프라이스워터하우스푸커스(PricewaterhouseCoopers)와 CIO의 자매지인 CSO가 공동으로 수행해 발표한 글로벌 보안 서베이에 따르면, 비즈니스 및 IT 경영진 9,600명 가운데 무려 43%가 자신들을 보안 분야의 선두주자라고 칭하고 있다.

그러나 추가 조사 결과는 이와 달랐다. 이들 경영진들이 지난 연도 동안 기업 보안 정책을 점검했는지, 최근 보안 침해 사고가 있었는지, 원인을 파악했는지를 묻고, 이를 근거로 판단했을 때 실제 보안 분야의 선두주자라고 할 수 있는 응답자의 비중은 단 13%에 불과했다.
 




2012.09.07

물리적 보안과 정보 보안 통합하기, 의료 기관의 사례

Kim S. Nash | CIO

야간 경비원과 IT 보안 담당자가 맡고 있는 역할은 사실 유사하다. 회사를 보호하는 것이 핵심이다. 그러나 두 직종이 협력하는 경우는 드물다. 많은 기업에서 물리적 보안과 정보 보안을 별개로 취급하고 있다. 그러나 두 기능을 통합하면 기업 운영에 필요한 값진 데이터, 임직원, 자산을 더 잘 보호할 수 있다.

통합은 기업의 전반적인 위험을 평가하기 위한 첫 단추다. 그러나 최근 이런 통합을 완료한 약물 및 알콜 중독 치료 시설인 오스틴 리커버리(Austin Recovery)의 조나단 로스 CEO는, 물리적 보안과 정보 보안 통합에 대한 여러 도전을 극복해야 한다는 의미라고 전했다.
오스틴 리커버리는 시설 건물과 출입구에 레드클라우드(RedCloud)의 물리적 접근 관리 시스템을 설치했다. 이는 내부 인력과 기술을 연결하는 시스템이다. 오스틴 리커버리의 직원들은 허가증이나 인증서를 가지고 있어야 보안 처리된 웹 인터페이스를 통해 레드클라우드 시스템을 제어할 수 있다.

오스틴 리커버리가 물리적 보안과 정보 보안을 통합하는 과정에 터득한 보안과 관련된 교훈은 기업들이 정보와 직원, 고객을 더 잘 보호할 수 있는 방법을 제시한다.

도움이 필요하다는 사실을 깨닫는다
재활 센터는 다른 의료 시설과 마찬가지로 HIPPA(Health Information Protection and Portability Act), 기타 개인 정보와 의료 정보 보호를 규정하고 있는 법과 제도를 준수해야 한다. 오스틴 리커버리 또한 이를 충족하기 위해 노력했다.

그러나 전반적인 분위기는 데이터, 시스템, 물리적 시설을 차단하는 것이 나을 수 있다고 생각하는 보안 담당자들의 인식과 상충됐다. 로스 CEO는 "지원을 나온 정보 보안 전문가들 사이에서는 개방적이어야 한다는 인식이 있었다”라고 말했다.

많은 기업들이 너무 많은 개방성을 용인하거나, 구멍을 방치하고 있다. 4개국의 법 집행 기관과 공동으로 보안 침해에 대한 연례 보고서를 발표한 버라이즌에 따르면, 지난해인 2011년 소매, 금융 서비스, 석유 및 가스, 관광, 식품 서비스, 제조업 분야의 기업에 발생한 데이터 침해사고는 모두 855건에 달한다.

이들 데이터 사고의 약 10%에는 물리적 보안이 무너진 사례가 포함되어 있었다. 중요한 정보가 들어있는 장비와 시스템에 물리적으로 접근하거나, 적법한 접근 코드를 가짜 코드로 바꿔 사무실이나 기계에 접근하며 발생한 사고들이었다.

보안 전문가 양성에 초점을 맞추고 있는 연구 단체인 NBISE(National Board of Information Security Examiners)의 마이클 아산테 CEO는 물리적 보안과 정보 보안을 분리하면 둘 사이에 간극이 생겨 침투를 하더라도 알아채지 못하는 상황이 발생한다고 지적했다. 또 사고 사실을 파악해도 효과적인 대책을 할 수 없다고 덧붙였다.

아산테는 과거 전력 그리드 성능을 감시하는 노스 아메리칸 일렉트릭 릴라이어빌리티(North America Electric Reliability Corp)의 CSO를 역임한 인물로, 전력 그리드에 보안 기준을 이행하는 업무를 관장했었다.

그에 따르면 물리적 보안 담당자와 정보 보안 담당자로 구성된 보안 팀은 문제를 더 신속하게 파악하기 위해 다양한 조사 기법을 적용할 수 있다. 그는 "상존하는 취약성을 가장 완벽하게 없애는 방법이 무엇인지 파악하는 것이 아주 중요하다"고 말했다.

한편 경영진들은 때때로 자신들의 보안 역량을 과대 평가하는 경향이 나타났다. 프라이스워터하우스푸커스(PricewaterhouseCoopers)와 CIO의 자매지인 CSO가 공동으로 수행해 발표한 글로벌 보안 서베이에 따르면, 비즈니스 및 IT 경영진 9,600명 가운데 무려 43%가 자신들을 보안 분야의 선두주자라고 칭하고 있다.

그러나 추가 조사 결과는 이와 달랐다. 이들 경영진들이 지난 연도 동안 기업 보안 정책을 점검했는지, 최근 보안 침해 사고가 있었는지, 원인을 파악했는지를 묻고, 이를 근거로 판단했을 때 실제 보안 분야의 선두주자라고 할 수 있는 응답자의 비중은 단 13%에 불과했다.
 


X