2020.02.12

까다로운 줄타기··· 기업 4곳의 ‘보안 vs. 혁신’ 조율 사례

Bob Violino | CIO
사이버 보안과 혁신은 얼핏 상호 배타적인 것으로 보인다. 보안을 강화하기 위한 전략은 위험 감소를 목표로 하는 반면에 혁신 노력은 위험 감수에 대해 개방적인 자세를 취해야 하기 때문이다.

하지만 오늘날 기업들은 데이터와 다른 IT 자산을 보호하는 조치를 취하면서 혁신적인 이니셔티브를 추진하고자 한다다. 보안 요건을 엄격히 하고 시스템과 데이터를 보호하며 규제 준수성을 유지하면서도 새로운 수익, 향상된 고객 경험, 새로운 시장 기회를 달성할 수 있는 길을 마련하려는 것이다.

이는 불가피한 선택이기도 하다. 오늘날의 비즈니스 환경에서 성공하기 위해 놓칠 수 없는 조건들이기 때문이다. 그리고 현실적인 접근법 중 하나는 클라우드, 모바일 기술, 인공지능, 데이터 분석, IoT 등의 혁신적인 기술을 최대한 안전한 방법으로 도입하고 활용하는 것이다.

이를 위해 오늘날의 기업들은 경쟁에서 앞서고 새로운 기술을 실험하며 생산에 개념 증명을 도입하면서 이런 이니셔티브가 안전하게 보장될 수 있는 방법을 찾아야 한다. 어쨌든, 목표는 혁신적이면서 안전한 동시에 합리적이어야 한다는 것이다. 오늘날 기업들이 혁신과 보안의 균형을 유지하기 위해 이용하는 방법들을 살펴본다.
 
ⓒ Image Credit : Getty Images Bank


데이터를 보호하면서 새로운 온라인 서비스 배치하기
교육 기관은 학생 개인정보 보호 법안인 ‘가족 교육권리 및 개인정보보호법’(FERPA)을 준수해야 한다. 

펜실베니아 인디애나 대학교(IUP)의 CIO 빌 밸린트는 “오래전부터 컴플라이언스가 우선순위이긴 했지만 전통적인 구내 학생정보시스템과 데이터는 일반적으로 시스템적으로 외부 접근이 제한되어 있다. 따라서 외부 세계에서 침입하는 상황에 대한 우려가 거의 없었다”라고 전했다.

하지만 이러한 시스템에 대한 웹 기반 액세스가 등장하면서 대규모 보안 침입 및 데이터 노출 가능성으로 인해 FERPA 컴플라이언스 우려가 새롭게 대두됐다고 그는 덧붙였다. 

밸린트는 “고등교육에 서비스 측면이 강조되면서 이 문제가 확대됐다. 입학 및 학생 성취도 목표를 달성하려는 기관들은 최근 몇 년 사이에 고객 관계 관리와 데이터 분석 솔루션 등의 분야에서 클라우드 기반의 신속한 서비스로 돌아섰다”라고 말했다.

IUP 또한 예외가 아니다. 이 대학은 클라우드로 이용할 수 있는 이러한 기술을 통해 최적화되고 개인화된 금융지원 패키지와 맞춤형 학업 분석을 지원하고자 했다. 혁신적인 서비스를 제공함으로써 우수한 학생을 유치하고 유지할 수 있기 때문이다.

밸린트는 “하지만 시중의 많은 벤더들은 일반적으로 학생에 대한 많은 민감한 학업 또는 재무 데이터를 벤더가 제어하는 클라우드 애플리케이션으로 가져와야 한다고 요구한다. 이런 활동으로 인해 기관의 보안 통제력이 어느 정도 상실된다”라고 지적했다.

결국 학교로서는 민감한 데이터가 전송 및 보관 시 보호될 것이라는 벤더의 계약서상 약속을 그저 신뢰해야 하는 경우가 나타나곤 했다는 설명이다.

민감한 데이터가 노출되지 않도록 하기위해 IUP는 먼저 클라우드 기반 서비스의 보안 및 프라이버시 영향을 검토했다. 이어 툴의 기능에 필수적인 데이터만 공유하기로 결정했다.

밸린트는 “예를 들어, 툴이 학업 성취도에 중점을 두고 있는 벤더와 성적 정보를 공유해야 할 수 있다. 하지만 사회보장번호까지 공유할 이유는 없다. 공유해서도 안 된다”라고 말했다.

이 외에도 IUP는 공식적인 계약과 서비스 수준 합의를 통해 모든 클라우드 벤더가 데이터 프라이버시 및 보안에 대한 산업 표준을 준수하도록 요구하고 있다. 밸린트는 “자체적으로 클라우드 서비스급의 전문지식을 획득할 수 있는 고등교육 기관은 거의 없다. 그러나 그들이 제공하는 서비스는 점차 여러 기관의 생존에 필수적으로 작용하고 있다. 해당 업계는 민감한 기밀 데이터를 보호하는 우수 사례를 지속적으로 발전시켜야 한다”라고 말했다.

새로운 모바일 앱에 보안 구축하기
2019년 말, 콜로라도 주 정부는 주민들의 편의성을 도모하기 위해 ‘myColorado’ 모바일 앱 내의 디지털 ID 출시를 발표했다. 이 앱은 주민들에게 디지털 신원 및 정부서비스와 연결할 수 있는 혁신적이고 안전하며 편리한 모바일 솔루션을 제공하기 위해 고안됐다.

콜로라도 주의 CISO 데보라 블라이스는 “그 목적은 중앙의 모바일 플랫폼을 통해 주민들을 서비스에 연결하여 주민들이 운전면허증 갱신 등의 민원을 더 쉽게 처리할 수 있도록 하는 것이다. 이를 통해 정부기관을 방문할 일이 없어지면서 주민의 시간과 교통 비용을 절감하고 궁극적으로 고객 만족도를 달성하는데 도움이 된다”라고 설명했다. 

해당 앱을 10월 공개 출시한 이후 3만 명의 주민들이 다운로드했다. 주 정부는 대중의 신뢰를 얻고 유지하는 것이 주민들에게 제공되는 제품 또는 서비스의 광범위한 도입에 무엇보다도 중요하다고 판단했다. 블라이스는 이를 위해 애플리케이션 배치 시 보안을 필수적인 요소로 확보해야 했다고 전했다.

myColorado의 개인 정보는 해당 앱을 통해 프라이버시 및 보안을 위한 다중 인증 및 데이터 암호화를 통해 보호된다. 또한 myColorado는 사용자의 신원을 확보하기 위해 여러 수준에서 사용자 인증, 검증, 페더레이션을 도입했다고 블라이스가 말했다.

블라이스는 “myColorado가 하나의 아이디어였을 때부터 보안 설계자가 앱 디자인팀에서 중요한 역할을 담당했다. 프로젝트 개시 시점부터 사용자를 주 시스템 내부의 적절한 정보에 연결하기 위해 모바일 사용자의 신원을 검증해야 했다”라고 말했다.

기타 고려사항으로는 무단 액세스를 방지하기 위해 사용자 정보에 대한 적절한 인증을 통한 지속적인 액세스 확보와 결제를 안전하게 처리할 결제서비스 제공자 선택이 있다.

개발팀은 모바일 앱과 백엔드 서버에 악용하여 민감한 데이터가 노출될 수 있는 취약성이 없는지 확인하기 위해 시험을 실시했다. 개발자들이 민감한 데이터에 액세스하지 못하도록 하기 위해 개발 단계 중에도 추가적인 예방 조치를 실시했다고 블라이스가 말했다.

myColorado의 성공적인 보안 기능 배치의 핵심 요소는 설계 및 개발과 마찬가지로 반복적인 과정을 통해 모든 보안 요건을 합의하여 앱에 통합했다는 점이라고 블라이스가 강조했다.

그녀는 “보안 설계자를 혁신팀에 능동적이고 동등하게 참여시킴으로써 중요한 보안 기준을 개발 사이클 종료 후의 확인사항으로써 확인하는 대신에 처음부터 내장할 수 있었다”라고 말했다.
 

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.



2020.02.12

까다로운 줄타기··· 기업 4곳의 ‘보안 vs. 혁신’ 조율 사례

Bob Violino | CIO
사이버 보안과 혁신은 얼핏 상호 배타적인 것으로 보인다. 보안을 강화하기 위한 전략은 위험 감소를 목표로 하는 반면에 혁신 노력은 위험 감수에 대해 개방적인 자세를 취해야 하기 때문이다.

하지만 오늘날 기업들은 데이터와 다른 IT 자산을 보호하는 조치를 취하면서 혁신적인 이니셔티브를 추진하고자 한다다. 보안 요건을 엄격히 하고 시스템과 데이터를 보호하며 규제 준수성을 유지하면서도 새로운 수익, 향상된 고객 경험, 새로운 시장 기회를 달성할 수 있는 길을 마련하려는 것이다.

이는 불가피한 선택이기도 하다. 오늘날의 비즈니스 환경에서 성공하기 위해 놓칠 수 없는 조건들이기 때문이다. 그리고 현실적인 접근법 중 하나는 클라우드, 모바일 기술, 인공지능, 데이터 분석, IoT 등의 혁신적인 기술을 최대한 안전한 방법으로 도입하고 활용하는 것이다.

이를 위해 오늘날의 기업들은 경쟁에서 앞서고 새로운 기술을 실험하며 생산에 개념 증명을 도입하면서 이런 이니셔티브가 안전하게 보장될 수 있는 방법을 찾아야 한다. 어쨌든, 목표는 혁신적이면서 안전한 동시에 합리적이어야 한다는 것이다. 오늘날 기업들이 혁신과 보안의 균형을 유지하기 위해 이용하는 방법들을 살펴본다.
 
ⓒ Image Credit : Getty Images Bank


데이터를 보호하면서 새로운 온라인 서비스 배치하기
교육 기관은 학생 개인정보 보호 법안인 ‘가족 교육권리 및 개인정보보호법’(FERPA)을 준수해야 한다. 

펜실베니아 인디애나 대학교(IUP)의 CIO 빌 밸린트는 “오래전부터 컴플라이언스가 우선순위이긴 했지만 전통적인 구내 학생정보시스템과 데이터는 일반적으로 시스템적으로 외부 접근이 제한되어 있다. 따라서 외부 세계에서 침입하는 상황에 대한 우려가 거의 없었다”라고 전했다.

하지만 이러한 시스템에 대한 웹 기반 액세스가 등장하면서 대규모 보안 침입 및 데이터 노출 가능성으로 인해 FERPA 컴플라이언스 우려가 새롭게 대두됐다고 그는 덧붙였다. 

밸린트는 “고등교육에 서비스 측면이 강조되면서 이 문제가 확대됐다. 입학 및 학생 성취도 목표를 달성하려는 기관들은 최근 몇 년 사이에 고객 관계 관리와 데이터 분석 솔루션 등의 분야에서 클라우드 기반의 신속한 서비스로 돌아섰다”라고 말했다.

IUP 또한 예외가 아니다. 이 대학은 클라우드로 이용할 수 있는 이러한 기술을 통해 최적화되고 개인화된 금융지원 패키지와 맞춤형 학업 분석을 지원하고자 했다. 혁신적인 서비스를 제공함으로써 우수한 학생을 유치하고 유지할 수 있기 때문이다.

밸린트는 “하지만 시중의 많은 벤더들은 일반적으로 학생에 대한 많은 민감한 학업 또는 재무 데이터를 벤더가 제어하는 클라우드 애플리케이션으로 가져와야 한다고 요구한다. 이런 활동으로 인해 기관의 보안 통제력이 어느 정도 상실된다”라고 지적했다.

결국 학교로서는 민감한 데이터가 전송 및 보관 시 보호될 것이라는 벤더의 계약서상 약속을 그저 신뢰해야 하는 경우가 나타나곤 했다는 설명이다.

민감한 데이터가 노출되지 않도록 하기위해 IUP는 먼저 클라우드 기반 서비스의 보안 및 프라이버시 영향을 검토했다. 이어 툴의 기능에 필수적인 데이터만 공유하기로 결정했다.

밸린트는 “예를 들어, 툴이 학업 성취도에 중점을 두고 있는 벤더와 성적 정보를 공유해야 할 수 있다. 하지만 사회보장번호까지 공유할 이유는 없다. 공유해서도 안 된다”라고 말했다.

이 외에도 IUP는 공식적인 계약과 서비스 수준 합의를 통해 모든 클라우드 벤더가 데이터 프라이버시 및 보안에 대한 산업 표준을 준수하도록 요구하고 있다. 밸린트는 “자체적으로 클라우드 서비스급의 전문지식을 획득할 수 있는 고등교육 기관은 거의 없다. 그러나 그들이 제공하는 서비스는 점차 여러 기관의 생존에 필수적으로 작용하고 있다. 해당 업계는 민감한 기밀 데이터를 보호하는 우수 사례를 지속적으로 발전시켜야 한다”라고 말했다.

새로운 모바일 앱에 보안 구축하기
2019년 말, 콜로라도 주 정부는 주민들의 편의성을 도모하기 위해 ‘myColorado’ 모바일 앱 내의 디지털 ID 출시를 발표했다. 이 앱은 주민들에게 디지털 신원 및 정부서비스와 연결할 수 있는 혁신적이고 안전하며 편리한 모바일 솔루션을 제공하기 위해 고안됐다.

콜로라도 주의 CISO 데보라 블라이스는 “그 목적은 중앙의 모바일 플랫폼을 통해 주민들을 서비스에 연결하여 주민들이 운전면허증 갱신 등의 민원을 더 쉽게 처리할 수 있도록 하는 것이다. 이를 통해 정부기관을 방문할 일이 없어지면서 주민의 시간과 교통 비용을 절감하고 궁극적으로 고객 만족도를 달성하는데 도움이 된다”라고 설명했다. 

해당 앱을 10월 공개 출시한 이후 3만 명의 주민들이 다운로드했다. 주 정부는 대중의 신뢰를 얻고 유지하는 것이 주민들에게 제공되는 제품 또는 서비스의 광범위한 도입에 무엇보다도 중요하다고 판단했다. 블라이스는 이를 위해 애플리케이션 배치 시 보안을 필수적인 요소로 확보해야 했다고 전했다.

myColorado의 개인 정보는 해당 앱을 통해 프라이버시 및 보안을 위한 다중 인증 및 데이터 암호화를 통해 보호된다. 또한 myColorado는 사용자의 신원을 확보하기 위해 여러 수준에서 사용자 인증, 검증, 페더레이션을 도입했다고 블라이스가 말했다.

블라이스는 “myColorado가 하나의 아이디어였을 때부터 보안 설계자가 앱 디자인팀에서 중요한 역할을 담당했다. 프로젝트 개시 시점부터 사용자를 주 시스템 내부의 적절한 정보에 연결하기 위해 모바일 사용자의 신원을 검증해야 했다”라고 말했다.

기타 고려사항으로는 무단 액세스를 방지하기 위해 사용자 정보에 대한 적절한 인증을 통한 지속적인 액세스 확보와 결제를 안전하게 처리할 결제서비스 제공자 선택이 있다.

개발팀은 모바일 앱과 백엔드 서버에 악용하여 민감한 데이터가 노출될 수 있는 취약성이 없는지 확인하기 위해 시험을 실시했다. 개발자들이 민감한 데이터에 액세스하지 못하도록 하기 위해 개발 단계 중에도 추가적인 예방 조치를 실시했다고 블라이스가 말했다.

myColorado의 성공적인 보안 기능 배치의 핵심 요소는 설계 및 개발과 마찬가지로 반복적인 과정을 통해 모든 보안 요건을 합의하여 앱에 통합했다는 점이라고 블라이스가 강조했다.

그녀는 “보안 설계자를 혁신팀에 능동적이고 동등하게 참여시킴으로써 중요한 보안 기준을 개발 사이클 종료 후의 확인사항으로써 확인하는 대신에 처음부터 내장할 수 있었다”라고 말했다.
 

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X