2013.01.17

“정보 유출을 막아라!” 데이터가 숨을 만한 5곳

David Geer | CSO
자동 저장된 스프레드시트부터 실제 데이터를 사용하는 테스팅 시스템까지 데이터가 숨어 있을 만한 5곳을 소개하고자 한다.

"정보의 자유를 원한다"는 말은 누구나 알고 있다.

기업들은 모든 데이터 저장소를 보호하기 위해서 자체 시스템의 보안을 강화하고 있다. 기업들은 접속 관리부터 보안 지연과 보호 정보 자산까지 모든 것을 계층화하는 것이 타당하다고 말하곤 한다. 그런데도 데이터가 누출되고 있다. 실제로 데이터 유출 사건은 매일 발생하고 있다.

발전된 악성 소프트웨어 공격이 빈번하게 이루어지고 있지만 부주의한 직원들, 불완전한 정책, 소비자 기술의 침입 등으로 상당한 위험에 노출되어 있다.

보안 시스템과 정책을 피해 데이터가 숨어들 수 있는 5곳에 관해 알아보도록 하자.

1. 스프레드시트(Spreadsheets)
우선 가장 눈에 잘 띄는 곳부터 시작해 보자. 바로 스프레드시트다.

스프레드 시트는 금융정보, 신용카드 번호, HR 데이터 등 재미있고 다양하면 종종 민감하기까지 한 데이터 세트를 포함하고 있다. 이것은 이미 알고 있는 사실이다.

기업들이 암호 같은 보안 조치를 도외시하고 이런 파일을 이메일, 파일 공유, 콜래보레이션 스위트(Collaboration Suite) 등을 통해 공유할 때, 데이터는 어디로든 이동할 수 있다. 직원들은 사무실 외에 보안이 약한 집이나 핫 스팟(Hot Spot) 네트워크에 접속할 때 스프레드시트 데이터를 위험에 노출시킨다. 보안 계획에서 디스크 또는 파일 레벨 암호화 등이 도외시 될 때, 분실한 또는 도난 당한 노트북, USB 키, DVD, 스마트폰 등으로 인해 파일이 노출된다고 CIGNA의 명예 CISO 크레이그 슈마드는 말했다.

한편, 사무실로 돌아가서, 스프레드시트는 직원들이 인쇄하며 아무렇게나 내버려두는 등 기술과 관련 없는 노출의 위험에도 쉽게 처한다.

한 예로, 여행사의 임원 중 한 사람이 의도는 좋았지만 중요한 데이터를 공유하는 과정에서 보안을 소홀히 하여 문제가 된 적이 있다. "우리는 직원 중 한 사람이 상당한 데이터를 스프레드시트에 담아 저장한 노트북을 도난당했다는 사실을 알게 됐다. 디스크는 암호화 돼 있지 않았다"라고 오르비츠(Orbitz)의 전 CISO 에드 벨리스는 밝혔다. 이런 상황에서 다행히 아무런 일도 발생하지 않았지만 위험이 발생할 수도 있었다고 벨리스는 전했다.

스프레드시트는 흔하게 돌아다닌다. 여러분도 이미 이것을 알고 있다.

대부분의 기업들에서 ‘스프레드시트’는 마이크로소프트 엑셀(Microsoft Excel)을 의미한다. (물론, 로터스 1-2-3(Lotus 1-2-3) 시대에 일하던 사람들은 다르다.) 오늘날 구글 문서도구(Google Docs)에는 편리한 클라우드 기반의 스프레드시트 툴이 있다. (실시간 파일 공유 서비스에 좀 더 가깝다.) 따라서 갈 길을 잃은 스프레드시트가 여기 저기서 흔하게 발견되고 있다.

이런 사실도 이미 알고 있기를 바란다. 하지만 방치된 설정으로 인해 보안에 구멍이 생길 수 있다는 사실을 생각해 본 적 있나?

"엑셀에서 자동저장이 어떻게 설정되어 있는지 고려하지 않는다면 애플리케이션이 사용하는 기기에 섀도우 사본(Shadow Copy)을 저장하여 누구든 열어볼 수 있다"라고 뉴 호라이즌스 컴퓨터 러닝 센터(New Horizons Computer Learning Centers)의 CISO 아담 고든이 말했다.

2. 셰어포인트(SharePoint)
셰어포인트는 마이크로소프트의 파일 공유/협업/콘텐츠 및 프로젝트 관리 툴이다. "셰어포인트는 아무런 커스터마이징 없이도 200종류 이상의 파일을 취급할 수 있다"라고 고든은 말했다.

취급할 수 있는 데이터의 양을 상상해 보기 바란다.

기업들은 이 인기 있는 애플리케이션을 이용해 기관 외부에서의 파일 공유를 가능하게 한다. 그리고 접속 제어기능 및 기타 보안 필수기능이 누락된 경우, 데이터가 전혀 보호받지 못하게 된다. 기업이 허용 가능한 셰어포인트 데이터에 관해 일관된 정책을 수립하지 않거나 전근 가거나 퇴사한 직원이 해당 애플리케이션에 계속해서 접근할 수 있거나 기업이 원격 접속을 허용하는 경우에 중요한 정보가 '바람과 함께 사라질 수 있다.'




2013.01.17

“정보 유출을 막아라!” 데이터가 숨을 만한 5곳

David Geer | CSO
자동 저장된 스프레드시트부터 실제 데이터를 사용하는 테스팅 시스템까지 데이터가 숨어 있을 만한 5곳을 소개하고자 한다.

"정보의 자유를 원한다"는 말은 누구나 알고 있다.

기업들은 모든 데이터 저장소를 보호하기 위해서 자체 시스템의 보안을 강화하고 있다. 기업들은 접속 관리부터 보안 지연과 보호 정보 자산까지 모든 것을 계층화하는 것이 타당하다고 말하곤 한다. 그런데도 데이터가 누출되고 있다. 실제로 데이터 유출 사건은 매일 발생하고 있다.

발전된 악성 소프트웨어 공격이 빈번하게 이루어지고 있지만 부주의한 직원들, 불완전한 정책, 소비자 기술의 침입 등으로 상당한 위험에 노출되어 있다.

보안 시스템과 정책을 피해 데이터가 숨어들 수 있는 5곳에 관해 알아보도록 하자.

1. 스프레드시트(Spreadsheets)
우선 가장 눈에 잘 띄는 곳부터 시작해 보자. 바로 스프레드시트다.

스프레드 시트는 금융정보, 신용카드 번호, HR 데이터 등 재미있고 다양하면 종종 민감하기까지 한 데이터 세트를 포함하고 있다. 이것은 이미 알고 있는 사실이다.

기업들이 암호 같은 보안 조치를 도외시하고 이런 파일을 이메일, 파일 공유, 콜래보레이션 스위트(Collaboration Suite) 등을 통해 공유할 때, 데이터는 어디로든 이동할 수 있다. 직원들은 사무실 외에 보안이 약한 집이나 핫 스팟(Hot Spot) 네트워크에 접속할 때 스프레드시트 데이터를 위험에 노출시킨다. 보안 계획에서 디스크 또는 파일 레벨 암호화 등이 도외시 될 때, 분실한 또는 도난 당한 노트북, USB 키, DVD, 스마트폰 등으로 인해 파일이 노출된다고 CIGNA의 명예 CISO 크레이그 슈마드는 말했다.

한편, 사무실로 돌아가서, 스프레드시트는 직원들이 인쇄하며 아무렇게나 내버려두는 등 기술과 관련 없는 노출의 위험에도 쉽게 처한다.

한 예로, 여행사의 임원 중 한 사람이 의도는 좋았지만 중요한 데이터를 공유하는 과정에서 보안을 소홀히 하여 문제가 된 적이 있다. "우리는 직원 중 한 사람이 상당한 데이터를 스프레드시트에 담아 저장한 노트북을 도난당했다는 사실을 알게 됐다. 디스크는 암호화 돼 있지 않았다"라고 오르비츠(Orbitz)의 전 CISO 에드 벨리스는 밝혔다. 이런 상황에서 다행히 아무런 일도 발생하지 않았지만 위험이 발생할 수도 있었다고 벨리스는 전했다.

스프레드시트는 흔하게 돌아다닌다. 여러분도 이미 이것을 알고 있다.

대부분의 기업들에서 ‘스프레드시트’는 마이크로소프트 엑셀(Microsoft Excel)을 의미한다. (물론, 로터스 1-2-3(Lotus 1-2-3) 시대에 일하던 사람들은 다르다.) 오늘날 구글 문서도구(Google Docs)에는 편리한 클라우드 기반의 스프레드시트 툴이 있다. (실시간 파일 공유 서비스에 좀 더 가깝다.) 따라서 갈 길을 잃은 스프레드시트가 여기 저기서 흔하게 발견되고 있다.

이런 사실도 이미 알고 있기를 바란다. 하지만 방치된 설정으로 인해 보안에 구멍이 생길 수 있다는 사실을 생각해 본 적 있나?

"엑셀에서 자동저장이 어떻게 설정되어 있는지 고려하지 않는다면 애플리케이션이 사용하는 기기에 섀도우 사본(Shadow Copy)을 저장하여 누구든 열어볼 수 있다"라고 뉴 호라이즌스 컴퓨터 러닝 센터(New Horizons Computer Learning Centers)의 CISO 아담 고든이 말했다.

2. 셰어포인트(SharePoint)
셰어포인트는 마이크로소프트의 파일 공유/협업/콘텐츠 및 프로젝트 관리 툴이다. "셰어포인트는 아무런 커스터마이징 없이도 200종류 이상의 파일을 취급할 수 있다"라고 고든은 말했다.

취급할 수 있는 데이터의 양을 상상해 보기 바란다.

기업들은 이 인기 있는 애플리케이션을 이용해 기관 외부에서의 파일 공유를 가능하게 한다. 그리고 접속 제어기능 및 기타 보안 필수기능이 누락된 경우, 데이터가 전혀 보호받지 못하게 된다. 기업이 허용 가능한 셰어포인트 데이터에 관해 일관된 정책을 수립하지 않거나 전근 가거나 퇴사한 직원이 해당 애플리케이션에 계속해서 접근할 수 있거나 기업이 원격 접속을 허용하는 경우에 중요한 정보가 '바람과 함께 사라질 수 있다.'


X