2014.11.14

보안IQ 높이기... 핵심은 '사람에 대한 이해'다

David Geer | CIO

극단적인 천재 해커 월터 오브라이언과 그의 팀이 거의 불가능에 가까운 솔루션을 활용해 위기상황을 극복해가는 내용의 TV 드라마 ‘스콜피온(Scorpion)’을 아는가? 잘 알려진 이야기지만 이 드라마의 월터 오브라이언은 실제 인물에 기반한 캐릭터다. 그 실제 인물의 높은 IQ와 공적이 이 드라마의 기반이 됐다. 보스턴 CBS에 의하면 보스턴 마라톤 폭발 테러를 일으킨 두 명의 형제 테러리스트도 그가 알아냈다.

애석하게도 모든 이들이 오브라이언과 같은 천재가 아니다. 기업들은 위험한 행동으로 공격을 부르는 직원들에게 더 높은 보안IQ를 갖추도록 할 방안을 여전히 찾고 있는 중이다.



현재 우리가 낮은 수준의 보안 IQ를 대하는 방법
낮은 보안 의식, 낮은 보안IQ를 무엇이라 불러야 할지는 그리 중요하지 않다. 이를 저(低)보안IQ라 부르건 의식과 규율 부족이라 부르건, 직원들은 나쁜 보안 결정을 내리곤 한다. 대형 기업 데이터 유출 사고 소식은 한 달이 멀다 하고 계속 터지고 있다. 문제는 기업 데이터에 악영향을 미치는 저보안IQ 직원들이 기업을 이끄는 이들이라는 점이다.

포네몬 인스티튜트(Ponemon Institute)는 최근 1,000여 곳의 글로벌 기업 고위 직원들을 대상으로 위험한 보안 행동에 대해 조사했다. 조사 결과는 보안에 있어서 기업들의 불안한 상황을 그대로 나타냈다.

브레이킹 배드: 안전하지 않은 파일 공유의 위험(Breaking Bad: The Risk of Insecure File Sharing)’이라는 보고서에 의하면, 조사 참가자들의 절반은 기업이 민감한 데이터에 대한 사용자들의 접속을 어떻게 관리 제어할 수 있는지, 또 직원들이 데이터를 어떻게 공유하고 분배하고 있는지에 대해 모르고 있었다.

또 보고서의 응답자 61%는 그들이 암호화되지 않은 이메일을 통해 파일을 종종 공유하고 있으며, 비밀 문서의 삭제 시한에 대한 정책을 잘 지키지 않고, 회사에서 허가하지 않은 이들에게 파일을 보내거나 보여주는 일이 종종 있다고 답했다.

물론 기업은 생각 없이 클릭하는 그런 직원들에 제재를 가해야 한다. 그렇지만 너무 혹독하게 대하거나 직원들에게 너무 많은 것을 바라는 것도 역시 도움이 되지 않는다. 오히려 위험한 직원 행동을 고치기 위한 처벌적 접근방식을 취하는 것은 보안IQ를 높이는데 걸림돌이 된다는 설명이다.

피시미(PhishMe)의 제품 관리부문 부회장 스콧 그록스는 “처벌적 접근방식은 보안 문제가 발생했을 때 직원들의 관여도를 낮추고 오히려 손을 떼게 하는 반대작용을 낳는다”라고 말했다.

직원들에게 보안 문제에 관한 너무 많은 정보, 또는 그들이 이해하지 못하는 정보를 들이미는 방식 역시 강요적이기 마찬가지다. 그록스는 “모든 이들에게 모든걸 주입시켜 그들 모두를 보안 전문가로 만들 필요는 없다. 단순히 그들이 직면한 위험에 대해서만 이해시켜주면 된다”라고 조언했다.

보안IQ를 높이는 솔루션은? 필요한 자세는?
보안IQ를 높이기 위해 보안 부서는 무엇보다도 직원들이 기꺼이 공유할 만한, 보안문제들에 대해 언제든 생각을 나눌 수 있는 대상이 되어야 한다. 접근이 쉽고 고맙고 대응적인 대상이어야 하는 것이다.

아메리칸 트래픽 솔루션(American Traffic Solutions)의 CISO이자 ISSA 명예의 전당 멤버인 리치 오웬은 “예를 들어 사용자가 의심스러운 이메일을 받았을 때 이게 정상인지 악성인지를 판단할 수 있는 누군가에게 포워드할 수 있어야 한다”라고 말했다.

이 밖에 직원들의 관여를 높이고 그들을 가르치고 또 피싱과 기타 공격들을 잡아내는 기술과 판단력을 높여주는데 도움을 줄 수 있는 방안들이 있다.

먼저 기업들은 의심스러운 이메일을 보고하는 최종사용자들에게 보상을 지급하고 그들의 상사에게 그들이 회사 보호에 능동적이라는 점을 알려주어야 한다.

“매달 의심스러운 이메일을 보고한 이들의 목록을 만들고 이들 중에 무작위로 몇 명에게 100달러의 상품권을 상품으로 지급하라”라고 오웬은 설명했다. 그는 나사의 존슨 우주 센터의 미션 오퍼레이션(Mission Operations)의 셔틀 시스템(Shuttle System) 보안 프로그램 개발에서 2,000만 달러의 비용을 절감시킨 장본인이다.

보안 IQ를 높이기 위해 오웬이 지금까지 해왔던 강화책들은 다음과 같은 것들이 있었다:

▲ 중요 보안 문제를 보고한 직원들에게 즉각적으로 100달러 상품권을 지급
▲직원이 감염 링크나 문서를 열었을 때 즉각적으로 보고하면 아무런 책임을 묻지 않음
▲보안 표준과 절차들을 모든 직원의 직무 명세서에 포함하기

가진 것을 활용하라
기업들은 직원 보안 의식을 강화하기 위해 창의력을 발휘해야 한다. 예를 들어 기업들이 DLP(Data Loss Prevention) 기술을 활용해 간단히 조직으로부터의 데이터 유출 시도를 모니터하고 차단할 수 있지만, 거기에서 멈춘다면 많은 기회를 놓칠 수 있다. 다음은 AON Plc의 명예 글로벌 CISO인 마이클 에이센버그의 설명이다.




2014.11.14

보안IQ 높이기... 핵심은 '사람에 대한 이해'다

David Geer | CIO

극단적인 천재 해커 월터 오브라이언과 그의 팀이 거의 불가능에 가까운 솔루션을 활용해 위기상황을 극복해가는 내용의 TV 드라마 ‘스콜피온(Scorpion)’을 아는가? 잘 알려진 이야기지만 이 드라마의 월터 오브라이언은 실제 인물에 기반한 캐릭터다. 그 실제 인물의 높은 IQ와 공적이 이 드라마의 기반이 됐다. 보스턴 CBS에 의하면 보스턴 마라톤 폭발 테러를 일으킨 두 명의 형제 테러리스트도 그가 알아냈다.

애석하게도 모든 이들이 오브라이언과 같은 천재가 아니다. 기업들은 위험한 행동으로 공격을 부르는 직원들에게 더 높은 보안IQ를 갖추도록 할 방안을 여전히 찾고 있는 중이다.



현재 우리가 낮은 수준의 보안 IQ를 대하는 방법
낮은 보안 의식, 낮은 보안IQ를 무엇이라 불러야 할지는 그리 중요하지 않다. 이를 저(低)보안IQ라 부르건 의식과 규율 부족이라 부르건, 직원들은 나쁜 보안 결정을 내리곤 한다. 대형 기업 데이터 유출 사고 소식은 한 달이 멀다 하고 계속 터지고 있다. 문제는 기업 데이터에 악영향을 미치는 저보안IQ 직원들이 기업을 이끄는 이들이라는 점이다.

포네몬 인스티튜트(Ponemon Institute)는 최근 1,000여 곳의 글로벌 기업 고위 직원들을 대상으로 위험한 보안 행동에 대해 조사했다. 조사 결과는 보안에 있어서 기업들의 불안한 상황을 그대로 나타냈다.

브레이킹 배드: 안전하지 않은 파일 공유의 위험(Breaking Bad: The Risk of Insecure File Sharing)’이라는 보고서에 의하면, 조사 참가자들의 절반은 기업이 민감한 데이터에 대한 사용자들의 접속을 어떻게 관리 제어할 수 있는지, 또 직원들이 데이터를 어떻게 공유하고 분배하고 있는지에 대해 모르고 있었다.

또 보고서의 응답자 61%는 그들이 암호화되지 않은 이메일을 통해 파일을 종종 공유하고 있으며, 비밀 문서의 삭제 시한에 대한 정책을 잘 지키지 않고, 회사에서 허가하지 않은 이들에게 파일을 보내거나 보여주는 일이 종종 있다고 답했다.

물론 기업은 생각 없이 클릭하는 그런 직원들에 제재를 가해야 한다. 그렇지만 너무 혹독하게 대하거나 직원들에게 너무 많은 것을 바라는 것도 역시 도움이 되지 않는다. 오히려 위험한 직원 행동을 고치기 위한 처벌적 접근방식을 취하는 것은 보안IQ를 높이는데 걸림돌이 된다는 설명이다.

피시미(PhishMe)의 제품 관리부문 부회장 스콧 그록스는 “처벌적 접근방식은 보안 문제가 발생했을 때 직원들의 관여도를 낮추고 오히려 손을 떼게 하는 반대작용을 낳는다”라고 말했다.

직원들에게 보안 문제에 관한 너무 많은 정보, 또는 그들이 이해하지 못하는 정보를 들이미는 방식 역시 강요적이기 마찬가지다. 그록스는 “모든 이들에게 모든걸 주입시켜 그들 모두를 보안 전문가로 만들 필요는 없다. 단순히 그들이 직면한 위험에 대해서만 이해시켜주면 된다”라고 조언했다.

보안IQ를 높이는 솔루션은? 필요한 자세는?
보안IQ를 높이기 위해 보안 부서는 무엇보다도 직원들이 기꺼이 공유할 만한, 보안문제들에 대해 언제든 생각을 나눌 수 있는 대상이 되어야 한다. 접근이 쉽고 고맙고 대응적인 대상이어야 하는 것이다.

아메리칸 트래픽 솔루션(American Traffic Solutions)의 CISO이자 ISSA 명예의 전당 멤버인 리치 오웬은 “예를 들어 사용자가 의심스러운 이메일을 받았을 때 이게 정상인지 악성인지를 판단할 수 있는 누군가에게 포워드할 수 있어야 한다”라고 말했다.

이 밖에 직원들의 관여를 높이고 그들을 가르치고 또 피싱과 기타 공격들을 잡아내는 기술과 판단력을 높여주는데 도움을 줄 수 있는 방안들이 있다.

먼저 기업들은 의심스러운 이메일을 보고하는 최종사용자들에게 보상을 지급하고 그들의 상사에게 그들이 회사 보호에 능동적이라는 점을 알려주어야 한다.

“매달 의심스러운 이메일을 보고한 이들의 목록을 만들고 이들 중에 무작위로 몇 명에게 100달러의 상품권을 상품으로 지급하라”라고 오웬은 설명했다. 그는 나사의 존슨 우주 센터의 미션 오퍼레이션(Mission Operations)의 셔틀 시스템(Shuttle System) 보안 프로그램 개발에서 2,000만 달러의 비용을 절감시킨 장본인이다.

보안 IQ를 높이기 위해 오웬이 지금까지 해왔던 강화책들은 다음과 같은 것들이 있었다:

▲ 중요 보안 문제를 보고한 직원들에게 즉각적으로 100달러 상품권을 지급
▲직원이 감염 링크나 문서를 열었을 때 즉각적으로 보고하면 아무런 책임을 묻지 않음
▲보안 표준과 절차들을 모든 직원의 직무 명세서에 포함하기

가진 것을 활용하라
기업들은 직원 보안 의식을 강화하기 위해 창의력을 발휘해야 한다. 예를 들어 기업들이 DLP(Data Loss Prevention) 기술을 활용해 간단히 조직으로부터의 데이터 유출 시도를 모니터하고 차단할 수 있지만, 거기에서 멈춘다면 많은 기회를 놓칠 수 있다. 다음은 AON Plc의 명예 글로벌 CISO인 마이클 에이센버그의 설명이다.


X