2014.12.12

"데이터 접근 권한, IT<현업… 보안 구멍 생길 수도" 포네몬 조사

Maria Korolov | CSO
중요 데이터 보호에 대해 IT부서가 생각하는 일이 고객에게 벌어지는 것과 현업 사용자가 실제 행하는 것 사이에는 큰 차이가 있는 것으로 조사됐다.



포네몬 연구소(Ponemon Institute)가 9일 발표한 보고서에 따르면, 종종 사용자들이 IT전문가들보다 더 많은 권한을 갖는다고 답한 IT전문가들은 32%로 집계됐다.

반면 사용자의 무려 71%는 굳이 볼 필요 없는 기업 데이터에 대해서까지도 접근 권한을 가지고 있다고 답했다.

"이는 공급 시스템이 조직 내에서 작동하지 않는다는 것을 의미한다"라고 포네몬 연구소의회장 겸 설립자인 래리 포네몬은 밝혔다.

과잉 공급은 회사가 가지고 있을지도 모르는 다른 모든 보안 문제를 악화시킨다. 누군가가 조직에 들어가기 위해 스피어피싱(spearphishing)을 사용할 있으며 사이버범죄자는 핵심 권한을 가진 사용자를 공격하거나 시스템에서 다른 시스템으로 이동할 가능성이 더 높다고 그는 말했다.

"그렇게 되면, 직원 한 명이 스피어피싱 공격의 희생냥이 되며 나쁜 의도를 가진 사람이 모든 것을 파악할 수 있다"라고 그는 전했다.

데이터 자체도 문제다. IT전문가 집단의 응답자 73%는 데이터 보호가 자신들의 부서에서 최우선이라고 밝혔지만, 49%는 파일이 수정되거나 예기치 않게 삭제된 경우, 무슨 일이 있었는지 알 수 없다고 답했다.

기업들에는 중요한 데이터를 복사하여 100개의 서로 다른 곳에 저장할 수 있도록 파일을 공유해야 하는 어려움도 있다.

조사에 따르면, 현업 사용자의 76%는 개인 컴퓨터, 태블릿, 스마트폰이나 클라우드에서 작업한 문서를 전송할 수 있도록 허용할 경우가 몇 번 있다고 답했다. 반면 IT전문가의 13%만이 이같이 말했다.

"PC, 태블릿, 스마트폰, 클라우드는 현업 사용자 대부분이 사용하고 있는 것에서 벗어나있는 것처럼 보인다"라고 페노몬은 말했다.

사실, 현업 사용자의 43%는 드롭박스 같은 서비스를, 42%는 파일 공유 서비스를 활용한다고 답했다. 하지만 IT전문가들 가운에 이같이 답한 사람은 각각 29%와 26%에 불과했다.

"정보의 양과 속도를 따라잡는 것은 기업에게 매우 어려운 일이다"라고 페노몬은 밝혔다. "소니는 기업이 직면한 과제가 무엇인지를 보여주는 좋은 예다"라고 그는 덧붙였다.

"관리가 취약한 기업들은 ‘암호’라고 써붙인 파일들을 가지고 있는데 이 파일들에는 암호와 직원들의 로그인 권한이 들어 있다"라는 페노몬은 지적했다.

최근 뉴스 보도에 따르면, 해커는 데이터베이스, 라우터, 스위치의 토큰과 인증서에 대한 접근 권한도 확보하려 한다.

이 조사를 페노몬에 의뢰한 비정형 비정형 데이터 보호 솔루션 업체인 배로니스 시스템(Varonis System)의 대변인인 데이비드 깁슨은 "기업은 자사의 중요 자산이 어디에 있는지 확실히 알지 못하는 것 같다"라고 말했다.

"중요한 데이터는 확인되지 않았고, 제대로 보관되지도 않았다. 그리고 이런 데이터 사용해 대해 모니터링하고 있다고 보진 않는다"고 그는 말했다. "해킹을 상당히 어렵게 만들 수도 있었던 핵심적인 방안도 있다"라고 그는 덧붙였다.

하지만 사이버범죄자들은 기업 시스템 내에서 자신들이 필요로 하는 정보를 찾아내는데 아주 능숙한 반면 실제 합법적으로 일하는 직원들은 넘치는 데이터에 빠져 허우적대고 있다고 그는 지적했다.

한편, 기업 네트워크에 있는 파일을 찾기가 어렵거나 매우 어렵다고 말한 현업 사용자는 63%였으며 IT전문가의 60%로 집계됐다. ciokr@idg.co.kr

2014.12.12

"데이터 접근 권한, IT<현업… 보안 구멍 생길 수도" 포네몬 조사

Maria Korolov | CSO
중요 데이터 보호에 대해 IT부서가 생각하는 일이 고객에게 벌어지는 것과 현업 사용자가 실제 행하는 것 사이에는 큰 차이가 있는 것으로 조사됐다.



포네몬 연구소(Ponemon Institute)가 9일 발표한 보고서에 따르면, 종종 사용자들이 IT전문가들보다 더 많은 권한을 갖는다고 답한 IT전문가들은 32%로 집계됐다.

반면 사용자의 무려 71%는 굳이 볼 필요 없는 기업 데이터에 대해서까지도 접근 권한을 가지고 있다고 답했다.

"이는 공급 시스템이 조직 내에서 작동하지 않는다는 것을 의미한다"라고 포네몬 연구소의회장 겸 설립자인 래리 포네몬은 밝혔다.

과잉 공급은 회사가 가지고 있을지도 모르는 다른 모든 보안 문제를 악화시킨다. 누군가가 조직에 들어가기 위해 스피어피싱(spearphishing)을 사용할 있으며 사이버범죄자는 핵심 권한을 가진 사용자를 공격하거나 시스템에서 다른 시스템으로 이동할 가능성이 더 높다고 그는 말했다.

"그렇게 되면, 직원 한 명이 스피어피싱 공격의 희생냥이 되며 나쁜 의도를 가진 사람이 모든 것을 파악할 수 있다"라고 그는 전했다.

데이터 자체도 문제다. IT전문가 집단의 응답자 73%는 데이터 보호가 자신들의 부서에서 최우선이라고 밝혔지만, 49%는 파일이 수정되거나 예기치 않게 삭제된 경우, 무슨 일이 있었는지 알 수 없다고 답했다.

기업들에는 중요한 데이터를 복사하여 100개의 서로 다른 곳에 저장할 수 있도록 파일을 공유해야 하는 어려움도 있다.

조사에 따르면, 현업 사용자의 76%는 개인 컴퓨터, 태블릿, 스마트폰이나 클라우드에서 작업한 문서를 전송할 수 있도록 허용할 경우가 몇 번 있다고 답했다. 반면 IT전문가의 13%만이 이같이 말했다.

"PC, 태블릿, 스마트폰, 클라우드는 현업 사용자 대부분이 사용하고 있는 것에서 벗어나있는 것처럼 보인다"라고 페노몬은 말했다.

사실, 현업 사용자의 43%는 드롭박스 같은 서비스를, 42%는 파일 공유 서비스를 활용한다고 답했다. 하지만 IT전문가들 가운에 이같이 답한 사람은 각각 29%와 26%에 불과했다.

"정보의 양과 속도를 따라잡는 것은 기업에게 매우 어려운 일이다"라고 페노몬은 밝혔다. "소니는 기업이 직면한 과제가 무엇인지를 보여주는 좋은 예다"라고 그는 덧붙였다.

"관리가 취약한 기업들은 ‘암호’라고 써붙인 파일들을 가지고 있는데 이 파일들에는 암호와 직원들의 로그인 권한이 들어 있다"라는 페노몬은 지적했다.

최근 뉴스 보도에 따르면, 해커는 데이터베이스, 라우터, 스위치의 토큰과 인증서에 대한 접근 권한도 확보하려 한다.

이 조사를 페노몬에 의뢰한 비정형 비정형 데이터 보호 솔루션 업체인 배로니스 시스템(Varonis System)의 대변인인 데이비드 깁슨은 "기업은 자사의 중요 자산이 어디에 있는지 확실히 알지 못하는 것 같다"라고 말했다.

"중요한 데이터는 확인되지 않았고, 제대로 보관되지도 않았다. 그리고 이런 데이터 사용해 대해 모니터링하고 있다고 보진 않는다"고 그는 말했다. "해킹을 상당히 어렵게 만들 수도 있었던 핵심적인 방안도 있다"라고 그는 덧붙였다.

하지만 사이버범죄자들은 기업 시스템 내에서 자신들이 필요로 하는 정보를 찾아내는데 아주 능숙한 반면 실제 합법적으로 일하는 직원들은 넘치는 데이터에 빠져 허우적대고 있다고 그는 지적했다.

한편, 기업 네트워크에 있는 파일을 찾기가 어렵거나 매우 어렵다고 말한 현업 사용자는 63%였으며 IT전문가의 60%로 집계됐다. ciokr@idg.co.kr

X