2014.12.12

"내년 이사회 안건은 보안" CISO의 대응방안은?

David Geer | CSO
2015년 연말에 비공개로 열린 열린 회의에 참석한 이사진들이 정보 유출에 대한 보고서를 읽고 있다는 상황을 상상해 보자. CIO나 CISO는 이런 상상만으로 우울해질 것이다.



그런 상황까지 기다릴 이유는 없다. 이 자리를 빌어서 2015년 가장 뜨거운 정보 보안에 관한 이사회 회의에 들어가 어떤 일이 벌어질 지 미리 생각해 보고 이에 대한 대응 방안을 마련하자.

내년에 일어날 법한 사건들
2015년에도 특정 유형의 정보 유출 사건이 이사회의 정보 보안 토론을 뜨겁게 달굴 것이다. 우선 2014년에 문제가 불거져 크게 알려졌던 사건들이 재발될 것이고, 다른 회사에서 벌어졌던 일을 피하기 위해 정보 보안 예산을 크게 늘린 기업조차도 대규모 사건을 처음으로 겪게 될 것이다. SANS 인스티튜트의 선임 펠로우 에릭 콜은 “그 두 사건이 파급효과를 불러 일으키고 이사진들에 좌절을 안길 것이다”고 말했다.

기업들은 감염 사태를 막기 위해 수백만 달러의 예산을 쓰지만, 제대로 된 분야에 쓴 게 아니다. “이미 정보가 유출돼 곤욕을 치렀던 대기업들은 모두들 수백만 달러를 보안에 투입해 문제를 해결하겠다고 크게 발표했다. 그런데도 바로 다음해 유출이 또 일어나게 되면 그때는 회사의 이사회가 마비돼 버릴 것이다”고 콜은 말했다. 똑같은 상황이 내년 첫 번째 대규모 정보 유출이 예상되는 보안분야에 예산을 투입한 회사들에도 적용된다.

정보 도난과 지적재산권 침해 같은 사건도 이사회를 실망시키고 속을 뒤틀리게 만들 것이다. 또한 해커들은 지난 수년간 기업을 해킹했는데도 기업이 지금까지도 그런 상황을 파악하지 못했다는 점을 공개적으로 퍼뜨리게 될 것이다.

SANS 인스티튜트의 공인 강사 테드 데모폴러스는 “말하자면 기업은 자사 시스템 안에 누군가 10년간 드나들었고, 그 동안 어떠한 비밀도 없었다는 점을 갑자기 알아내게 될 것이다. 그런 사실이 대중적으로 알려지면 이사회는 패닉에 빠질 것이다”고 밝혔다.


이사회를 패닉 상태로 만들 '정보 보안'
2015년 이런 유형의 사건들은 겪은 이사회와 고위급 경영진은 회사를 보호할 방법을 찾아내지 못해 또 한번 좌절하게 될 것이다. “겁은 먹겠지만 어떤 질문부터 해야 할지, 또는 자신들이 받은 정보가 충분한지에 대해 확신할 수 없을 것이다”고 콜은 말했다.

“이사회는 ‘이미 이게 우리한테 벌어진 일이 아닌지 어떻게 알 수 있지?’라고 물을 것이다”고 데모폴러스는 말했다. 이사회는 누군가가 이미 오랫동안 자신들을 어떻게 해킹했는지 알 수 있을까? 그 누군가가 이미 그런 정보들을 팔거나 전세계에 공개하기 위해 지적 재산권을 훔쳤는지 이사회는 확실히 파악할 수 있을까? 어느 누구도 확실한 답을 낼 수 없기 때문에 이사회 입장에서는 극히 혼란스러울 수밖에 없다.

이사진들간에도 보안 투자 자금이 낭비되는 것은 아닌지, 왜 투자해야 하는지 등에 대한 토론이 뜨겁게 달아오를 것이라고 데모폴러스는 전했다. 이사들은 회사가 제대로 된 보안 솔루션에 돈을 쓰고 있는지에 대해 물을 것이다.

이사진들을 크게 화나게 할 상황은 회사가 유출 상황을 발견했지만 어느 누구도 언제부터 그런 상황이 벌어진 것인지 알 지 못할 때다. “그런 상황에서 많은 고성이 오갈 것이라고 생각한다. 유출되었다는 문제 그 자체나 누군가 핵심 자산이 들어있는 핵심 시스템에 침투했다는 점 보다 언제 일어난 것인지 모른다는 상황 때문이다”고 데모폴러스는 강조했다.




2014.12.12

"내년 이사회 안건은 보안" CISO의 대응방안은?

David Geer | CSO
2015년 연말에 비공개로 열린 열린 회의에 참석한 이사진들이 정보 유출에 대한 보고서를 읽고 있다는 상황을 상상해 보자. CIO나 CISO는 이런 상상만으로 우울해질 것이다.



그런 상황까지 기다릴 이유는 없다. 이 자리를 빌어서 2015년 가장 뜨거운 정보 보안에 관한 이사회 회의에 들어가 어떤 일이 벌어질 지 미리 생각해 보고 이에 대한 대응 방안을 마련하자.

내년에 일어날 법한 사건들
2015년에도 특정 유형의 정보 유출 사건이 이사회의 정보 보안 토론을 뜨겁게 달굴 것이다. 우선 2014년에 문제가 불거져 크게 알려졌던 사건들이 재발될 것이고, 다른 회사에서 벌어졌던 일을 피하기 위해 정보 보안 예산을 크게 늘린 기업조차도 대규모 사건을 처음으로 겪게 될 것이다. SANS 인스티튜트의 선임 펠로우 에릭 콜은 “그 두 사건이 파급효과를 불러 일으키고 이사진들에 좌절을 안길 것이다”고 말했다.

기업들은 감염 사태를 막기 위해 수백만 달러의 예산을 쓰지만, 제대로 된 분야에 쓴 게 아니다. “이미 정보가 유출돼 곤욕을 치렀던 대기업들은 모두들 수백만 달러를 보안에 투입해 문제를 해결하겠다고 크게 발표했다. 그런데도 바로 다음해 유출이 또 일어나게 되면 그때는 회사의 이사회가 마비돼 버릴 것이다”고 콜은 말했다. 똑같은 상황이 내년 첫 번째 대규모 정보 유출이 예상되는 보안분야에 예산을 투입한 회사들에도 적용된다.

정보 도난과 지적재산권 침해 같은 사건도 이사회를 실망시키고 속을 뒤틀리게 만들 것이다. 또한 해커들은 지난 수년간 기업을 해킹했는데도 기업이 지금까지도 그런 상황을 파악하지 못했다는 점을 공개적으로 퍼뜨리게 될 것이다.

SANS 인스티튜트의 공인 강사 테드 데모폴러스는 “말하자면 기업은 자사 시스템 안에 누군가 10년간 드나들었고, 그 동안 어떠한 비밀도 없었다는 점을 갑자기 알아내게 될 것이다. 그런 사실이 대중적으로 알려지면 이사회는 패닉에 빠질 것이다”고 밝혔다.


이사회를 패닉 상태로 만들 '정보 보안'
2015년 이런 유형의 사건들은 겪은 이사회와 고위급 경영진은 회사를 보호할 방법을 찾아내지 못해 또 한번 좌절하게 될 것이다. “겁은 먹겠지만 어떤 질문부터 해야 할지, 또는 자신들이 받은 정보가 충분한지에 대해 확신할 수 없을 것이다”고 콜은 말했다.

“이사회는 ‘이미 이게 우리한테 벌어진 일이 아닌지 어떻게 알 수 있지?’라고 물을 것이다”고 데모폴러스는 말했다. 이사회는 누군가가 이미 오랫동안 자신들을 어떻게 해킹했는지 알 수 있을까? 그 누군가가 이미 그런 정보들을 팔거나 전세계에 공개하기 위해 지적 재산권을 훔쳤는지 이사회는 확실히 파악할 수 있을까? 어느 누구도 확실한 답을 낼 수 없기 때문에 이사회 입장에서는 극히 혼란스러울 수밖에 없다.

이사진들간에도 보안 투자 자금이 낭비되는 것은 아닌지, 왜 투자해야 하는지 등에 대한 토론이 뜨겁게 달아오를 것이라고 데모폴러스는 전했다. 이사들은 회사가 제대로 된 보안 솔루션에 돈을 쓰고 있는지에 대해 물을 것이다.

이사진들을 크게 화나게 할 상황은 회사가 유출 상황을 발견했지만 어느 누구도 언제부터 그런 상황이 벌어진 것인지 알 지 못할 때다. “그런 상황에서 많은 고성이 오갈 것이라고 생각한다. 유출되었다는 문제 그 자체나 누군가 핵심 자산이 들어있는 핵심 시스템에 침투했다는 점 보다 언제 일어난 것인지 모른다는 상황 때문이다”고 데모폴러스는 강조했다.


X