2017.01.19

IT전문가 해고 이유, 9개 중 6개가 '보안'과 관련

Maria Korolov | CSO
IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다.

IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다.

오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다.

실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다.

이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다.

규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다.

이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다.

또는 침투 테스트에 대한 예산 부족이 문제일 수 있다.

보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다.

그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다.

이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다.

문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다.

직원들이 업무용 노트북을 집에 가져다 놓고 아이들이 이를 가지고 놀고, 위험한 사이트에 방문한 다음 회사 네트워크에 연결해 감염된 악성코드를 다운로드할 수도 있다.

그는 "이것들이 실제 사례"라며 "나는 그런 경우를 여러 번 봤다"고 밝혔다.

그러나 기업은 이러한 문제를 해고 사유로 간주할 수 있지만 실제 사람을 해고하는 것은 꺼릴 수도 있다.

그는 "만약 누군가를 해고했다면, 어쨌든, 지금 그 자리를 채워야 한다. 자격을 갖춘 사람을 찾는 데 몇 달이 걸릴 수 있다. 당신 자신에게 물어보라. 정말로 그들을 해고하고 싶었나? 이 사람은 얼마나 나쁜 짓을 저질렀나?"라고 이야기했다.

희소가치가 있는 보안 기술력이나 매우 핵심적인 보안 기술력을 갖춘 사람들은 자신의 업무에 어떤 문제가 있더라도 간섭받지 않을 거로 생각할 수 있다.

슐러는 "실제 고객사에서 그런 경우를 봤다. CSO에게 말하고, 보안 팀에도 말한다. 당신도 내가 이야기하는 것을 봤을 것이다. ‘아직도 그 사람이 주변이 있다는 게 믿어지지 않아. 그들은 끔찍한 존재야’라고 할 것이다”고 말했다.

이밖에 사고를 모니터링하고 대응하는 인력이 충분하지 않기 때문에 보안 전문가 부족도 보안 침해 사고가 늘어나는 원인으로 지목됐다. ciokr@idg.co.kr
 



2017.01.19

IT전문가 해고 이유, 9개 중 6개가 '보안'과 관련

Maria Korolov | CSO
IT전문가의 해고 이유는 많다. 그중 대다수는 보안과 관련 있다.

IT전문가 해고에는 많은 이유가 있지만, 상위 9개 가운데 6개가 보안과 관련 있는 것으로 조사됐다.

오스터만 리서치(Osterman Research)에 따르면, 기술에 투자했는데 보안 침해가 발생한 조직의 39%는 이를 해고 사유로 간주하는 것으로 나타났다.

실제 데이터 침해 사실이 외부에 알려질 경우 기업의 38%는 이를 해고 사유로 간주하는 것으로 조사됐다.

이밖에 보안과 관련한 해고 사유로는 보안 프로그램 현대화 실패, 알 수 없는 원인으로 인한 데이터 유출, 외부에 알려지지 않은 데이터 유출, 보안 제품이나 프로그램 투자 실패 등이 있다.

규제를 준수하지 못하고 큰 벌금이나 페널티를 내는 경우도 해고 사유로 꼽혔으며 무려 68%의 기업이 이같이 답했다.

이 가운데 일부는 엄밀히 말해서 직원의 잘못이 아닐 수도 있다. 외부 공격자가 데이터를 가져오기로 마음 먹고 끊임없이 시도한다면 이를 막을 방법은 거의 없다.

또는 침투 테스트에 대한 예산 부족이 문제일 수 있다.

보고서에 따르면, 응답자의 24%는 예산과 직원 배치 문제에 대해 IT보안과 C레벨 간에 ‘항상’ 또는 ‘종종’ 의견이 분분하다고 밝혔다. 46%는 ‘때때로’ 문제가 있다고 답했다.

그러나 큰 문제가 발생하면 결국 누군가는 책임을 져야 한다.

이 조사를 후원한 트러스트웨이브홀딩스(Trustwave Holdings)의 관리 보안 서비스 담당 부사장인 크리스 슐러는 "CSO가 책임이 막중한 자리인 것도 바로 그 때문이다”며 “모든 책임이 CSO에 있다”고 말했다.

문제를 피할 수 있는 다른 경우도 있을 것이다. 예를 들어, 직원들이 데이터베이스에 문을 열어 보안 통제를 우회하여 쉽게 업무를 수행할 수 있는 사례가 대표적이다.

직원들이 업무용 노트북을 집에 가져다 놓고 아이들이 이를 가지고 놀고, 위험한 사이트에 방문한 다음 회사 네트워크에 연결해 감염된 악성코드를 다운로드할 수도 있다.

그는 "이것들이 실제 사례"라며 "나는 그런 경우를 여러 번 봤다"고 밝혔다.

그러나 기업은 이러한 문제를 해고 사유로 간주할 수 있지만 실제 사람을 해고하는 것은 꺼릴 수도 있다.

그는 "만약 누군가를 해고했다면, 어쨌든, 지금 그 자리를 채워야 한다. 자격을 갖춘 사람을 찾는 데 몇 달이 걸릴 수 있다. 당신 자신에게 물어보라. 정말로 그들을 해고하고 싶었나? 이 사람은 얼마나 나쁜 짓을 저질렀나?"라고 이야기했다.

희소가치가 있는 보안 기술력이나 매우 핵심적인 보안 기술력을 갖춘 사람들은 자신의 업무에 어떤 문제가 있더라도 간섭받지 않을 거로 생각할 수 있다.

슐러는 "실제 고객사에서 그런 경우를 봤다. CSO에게 말하고, 보안 팀에도 말한다. 당신도 내가 이야기하는 것을 봤을 것이다. ‘아직도 그 사람이 주변이 있다는 게 믿어지지 않아. 그들은 끔찍한 존재야’라고 할 것이다”고 말했다.

이밖에 사고를 모니터링하고 대응하는 인력이 충분하지 않기 때문에 보안 전문가 부족도 보안 침해 사고가 늘어나는 원인으로 지목됐다. ciokr@idg.co.kr
 

X