2017.05.19

섀도우 데이터, 어떻게 보호할까? 7가지 팁

Ryan Francis | CSO
미국 통화감독국(Office of the Comptroller of the Currency)의 한 직원이 퇴사하기 전에 USB 메모리 카드 2개에 1만 건 이상의 OCC 기록을 저장한 일이 있었다. 그는 2015년 11월에 퇴사했고, 통화감독국은 이듬해 9월까지 이러한 위반 사실을 발견하지 못했다. 위반 후 발견하기까지 약 1년이 걸렸다. OCC는 메모리 카드를 복구하지 못했다.

이 사건은 비즈니스 관리자가 직원의 민감한 회사 데이터 처리 방식을 제대로 감독하지 못할 때 어떤 일이 발생 하는지를 보여준다. 회사에서 승인받지 않고 임직원이 사용하는 앱이나 기기는 섀도우 IT 문제를 일으킨다.

승인받은 앱을 사용한다 해도 직원이 회사를 데이터 위험에 놓이게 행동을 수 있다. 이 문제를 섀도우 데이터라고 한다. 클라우드 애플리케이션 프로비저닝에 대한 자유로운 접근 방식을 취하는 기업이 늘어나면서, 검증된 애플리케이션을 비롯해 모든 애플리케이션을 신중하게 보호하고 최적화해 모니터링 하고 있는지 확인해야 한다. 원로긴(OneLogin)의 수석 이사인 알 사전트는 Al 데이터 감시 상태를 유지하고 섀도우 데이터로 인한 위험을 줄일 수 있는 7가지 팁을 제시했다.

안전한 상태에 있더라도 기밀 데이터는 암호화하라


분실이나 도난당한 데이터를 무단 접근 및 유출로부터 보호하려면 강력한 암호화 방법이 필요하다. OCC 사건의 경우 1만 건 이상의 기록물이 암호화됐기 때문에 피해를 완화할 수 있었다.
 
기업용 앱이 보안 표준을 준수하는지 확인하라
대부분 조직에서는 승인받은 앱이 표준 보안 벤치마크를 충족할 만큼 충분한 성과를 내지 못하고 있다. 섀도우 데이터에 관한 업계 보고서에 따르면, 회사 클라우드 앱의 95%는 클라우드 앱 보안을 진단하는 공통 벤치마크인 SOC 2에 설정된 규제 준수 표준을 충족하지 못하고 있다. 기업은 검사된 모든 앱이 표준 준수 기준을 충족할 수 있도록 하는 정책을 마련해야 한다.

다중 인증 체계를 마련하라
규제 준수의 단점을 드러내는 업계 보고서에서도 기업용 애플리케이션의 71%에 MFA(다중 요소 인증)가 없다는 사실이 밝혀졌다. 회사에서 허용한 애플리케이션에서 MFA가 없으면 본질적으로 무단 접근에 취약할 수밖에 없다.

기업 클라우드 애플리케이션의 통일된 카탈로그를 유지하라
IT부서가 섀도우 데이터로 위험에 직면하게 되는 가장 큰 이유 중 하나는 승인한 모든 앱을 추적하지 못하기 때문이다. 제대로 감독하지 않으면, 비정상적인 다운로드와 같은 의심스러운 행동으로 데이터가 빠져나갈 수 있다. IT관리자는 사용자 관리 및 접근 제어 기능이 갖춰진 회사 인증 애플리케이션의 중앙 집중식 카탈로그를 만들고 유지 관리함으로써 애플리케이션 보안을 클라우드에 전달하는 데 중요한 조직 계층을 유지하고 관리할 수 있다.

데이터 공유를 제한하라
파일 공유가 실수든 고의든 상관없이 승인받은 앱에 포함된 기업 데이터의 보안을 신속하게 손상시킬 수 있다. 회사는 승인한 각 앱에 대한 공유 권한을 신중하게 구성하고 광범위한 공유 권한을 최소한으로 유지하도록 함으로써 이 문제를 예방할 수 있다.

퇴자사 프로세스로를 점검하라
고용주는 직원 퇴사 처리에 여유를 부려서는 안된다. 악의적인 퇴사자가 외장 하드 드라이브를 들고 나가며 왜 이 행동이 나쁜지를 밝혀내는 것만 하면 된다. 비효율적인 수동 퇴사자 프로세스를 자동으로 전환함으로써 IT임원은 회사 데이터 노출의 위험을 크게 줄일 수 있다.

직원 모바일 기기를 보호하라
직원이 모바일 기기로 업무를 처리할 수 있는 기업이라면 이러한 기기가 회사의 보안 표준을 충족하는지 확인해야 한다. 이 보호 수준을 보장하는 가장 좋은 방법은 모바일 전용 ID 및 접근 관리(IAM) 툴을 도입하는 것이다. ciokr@idg.co.kr
2017.05.19

섀도우 데이터, 어떻게 보호할까? 7가지 팁

Ryan Francis | CSO
미국 통화감독국(Office of the Comptroller of the Currency)의 한 직원이 퇴사하기 전에 USB 메모리 카드 2개에 1만 건 이상의 OCC 기록을 저장한 일이 있었다. 그는 2015년 11월에 퇴사했고, 통화감독국은 이듬해 9월까지 이러한 위반 사실을 발견하지 못했다. 위반 후 발견하기까지 약 1년이 걸렸다. OCC는 메모리 카드를 복구하지 못했다.

이 사건은 비즈니스 관리자가 직원의 민감한 회사 데이터 처리 방식을 제대로 감독하지 못할 때 어떤 일이 발생 하는지를 보여준다. 회사에서 승인받지 않고 임직원이 사용하는 앱이나 기기는 섀도우 IT 문제를 일으킨다.

승인받은 앱을 사용한다 해도 직원이 회사를 데이터 위험에 놓이게 행동을 수 있다. 이 문제를 섀도우 데이터라고 한다. 클라우드 애플리케이션 프로비저닝에 대한 자유로운 접근 방식을 취하는 기업이 늘어나면서, 검증된 애플리케이션을 비롯해 모든 애플리케이션을 신중하게 보호하고 최적화해 모니터링 하고 있는지 확인해야 한다. 원로긴(OneLogin)의 수석 이사인 알 사전트는 Al 데이터 감시 상태를 유지하고 섀도우 데이터로 인한 위험을 줄일 수 있는 7가지 팁을 제시했다.

안전한 상태에 있더라도 기밀 데이터는 암호화하라


분실이나 도난당한 데이터를 무단 접근 및 유출로부터 보호하려면 강력한 암호화 방법이 필요하다. OCC 사건의 경우 1만 건 이상의 기록물이 암호화됐기 때문에 피해를 완화할 수 있었다.
 
기업용 앱이 보안 표준을 준수하는지 확인하라
대부분 조직에서는 승인받은 앱이 표준 보안 벤치마크를 충족할 만큼 충분한 성과를 내지 못하고 있다. 섀도우 데이터에 관한 업계 보고서에 따르면, 회사 클라우드 앱의 95%는 클라우드 앱 보안을 진단하는 공통 벤치마크인 SOC 2에 설정된 규제 준수 표준을 충족하지 못하고 있다. 기업은 검사된 모든 앱이 표준 준수 기준을 충족할 수 있도록 하는 정책을 마련해야 한다.

다중 인증 체계를 마련하라
규제 준수의 단점을 드러내는 업계 보고서에서도 기업용 애플리케이션의 71%에 MFA(다중 요소 인증)가 없다는 사실이 밝혀졌다. 회사에서 허용한 애플리케이션에서 MFA가 없으면 본질적으로 무단 접근에 취약할 수밖에 없다.

기업 클라우드 애플리케이션의 통일된 카탈로그를 유지하라
IT부서가 섀도우 데이터로 위험에 직면하게 되는 가장 큰 이유 중 하나는 승인한 모든 앱을 추적하지 못하기 때문이다. 제대로 감독하지 않으면, 비정상적인 다운로드와 같은 의심스러운 행동으로 데이터가 빠져나갈 수 있다. IT관리자는 사용자 관리 및 접근 제어 기능이 갖춰진 회사 인증 애플리케이션의 중앙 집중식 카탈로그를 만들고 유지 관리함으로써 애플리케이션 보안을 클라우드에 전달하는 데 중요한 조직 계층을 유지하고 관리할 수 있다.

데이터 공유를 제한하라
파일 공유가 실수든 고의든 상관없이 승인받은 앱에 포함된 기업 데이터의 보안을 신속하게 손상시킬 수 있다. 회사는 승인한 각 앱에 대한 공유 권한을 신중하게 구성하고 광범위한 공유 권한을 최소한으로 유지하도록 함으로써 이 문제를 예방할 수 있다.

퇴자사 프로세스로를 점검하라
고용주는 직원 퇴사 처리에 여유를 부려서는 안된다. 악의적인 퇴사자가 외장 하드 드라이브를 들고 나가며 왜 이 행동이 나쁜지를 밝혀내는 것만 하면 된다. 비효율적인 수동 퇴사자 프로세스를 자동으로 전환함으로써 IT임원은 회사 데이터 노출의 위험을 크게 줄일 수 있다.

직원 모바일 기기를 보호하라
직원이 모바일 기기로 업무를 처리할 수 있는 기업이라면 이러한 기기가 회사의 보안 표준을 충족하는지 확인해야 한다. 이 보호 수준을 보장하는 가장 좋은 방법은 모바일 전용 ID 및 접근 관리(IAM) 툴을 도입하는 것이다. ciokr@idg.co.kr
X