"변화하는 경제 여건, 중요해 지는 보안"
본지의 연간 전세계 정보 보안 설문 결과 CIO가 직면한 위험과 난제는 작년에도 크게 달라지지는 않았지만 CIO들은 기업 데이터와 네트워크를 보호하기 위한 더 나은 방법을 찾고 있는 것으로 나타났다.
CIO 및 자매지 CSO를 대신해 이번 조사를 실시한 프라이스워터하우스쿠퍼스(PricewaterhouseCoopers)의 자문 서비스 부문 책임자인 마크 로벨은 “올해 결과에서는 긴장감을 볼 수 있다. 바로 경제 여건이 변화함에 따라 기대치를 다시 설정해야 한다는 긴장감”이라고 말했다.
설문에 참여한 전세계 1만 2,847명의 비즈니스 및 기술 경영진 중 67%는 조직에 대한 위험을 최소화하기 위한 보안 대책을 중요시한다고 답했다. 그러나 CIO들은 기술 비용 지출을 더욱 선별적으로 집행하면서 내부 IT 직원이 할 수 없는 일은 외부 보안 전문가에게 맡겨야 한다는 사실을 인식하고 있다. 그 이유는 다음과 같다.
클라우드 컴퓨팅을 도입하는 이유는 클라우드 컴퓨팅이 IT 운영을 더 가볍고 저렴하게 해주기 때문이다. 그러나 클라우드 보안에 대한 이해는 작년에도 그다지 나아지지 않았다. 클라우드 보안에는 주의를 기울여야 한다.
고객들은 온라인에서 돈을 쓸 곳을 찾고, 이 과정에서 더 다채로운 애플리케이션을 사용하고자 한다(모바일 기기에서도 마찬가지). 따라서 고객의 개인적인 데이터와 기타 중요한 자산을 훔치기 위해 공격자가 악용할 수 있는 취약점으로부터 고객을 보호해야 한다. 게다가 정부와 산업 규제 기관에서 이러한 보호 기능을 의무화하는 경우가 많다. 한편으로 점차 복잡해지는 비즈니스 관계로 인해 여러분은 외부 사용자의 내부 시스템 접근 범위를 넓힐 수밖에 없다. 즉, 비즈니스 파트너를 대상으로 한 공격이 여러분의 네트워크까지 흘러들 수 있으므로 이에 대한 대비책도 필요하다.
2년 전의 금융 시장 붕괴로 인해 일부 보안 전략에는 다소 차질이 생겼을 수 있지만 응답자의 56%는 위험의 증대로 인해 결과적으로 회사에서 보안의 역할과 중요성이 높아졌다고 답했다. 즉, 보안에서 후퇴된 부분은 없다는 이야기다.
클라우드에 도사린 위험
응답자의 62%는 클라우드에 배치하는 자산의 보안에 대해 전혀 확신하지 못하는 것으로 나타났다. 응답자의 49%는 클라우드 컴퓨팅으로의 모험을 실제로 감행했는데, 이들 중 39%는 보안에 대해 심각하게 걱정하고 있다고 답했다.
클라우드 컴퓨팅 전략에 있어서 가장 큰 위험을 묻는 질문에 대해 응답자들은 공급업체 현장에서 보안 정책을 강제할 수 있는지에 대한 의구심, 부족한 교육과 IT 감사 등을 꼽았다.
로스엔젤레스 카운티 퇴직자 협회(Lacera: 라세라)의 CIO인 제임스 푸는 회의적인 사람 중 하나다. 그는 클라우드 컴퓨팅이 제공하는 융통성과 민첩성은 좋지만 가용성 및 보안 측면의 본질적인 위험은 우려된다고 말한다.
라세라의 정보 보안 관리직을 겸하고 있는 푸는 “현재로서는 근거리 통신망(LAN)에 비해 안정성이 떨어진다”며 “서드파티가 연루되는 부분이 우려된다”고 말한다. 그는 클라우드 공급업체는 서드파티를 통해 데이터 센터와 하드웨어를 호스팅한다는 점을 지적한다. 그리고 이러한 호스팅 업체들은 충분한 검증 없이 직원을 채용할 가능성이 있다. 푸는 “데이터를 클라우드에 둘 경우 소프트웨어 버그 하나만으로도 이 데이터가 유출될 수 있다”고 지적한다.
반면 미국 테니스 협회(USTA) CIO인 래리 본판테는 조심스럽게 클라우드로 전환 중인 IT 리더 중 한 명이다. 보안 측면에서 본판테가 가장 신경을 쓰는 부분은 소비자 데이터 보호인데, 미국 오픈 경기 표의 약 80%가 온라인으로 판매된다는 점을 감안하면 결코 쉽지 않은 일이다. 그는 아직 이러한 거래가 클라우드에서 이루어지도록 할 생각은 없다. 안전하게 거래를 처리하는 데 필요한 모든 기술이 완벽히 준비되었다고 생각하지 않기 때문이다. 그러나 백 엔드 재무 및 보고 시스템에 대해서는 다른 시각을 갖고 있다.
본판테는 아마존의 보안 리소스가 조직 리소스를 보완하리라는 생각에 모든 내부 백 엔드 시스템을 아마존 웹 서비스 플랫폼으로 옮겼다. 덕분에 비용이 절감되고 IT 직원이 관리해야 할 서버 수가 줄었으며 결과적으로 새 솔루션을 더 신속하게 배포할 수 있게 됐다. 또한 클라우드를 통해 USTA의 탄소 발자국도 줄였다. 내부 하드웨어가 줄었다는 것은 IT를 위한 에너지 소비도 그만큼 줄었음을 의미하기 때문이다.
구체적 지침과 규정 확립 필요
보스턴 소재 대형 뮤추얼 펀드 회사의 CSO이자 금융 업체인 캐피탈 IQ 및 미라디언트(Miradiant)의 전 CSO인 켄 페일은 클라우드 컴퓨팅이 안전한 옵션으로 광범위하게 채택되려면 몇 가지 과제가 해결되어야 한다고 말한다(현재 소속 회사 이름은 페일의 요청으로 밝히지 않음).
그는 먼저 보안 전문가들이 고객 정보 또는 지적 자산 등 클라우드에 저장해도 괜찮은 데이터 유형에 대해 더 구체적인 지침을 마련해야 하며, 증권거래위원회와 같은 규제 기관이 클라우드와 관련된 재무 보고 규정에 대해 명확한 입장을 밝혀야 한다고 말한다.
그는 특히 클라우드에 저장해도 괜찮은 금융 데이터의 유형을 비롯해서 아직 이러한 부분에 대한 답이 명확하게 나오지 않았다고 생각한다. 페일이 속한 회사에서 현재 클라우드를 피하는 것도 이러한 이유 때문이다.
사업 파트너와의 관계
클라우드 공급업체에게 데이터 관리를 믿고 맡길지 여부는 여러분이 선택할 문제다. 사업 파트너와의 관계는 더 복잡하다.
설문 응답자들은 경기 침체로 인해 비즈니스 파트너와 납품업체들의 보안이 불안정해졌기 때문에 그들 자신의 보안도 작년에 비해 위협에 더 크게 노출될 수 있다는 데 다소 우려를 표시했다. 응답자의 77%가 파트너와 납품업체의 보안이 경기 침체로 인해 약화되었다고 답했다. 이는 전년도의 67%에 비해 증가한 수치다.
로벨은 “기업들은 싫든 좋든 서드파티에 대한 의존도를 높이고 있으며, 이러한 파트너에게 기업의 IT 인프라와 데이터에 대한 접근을 허용해야 한다”며 “이는 경기가 좋을 때는 어려운 일 정도지만 경기가 나쁠 때는 두려운 일이 된다”고 말한다. 서드파티들은 자사의 사업 문제로 인해 기업과 마찬가지로 비용을 줄여야 하고, 이 과정에서 보안과 관련된 부분을 삭감할 수 있기 때문이다.
패밀리 달러의 부사장겸 CIO인 조쉬 쥬이트는 비즈니스 파트너가 보안을 약화시키지 않도록 조치를 취했다. 그는 “우리는 계약적인 측면뿐만 아니라 운영 측면에서도 믿을 수 있는 업체들을 보유하고 있다”며 “이 업체들은 우리 회사 내부에 사용되는 것과 동일한 보안 표준을 충족해야 한다”고 말한다.
패밀리 달러의 파트너들은 패밀리 달러 또는 독립 회계 업체로부터 정기적인 감사도 받아야 한다. 또한 패밀리 달러는 이들의 행위가 회사의 데이터 또는 비즈니스 연속성을 위험에 노출시킬 경우 관계를 종료할 계약상의 권리를 가진다.
IT 감사 자격증을 보유한 라세라의 푸는 로널드 레이건 대통령이 전 소비에트 연방과 핵무기 조약을 할 때 사용했던 방법을 사용한다. 즉, 신뢰는 하되 확인하는 것이다. 푸는 “많은 경우 서드파티들은 보안 절차를 문서화해야 하지만 이를 확인하기 위한 후속 조치는 없는 경우가 많다. 우리는 직접 확인한다”며 “업체에게 많은 질문을 던지고, 이들이 접근할 수 있는 요소를 제한한다. 이들이 회사로 들어오면 우리는 항상 사람을 옆에 붙인다”고 말한다. 또한 사업 파트너는 승인된 보안 수단을 사용해야만 라세라의 네트워크에 있는 컴퓨터에 대한 연결이 허용되며, 데이터의 사용 방법을 다루는 명확한 규칙을 준수해야 한다.
명확한 보안 계약 필요
파트너는 사업적 요구와 관계가 없는 데이터 또는 응용 프로그램에는 접근할 수 없다. 두 회사가 공동으로 작업하는 사안(가령 이벤트 등)에 직접 연계된 데이터 또는 응용 프로그램에만 접근이 허용된다.
본판테 역시 사업 파트너에게 시스템에 대한 접근 권한을 부여하는 데 대해 푸와 비슷한 경계심을 갖고 있다. 재무 애플리케이션은 봉쇄되어 있으며 파트너는 고객 데이터가 저장된 네트워크 위치에는 접근할 수 없다. 이러한 조건하에서 그는 안심하고 네트워크의 다른 부분을 공유한다.
그는 “우려되는 부분은 늘 있지만 암호화나 암호 보호 등이 확실히 적용되도록 파트너와 협력하고 있다”고 말한다. 즉, USTA와 파트너 사이를 오가는 데이터는 암호화되므로 해독이 불가능하고, 정보에 접근하려는 외부 공격자에게는 쓸모 없는 데이터가 된다.
파트너를 선택하기 전에 보안 담당자를 이 결정 과정에 관여시켜야 한다고 말한다. 보안 전문가는 예컨대 이벤트나 마케팅 담당자보다 더 신중하게 후보 파트너의 보안 통제력을 관찰할 것이기 때문이다. 또한 보안 전문가가 참여해야 파트너들에게 보안 운영 방식을 세부적으로 설명할 것을 요구할 수 있다.
쥬이트와 마찬가지로 페일은 미리 준비된 계약 조건을 꼼꼼하게 따진다. 그는 “보안은 서면화되어야 한다. 인증을 어떻게 처리할 것인가? 데이터는 이동할 때와 보관될 때 각각 어떻게 처리되는가? 누가 어떤 부분의 통제를 책임지는가? 이러한 질문들에 모두 답을 준비해야 한다”고 말한다.
외주업체에 대한 신뢰
비즈니스 파트너의 보안을 세세하게 감시하는 것과 별개로, 많은 IT 및 비즈니스 리더들은 최소한 외부 전문가의 도움 없이는 정보를 항상 안전하게 지키기란 불가능함을 인지하고 있다.
설문 응답자의 절반 이상(52%)은 보안 복표를 달성하는 데 있어 MSSP(보안 관리 서비스 제공자)라고도 하는 외주 업체의 역할이 중요하거나 매우 중요하다고 답했다. 19%도 일부분에서 외주 업체들의 역할을 인정했다. 응답자의 30% 이상은 향후 12개월 동안 이메일 필터링, 애플리케이션 방화벽 관리와 같은 보안 기능의 일부 또는 전체에 대한 외주에 가장 높은 우선 순위를 두고 있다고 밝혔다. 이는 작년 18%에서 높아진 수치다.
이러한 수치는 작년과 비교할 때 큰 변화를 나타내지는 않지만 로벨은 변화를 예고하는 신호라고 말한다.
로벨은 외주에 대한 관심 증대가 "IT 서비스 비용의 하락에 따른 결과”라고 말한다. 예를 들어 기업들은 더 적은 비용으로 외주 업체에 맡길 수 있는데 굳이 내부적으로 24시간 보안 모니터링을 위해 더 많은 비용을 지불할 필요성을 느끼지 못하고 있다. 로벨은 “대충 하려면 내부적으로 하는 편이 비용이 덜 들지만 정말 제대로 된 보안을 구현하려면 내부 비용이 외주에 비해 더 높다”고 말한다.
전 CSO이자 정보 보안 외주(Outsourcing Information Security)의 저자이기도 한 워렌 악셀로드는 보안은 보안에 파묻혀 사는 사람들에게 맡기는 편이 유리하다는 사실을 기업들이 인식하고 있다며 “수술을 해야 한다면 한 달에 1번 수술하는 의사보다 하루에 5번 수술하는 의사에게 가는 편이 나은 것과 같은 이치”라고 말한다.
응답자의 30% 이상은 이메일 필터링, 침투 테스트와 같은 보안 안전 대책을 새로 수립하기 위해 외주에 높은 우선 순위를 부여하고 있다고 답했다. 응답자의 60%는 보안 하드웨어를 이미 외주로 처리 중이라고 답했으며 59%는 암호 리셋 관리를 위임했다고 밝혔다. 전략 및 표준 부문의 경우 32%는 외부 파트너, 납품업체 및 다른 IT 공급업체에 대한 보안 기준을 정립하는 데 외주 업체의 도움을 받고 있다고 답했다. 또한 24%는 중앙 보안 정보 관리 절차를 외주로 처리 중이다.
전문성에 대한 CIO 이해 중요
패밀리 달러의 쥬이트는 보안 프로그램의 각 부분을 시행 및 감사하기 위해 다양한 서비스 제공업체와 계약했다. 그는 외주 처리하는 요소와 그 이유에 대해서는 자세한 언급을 거부했지만 이러한 부분에 대해 의사 결정을 내릴 때 내부 기술력 및 리소스에 대한 자체 평가, 외주와 내부 처리 시의 비용, 업무 격리의 필요성, 그리고 위험 평가 등을 반영한다고 밝혔다.
USTA에는 IT 보안 전담 팀이 없다(기술 및 운영 담당자가 보안도 관리). 본판테는 웹 모니터링 및 필터링, 이메일 스캐닝, 창고 감시와 같은 업무를 MSSP에 맡긴다. 그는 자세한 내용은 밝힐 수 없지만 내년에는 더 많은 보안 기능을 외주로 돌릴 예정이라고 밝혔다.
페일은 성공적인 정보 보안 외주는 외주 업체의 전문성에 대한 CIO의 이해에 달렸다고 말한다. 외주 업체의 전문성에 대한 오판은 명백한 실수이며, 흔히 일어나는 실수이기도 하다. 페일은 “기업들은 외주 업체의 전문 영역을 신중하게 검토하고, 시간을 들여 후보 업체의 과거 기록을 살펴야 한다”고 말한다. MSSP마다 다루는 보안 영역은 다르다. 페일은 업체가 유명하다고 해서 그 업체가 여러분의 회사에 잘 맞는다는 보장은 없다고 지적한다.
외주 업체를 발탁했으면 SLA(서비스 수준 협약)을 맺는 것이 중요하다. SLA에는 예컨대 매월 MSSP가 처리할 수 있어야 하는 사고의 수와 이러한 사고를 해결하기 위한 행동 방침 등이 정의된다. 페일은 모든 SLA에는 의심스러운 활동을 회사에 알려야 하는 시점을 명시하는 시간표 조항이 반드시 필요하다고 말한다.
페일은 “우리는 이러한 사건이 발생하는 경우 10분 내에 통보를 받아야 한다”고 말한다. 또한 시한을 맞추지 못한 경우에 대한 적절한 보상 조항도 필요하다. 페일은 “계약 내용을 충족하지 못할 경우 대금을 지급하지 않는다”고 말한다.
향후 전망
설문 결과 최근의 어려운 경기에도 불구하고 기업들은 보안에 대한 투자 비용을 크게 삭감하지는 않은 것으로 나타났다. 사실 보안 비용 지출을 줄이거나 연기한 회사는 거의 없었다. 응답자의 52%는 내년 보안 비용 지출이 최소 10% 증가할 것으로 예상하고 있으며, 9%는 보안 비용을 30% 이상 늘릴 계획이다.
로벨은 비용 증가가 쉽게 이루어지는 경우는 없다고 말한다. 지속적인 경제의 불확실성으로 인해 기업들은 예산을 승인하고도 막상 집행은 최대한 미룰 수 있기 때문이다. 그러나 그는 기업들이 온라인으로 제공하는 서비스가 다양화되면서 규정 준수에 대한 압박을 느끼고 있기 때문에 더 견고한 보안에 대한 수요는 계속 증가할 것으로 예상하고 있다.
로벨은 “애플리케이션 및 모바일 보안 등에 대한 수요는 대기 중인 상태”라며 “비용의 실제 집행이 허락되면 본격적인 움직임을 볼 수 있을 것”이라고 말한다.
그렇게 되면 전세계 IT 보안은 한 걸음 더 전진하게 될 것이다.
설문 조사 방법
리서치 관리자 캐롤라인 존슨
CIO ,CSO 및 프라이스워터하우스쿠퍼스가 전세계를 대상으로 진행하는 전세계 정보 보안 설문은 2010년 2월 19일부터 4월 30일까지 온라인으로 진행됐다. 설문 참여 대상은 CIO와 CSO의 지면 및 온라인 구독자와 프라이스워터하우스쿠퍼스 고객이다. 결과는 100개국 이상의 보안 및 IT 전문가 12,847명이 보낸 응답을 통해 도출됐다. 응답자 지역 비율은 아시아가 가장 높고(37%) 그 다음이 유럽(30%), 북미(17%), 남미(14%), 그리고 중동과 남아프리카(2%)순이다. ciokr@idg.co.kr
Surfshark
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.
2010.11.03
Bill Brenner | CIO
추천기사