보안담당자가 주목해야 할 2015년 정보보안 트렌드 5가지

Network World

사이버범죄자들이 더욱 정교해지고 협업적으로 진화하고 있다. 2015년 이들에 대항하기 위해서는 다음 5가지 흐름을 반드시 숙지해야 한다.

정보 보안 관점에서 2014년은 다사다난한 한 해였다. 각종 사이버 위협은 물론 데이터 유출 사건으로 떠들썩했다.

2014년 달력이 마지막 쪽에 도달한 가운데 새해에도 사이버 위험의 규모, 위험성, 그리고 복합성은 계속해서 증가할 것이라고 인포메이션 시큐리티 포럼(ISF, Information Security Forum)의 매니징 디렉터 스티브 더빈는 예상했다. ISF는 회원들을 대신하여 보안과 리스크 매니지먼트 수준을 평가하는 비영리 협회다.

더빈은 ISF에서 꼽은 2015년 이슈가 될 보안 트렌드가 5가지가 있다며, “사실 이들 중에 전혀 예상치 못한 새로운 트렌드는 없다. 오히려 보안 위협의 정교함이나 복합성이 늘었다는 게 새로운 측면일 것이다”라고 말했다.

1. 사이버범죄, 정교해진 기술과 협력형 특성

점점 더 많은 범죄자, 테러리스트, 정치사회 운동가들이 인터넷을 활동 무대로 삼고 있다. 이들의 목표는 금전적 이익을 취하는 것에서부터 대중의 관심을 끄는 것, 혼란을 초래하는 것, 온라인 공격으로 정부, 기업 업무를 마비시키는 것까지 다양하다.

오늘날 많은 사이버 범죄자들은 주로 예전에 소련 위성국가였던 곳들에서 활동하는 이들이다. 이들은 뛰어난 실력과 최첨단 테크놀로지로 무장하고 있다. 더빈은 이들이 21세기의 기술로 20세기형 시스템을 공격한다고 표현했다.

그는 “특히 2014년에는 사이버 범죄자들 사이에 결속력이 더욱 공고해지고 기술적인 능력도 향상되어 방심하고 있던 많은 기관들에 피해를 입혔다”라며 다음과 같이 조언했다.

“새해에는 예상치 못한 공격을 받더라도 대응할 수 있는 역량을 길러야 한다. 온라인 정치, 사회 운동인 핵티비즘(hacktivism)과 마찬가지로 사이버 범죄 역시 증가 추세에 있다. 컴플라이언스 비용 증가와 테크놀로지의 비약적 발전, 그리고 보안에 대한 투자 부족이 합해질 경우 재앙이 발생할 수 있는 환경이 조성된다. 자신이 신뢰하고 의지하는 것이 무엇인지 파악하고, 위기 대응에 투자하는 기업들만이 예기치 못한 공격으로부터 피해를 최소화할 수 있을 것이다.”

2. 프라이버시와 규제

세계 각국 정부들은 이미 개인 식별 정보(PII, Personally Identifiable Information) 사용 및 보안에 대한 규제를 마련했거나 마련 중에 있다. 여기에는 소비자의 개인 정보를 제대로 보호하지 못하는 기업을 대상으로한 처벌 조항도 있다.

따라서 이제는 기업들도 고객 프라이버시를 컴플라이언스 이슈인 동시에 비즈니스 리스크 이슈로 규정할 필요가 있다고 더빈은 지적했다. 그래야만 정부 규제를 위반하지 않으면서 기업 이미지 훼손이나 소비자 이탈 등의 비즈니스 비용을 치르지 않을 수 있다는 설명이다.

한편 2015년에는 소비자 정보 보호에 대한 정부 규제가 강력해질 전망이기 때문에 이는 기업에게 상당한 부담으로 작용할 수 있다고 그는 덧붙였다.

더빈은 “정부에서는 소비자 개인 정보의 수집, 저장 및 사용에 대해 점점 더 다양하고 엄격한 규제를 가하고 있으며 데이터 손실이나 유출 위험 고지를 소홀히 한 기업들에게 엄중한 처벌을 가하고 있다. 이런 경향은 특히 유럽 연합 국가들에서 뚜렷이 나타난다. 앞으로 이런 추세는 지속될 것이며 더욱 심화될 것이다. 이는 기업들에게 있어 정보 보안뿐 아니라 법무팀, 인사팀, 이사회에까지 상당한 부담을 지우게 될 것이다”라고 말했다.

그는 또 유럽 연합의 데이터 유출 및 프라이버시 보호 관련 규제를 바로미터로 삼아 눈여겨 보고 자체적인 계획을 세워야 한다고 조언했다.


“ 정부와 정책 결정자들도 보안 문제에 관심을 갖고 참여하고 있다. 이는 기업들에 부담이 된다. 상황에 적절하게 대처할 수 있는 리소스를 지니고 있어야 하고 상황이 어떻게 돌아가는지에 촉각을 곤두세워야 한다. 인 하우스 카운셀러를 두고 문의하는 것도 나쁘지 않다. 그렇지 않으면 그만한 비용을 치르게 될 것”이라고 그는 말했다.

3. 서드파티 공급업체로 인해 발생하는 위협

공급망은 글로벌 비즈니스를 하는 모든 기업들에게 매우 중요한 요소이며 오늘날 세계 경제의 중추 역할을 하는 부분이기도 하다. 그렇지만 보안 전문가들은 이러한 공급망이 다양한 리스크 요소에 무방비로 노출돼있음에 우려를 표하고 있다.

특히 기업들은 공급 업체들과 중요 정보들을 나눠야 할 일이 많은데 이 경우 그 정보에 대한 기업의 통제력은 상실되고 만다. 결국 정보 기밀성, 효용성, 완전성이 훼손될 우려가 커진다.

언뜻 보기에 별 문제가 없어 보이는 관계라도 공격의 대상이 될 수 있다. 타깃을 공격한 범인들도 타깃의 HVAC 벤더가 송장을 제출하기 위해 사용한 웹 서비스 애플리케이션을 노렸다.

“갈수록 서드파티 공급 업체들을 노린 공격이 늘어날 것이고 많은 서드파티 업체들은 이에 대비해 데이터 기밀성, 완전성, 효용성을 지켜 낼 역량이 부족한 것이 현실이다. 기업들은 규모를 막론하고 공급 업체에 지적 재산이나 고객, 직원 정보, 사업 계획, 협상 내용에의 액세스를 부여하는 것의 위험성을 인지하고 있어야 한다. 제조 업체나 유통 업체에만 국한되는 것도 아니다. 변호사나 회계사 같은 전문가들에게도 적용되는 이야기다. 이들 모두 기업의 중요한 정보 자산에 접근할 수 있기 때문이다”라고 더빈은 설명했다.

그는 또 정보보안 전문가들과 서비스 계약 담당자들이 협력을 통해 잠재적 계약에 있어 만전을 기해야 한다며 다음과 같이 강조했다.

“무엇보다 건실한 비즈니스 연속성 계획을 갖추고 있어야 한다. 그래야만 위기 상황을 극복하는 능력과 고위 관리직들의 신뢰를 얻을 수 있다. 공급망 정보 리스크 관리 과정이 잘 구성돼 있을 수록 버거운 프로젝트를 관리 용이한 프로젝트로 만들 수 있는 자세하고 단계적인 접근을 할 수 있다. 이는 공급업체 위주이기 보다는 정보 주도적이어야 하며 기업 전반에 걸쳐 확장, 반복 가능해야 한다.”

4. 직장에서의 ‘BYOx’ 트렌드

‘BYO(Bring Your Own)’으로 시작하는 각종 트렌드들은 앞으로도 계속 될 것이라고 더빈은 예상하며 그런데 이에 대해 신뢰할 수 있는 정책적 가이드라인을 세워 놓은 업체는 얼마 없다고 지적했다.

그는 “직원들이 직장에 자신의 모바일 기기, 애플리케이션, 클라우드 기반 스토리지를 가져와 사용하는 트렌드가 계속됨에 따라 기업에 그 어느 때보다 빠른 속도로 정보 보안 위험을 안겨주고 있다. 이 보안 위험은 기기 관리 소홀, 소프트웨어 취약점에 대한 외부 조종 및 신뢰할 수 없는 비즈니스 애플리케이션 사용에 이르기까지 내, 외부 모두에서 비롯된다”고 말했다.

만일 BYO 리스크가 지나치게 크다고 판단될 경우 잠재적인 보안 위험 요소가 없는지 항상 지켜봐야 한다. 리스크가 수용 가능한 수준이라 판단된다 해도 신뢰할 수 있는 BYOx 프로그램을 보유하고 있어야 한다.

더빈은 “항상 기억해야 할 것은 개인 전자기기를 제대로 관리하지 않을 경우 일과 개인 정보의 선이 잘 지켜지지 않아 실수로 데이터 유출이 되기 십상이란 점이다. 게다가 비즈니스 정보가 보안이 취약한 개인 기기에서 저장, 처리되는 것도 위험하다”라고 덧붙였다.

한편 설령 회사에서 BYOx를 금지한다 해도 결국 직원들은 자신의 기기를 사용할 꼼수를 생각해 내게 되어 있다고 그는 곁들였다.


더빈은 “마치 밀려오는 파도를 막으려는 것과 같다. 얼마 동안은 모래 사장 일부에 파도가 젖지 않게 막을 수도 있겠지만, 오래 가지는 못할 것이다. 모바일 기기 사용은 거스를 수 없는 트렌드이기 때문이다”라고 말했다.

5. 직원 관리

마지막으로, 모든 기업들의 가장 큰 자산이자 가장 위험한 보안 타깃이기도 한 ‘사람’ 이야기를 할 차례다.

지난 수십 년 동안, 기업들은 수백 만, 심지어 그 이상의 비용을 들여 직원들의 정보 보안 인식 개선에 힘써왔다. 기업의 최고 자산이라 할 수 있는 인적 자원을 교육시켜 이들의 행동 패턴을 바꾸고, 자신들의 책임과 책무를 인지하게 해 보안 위험을 줄이자는 것이 그 취지였다.

그렇지만 이런 접근 방식은 큰 성과를 이루지 못했고 앞으로도 그럴 것이라고 더빈은 진단했다. 그보다는 비즈니스 프로세스의 일환으로 명확한 보안 행동 강령을 확립해 직원들을 데이터 유출 리스크 팩터에서 기업의 보안 방벽 제 1선으로 활용해야 한다고 그는 조언했다.

그는 “2015년에는 단순히 직원들의 보안 인식을 높이는 데서 벗어나 이에 대한 솔루션을 만들고 정보 리스크를 줄일 수 있는 보안 행동 강령을 세우는 데 초점을 맞춰야 한다. 보안 위험이 생겨나는 이유는 사람들이 ‘예측할 수 없기’ 때문이다. 기업들에서는 직원들을 최고의 자원으로 여기지만, 정보 보안에서 ‘인적 요소’의 보안이 얼마나 중요한지를 잘 모르고 있다. 요컨대 직원들이야 말로 기업들에서 가장 강력하게 통제해야 하는 보안 위험 요소인 것이다”라고 말했다.

더빈은 이어 “비즈니스 프로세스에 명확한 정보 보안 행동 강령을 포함시켜 직원들이 보안 위협이 닥쳤을 때 ‘멈춰서 생각하는’ 습관을 들일 수 있도록 하고 그것이 회사의 보안 문화의 일부가 될 수 있도록 해야 한다. 많은 기업들에서 ‘보안 인식’이라 불리는 카테고리 안에서 컴플라이언스 활동을 하지만 정작 포커스를 맞춰야 할 것은 보안 리스크와 새로운 행동 강령이 어떻게 리스크를 줄일 수 있는가 이다”라고 설명했다. ciokr@idg.co.kr