Offcanvas

CSO / How To / 리더십|조직관리 / 보안 / 소프트스킬

움직이는 보안 구멍?··· 특히 주의해야 할 내외부 관계자 10인

2017.03.23 David Geer  |  CSO
정보 보안 사고가 매년 기록을 갱신하고 있으며, 사고 중 상당수는 내부자에서 비롯된 것이라는데 수많은 연구보고서가 같은 목소리를 낸다. 보안 솔루션 기업 봄가르(Bomgar)의 보안 제품 관리 디렉터 샘 엘리엇은 특별 권한을 가진 내부 직원이나 외주 직원에 특히 유의해야 한다고 조언했다. 보안에 특히 유의해야 할 내부자 10인을 정리했다.



CEO
그렇다, 가장 높은 자리에 있는 인물이 리스트에서도 첫번째다. 엘리엇은 "올해 초 FBI는 CEO를 노리는 정교한 공격이 지난 3년 간 총 23억 달러의 손실을 유발시킨 것으로 추산했다. 이러한 공격은 CEO가 가지는 권한과 지위을 노린다. 조직의 상부와 하부는 공격자들에게 모두 매력적인 먹잇감일 수 있다"라고 말했다.

임원 비서
정보를 가진 이라면 곧 공격 대상이라는 의미다. 엘리엇은 "많은 조직의 경우 임원의 비서들은 다양한 정보에 접근할 수 있다. 임원진 정, 절차 정보, 로그인 등과 관련된 고급 시스템 정보, 재정 데이터, 여타 기밀 파일 등이다"라고 말했다.

보안 컨설턴트
이들이 외부 인물이라는 사실을 기억해야 한다. 엘리엇은 "다층형 보안은 종종 외부 보안 서비스 기업으로부터의 지원이나 이들과의 통합을 필요로 한다"라고 지적하며 "이들에게는 네트워크와 기업 전반를 누비고 다닐 수 있는 권한이 부여되기 쉽다. 시간을 들여 이들 공급자들의 보안 상태를 점검해야 할 이유가 있다"라고 말했다.

전직원이나 이전 벤더
퇴사나 계약 종료는 종종 쉽지 않은 작업이며, 이로 인해 사고로 이어지는 경우가 잦다. 엘리엇은 "오늘날 모든 업종에 걸쳐 조직들이 가장 흔히 저지르는 실수는 관계가 끝난 직원이나 벤더의 권한을 방치하는 것"이라며, "접근권을 차단하지 않는다면 공격에 쉽게 노출될 수 있다. 공격면을 줄이기 위해서는 이러한 프로파일을 반드시 삭제해야 한다"라고 말했다.

신임 IT 리더, 관리자
큰 권한을 가지지만 새로운 상황에 익숙하지 않은 이가 있다면 당연히 공격 대상이 된다. 엘리엇은 "해커들은 놀라울 정도로 교묘한 책략을 구사하곤 한다. 새로운 지위에 오른 IT 고위직은 프로토콜이나 절차에 익숙하지 않을 수 있다. 소셜 엔지니어링 공격에 넘어가 해커에게 고위 권한을 넘겨줄 가능성에 대비해야 한다"라고 말했다.

소셜 미디어 관리자
소셜 미디어를 담당하는 이라면 온라인에 자신의 정보를 적극적으로 게재하는 경향이 있다. 엘리엇은 "이들의 정보는 여러 소셜 서비스에서 쉽게 확인할 수 있다. 사이버 범죄자들은 이러한 정보를 통해 이들로위장하고 시스템이나 정보에의 접근권을 요청하곤 한다"라고 말했다.

외주 업체
오늘날의 비즈니스 생태계는 정말이지 복잡하다. 대기업이라면 더욱 그렇다. 엘리엇은 "그간의 보안 사고에서 드러났듯이 외주 업체가 VPN으로 시스템에 직접 접근할 수 있는 경우가 많다. 이는 해커에게 탐스러운 진입점이 될 수 있다. 벤더의 권한이 제한적인지, 통제되고 있는지 확인할 필요가 크다"라고 말했다.

임시직 직원
기업에 따라 임시직은 주요 보안 구멍이 될 수 있다. 특히 성수기 시즌에 맞춰 임시직을 고용하는 기업의 경우 그 권한이 정규직과 크게 다르지 않아 문제가 된다. 엘리엇은 "지불 및 결제 시스템에 접근할 수 있는 권한이 부여된다. 노트북이나 모바일 기기를 지급받기도 한다. 이들에 대한 보안 정책을 간과해서는 안 된다"라고 말했다.

클라우드 컴퓨팅 관리자
클라우드가 비즈니스에서 차지하는 비중이 증가하면서 이에 대한 보안도 고도화될 필요가 있다. 엘리엇은 "클라우드 관리자가 기업 전반의 핵심 정보에 쉽게 접근할 수 있는 경우가 많아졌다. 클라우드에 점점 더 중요한 정보가 많이 저장되고 있기 때문이다. 해커들이 노릴 만한 충분한 직책이다"라고 말했다.

사회 공헌 기업
좋은 의도가 나쁜 결과를 가져올 수 있다. 2014년 JP 모건 체이스 해킹 사건이 좋은 사례다. 엘리엇은 "여러 사회적 단체들은 그들을 후원하는 기업의 시스템에 접근할 수 있곤 한다. 직원 정보에의 접근권을 갖거나 공헌 활동에 참여한 직원 또는 부서 정보를 가진 경우가 종종 있다"라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.