Offcanvas

CSO / 보안 / 비즈니스|경제 / 악성코드

기고 | IT보안 위협에 집중하지 못하는 6가지 이유

2018.01.18 Roger A. Grimes  |  CSO


3. 부실한 TI(Threat Intelligence)로 인해 집중력이 왜곡된다
그 이유 중 하나는 대부분 기업의 자체적인 TI로는 어떤 위협에 대해 걱정해야 하는지 제대로 알 수 없다는 점이다. TI는 수천 개의 위협을 살펴보고 고용주에게 자신들에게 불리하게 악용될 수 있는 것에 대해 알려야 한다. 하지만 일반적으로 국제적인 선전을 반복하는 메가폰 기능만 하는 경우가 많다.

대부분 TI부서의 전달력이 어느 정도인지 알고 싶은가? 그들에게 자신의 기업에 가장 큰 피해를 줄 수 있는 가장 좋은 방법이 무엇인지 질문하자. 악성코드, 소셜 엔지니어링, 암호 공격, 구성 실수, 의도적인 공격, 암호화 부재 등일까? 이에 대해 제대로 대답하고 데이터로 결론을 뒷받침하는 TI팀을 만나 본 적이 없다. 기업이 가장 큰 위협을 판단할 수 없는데 어떻게 가장 효율적으로 대항할 수 있을까?

4. 규제 준수가 항상 보안 우수 사례와 일치하는 것은 아니다
컴퓨터 보안과 관련하여 무엇인가를 빠르게 처리하고 싶다면 규제를 준수해야 한다고 말해 보라. 무엇보다도 돈줄이 빨리 열린다. 경영진은 규제 준수에 주의해야 한다. 많은 경우 경영진은 규제 준수를 무시한 데 대해 개인적인 책임을 질 수 있다. 이 때문에 주의를 기울이게 된다.

안타깝게도 규제 준수와 보안이 항상 일치하지는 않는다. 예를 들어, 1년 전에 발표된 오늘의 최고 추천 암호는 암호와 관련된 모든 법률 및 규제 요건에 반할 것이다. 복잡성을 요구하는 등이 최고의 조언이 아니거나 시간이 지나면 위협이 바뀐다는 등 우리가 생각했던 것들이 사실이 아니었음이 밝혀진다. 대부분 법률 및 규제 추천 수립자와 유지자들은 암호에 대한 오래된 조언을 따르면 취약점 공격을 받을 가능성이 커지더라도 주의를 기울이지 않는 것으로 보인다.

개인적으로 (복잡성에 상관없이 매우 강력한) 16자 이상의 암호를 생성할 수 없으면서 자료와 연구에 따르면 실질적으로 별다른 효과가 없으면서도 이론적으로 해커를 저지하는 데 효과가 있을 것으로 생각하는 ‘특수’ 기호를 강제로 사용하게 하는 웹 사이트가 많다는 점이 불쾌하다.

5. 프로젝트가 많아 자원이 줄어든다
필자가 컨설팅한 모든 기업은 기업의 컴퓨터와 장비를 보호하고자 수십 개의 프로젝트를 진행하고 있었다. 이런 프로젝트 중 한두 개를 끝낸 경우 기업이 보안 위험을 최소화하는 데 필요한 보안 혜택의 대부분을 얻을 수 있다. 하지만 제한된 자원을 수십 개의 프로젝트에 분산시키면 대부분 프로젝트가 지연되고 비효율적으로 이행될 가능성이 높다. IT 보안 세계에는 값비싼 소프트웨어가 가득하지만 지속적인 작업을 적절히 감독할 사람이 없는 프로젝트가 많다.

6. 특히 좋아하는 프로젝트는 일반적으로 가장 중요하지 않다
무엇보다도 대부분 기업은 임원이 그달에 선호하는 1~2개의 프로젝트를 추진한다. 임원들은 책을 읽거나 라디오에서 이야기를 듣거나 친구와 골프를 갔다가 기업을 개선하기 위해 무엇이 필요한지에 대한 이야기를 듣는다. 그래서 자신의 회사 데이터를 참조하여 가장 큰 위협이 무엇인지 파악도 하지 않고 다른 프로젝트에서 가장 필요한 인재들을 데려다가 이런 것들을 시킨다. 물론, 다음 프로젝트에 매료되면 또다시 프로젝트를 완료하기도 전에 인재들이 차출될 것이다.

컴퓨터 방어자가 적절한 것에 집중하지 않는 데 대한 더 많은 예를 제시할 수 있지만 일일 위협 사태부터 시작해 프로젝트 사슬을 따라 다른 여러 요소로 인해 악화될 뿐이다. 문제를 해결하는 첫 단계는 자신에게 문제가 있음을 인정하는 것이다. 위에서 언급한 비효율적인 컴퓨터 방어책이 자신의 기업에도 있다면 이제는 팀원 모두가 문제를 파악하고 더욱 잘 집중할 수 있도록 도와야 한다.

*Roger A. Grimes는 인포월드 테스트센터 전문 기고가로, 보안 전문 컨설턴트이자 마이크로소프트 수석 보안 아키텍트다. ciokr@idg.co.kr
 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.