Offcanvas

CSO / SNS / 라이프 / 모바일 / 보안 / 비즈니스|경제 / 소비자IT / 아웃소싱 / 애플리케이션 / 인문학|교양

회사마다 꼭 있는 '아몰랑 보안' 유형··· 혹시 당신도?

2016.11.09 Josh Fruhlinger  |  CSO
모든 임직원을 대상으로 보안 교육을 한다 해도, 패치를 업데이트하지 않고, 수년 째 같은 비밀번호를 고수하며, 포스트잇에 비밀번호를 적어두는 사람들은 꼭 있다. 사소해 보이지만, 기업 보안의 위협이 될 수도 있는 임직원들의 행동을 유형별로 정리했다. 


Credit: GettyImages

IT분야에 오래 종사했다면, 생태학적으로 특정 틈새에 부합하는 특정 유형의 사람들을 분류할 수 있을 것이다. 필자는 몇 년 전 IT 종사자들에게 업무와 관련해 만났던 '최악'인 사람들의 유형을 예로 설명해 달라고 요청했다. IT 종사자들은 여기에 적극적으로 대답했다. 이번에는 정보보안 종사자들이 '서버'와 기업을 보호하기 위해 극복해야만 했던 '안전하지 못한' 직원들의 유형을 알아봤다. 보안 담당자라면 여기서 소개한 유형에 공감할 것이다. 이 글을 읽는 독자 여러분은 이런 유형에 해당되지 않기를 기대한다.

무조건 클릭하고 보는 사람
팝업 창이 해가 되지 않는다고 생각하는 사람들이 있다. 스크리블르스닷컴(Scribblrs.com)을 창업한 에릭 브랜트너는 "예를 들어, '뉴스 사이트'는 매력적이지만 짜증 나는 팝업이 뜬다. 그리고 일부는 이 팝업을 거리낌 없이 클릭해, 컴퓨터가 스파이웨어에 감염되는 사고를 초래한다. 이메일도 마찬가지다"고 말했다.

화이트햇 시큐리티(WhiteHat Security) 산하 위협 연구소(Threat Research Center)의 라이언 오리어리 부사장은 "대부분 사람들이 '피싱'이 무엇인지 안다. 그러나 재미있는 고양이 동영상 링크, 구글 비밀번호가 유출됐다는 가짜 위협에 넘어가는 사람들이 있다"고 밝혔다. 링크를 클릭해 피해자가 되고, 악성코드가 설치되면 전체 회사 네트워크가 침해를 당한다.

어설픈 기술 전문가
기술을 잘 안다고 자부하는 직원들이 안전하지 못한 행동을 할 때가 많다. 스크리블르스닷컴의 브랜트너에 따르면, 업무용 컴퓨터에서 불법 스트리밍 사이트를 이용할 수 있을 만큼 기술을 잘 아는 사람들이 있지만, 이들은 이 사이트가 '바이러스'나 다름없다는 사실을 간과한다.

PC 핏스톱(PC Pitstop)의 도디 글렌 사이버보안 부사장은 "토렌트 소프트웨어, 키젠, 크랙 등 불법 도구를 사용할 줄 아는 사람들이 문제가 되는 경우가 있다. 이런 소프트웨어와 도구에는 악성코드투성이기 때문이다. 기술을 좀 아는 직원들은 VNC 같은 원격 관리 도구를 설치, 집에서 회사 컴퓨터에 접근할 수 있다. 그러나 제대로 보안을 적용하지 않는다. 고의는 없지만, 실수로 기업 네트워크에 '구멍'을 내는 유형이다"고 말했다.

'편집증 환자'
레질런트 네트워크 시스템(Resilient Network Systems)의 CEO 에단 에이어에 따르면, 보안이 중요하다는 것을 알고 있지만, IT가 이를 제대로 적용했다고 믿지 않는 유형이 있다. 이는 앞에서와 유사한 유형이다. 에이어는 "보안 부서가 요구한 새 소프트웨어를 바로 업데이트하거나, PC를 패칭하지 않는다. 대신 정말 좋은 업데이트와 패칭인지 2주 정도 조사한다. 그런데 그동안 감염이 되고 만다"고 설명했다.


취약한 비밀번호를 좋아하는 임원들
사실 많은 사람들이 취약한 비밀번호를 좋아한다. 그러나 임원들의 경우, 비밀번호를 바꾸라는 요구를 무시하는 경향이 있어 더 큰 문제가 된다. 지역 유틸리티(전기, 가스, 또는 수도) 회사에서 일하다 은퇴한 네트워크 엔지니어인 낸시 핸드는 "최소 8자리의 비밀번호를 이용하고, 90일마다 이를 변경하며, 반복 사용한 비밀번호를 수용하지 않는 정책을 수립해 적용했는데, VP 한 명이 이를 좋아하지 않았다. 그는 몇 년 동안 모든 시스템과 프로그램에 이용했던 동일한 비밀번호를 계속 이용하기 원했다. 게다가 이름의 첫 글자인 d를 비밀번호로 이용하고 있었다"고 말했다.

프리엠프트(Preempt)의 공동 창업자 겸 CEO인 아지트 산체티는 "사이버 보안 문화를 배양하기 위해서는 C레벨 경영진이 솔선수범해, 올바르게 보안을 실천해야 한다. 튼튼한 비밀번호를 이용하는 것을 예로 들 수 있다"고 말했다.

로그오프 하지 않는 사람들
루크 시큐리티(Rook Security)에서 전략을 담당하는 마이크 패터슨 부사장은 "잠시라도 사무실을 비울 때 컴퓨터를 잠가야 하는데, 그러지 않는 사람들"이라고 설명했다. 물론 포스트잇에 비밀번호를 적어 붙여 놓는 사람들보다는 낫다. 그렇지만 해당 사무실에 출입한 다른 사람이 이를 악용할 위험이 있다. 잠깐만 컴퓨터를 사용하지 않아도 자동으로 잠기도록 설정하는 것이 해결책이 될 수 있다.

누군가 사무실로 들어와 타이핑하는 위험만 있는 게 아니다. 핸드는 "단 한 번도 로그아웃하지 않은 직원이 있었다. 로그아웃하지 않은 시간이 하루인지, 잠깐 복도에 나가 있는 동안인지 알 수 없었다. 문제는 업데이트를 적용하기 위해 재부팅 할 수 없었다는 것이다"고 말했다.

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.