2012.08.09

위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

Dan Geer, Craig Shumard | CSO

기업 내부에서 비롯된 위협을 기술만으로 막아낼 수 없다. 아직 현재 진행형인 위키리크스 폭로와 이와 관련된 무분별한 불법 정보 공개는 정부 차원의 문제가 아니다. 이는 부주의 또는 고의적으로 발생할 수 있는 정보 노출의 문제를 극적으로 보여주고 있다. 모든 기업들이 직면하고 있는 문제이기도 하다.

내부 위협의 원인이 고의적인 것만은 아니다. 실수로 공개된 정보가 악용되어 기업의 수익이나 특정 개인의 경력, 평판에 해를 주기도 한다. 중요한 정보를 위험에 처하도록 만드는 것은 사람의 행동이다. 내부 관계자에서 비롯되는 정보 보안 위협에 대처하기 위해서는 관리와 기술 모두에 대한 고려가 필요하다.

인간에 대한 이해의 문제
기업의 위험은 2가지에 뿌리를 두고 있다. 기밀 정보를 보유하고 있다는 것과 이를 이용하도록 인가된 인력이 있다는 것이다. 이 밖에도 한 가지가 더 있다. 기밀 정보를 원하는 누군가가 있다는 것이다.

기업은 기밀 정보 접근 과정을 적절히 보호한다고 할지라도 위험에 처할 수 있다. 인가된 사용자가 악의적인 목적에서 정보를 훔칠 방법을 찾을 수도 있고, 보안 지식이 부족해 정보를 잃어버릴 수도 있기 때문이다.

그러나 위험 노출을 줄이기 위해 정보 보안 방어 계층을 발전시키는 데에는 문제가 발생한다. 누군가 자신의 업무를 완수하도록 접근을 허용해야 하는 까닭에 완벽하게 위험을 제거할 수 없기 때문이다. 또 기술이 정보 보안의 구현 요소 역할을 하기는 하지만 모든 '구멍'을 막지는 못한다.

흔히들 '보안에 있어 가장 취약한 부분은 사람'이라는 말을 하곤 한다. 그러나 실제로는 사람을 이해하지 못하는 것이 가장 취약한 부분이다. 사용자의 의사결정에 대한 자율권이 늘어나면 책임도 커진다. 따라서 정보 위험을 경감하기 위한 추가적인 지원 대책이 필요하다.

직원들은 자신의 기본적인 업무를 수행하는 과정에서 보안을 포기할 수 있다. 자신의 기본 업무에 초점을 맞추게 되는데, 보안과 관련해 필요한 작업이 목표 달성에 장애가 되는 경우가 있기 때문이다. 또 각자 갖고 있는 '보안'에 대한 인식을 바탕으로 결정을 내린다.

그런데 이런 결정이 현실과는 동떨어져있을 수 있다.  여기에 더해, 직원들은 자신만의 기준으로 비용 대비 이익을 계산하는데, 이런 계산에서 위험과 관련된 요소가 배제될 수 있다. 결과적으로 직원들은 비즈니스 또는 개인적인 관점에서는 가장 적합한 행동을 하려고 했지만, 정보 보안 관점에서는 잘못된 행동을 하게 된다.

정보 보안 전략과 툴을 효과적으로 수립하고 구축하기 위해서는 인간의 행동을 이해해야 한다. 이를 위해서는 사용자의 선의과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다.

내부 위협에서 비롯되는 위험 낮추기
내부에서 비롯된 공격은 드물다. 그러나 데이터의 가치가 커지면서 공격이 가져오는 피해가 커지고 있는 추세다.

완벽하게 연결된 오늘날과 같은 세상에서 '나홀로 비극(Private Tragedy)'이란 없다. 많은 민법 조항들이 다른 사람의 데이터를 누출한 기업에게 공적 책임을 요구하고 있다. 데이터가 전체 시장에서 차지하는 비중이 커지면서, 금융 관련 규정들은 데이터 손실 사고를 중대한 사고로 간주하고 있으며, 이사회에까지 책임을 묻고 있다. 정부 정책 설계자들은 내부로부터 비롯된 공격을 방어하기 위해 공식적으로 지정한 중요 기반의 경우 정기적인 조사 체계를 마련하도록 의무화하고 있다.

개념적으로 판단했을 때, 특정인이 내부자(범죄자)가 되었다는 것은 이미 접근 제어 관문을 통과했다는 것이다. 그리고 접근 제어 관문 안에 있다는 것은 접근 제어가 억지력을 갖지 못한다는 의미이다. 그리고 내부 범죄자는 자신의 업무를 수행하기 위한 인증을 확보했을 것이다. 즉 이미 보안 신뢰를 받은 개인이거나 이를 확보할 수 있는 방법을 발견한 사람이라는 이야기다. 따라서 승인 시스템이 억지력을 갖지 못한다.




2012.08.09

위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

Dan Geer, Craig Shumard | CSO

기업 내부에서 비롯된 위협을 기술만으로 막아낼 수 없다. 아직 현재 진행형인 위키리크스 폭로와 이와 관련된 무분별한 불법 정보 공개는 정부 차원의 문제가 아니다. 이는 부주의 또는 고의적으로 발생할 수 있는 정보 노출의 문제를 극적으로 보여주고 있다. 모든 기업들이 직면하고 있는 문제이기도 하다.

내부 위협의 원인이 고의적인 것만은 아니다. 실수로 공개된 정보가 악용되어 기업의 수익이나 특정 개인의 경력, 평판에 해를 주기도 한다. 중요한 정보를 위험에 처하도록 만드는 것은 사람의 행동이다. 내부 관계자에서 비롯되는 정보 보안 위협에 대처하기 위해서는 관리와 기술 모두에 대한 고려가 필요하다.

인간에 대한 이해의 문제
기업의 위험은 2가지에 뿌리를 두고 있다. 기밀 정보를 보유하고 있다는 것과 이를 이용하도록 인가된 인력이 있다는 것이다. 이 밖에도 한 가지가 더 있다. 기밀 정보를 원하는 누군가가 있다는 것이다.

기업은 기밀 정보 접근 과정을 적절히 보호한다고 할지라도 위험에 처할 수 있다. 인가된 사용자가 악의적인 목적에서 정보를 훔칠 방법을 찾을 수도 있고, 보안 지식이 부족해 정보를 잃어버릴 수도 있기 때문이다.

그러나 위험 노출을 줄이기 위해 정보 보안 방어 계층을 발전시키는 데에는 문제가 발생한다. 누군가 자신의 업무를 완수하도록 접근을 허용해야 하는 까닭에 완벽하게 위험을 제거할 수 없기 때문이다. 또 기술이 정보 보안의 구현 요소 역할을 하기는 하지만 모든 '구멍'을 막지는 못한다.

흔히들 '보안에 있어 가장 취약한 부분은 사람'이라는 말을 하곤 한다. 그러나 실제로는 사람을 이해하지 못하는 것이 가장 취약한 부분이다. 사용자의 의사결정에 대한 자율권이 늘어나면 책임도 커진다. 따라서 정보 위험을 경감하기 위한 추가적인 지원 대책이 필요하다.

직원들은 자신의 기본적인 업무를 수행하는 과정에서 보안을 포기할 수 있다. 자신의 기본 업무에 초점을 맞추게 되는데, 보안과 관련해 필요한 작업이 목표 달성에 장애가 되는 경우가 있기 때문이다. 또 각자 갖고 있는 '보안'에 대한 인식을 바탕으로 결정을 내린다.

그런데 이런 결정이 현실과는 동떨어져있을 수 있다.  여기에 더해, 직원들은 자신만의 기준으로 비용 대비 이익을 계산하는데, 이런 계산에서 위험과 관련된 요소가 배제될 수 있다. 결과적으로 직원들은 비즈니스 또는 개인적인 관점에서는 가장 적합한 행동을 하려고 했지만, 정보 보안 관점에서는 잘못된 행동을 하게 된다.

정보 보안 전략과 툴을 효과적으로 수립하고 구축하기 위해서는 인간의 행동을 이해해야 한다. 이를 위해서는 사용자의 선의과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다.

내부 위협에서 비롯되는 위험 낮추기
내부에서 비롯된 공격은 드물다. 그러나 데이터의 가치가 커지면서 공격이 가져오는 피해가 커지고 있는 추세다.

완벽하게 연결된 오늘날과 같은 세상에서 '나홀로 비극(Private Tragedy)'이란 없다. 많은 민법 조항들이 다른 사람의 데이터를 누출한 기업에게 공적 책임을 요구하고 있다. 데이터가 전체 시장에서 차지하는 비중이 커지면서, 금융 관련 규정들은 데이터 손실 사고를 중대한 사고로 간주하고 있으며, 이사회에까지 책임을 묻고 있다. 정부 정책 설계자들은 내부로부터 비롯된 공격을 방어하기 위해 공식적으로 지정한 중요 기반의 경우 정기적인 조사 체계를 마련하도록 의무화하고 있다.

개념적으로 판단했을 때, 특정인이 내부자(범죄자)가 되었다는 것은 이미 접근 제어 관문을 통과했다는 것이다. 그리고 접근 제어 관문 안에 있다는 것은 접근 제어가 억지력을 갖지 못한다는 의미이다. 그리고 내부 범죄자는 자신의 업무를 수행하기 위한 인증을 확보했을 것이다. 즉 이미 보안 신뢰를 받은 개인이거나 이를 확보할 수 있는 방법을 발견한 사람이라는 이야기다. 따라서 승인 시스템이 억지력을 갖지 못한다.


X