Offcanvas

CSO / 랜섬웨어 / 보안 / 분쟁|갈등

칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

2019.11.28 Roger A. Grimes  |  CSO

6. 직원의 불만에서 비롯되는 위험
어떤 위험관리자도 직원을 분노하게 만들고 싶어 하지 않는다. 만약 화나게 하길 원한다면, 인터넷과 컴퓨터 사용을 제한하는 제어를 시행하면 된다. 모든 악성 데이터 유출 원인의 70~90%가 엔드유저다(피싱 및 사회공학 기법을 통해). 조직을 보호하려면 엔드유저를 믿어서는 안 된다. 

인터넷 액세스를 제한하거나 사전 승인한 프로그램만 실행하게 하는 등 엔드유저의 권한을 제한한다는 언급만 해도 직원 대다수의 적대감을 초래한다. 노동 시장은 팽팽하다. 모든 회사는 컴퓨터 및 인터넷 사용 제한을 듣고 싶어 하지 않는 유능한 직원을 구하는 데 애를 먹고 있다. 너무 많이 제재하면, 직원들은 다른 곳에서 일할 수 있다.

7. 고객의 불만족에서 비롯되는 위험
고객을 짜증 나게 만드는 정책이나 절차를 실행하려는 사람은 없다. 화난 고객은 다른 회사의 고객이 될 수 있다. 예를 들면, 신용카드 회사는 카드 사기를 막는 것보다 실수로 결제 승인이 거부되는 것을 훨씬 더 걱정한다.

카드 사기를 신경 쓰긴 하지만, 이는 장기적인 차원으로 본다. 하청업체들은 신용카드 사가 합법적인 거래를 거부하지 않도록 정확한 카드 거래를 지원하는 서비스를 판매한다. 한 해에 두 번 이상 부당하게 거절당한 고객은 다른 회사의 신용카드를 사용할 것이다.

실제로 미국에서 전자칩 카드에 PIN 번호를 이용하지 않는 이유가 고객의 저항이다. 전자칩과 PIN 번호를 모두 요구하는 것이 훨씬 안전한 옵션인데도 말이다. 상인과 소비자는 이미 PIN 번호 없이 카드를 긁는 방식에 익숙해졌다. 전자칩이 정확히 읽히도록 카드를 삽입하라는 요청은 약간의 거래 실패와 고객의 짜증을 유발했다. 

8. 최첨단에서 발생하는 위험
최첨단에 있는 사람들은 종종 도태된다. 선봉에 기꺼이 서기를 원하는 사람은 드물다. 얼리어답터가 초기에 보상받는 경우도 드물다. 얼리어답터는 흔히 업계의 다른 사람들에게 그가 사용한 전략이 아닌 다른 전략을 채택해야 할 것이라는 교훈을 남기고 사라진다. 

미국 국립표준기술연구소(NIST)는 2년 전 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 오히려 더 많은 해킹을 야기했다고 지적했다. NIST의 새로운 디지털 ID 가이드라인(NIST Special Publication 800-63-3)에 따르면 비밀번호는 짧고 복잡하지 않으며, 비밀번호가 노출되지 않는 한 변경을 강요하지 않아야 한다. 이는 정설로 받아들여진 기존의 권장 사항과 180도 반대되는 권고다.

나는 새롭게 등장한 가이드라인을 채택한 어떤 회사도 보거나 들은 적이 없었다. 새로운 가이드라인은 좋지만 바꾼 정책으로 인해 해킹을 당했다면 NIST가 옳다고 했더라도 자신이 비난받을 것이기 때문이다. 업계 대부분이 새로운 정책으로 움직이고, 옳고 그름이 판가름날 것을 기다리는 게 훨씬 더 안전하다.

9. 시간 지체로 인한 위험 
당신은 거의 언제나 위험이 발생하고 나서 싸움을 시작한다. 해커의 수법을 확인한 다음 새로운 위험에 맞설 완화와 제어 조치를 취한다. 이때 해커의 악의적인 행동이 발견된 시점부터 새로운 기술을 평가하고 제어방안을 고안하며, 실행에 옮길 때까지 시간 지연이 생긴다. 지켜보자는 식의 미온적인 태도는 항상 뒤처지기 마련이다.

10. ‘모든 것을 막을 순 없다’는 위험
작년에만 1만 6,555개가 넘는 새로운 보안 취약점이 발표됐다. 악성코드 프로그램은 1억 개 이상 있는 것으로 알려져 있다. 모든 유형의 해커가 조직에 침입하려고 한다. 누군가가 무제한의 돈과 시간, 자원을 제공하지 않는 한 당신은 그것을 막을 방법이 없다. 할 수 있는 최선의 방법은 가장 중요한 위험이 무엇인지 추측(상단의 #1 참조)하고 그것을 차단하고자 노력하는 것이다.

앞선 10가지는 위험평가의 새로운 구성 요소가 아니다. 이는 항상 존재해왔으며, 당신이 위험을 평가하고 통제방안을 구상할 때 생각하는 모든 것이기도 하다. 위험평가와 위험관리는 책에서 나오는 형식적인 이론보다 훨씬 어렵다. 사실 따지고 보면 보안 관리자가 걱정할 것이 이렇게나 많은데도 그럭저럭 순탄하게 굴러가고 있는 것이 신기할 따름이다. 

그럼 이제 밖으로 나가서 멋지게 한번 싸워 보자!

* Roger A. Grimes는 2005년부터 활동해 온 보안 칼럼니스트로, 컴퓨터 보안과 관련한 10개 이상의 책을 저술했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.