Offcanvas

CIO / IoT / 디지털 디바이스 / 보안 / 비즈니스|경제 / 신기술|미래 / 애플리케이션

"발등의 불" IT 컴플라이언스 골칫거리 5가지와 해결법

2018.05.10 Jennifer Lonoff Schiff  |  CIO
데이터의 통제권을 유지하는 것은 모든 기업의 오래된 고민이다. 동시에 IT 부서의 골칫거리기도 하다. 비즈니스 인텔리전스와 데이터 애널리틱스 업체 써트스팟(ThoughtSpot)의 최고 데이터 에반젤리스트 더그 보도나로의 말이다.



그러나 데이터 관리의 어려움이 여전하다고 해도 그 주변 상황은 계속 바뀌고 있다. 그는 "과거에는 컴플라이언스 대부분이 HIPPA, SOX 같은 법률에 의해 주도됐다. 주로 하드웨어와 소프트웨어 관련 보안 우려에서 출발했다. 그러나 오늘날 기업은 자신이 만들어내는 엄청난 양의 데이터를 관리, 통제하는 것은 물론 컴플라이언스를 반드시 준수해야 한다. 특히 국가 단위를 뛰어넘은 전 세계 규모의 법률적 제재인 GDPR 같은 새로운 과제에 직면해 있다"라고 말했다.

그렇다면 오늘날 기업이 가장 힘들어하는 컴플라이언스 관련 이슈는 무엇일까? CIO닷컴은 컴플라이언스와 보안 전문가 수십명에게 의견을 물었다. 기업이 업계와 정부의 규제를 지키기 위해 IT 리더가 할 수 있고, 해야 하는 작업이 무엇인가에 대해서도 확인했다.

BYOD
e디스커버리 소프트웨어 업체 에버로(Everlaw)의 보안 및 컴플라이언스 담당 부사장 리사 호크는 "개인 모바일 기기는 기업 IT 인프라에 보안 취약점을 만든다. 그러나 기술적인 제어를 지원하는 강력한 BYOD 정책을 통해 그 위험을 줄일 수 있다. 이런 용도의 대표적인 모바일 기기 관리 프로토콜이 구글 모바일 디바이스 매니지먼트(Google Mobile Device Management)나 트랜드 마이크로이다. 특정 계정에 대한 접속을 원격으로 제어하거나 기기 자체를 초기화하는 기능을 제공한다"라고 말했다.

이어 "또한, 이들을 이용하면 강제로 기기를 잠가 기업의 핵심 데이터가 '감염되는' 것을 막을 수 있다. 이때 암호는 길면 길수록 좋으며, 시간 기반의 1회용 암호로 바꾸는 것도 방법이다. 구글 어센티케이터(Google Authenticator) 같은 것을 이용하면 된다"라고 덧붙였다.

소프트웨어 업데이트와 패치
보안 취약점이 발견됐을 때 기존 소프트웨어의 업데이트와 패치를 제때 해야 하는 것도 IT 조직의 주요 이슈다. 오픈소스 보안 및 라이선스 컴플라이언스 관리 플랫폼 업체 화이트소스 소프트웨어(WhiteSource Software)의 공동 설립자이자 CEO인 라미 사스는 "2017년 상용 소프트웨어와 오픈소스 소프트웨어에서 발견된 서드파티 보안 취약점이 2배 이상 늘었다. 이는 기업이 불필요한 위험에 노출되지 않기 위해 CIO가 소프트웨어 패치를 더 확실히 신경써야 한다는 것을 의미한다. 2017년 말 멜트다운과 스펙터 때문에 패치 열풍이 불었던 것을 항상 기억해야 한다"라고 말했다.

이어 "에퀴팩스 데이터 유출 사고는 보안 취약점이 있는 서드파티 컴포넌트 패치의 중요성을 보여주는 또다른 좋은 사례다. 웹 애플리케이션에 사용한 오픈소스의 보안 취약점에서 시작됐기 때문이다. 이 보안취약점은 이미 3월에 패치와 함께 공개됐지만 에퀴팩스는 패치를 하지 않았고 해커가 이 알려진 보안 취약점을 이용했다. 서드파티 보안취약점 관련해서 이런 정보는 해커를 포함해 모두에게 공개된다는 것을 명심해야 한다. 따라서 빠르게 대응하는 것이 중요하다"라고 덧붙였다.

결론은 IT 매니저의 역할이 핵심이라는 것이다. 기업이 최신 소프트웨어 업데이트를 설치했는지 확실히하고 알려진 보안 취약점은 즉시 패치해야 한다.

GDPR
무시무시한 유럽발 프라이버시 제재가 5월 25일부터 발효된다. 바로 GDPR(General Data Protection Regulation)이다. 로펌 폭스 로스차일드 LLP(Fox Rothschild LLP)의 테크놀로지 그룹 수장이자 변호사인 다니엘 L 파리스는 "GDPR은 단순히 데이터 보안을 넘어서는 규제다. 기업이 데이터를 사용하는 방법과 개인 프라이버시를 존중하는 방식에 대한 것 이상을 규정한다. GDPR의 적용 범위는 매우 넓어 모든 기업에 영향을 준다. 서드파티 업체에 대한 적극적인 관리와 감독도 필요하게 될 것이다"라고 말했다.

이어 "유럽 사람의 데이터를 수집, 처리하는 기업, 유럽에 제품과 서비스를 판매하는 기업, 심지어 EU 시민의 데이터를 전송, 저장, 처리하는 기업도 이 법률의 적용 대상이 될 가능성이 크다. GDPR에 따른 컴플라이언스에는 전사적인 데이터 매핑과 데이터 저장, 일반적으로 개인의 승인을 받아 개인정보를 사용만 하는 것, 업체 관리, 정기적인 감사와 프라이버시 컴플라이언스 프로그램 평가, '잊혀질 권리'에 대한 존중 등이 포함된다. 이를 위반하면 전세계 매출의 최대 4%까지 벌금을 물 수 있다"라고 말했다.

GDPR에 대응하는 작업을 하지 않았다면, 데이터 처리 과정과 위험에 대한 문서화부터 시작해야 한다. 여기에는 데이터 관련해서 모든 적용 가능한 권리를 검토하는 작업이 포함된다. 호크는 "GDPR 법률 30조를 보면 모든 기업은 데이터 처리 작업 관련 기록을 반드시 남겨야 한다. 에버로가 제공하는 템플릿 등 무료 툴도 있으므로 이를 이용하면 기본적인 가이드로 삼을 수 있다"라고 말했다.

EDI와 업체 관리
기업의 보안 취약점 상당수는 EDI(Electronic Data Interchanges)'와 업체 시스템 통합 과정에서 발생한다. 파리스는 "2017년 소하 시스템(Soha Systems)의 보고서를 보면, 기업의 63%가 직/간접적으로 서드파티 업체를 통한 데이터 유출을 경험했다. 타깃(Target)의 HVAC와 홈디포(Home Depot)의 POS 소프트웨어가 대표적이다. 필립스의 임금 지급 관련 프로세서의 데이터 유출도 모두 서드파티 업체와 관련이 있었다. 따라서 업체 정보 보안을 관리하는 것뿐만 아니라 업체 컴플라이언스도 관리해야 한다. 이들 업체가 프라이버시 법률을 지키고 있는지는 가장 중대한 컴플라이언스 문제 중 하나다"라고 말했다.

IoT
사물인터넷(IoT) 기술이 급속히 확산하면서 IoT 기기의 수와 네트워크에 연결된 기기가 폭증하고 있다. 패리스는 "IoT 보안 표준을 마련하는 작업은 현재까지 계속 늦어지고 있다. 기업 네트워크 내에 잠재적으로 엄청난 수의 새로운 보안 취약점이 만들어지고 있는 셈이다. 이러한 디지털과 물리 세계의 컨버전스는 거의 모든 산업에서 나타나고 있다. 금융, 유통, 식음료, 제조, 에너지, 오일, 자동차, 수송, 유틸리티 기업 등을 가지리지 않는다. IoT 엔드포인트 보안취약점은 기업 네트워크에 대한 다른 위협과 차이가 있다. 궁극적으로 금전적 손해나 이미지의 추락 이상의 피해를 야기할 수 있다는 점이다.

따라서 기업내 IoT 시스템이 보안 규정을 완전히 지키도록 하려면 CIO가 연례 침투 테스트 계획을 세워야 한다. IT 컨설팅 업체인 사이언스소프트(ScienceSoft)의 CTO 보리스 시클로는 "이런 활동은 기업내 IoT 아키텍처에 변화가 있을 때마다 자주 실행해야 한다"라고 말했다. 또다른 방법도 있다. 네트워크 보안 솔루션 업체인 포트녹스(Portnox)의 CEO 오퍼 아미타이는 "IoT 기기를 개별적인 기업 네트워크에 샌드박싱 방식으로 배포하는 것도 좋다. 해커는 물론 기업도 민감한 데이터나 계정 정보에 접근하지 못하도록 제한해야 한다"라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.