2011.10.17

기업 보안, “데이터와 기업 문화에 주목해야”

George V. Hulme | CSO
클라우드 컴퓨팅 서비스와 개인용 IT기기 사용이 활발해짐에 따라 기업 보안 전략에 미치는 이들의 영향도 커지고 있다.

기업 사용자가 업무에 사용하기 위해 다양한 IT기기를 들고 다니며 그 안에 자신의 업무 관련 파일을 저장, 관리 및 공유하기 위해 클라우드 기반 서비스를 사용하는 추세다. 역으로 말하면, 이러한 추세는 기업 데이터에 접근하는 임직원들을 통해 사내 정보가 얼마나 빠르게 유출될 수 있느냐를 의미한다.

10월 11일 미국 조지아 공대의 연례 행사인 사이버 보안 서밋에서 업계, 학계, 정부에서 온 보안 전문가들이 더 중요한 IT 보안 문제를 논의하는 자리를 가졌다. 여기에서 가장 위험한 요소들 가운데 모바일 위협과 온라인 공유 데이터를 제어할 수 있는 능력이 집중적으로 거론됐다.

조지아 공대 사이버 보안 서밋 2012 보고서는 다운로드를 위해 여기에서 확인할 수 있다.

미국 다트머스대 터크경영대학(Tuck School of Business at Dartmouth)은 또한 올 여름 초 인간 행동 및 보안 문화 워크숍(Human Behavior and Security Culture workshop)을 개최했다. 이 행사에는 오토매틱 데이터 프로세싱(Automatic Data Processing, Inc.,), 벡텔(Bechtel), 시그나(Cigna) 시스코, 이스트만 화학 회사(Eastman Chemical Company), 이베이, 제너럴 다이나믹스(General Dynamics), 골드만삭스, LL빈, 미국 국토안보부 등의 보안 리더들이 참여했다.

참석 자들은 기술 및 규제 준수만으로는 위험을 관리하는 데 충분하지 않다는 점에 대해 논의했다. 다음의 이 회의에서 나온 주장들이다.

기업문화만큼 좋은 보안 툴은 없다. 건전한 보안 관행을 가진 기업 문화는 직원들을 통제하는 규제보다 훨씬 더 가치 있고 효과적이다. 정보 보안 담당 임원이 회사에 보안을 도입하면서, 긍정적인 사례와 부정적인 사례를 모두 고려해 신중하게 확산시킬 수 있고 바이러스성 인식 캠페인을 만들기 위한 소셜 미디어를 사용해 문화 변화를 가져올 수 있다.

Y세대가 영향력을 확보하고 있다. 현재 업무를 수행하는 사람들은 다양한 모바일 플랫폼, 클라우드 기반 시스템, 소셜 네트워킹 등을 사용해 데이터를 저장하고 공유하는데 익숙한 세대다. 이들은 노년층 근로자보다 정보 공유에 대해 개방적인 태도를 취하고 있으며 원격지에서 개인용 IT기기로 일정에 맞춰 업무를 처리한다. 이러한 변화는 보안 위험을 높일 수 있다. 또한 Y세대 직원들이 사내에서 영향력을 꾸준히 넓혀가기 현상을 거스르지 못하게 할 것이다.  

IT기기를 관리하려 들지 말고 데이터를 관리하라. 소비자 IT기기의 거대한 흐름과 맞닥뜨린 워크숍 참가자들은 데이터 중심의 보안 모델을 제안했다. ‘그린 스크린(Green Screen)’은 유행이 지났으며 기업들이 데이터로 각 지점의 데이터를 안전한 곳으로 옮겨놓음에 따라 시트릭스는 모든 사람들에게 가장 친한 친구라 됐다. 유명한 노래 ‘호텔 캘리포니아(Hotel California)’에서 묘사됐던 것처럼, 이 전략은 ‘언제든 데이터 저장 계약을 종료하고 계산을 끝낼 수 있지만, 사용자는 서비스를 끊지 못할 것이다’이다.

소비자는 위험한 행동을 계속하고, 종종 도움을 거부한다. 교육과 사용자 스스로의 인식으로 대중적인 사용을 제한하게 해야 한다. 교육과 인식은 큰 규모의 고객이나 소비자에게는 안전한 인프라를 제공할 수 없다. 더 나은 보안을 촉진하기 위해서는 결국 소비자가 개인적으로 더 많은 책임을 가지고 보안을 위한 몇 가지 개인 정보를 거래해야 한다. 신용카드를 도난 당했을 때처럼 말이다. 이 같은 상황에 직면하면, 기업은 소비자가 더 나은 습관을 갖도록 도울 수 있다. 그 결과 암호를 자주 바꾸도록 색깔로 코딩된 경고 메시지를 즉각적으로 줄 수 있다.

직원들이 스스로 생각하도록 가르쳐라. 보안은 모두의 일이며 보안 담당 임원들은 직원들이 그들의 판단을 신뢰하도록 격려하며 그들이 믿는 관행이 위험을 증대시킬 수 있다는 질문을 던지기 위한 새로운 방법을 찾고 있다. 이것은 자주 잠재적 사업 이익에 대한 보안 위험에 대해 중대한 결정을 내리는 중간 관리자에 대한 특히 중요하다. 일부 기업은 보안과 보안 교육에 좀더 적극적인 역할을 하는 IT헬프데스크 직원들을 훈련시키고 있다.

다트머스 보고서는 회사로 IT기기를 가져와 클라우드와 온라인 서비스를 사용하는 직원들이 많을수록 기업의 보안 위협이 상승한다고 밝혔다. "개인을 대상으로 공격이 더 정교하고 지속적으로 성장하고 있다. 불법 정보 시장은 그 어느 때보다 더 적극적이고 조직적이며, 도난 데이터를 보다 쉽게 이동하고 보다 쉽게 현금으로 전환되고 있다. 오래된 미디어의 게이트키퍼에 관계없이, 소셜 미디어로 신속하게 정보를 확산시켜 준다면, 이는 현재 활동중인 해커들에게는 동기를 제공해 주게 될 것이다"라고 이 보고서는 덧붙였다.

*George V. Hulme는 미국 미니애폴리스에 있는 그의 자택에서 보안과 IT에 대한 기사를 쓰는 프리랜서 기자다. ciokr@idg.co.kr



2011.10.17

기업 보안, “데이터와 기업 문화에 주목해야”

George V. Hulme | CSO
클라우드 컴퓨팅 서비스와 개인용 IT기기 사용이 활발해짐에 따라 기업 보안 전략에 미치는 이들의 영향도 커지고 있다.

기업 사용자가 업무에 사용하기 위해 다양한 IT기기를 들고 다니며 그 안에 자신의 업무 관련 파일을 저장, 관리 및 공유하기 위해 클라우드 기반 서비스를 사용하는 추세다. 역으로 말하면, 이러한 추세는 기업 데이터에 접근하는 임직원들을 통해 사내 정보가 얼마나 빠르게 유출될 수 있느냐를 의미한다.

10월 11일 미국 조지아 공대의 연례 행사인 사이버 보안 서밋에서 업계, 학계, 정부에서 온 보안 전문가들이 더 중요한 IT 보안 문제를 논의하는 자리를 가졌다. 여기에서 가장 위험한 요소들 가운데 모바일 위협과 온라인 공유 데이터를 제어할 수 있는 능력이 집중적으로 거론됐다.

조지아 공대 사이버 보안 서밋 2012 보고서는 다운로드를 위해 여기에서 확인할 수 있다.

미국 다트머스대 터크경영대학(Tuck School of Business at Dartmouth)은 또한 올 여름 초 인간 행동 및 보안 문화 워크숍(Human Behavior and Security Culture workshop)을 개최했다. 이 행사에는 오토매틱 데이터 프로세싱(Automatic Data Processing, Inc.,), 벡텔(Bechtel), 시그나(Cigna) 시스코, 이스트만 화학 회사(Eastman Chemical Company), 이베이, 제너럴 다이나믹스(General Dynamics), 골드만삭스, LL빈, 미국 국토안보부 등의 보안 리더들이 참여했다.

참석 자들은 기술 및 규제 준수만으로는 위험을 관리하는 데 충분하지 않다는 점에 대해 논의했다. 다음의 이 회의에서 나온 주장들이다.

기업문화만큼 좋은 보안 툴은 없다. 건전한 보안 관행을 가진 기업 문화는 직원들을 통제하는 규제보다 훨씬 더 가치 있고 효과적이다. 정보 보안 담당 임원이 회사에 보안을 도입하면서, 긍정적인 사례와 부정적인 사례를 모두 고려해 신중하게 확산시킬 수 있고 바이러스성 인식 캠페인을 만들기 위한 소셜 미디어를 사용해 문화 변화를 가져올 수 있다.

Y세대가 영향력을 확보하고 있다. 현재 업무를 수행하는 사람들은 다양한 모바일 플랫폼, 클라우드 기반 시스템, 소셜 네트워킹 등을 사용해 데이터를 저장하고 공유하는데 익숙한 세대다. 이들은 노년층 근로자보다 정보 공유에 대해 개방적인 태도를 취하고 있으며 원격지에서 개인용 IT기기로 일정에 맞춰 업무를 처리한다. 이러한 변화는 보안 위험을 높일 수 있다. 또한 Y세대 직원들이 사내에서 영향력을 꾸준히 넓혀가기 현상을 거스르지 못하게 할 것이다.  

IT기기를 관리하려 들지 말고 데이터를 관리하라. 소비자 IT기기의 거대한 흐름과 맞닥뜨린 워크숍 참가자들은 데이터 중심의 보안 모델을 제안했다. ‘그린 스크린(Green Screen)’은 유행이 지났으며 기업들이 데이터로 각 지점의 데이터를 안전한 곳으로 옮겨놓음에 따라 시트릭스는 모든 사람들에게 가장 친한 친구라 됐다. 유명한 노래 ‘호텔 캘리포니아(Hotel California)’에서 묘사됐던 것처럼, 이 전략은 ‘언제든 데이터 저장 계약을 종료하고 계산을 끝낼 수 있지만, 사용자는 서비스를 끊지 못할 것이다’이다.

소비자는 위험한 행동을 계속하고, 종종 도움을 거부한다. 교육과 사용자 스스로의 인식으로 대중적인 사용을 제한하게 해야 한다. 교육과 인식은 큰 규모의 고객이나 소비자에게는 안전한 인프라를 제공할 수 없다. 더 나은 보안을 촉진하기 위해서는 결국 소비자가 개인적으로 더 많은 책임을 가지고 보안을 위한 몇 가지 개인 정보를 거래해야 한다. 신용카드를 도난 당했을 때처럼 말이다. 이 같은 상황에 직면하면, 기업은 소비자가 더 나은 습관을 갖도록 도울 수 있다. 그 결과 암호를 자주 바꾸도록 색깔로 코딩된 경고 메시지를 즉각적으로 줄 수 있다.

직원들이 스스로 생각하도록 가르쳐라. 보안은 모두의 일이며 보안 담당 임원들은 직원들이 그들의 판단을 신뢰하도록 격려하며 그들이 믿는 관행이 위험을 증대시킬 수 있다는 질문을 던지기 위한 새로운 방법을 찾고 있다. 이것은 자주 잠재적 사업 이익에 대한 보안 위험에 대해 중대한 결정을 내리는 중간 관리자에 대한 특히 중요하다. 일부 기업은 보안과 보안 교육에 좀더 적극적인 역할을 하는 IT헬프데스크 직원들을 훈련시키고 있다.

다트머스 보고서는 회사로 IT기기를 가져와 클라우드와 온라인 서비스를 사용하는 직원들이 많을수록 기업의 보안 위협이 상승한다고 밝혔다. "개인을 대상으로 공격이 더 정교하고 지속적으로 성장하고 있다. 불법 정보 시장은 그 어느 때보다 더 적극적이고 조직적이며, 도난 데이터를 보다 쉽게 이동하고 보다 쉽게 현금으로 전환되고 있다. 오래된 미디어의 게이트키퍼에 관계없이, 소셜 미디어로 신속하게 정보를 확산시켜 준다면, 이는 현재 활동중인 해커들에게는 동기를 제공해 주게 될 것이다"라고 이 보고서는 덧붙였다.

*George V. Hulme는 미국 미니애폴리스에 있는 그의 자택에서 보안과 IT에 대한 기사를 쓰는 프리랜서 기자다. ciokr@idg.co.kr

X