2013.06.13

가트너가 밝히는 10가지 IT 보안 미신들

Ellen Messmer | Network World
가트너 애널리스트 제이 헤이저는 정보 보안에서 기업에게 닥친 위협이나 데이터 자산을 보호하는데 이용되어 온 기술과 관련해 많은 '오해'와 '과장'이 존재한다고 지적했다.

이런 오해들은 때론 보안 전문가 사이에서 널리 받아들여지며 '미신'으로까지 발전하기도 한다.

헤이저는 미국 메릴랜드주 내셔널 하버에서 진행된 가트너 보안 및 위협 관리 회담(Gartner Security & Risk Management Summit)에서 '10 가지 대표적 IT 보안 미신'을 소개하며 이것이 데이터 보안 노력에, 그리고 나아가서는 최고 정보보안 책임자(CISO, Chief Information Security Officer)와 비즈니스 간의 신뢰 구축에 악영향을 미칠 수 있음을 지적했다.

헤이저가 소개한 보안 미신들은 다음과 같다.

미신 No 1. '난 괜찮을 꺼야'
원인: 양치기 소년의 허풍에 질려 진짜 늑대 출현에 대응치 못한 주민들처럼, 과장된 위협에 마취된 기업들은 정보 보안 그룹에 가장 싼 비용으로 기본적 대비책을 마련할 것만을 요구하게 된다.

해결책: 보안 위협 수준을 등급별로 분류해 기업에 직면한 진짜 문제가 무엇인지 확인하라.

미신 No 2. '정보 보안 예산은 IT 지출의 10%면 충분하다'
원인: 반대의 의미로 현실과 거리가 먼 얘기다. 가트너의 조사에 따르면 실제 정보 보안 예산이 차지하는 평균 비중은 IT 지출의 5% 정도에 불과했다.

해결책: 제발 데이터를 가지고 이야기해라.

미신 No 3. '보안 위협은 정량화 할 수 있다'
원인: '머릿수가 많은 쪽이 최고'라는 생각에서 비롯된 '수치 만능주의 문화'의 결과물이다. 이런 미신을 믿는 이들은 엑셀 스프레드시트 한 장이면 보안 예산을 확보할 수 있다고 착각하곤 한다.

해결책: IT 관련 위협은 사실 비즈니스와 직결된 문제임을 증명할, 비수치적 표현법을 개발하라.

미신 No 4. '물리적 보안(혹은 SSL)이 갖춰져 있으니, 데이터의 안전성을 의심하지 말라'
원인: 위협에 대한 이해 부족이 가져온 비현실적 믿음에서 비롯됐다.

해결책: 구매하려는 보안 툴이 기업이 보유한 데이터 유형의 보호에 적합한 것인지 검토하라.

미신 No 5. '비밀번호를 복잡하게 설정하고 정기적으로 변경하면 위협이 줄어든다'
원인: 이는 게으른 관리자들이 가장 쉽게 내뱉는 말이다. 완벽한 비밀번호는 존재하지 않음을, 그리고 오늘날 진짜 위험은 크래킹(cracking)이 아닌 스니핑(sniffing)임을 우리 모두는 알고 있다.

해결책: 안심하고 손 놓지 말라.

미신 No 6. 'CISO를 IT 외부로 보내면 보안 수준은 자동적으로 향상된다'
원인: 모양만 바뀌면 문화가 바뀐다고 생각하는 해묵은 책임 회피법이다.

해결책: 보안 프로그램을 약하게 만든 진짜 원인을 분석해라.

미신 No 7. 'CISO는 보안 훈련에만 집착한다'
원인: 이 역시 책임을 회피하려는 태도다. 보안 위협을 다른 이의 문제로 치부하고 싶은 기업들이 지목한 대상이 CISO인 것일 뿐이다. 하지만 기업 역시 CISO가 자신들에게 뭘 해야 할 지를 알려줄 것이라고 생각하지 않는다.

해결책: 정보 보안 프로그램이 기업 문화 전반에 녹아 들도록 하라.

미신 No 8. '이 툴을 구매해 여기에 넣으면 모든 문제가 해결될 것이다'
원인: 스스로는 해결하지 못 하지만 외부의 누군가는 마법 같은 해결책을 제시할 수 있으리란 믿음은 비현실적이다.

해결책: 체계적인 위협 분석과 위협 해결의 우선 순위 설정, 장기적 보안 계획이 필요하다.

미신 No 9. '제대로 된 정책만 확립되면 앞길은 탄탄대로다'
원인: 말이 필요 없는 비현실적인 생각.

해결책: 관리 책임을 명확히 하고 집중해야 할 문제를 선택하는 것은 모든 일의 핵심이다.

미신 No 10. '주요 파일을 지키는 최고의 방법은 암호화다'
원인: 암호화는 잘 이뤄진다면 분명 상당한 효과를 발휘한다. 하지만 이 고난이도 기술을 단순히 규제 문제 해결을 위한 '마법의 탄환'으로 바라본다면 분명 득보다는 실을 더 많이 경험할 것이다.

해결책: 결정을 내리기에 앞서 자신이 암호화에 충분한 경험이 있는 지를 우선 확인하라.

마지막으로 헤이저는 이처럼 많은 미신들이 유행하는 원인으로 익숙하지 않은 상황에 과도하게 반응하거나 책임을 회피하고자 하는 인간의 본성을 꼽았다.

헤이저는 "책임 전가는 관료주의적 위협 관리 방법 가운데 하나다. 그러나 CISO가 가만히 앉아 모든 비난을 감내해야 할 이유는 어디에도 없다"고 강조했다. editor@itworld.co.kr



2013.06.13

가트너가 밝히는 10가지 IT 보안 미신들

Ellen Messmer | Network World
가트너 애널리스트 제이 헤이저는 정보 보안에서 기업에게 닥친 위협이나 데이터 자산을 보호하는데 이용되어 온 기술과 관련해 많은 '오해'와 '과장'이 존재한다고 지적했다.

이런 오해들은 때론 보안 전문가 사이에서 널리 받아들여지며 '미신'으로까지 발전하기도 한다.

헤이저는 미국 메릴랜드주 내셔널 하버에서 진행된 가트너 보안 및 위협 관리 회담(Gartner Security & Risk Management Summit)에서 '10 가지 대표적 IT 보안 미신'을 소개하며 이것이 데이터 보안 노력에, 그리고 나아가서는 최고 정보보안 책임자(CISO, Chief Information Security Officer)와 비즈니스 간의 신뢰 구축에 악영향을 미칠 수 있음을 지적했다.

헤이저가 소개한 보안 미신들은 다음과 같다.

미신 No 1. '난 괜찮을 꺼야'
원인: 양치기 소년의 허풍에 질려 진짜 늑대 출현에 대응치 못한 주민들처럼, 과장된 위협에 마취된 기업들은 정보 보안 그룹에 가장 싼 비용으로 기본적 대비책을 마련할 것만을 요구하게 된다.

해결책: 보안 위협 수준을 등급별로 분류해 기업에 직면한 진짜 문제가 무엇인지 확인하라.

미신 No 2. '정보 보안 예산은 IT 지출의 10%면 충분하다'
원인: 반대의 의미로 현실과 거리가 먼 얘기다. 가트너의 조사에 따르면 실제 정보 보안 예산이 차지하는 평균 비중은 IT 지출의 5% 정도에 불과했다.

해결책: 제발 데이터를 가지고 이야기해라.

미신 No 3. '보안 위협은 정량화 할 수 있다'
원인: '머릿수가 많은 쪽이 최고'라는 생각에서 비롯된 '수치 만능주의 문화'의 결과물이다. 이런 미신을 믿는 이들은 엑셀 스프레드시트 한 장이면 보안 예산을 확보할 수 있다고 착각하곤 한다.

해결책: IT 관련 위협은 사실 비즈니스와 직결된 문제임을 증명할, 비수치적 표현법을 개발하라.

미신 No 4. '물리적 보안(혹은 SSL)이 갖춰져 있으니, 데이터의 안전성을 의심하지 말라'
원인: 위협에 대한 이해 부족이 가져온 비현실적 믿음에서 비롯됐다.

해결책: 구매하려는 보안 툴이 기업이 보유한 데이터 유형의 보호에 적합한 것인지 검토하라.

미신 No 5. '비밀번호를 복잡하게 설정하고 정기적으로 변경하면 위협이 줄어든다'
원인: 이는 게으른 관리자들이 가장 쉽게 내뱉는 말이다. 완벽한 비밀번호는 존재하지 않음을, 그리고 오늘날 진짜 위험은 크래킹(cracking)이 아닌 스니핑(sniffing)임을 우리 모두는 알고 있다.

해결책: 안심하고 손 놓지 말라.

미신 No 6. 'CISO를 IT 외부로 보내면 보안 수준은 자동적으로 향상된다'
원인: 모양만 바뀌면 문화가 바뀐다고 생각하는 해묵은 책임 회피법이다.

해결책: 보안 프로그램을 약하게 만든 진짜 원인을 분석해라.

미신 No 7. 'CISO는 보안 훈련에만 집착한다'
원인: 이 역시 책임을 회피하려는 태도다. 보안 위협을 다른 이의 문제로 치부하고 싶은 기업들이 지목한 대상이 CISO인 것일 뿐이다. 하지만 기업 역시 CISO가 자신들에게 뭘 해야 할 지를 알려줄 것이라고 생각하지 않는다.

해결책: 정보 보안 프로그램이 기업 문화 전반에 녹아 들도록 하라.

미신 No 8. '이 툴을 구매해 여기에 넣으면 모든 문제가 해결될 것이다'
원인: 스스로는 해결하지 못 하지만 외부의 누군가는 마법 같은 해결책을 제시할 수 있으리란 믿음은 비현실적이다.

해결책: 체계적인 위협 분석과 위협 해결의 우선 순위 설정, 장기적 보안 계획이 필요하다.

미신 No 9. '제대로 된 정책만 확립되면 앞길은 탄탄대로다'
원인: 말이 필요 없는 비현실적인 생각.

해결책: 관리 책임을 명확히 하고 집중해야 할 문제를 선택하는 것은 모든 일의 핵심이다.

미신 No 10. '주요 파일을 지키는 최고의 방법은 암호화다'
원인: 암호화는 잘 이뤄진다면 분명 상당한 효과를 발휘한다. 하지만 이 고난이도 기술을 단순히 규제 문제 해결을 위한 '마법의 탄환'으로 바라본다면 분명 득보다는 실을 더 많이 경험할 것이다.

해결책: 결정을 내리기에 앞서 자신이 암호화에 충분한 경험이 있는 지를 우선 확인하라.

마지막으로 헤이저는 이처럼 많은 미신들이 유행하는 원인으로 익숙하지 않은 상황에 과도하게 반응하거나 책임을 회피하고자 하는 인간의 본성을 꼽았다.

헤이저는 "책임 전가는 관료주의적 위협 관리 방법 가운데 하나다. 그러나 CISO가 가만히 앉아 모든 비난을 감내해야 할 이유는 어디에도 없다"고 강조했다. editor@itworld.co.kr

X