2021.03.18

체계적 보안의 뼈대··· 2021 필수 IT 정책 7가지

Bob Violino | CSO
지난 1년 동안 세상이 많이 바뀌었다고 말한다면 오히려 절제된 표현일 것이다. 사이버 보안 측면에서 상당한 변화가 나타났다. 많은 사람들이 원격지에서 지속적으로 근무하거나 홈 오피스와 기업 시설 사이를 오갔기 때문이었다. 기업들이 더 많은 클라우드 서비스를 이용하거나 더 많은 전자상거래 활동을 펼쳤기 때문이기도 하다.

이 모든 변화로 인해 기업들은 IT 정책을 업데이트하여 보안을 강화해야 한다. 사이버 보안 전문가들이 중요성을 지목한 IT 정책에 관해 알아본다. 
 
Image Credit : Getty Images Bank

사용 수칙(Acceptable use)
사용 수칙은 조직이 자산 및 데이터에 관한 합법적 사용 범위를 서술한다. 심지어는 조직과 관련되거나 영향을 끼칠 수 있는 등의 행동에 대한 내용을 담기도 한다. 리겟 컨설팅(Liggett Consulting)의 CEO이자 IT 및 사이버 보안 전문가인 마크 리겟은 “사용 수칙이야말로 모든 IT 정책의 주춧돌이다. 이 정책은 회사 컴퓨팅 자산을 사용할 때의 기대치에 관해 설명한다”라고 말했다.

이 정책은 고용의 조건으로써 모든 사용자가 따라야 하는 기준을 제시한다고 그는 덧붙였다. 리겟은 “조직에 다른 컴퓨터 관련 정책이 없다면 먼저 이것을 수립하라”라고 권고했다.

가트너의 자이라 퍼자다 수석은 최종 사용자에게 할 일과 관련한 지침과 업무 수행 측면에 한계를 제시함으로써 조직은 사용자의 행동으로 인한 위험을 낮출 수 있다고 말했다.

데이터 분류 정책
데이터 분류 정책은 정보 보안 프로그램에 특히 중요한 구성요소 중 하나이지만 간과되는 경우가 많다고 퍼자다가 지적했다. 그는 “적절하고 일관된 데이터 분류가 없다면 조직은 데이터의 가치, 데이터 위험 완화 방법, 효과적인 거버넌스 모니터링 및 관리 방법 등 중요한 질문에 답할 수 없다”라고 말했다.

오늘날 현업 의사 결정자들은 조직 전반에 걸쳐 분산되어 있으며 전통적인 네트워크의 경계를 넘나들고 있다. IT 부문은 이들에게 민감한 데이터 거래, 공유, 사용 시 정보에 기초하여 위험 결정을 내리는 방법에 관해 조언할 필요가 있다. 특히 보안 및 위험 담당 임원은 데이터 분류 정책과 수반되는 표준 또는 지침을 마련해야 한다. 퍼자다는 “이들을 통해 안전한 데이터 사용, 보관, 처리, 거래를 유도할 수 있다”라고 말했다.
  원격 접근 정책
명료하면서도 효과적인 원격 접근 정책이 매우 중요해졌다. 많은 조직들이 하이브리드 업무 환경을 구축하거나 재택근무를 지속적으로 지원하면서 이런 상황은 바뀌지 않을 것이다. 퍼자다는 “원격 접근 정책은 종점으로부터 네트워크에 연결하기 위한 조직의 정보 보안 원칙과 요건을 정의한다. 여기에는 스마트폰, 노트북, 데스크톱, 태블릿이 포함된다”라고 말했다.

이 정책의 목적은 경계 밖에서의 회사 자산 사용으로 인해 발생할 수 있는 위험을 최소화하는 것이다. 퍼자다는 “이런 위험에는 민감한 데이터 및 시스템의 손상, 손실, 오용이 포함되며, 그 영향은 상당할 수 있다”라고 말했다.

사고 대응 정책
데이터 유출, 해킹, 맬웨어 공격, 기타 위험이 있는 활동 등의 사고에 어떻게 대응해야 할까? 재앙을 경험해본 기업들은 사소한 사고만을 겪어본 기업과 다른 대답을 하곤 한다. 

퍼자다는 “사고, 유출, 정책 위반 등이 보편적으로 발생하고 있다. 사고 대응 정책이 있어야 조직이 사이버 보안 사고에 대응하여 조직의 시스템, 데이터를 보호하고 혼란을 방지할 수 있다”라고 말했다.

이 정책은 손실과 파괴를 최소화하고 취약점을 해결하며 서비스를 복구하는 한편, 예방 조치를 수립하는 방법에 대한 지침을 포함함으로써 사고가 체계적으로 처리될 수 있도록 한다고 퍼자다가 말했다. 그는 “이 정책은 사고 대응 처리에 있어서 처리, 보고, 모니터링, 교육, 테스트, 지원에 필요한 관리를 상세하게 담아야 한다”라고 말했다.

사고 대응 계획은 최소한 매년 검토 및 조정이 필요한 실시간 문서라고 리겟이 설명했다. 사고 발생 시 역할과 책임을 상세히 기술해야 하며 사고에 대한 공식적인 발표를 포함해 이어지는 이벤트 및 조치의 레벨을 정의해야 한다고 그가 말했다.

그에 따르면 이 정책은 인사, 법률, 홍보, 경영, 보험 등 회사의 이해관계자들을 아우른다. 리겟은 “사고 발생 시 필요한 단계와 조치에 대해 이해해야 사고 관리 시 발생하는 오류를 줄일 수 있다. 또 이 계획은 재난 복구 계획과 비즈니스 연속성 계획과 직접적인 연관성을 가진다”라고 말했다.
 
재난 복구/비즈니스 연속성 정책
재난 복구 및 비즈니스 연속성 계획은 조직이 특히 마련할 필요가 있다고 리겟이 강조했다. 그에 따르면 사고 대응과 마찬가지로 이 계획은 ‘최소한 매년’ 검토 및 조정이 필요한 실시간 문서다. “이 계획에는 정기적인 복원 및 복구 활동이 포함되어야 한다”라고 그는 덧붙였다. 

이 계획은 또 위기 발생 시에 여러 이벤트, 책임, 책무성의 조율에 관한 개요를 서술하기 때문에 중요하다. 리겟은 “기업들이 재난 발생 후 파산하는 주된 이유는 복구 및 연속성 계획의 실패다”라고 말했다. 
 
써드파티 위험 관리 정책
써드파티 보안 정책에는 조직이 써드파티 관련 보안 태세를 유지하는 방법에 관한 요건이 포함된다. IDC의 보안 전략 부사장 피트 린드스톰은 “써드파티 위험 정책과 절차의 중요성이 점차 커지고 있다. 조직 외부와의 협업이 증가함에 따른 위험이 증가하고 있다”라고 말했다.

퍼자다 또한 “오늘날 써드파티 공급자 및 서비스의 보편적인 사용으로 인해 중요해졌다. 이 정책의 목적은 조직의 정보, 시스템, 서비스, 이해관계자를 위험 수용범위 안에서 보호하는 것이다”라고 말했다.

여기에는 비즈니스에 필수적인 프로젝트를 뒷받침하는 클라우드 서비스와 관리형 서비스 제공자가 포함되어야 한다. 퍼자다는 “이런 관계는 내재적이면서도 잔존적인(residual) 보안 위험을 야기한다. 제 3자가 중요한 시스템이나 정보에 접근할 수 있다. 이로 인한 위험을 최소화하기 위한 통제 및 완화 프로세스가 필요하게 된다”라고 말했다.

기업들은 공급자 및 제공업체와 그 어느 때보다도 많은 데이터와 워크스트림을 공유하고 있다고 리겟이 말했다. 그는 “이 정책의 필요성은 손쉽게 납득할 수 있다. 보관 및 전송 중인 데이터를 처리하고 보호하는 방식을 확인해야 한다”라고 말했다. 실제로 이 정책은 보관 중인 데이터의 암호화와 전송 중인 데이터를 위한 안전한 통신 프로토콜 사용에 관한 서술이 특징이다.

-> 위험 관리에서 가장 많이 범하는 7가지 실수
-> 리스크 관리에 대해 CIO가 알아야 할 5가지

해외 이동 정책
IT 정책 목록에 포함시킬 생각을 하지 못하기 쉬운 정책이다. 하지만 해외 여행 중 기술을 적절하고 안전하게 활용하는 방법을 규정하고 이를 숙지시키는 것이 중요하다. 팬데믹 중에는 더욱 그렇다. 콜로라도주의 CISO 데보라 블리스는 “해외로 이동 중 업무를 처리할 계획이 있는 주 정부의 직원들을 위해 해외 이동 정책을 수립하고 있다”라고 말했다.

블리스는 “이 정책에는 각 책임자로부터 여행에 대한 사전 승인 받기, 방문할 국제적인 장소에 관한 정보 공유, 해당 여행을 위해 특수 하드웨어를 제공해야 하는지 여부 등에 대한 결정과 지시 등이 포함된다”라고 말했다.

블리스는 “예를 들어, 장치 복제 및 맬웨어 설치가 빈번히 발생하는 국가에서는 애초에 주 정부의 데이터가 없는 임대 장치를 제공하고 반납 후 즉시 초기화하고자 한다”라고 말했다. ciokr@idg.co.kr



2021.03.18

체계적 보안의 뼈대··· 2021 필수 IT 정책 7가지

Bob Violino | CSO
지난 1년 동안 세상이 많이 바뀌었다고 말한다면 오히려 절제된 표현일 것이다. 사이버 보안 측면에서 상당한 변화가 나타났다. 많은 사람들이 원격지에서 지속적으로 근무하거나 홈 오피스와 기업 시설 사이를 오갔기 때문이었다. 기업들이 더 많은 클라우드 서비스를 이용하거나 더 많은 전자상거래 활동을 펼쳤기 때문이기도 하다.

이 모든 변화로 인해 기업들은 IT 정책을 업데이트하여 보안을 강화해야 한다. 사이버 보안 전문가들이 중요성을 지목한 IT 정책에 관해 알아본다. 
 
Image Credit : Getty Images Bank

사용 수칙(Acceptable use)
사용 수칙은 조직이 자산 및 데이터에 관한 합법적 사용 범위를 서술한다. 심지어는 조직과 관련되거나 영향을 끼칠 수 있는 등의 행동에 대한 내용을 담기도 한다. 리겟 컨설팅(Liggett Consulting)의 CEO이자 IT 및 사이버 보안 전문가인 마크 리겟은 “사용 수칙이야말로 모든 IT 정책의 주춧돌이다. 이 정책은 회사 컴퓨팅 자산을 사용할 때의 기대치에 관해 설명한다”라고 말했다.

이 정책은 고용의 조건으로써 모든 사용자가 따라야 하는 기준을 제시한다고 그는 덧붙였다. 리겟은 “조직에 다른 컴퓨터 관련 정책이 없다면 먼저 이것을 수립하라”라고 권고했다.

가트너의 자이라 퍼자다 수석은 최종 사용자에게 할 일과 관련한 지침과 업무 수행 측면에 한계를 제시함으로써 조직은 사용자의 행동으로 인한 위험을 낮출 수 있다고 말했다.

데이터 분류 정책
데이터 분류 정책은 정보 보안 프로그램에 특히 중요한 구성요소 중 하나이지만 간과되는 경우가 많다고 퍼자다가 지적했다. 그는 “적절하고 일관된 데이터 분류가 없다면 조직은 데이터의 가치, 데이터 위험 완화 방법, 효과적인 거버넌스 모니터링 및 관리 방법 등 중요한 질문에 답할 수 없다”라고 말했다.

오늘날 현업 의사 결정자들은 조직 전반에 걸쳐 분산되어 있으며 전통적인 네트워크의 경계를 넘나들고 있다. IT 부문은 이들에게 민감한 데이터 거래, 공유, 사용 시 정보에 기초하여 위험 결정을 내리는 방법에 관해 조언할 필요가 있다. 특히 보안 및 위험 담당 임원은 데이터 분류 정책과 수반되는 표준 또는 지침을 마련해야 한다. 퍼자다는 “이들을 통해 안전한 데이터 사용, 보관, 처리, 거래를 유도할 수 있다”라고 말했다.
  원격 접근 정책
명료하면서도 효과적인 원격 접근 정책이 매우 중요해졌다. 많은 조직들이 하이브리드 업무 환경을 구축하거나 재택근무를 지속적으로 지원하면서 이런 상황은 바뀌지 않을 것이다. 퍼자다는 “원격 접근 정책은 종점으로부터 네트워크에 연결하기 위한 조직의 정보 보안 원칙과 요건을 정의한다. 여기에는 스마트폰, 노트북, 데스크톱, 태블릿이 포함된다”라고 말했다.

이 정책의 목적은 경계 밖에서의 회사 자산 사용으로 인해 발생할 수 있는 위험을 최소화하는 것이다. 퍼자다는 “이런 위험에는 민감한 데이터 및 시스템의 손상, 손실, 오용이 포함되며, 그 영향은 상당할 수 있다”라고 말했다.

사고 대응 정책
데이터 유출, 해킹, 맬웨어 공격, 기타 위험이 있는 활동 등의 사고에 어떻게 대응해야 할까? 재앙을 경험해본 기업들은 사소한 사고만을 겪어본 기업과 다른 대답을 하곤 한다. 

퍼자다는 “사고, 유출, 정책 위반 등이 보편적으로 발생하고 있다. 사고 대응 정책이 있어야 조직이 사이버 보안 사고에 대응하여 조직의 시스템, 데이터를 보호하고 혼란을 방지할 수 있다”라고 말했다.

이 정책은 손실과 파괴를 최소화하고 취약점을 해결하며 서비스를 복구하는 한편, 예방 조치를 수립하는 방법에 대한 지침을 포함함으로써 사고가 체계적으로 처리될 수 있도록 한다고 퍼자다가 말했다. 그는 “이 정책은 사고 대응 처리에 있어서 처리, 보고, 모니터링, 교육, 테스트, 지원에 필요한 관리를 상세하게 담아야 한다”라고 말했다.

사고 대응 계획은 최소한 매년 검토 및 조정이 필요한 실시간 문서라고 리겟이 설명했다. 사고 발생 시 역할과 책임을 상세히 기술해야 하며 사고에 대한 공식적인 발표를 포함해 이어지는 이벤트 및 조치의 레벨을 정의해야 한다고 그가 말했다.

그에 따르면 이 정책은 인사, 법률, 홍보, 경영, 보험 등 회사의 이해관계자들을 아우른다. 리겟은 “사고 발생 시 필요한 단계와 조치에 대해 이해해야 사고 관리 시 발생하는 오류를 줄일 수 있다. 또 이 계획은 재난 복구 계획과 비즈니스 연속성 계획과 직접적인 연관성을 가진다”라고 말했다.
 
재난 복구/비즈니스 연속성 정책
재난 복구 및 비즈니스 연속성 계획은 조직이 특히 마련할 필요가 있다고 리겟이 강조했다. 그에 따르면 사고 대응과 마찬가지로 이 계획은 ‘최소한 매년’ 검토 및 조정이 필요한 실시간 문서다. “이 계획에는 정기적인 복원 및 복구 활동이 포함되어야 한다”라고 그는 덧붙였다. 

이 계획은 또 위기 발생 시에 여러 이벤트, 책임, 책무성의 조율에 관한 개요를 서술하기 때문에 중요하다. 리겟은 “기업들이 재난 발생 후 파산하는 주된 이유는 복구 및 연속성 계획의 실패다”라고 말했다. 
 
써드파티 위험 관리 정책
써드파티 보안 정책에는 조직이 써드파티 관련 보안 태세를 유지하는 방법에 관한 요건이 포함된다. IDC의 보안 전략 부사장 피트 린드스톰은 “써드파티 위험 정책과 절차의 중요성이 점차 커지고 있다. 조직 외부와의 협업이 증가함에 따른 위험이 증가하고 있다”라고 말했다.

퍼자다 또한 “오늘날 써드파티 공급자 및 서비스의 보편적인 사용으로 인해 중요해졌다. 이 정책의 목적은 조직의 정보, 시스템, 서비스, 이해관계자를 위험 수용범위 안에서 보호하는 것이다”라고 말했다.

여기에는 비즈니스에 필수적인 프로젝트를 뒷받침하는 클라우드 서비스와 관리형 서비스 제공자가 포함되어야 한다. 퍼자다는 “이런 관계는 내재적이면서도 잔존적인(residual) 보안 위험을 야기한다. 제 3자가 중요한 시스템이나 정보에 접근할 수 있다. 이로 인한 위험을 최소화하기 위한 통제 및 완화 프로세스가 필요하게 된다”라고 말했다.

기업들은 공급자 및 제공업체와 그 어느 때보다도 많은 데이터와 워크스트림을 공유하고 있다고 리겟이 말했다. 그는 “이 정책의 필요성은 손쉽게 납득할 수 있다. 보관 및 전송 중인 데이터를 처리하고 보호하는 방식을 확인해야 한다”라고 말했다. 실제로 이 정책은 보관 중인 데이터의 암호화와 전송 중인 데이터를 위한 안전한 통신 프로토콜 사용에 관한 서술이 특징이다.

-> 위험 관리에서 가장 많이 범하는 7가지 실수
-> 리스크 관리에 대해 CIO가 알아야 할 5가지

해외 이동 정책
IT 정책 목록에 포함시킬 생각을 하지 못하기 쉬운 정책이다. 하지만 해외 여행 중 기술을 적절하고 안전하게 활용하는 방법을 규정하고 이를 숙지시키는 것이 중요하다. 팬데믹 중에는 더욱 그렇다. 콜로라도주의 CISO 데보라 블리스는 “해외로 이동 중 업무를 처리할 계획이 있는 주 정부의 직원들을 위해 해외 이동 정책을 수립하고 있다”라고 말했다.

블리스는 “이 정책에는 각 책임자로부터 여행에 대한 사전 승인 받기, 방문할 국제적인 장소에 관한 정보 공유, 해당 여행을 위해 특수 하드웨어를 제공해야 하는지 여부 등에 대한 결정과 지시 등이 포함된다”라고 말했다.

블리스는 “예를 들어, 장치 복제 및 맬웨어 설치가 빈번히 발생하는 국가에서는 애초에 주 정부의 데이터가 없는 임대 장치를 제공하고 반납 후 즉시 초기화하고자 한다”라고 말했다. ciokr@idg.co.kr

X