2014.02.26

'핵심은 사람!' 직원들의 보안 이해도 측정법

Kim Lindros, Ed Tittel | CIO

CIO에게 보안은 골칫거리이기 십상이다. 기관의 데이터 및 시스템 보안만큼이나 CIO를 잠 못 들게 하는 것도 드물다. 몇몇은 네트워크 반경을 방화벽과 IDPS로 중무장하고, 네트워크를 분할하는가 하면 정기적으로 감사 및 평가를 실시한다. 또 데이터를 분류하거나 중요 파일을 따로 모아놓고, 최소한의 보안 정책에도 신중에 신중을 기한다.

미안한 얘기지만, 이런 노력들 조차도 따로 교육을 받지 않았거나 악의를 지닌 유저 앞에서는 무력해 질 수 있다. 포네몬 인스티튜트(Ponemon Institute)는 지난해 미국 내 데이터 유출로 인해 소모된 총 비용이 평균 540만 달러를 넘었다고 밝혔다.

이들 중 약 67%가 악성 공격이나 사이버 범죄, 시스템 결함으로 초래된 것이었으며, 직원의 근무 태만 등과 같이 사람이 원인인 경우는 33%였다. 즉 이메일에서 링크를 한 번 잘못 클릭 하거나 사칭범에게 속아넘어가서 문제가 발생하는 것이었다.

모든 보안 프로그램에서 사용자 훈련은 기본 중 기본이다. 대부분 직원들은 IT나 보안에 대한 지식이 별로 없다. 사람들이 다 알 것 이라고 지레짐작 해서도 안 된다. 보안 트레이닝과 인식 개선을 해야만 모든 직원들이 기본적 보안 지식을 갖추고 보안 문제가 생겼을 때 올바른 대처를 할 수 있다.

보안에 있어 기술만 강조할 것이 아니라 소셜 엔지니어링이나 피싱에 대비한 보안 인식 개선 훈련도 병행해야 한다. 피싱과 소셜 엔지니어링이야 말로 데이터 유출의 가장 큰 주범들이다. 그런데, 설령 시간과 돈을 들여 훌륭한 트레이닝 프로그램을 실시했다 한들 직원들이 이를 잘 이해하고, 실전에 응용할 수 있을지 어떻게 알 수 있을까?

직원들의 보안 이해도를 점검해 볼 수 있는 4가지 방법
직원들의 보안 이해도를 측정해 보면 그들 중 누가 중요한 기업 정보나 고객 정보를 흘릴 가능성이 있는지 알 수 있다. 직원들을 측정해 보는 방법은 다음과 같다.

퀴즈를 내보자. 보안 인식 개선 훈련을 진행하는 교사가 훈련 기간 동안에, 그리고 훈련이 끝난 후에도 해마다 몇 번씩 불시에 객관식으로 된 간단한 퀴즈를 출제해야 한다. 단, 퀴즈를 낼 때는 웹 상에 올리고 직원들마다 문제를 다르게 내서 직원들이 문제의 유형을 외우거나 다른 직원들과 답을 공유하는 일이 없도록 한다.

불시에 직원들의 업무공간을 확인하자. 업무를 진행하다 보면, 직원들은 자신이 다루는 정보에 대해 무감각해 질 수 있다. 직원들의 사무실을 급습해 중요 정보를 담은 포스트잇이나 문서를 아무렇게나 방치해 두지는 않았는지 확인하자. 누구나 지나가다가 보거나 가져갈 수 있게 밖에 나와 있지는 않은지? 파일 보관함이 제대로 잠겨있는지, 그리고 이런 보관함을 전혀 통제되지 않은 곳에 방치해 두지는 않았는지 말이다. 또 직원의 컴퓨터가 비밀번호 없이 상시 로그온 되어있지는 않은지도 확인할 요소다.

‘화이트 햇(white hat)’ 소셜 엔지니어를 보내자. 회사 내에 얼굴이 잘 알려지지 않은 직원을 지목해(혹은 컨설턴트를 고용해도 좋다) 회사 직원들을 호출하게 하거나, 혹은 직접 직원들이 일하는 곳으로 찾아가 로그온 정보나 기타 다른 중요 자료를 달라고 요청하도록 한다. 직원들이 어떻게 대처하는 지 알 수 있다. 이 때 소셜 엔지니어는 그런 자료를 요구할 만한 적당한 ‘핑계 거리’를 미리 생각해두어야 함은 물론이다.




2014.02.26

'핵심은 사람!' 직원들의 보안 이해도 측정법

Kim Lindros, Ed Tittel | CIO

CIO에게 보안은 골칫거리이기 십상이다. 기관의 데이터 및 시스템 보안만큼이나 CIO를 잠 못 들게 하는 것도 드물다. 몇몇은 네트워크 반경을 방화벽과 IDPS로 중무장하고, 네트워크를 분할하는가 하면 정기적으로 감사 및 평가를 실시한다. 또 데이터를 분류하거나 중요 파일을 따로 모아놓고, 최소한의 보안 정책에도 신중에 신중을 기한다.

미안한 얘기지만, 이런 노력들 조차도 따로 교육을 받지 않았거나 악의를 지닌 유저 앞에서는 무력해 질 수 있다. 포네몬 인스티튜트(Ponemon Institute)는 지난해 미국 내 데이터 유출로 인해 소모된 총 비용이 평균 540만 달러를 넘었다고 밝혔다.

이들 중 약 67%가 악성 공격이나 사이버 범죄, 시스템 결함으로 초래된 것이었으며, 직원의 근무 태만 등과 같이 사람이 원인인 경우는 33%였다. 즉 이메일에서 링크를 한 번 잘못 클릭 하거나 사칭범에게 속아넘어가서 문제가 발생하는 것이었다.

모든 보안 프로그램에서 사용자 훈련은 기본 중 기본이다. 대부분 직원들은 IT나 보안에 대한 지식이 별로 없다. 사람들이 다 알 것 이라고 지레짐작 해서도 안 된다. 보안 트레이닝과 인식 개선을 해야만 모든 직원들이 기본적 보안 지식을 갖추고 보안 문제가 생겼을 때 올바른 대처를 할 수 있다.

보안에 있어 기술만 강조할 것이 아니라 소셜 엔지니어링이나 피싱에 대비한 보안 인식 개선 훈련도 병행해야 한다. 피싱과 소셜 엔지니어링이야 말로 데이터 유출의 가장 큰 주범들이다. 그런데, 설령 시간과 돈을 들여 훌륭한 트레이닝 프로그램을 실시했다 한들 직원들이 이를 잘 이해하고, 실전에 응용할 수 있을지 어떻게 알 수 있을까?

직원들의 보안 이해도를 점검해 볼 수 있는 4가지 방법
직원들의 보안 이해도를 측정해 보면 그들 중 누가 중요한 기업 정보나 고객 정보를 흘릴 가능성이 있는지 알 수 있다. 직원들을 측정해 보는 방법은 다음과 같다.

퀴즈를 내보자. 보안 인식 개선 훈련을 진행하는 교사가 훈련 기간 동안에, 그리고 훈련이 끝난 후에도 해마다 몇 번씩 불시에 객관식으로 된 간단한 퀴즈를 출제해야 한다. 단, 퀴즈를 낼 때는 웹 상에 올리고 직원들마다 문제를 다르게 내서 직원들이 문제의 유형을 외우거나 다른 직원들과 답을 공유하는 일이 없도록 한다.

불시에 직원들의 업무공간을 확인하자. 업무를 진행하다 보면, 직원들은 자신이 다루는 정보에 대해 무감각해 질 수 있다. 직원들의 사무실을 급습해 중요 정보를 담은 포스트잇이나 문서를 아무렇게나 방치해 두지는 않았는지 확인하자. 누구나 지나가다가 보거나 가져갈 수 있게 밖에 나와 있지는 않은지? 파일 보관함이 제대로 잠겨있는지, 그리고 이런 보관함을 전혀 통제되지 않은 곳에 방치해 두지는 않았는지 말이다. 또 직원의 컴퓨터가 비밀번호 없이 상시 로그온 되어있지는 않은지도 확인할 요소다.

‘화이트 햇(white hat)’ 소셜 엔지니어를 보내자. 회사 내에 얼굴이 잘 알려지지 않은 직원을 지목해(혹은 컨설턴트를 고용해도 좋다) 회사 직원들을 호출하게 하거나, 혹은 직접 직원들이 일하는 곳으로 찾아가 로그온 정보나 기타 다른 중요 자료를 달라고 요청하도록 한다. 직원들이 어떻게 대처하는 지 알 수 있다. 이 때 소셜 엔지니어는 그런 자료를 요구할 만한 적당한 ‘핑계 거리’를 미리 생각해두어야 함은 물론이다.


X