2014.03.06

블로그 | BYOD 분실 시 정보 유출 책임은 CIO에게만 있나?

Tom Kaneshige | CIO
BYOD 도입한 기업의 임직원들이 모바일 기기를 잃어버리거나 도난당했을 때, 그 안에 회사 정보가 들어있는데도 크게 걱정하지 않는 것으로 나타났다. 미국 근로자들 대다수는 이를 자신의 문제가 아니라고 생각하며 보안 방법을 변경하지 않는 것으로 조사됐다. 그런데도 좀더 엄격하고 명확한 모바일 보안 정책을 만들어 놓지 않은 CIO만 탓해야 할까?

근로자들도 모바일 기기를 분실하거나 도난당했을 때 CIO에게 “내 잘못도 아니고 큰 문제도 아니다”라고 변명한다. “회사 정보 도난이 더 큰 문제다. 이건 그냥 휴대폰일 뿐이다”라고 이들은 마치 생각없는 십대들처럼 말하곤 한다. 여기에 한 술 더 떠서 CIO에게 “모바일 데이터 보안 책임자는 당신이지 내가 아니다”라는 말까지 더한다.

이런 일은 CIO의 혈압을 상승시킬법한 사건이다.

앱솔루트 소프트웨어(Absolute Software)가 지난 11월 미국의 은행, 유통, 의료, 에너지 등의 산업에서 종사하는 750명의 근로자들을 대상으로 한 조사한 결과, 모바일 보안에 대한 무관심이 만연해 있는 것으로 나타났다.

직원이 회사 정보를 유출하거나 분실하는데도 응답자의 25%는 자신들의 문제가 아니라고 말했다. 실제로 휴대전화를 잃어버린 적이 있는 직원들 가운데 34%는 처벌받지 않았으며 30%는 기기를 교체해야 했고 21%는 말로 경고를 받는 정도였다고 답했다. 이러한 답변을 감안할 때, 휴대폰을 분실한 적 있는 응답자의 1/3이 자신들의 보안 습관을 바꾸지 않았다는 사실은 그리 놀랄 일도 아니다.

일부 문제는 직원 스스로 무엇이 위험에 처했는지도 모르고 자신들이 사용자 정책에서 보안 부분을 이해하고자 애쓰지 않는다는 것이다. 이 조사에서 응답자 59%는 자신의 휴대폰에 들어 있는 기업 데이터의 가치를 500달러 이하로 생각한다고 말했다. 하지만, 실제로는 아니다.

캘리포니아에 있는 법률회사인 대린 에드콕(Darin Adcock)의 CIO인 다울링 아론은 <CIO닷컴>과의 인터뷰에서 "변호사가 술집에 자신의 휴대전화를 두고 왔다면, 명성에 큰 타격을 입을 것이다. 말 그대로 수백만 달러의 손실이 될 수도 있다”라고 말했다.

CIO가 비난받아야 할까?
공정하게 하자면, 다소 비중의 차이는 있겠지만 직원들도 동일한 모바일 보안 사용자 정책에 대해 책임을 지도록 CIO가 주지시켜야 한다. 이 조사에 따르면, 업무용 모바일 기기를 분실하거나 도난당했을 때 회사가 어떤 조치를 취하는 지에 대해 알지 못하는 근로자들이 4명 중 1명인 것으로 나타났다. 그것은 전적으로 직원의 잘못이 아니라 커뮤니케이션의 문제다.

또한, 많은 직원들은 잃어버린 모바일 기기를 수 주 동안 찾아다니며 CIO에게 데이터를 지워달라고 요청하지 않는다고 CIO들을 밝혔다. 왜냐면 원격으로 데이터를 삭제할 경우 그 기기 안에 들어있는 개인 데이터까지도 잃어버리기 때문이다. 이는 아마도 사람들의 습성과 관련된 정책 문제일 것이다.

"회사가 기업 데이터 보안의 우선순위를 반영한 정책을 확실하게 실행하지 않으면서 직원들이 회사의 데이터를 우선으로 생각하길 기대할 순 없다"라고 앱솔루트 소프트웨어의 모바일 기업 데이터 전문가인 팀 윌리엄스는 밝혔다.

그러나 사용자 정책을 확실하게 수립하는 것이 직원들을 모바일 데이터 손실의 위험에 주의하도록 하는 유일한 방법은 아니다. 사이버범죄 연구소를 운영하는 글로벌 데이터 위험 관리 업체인 스트로즈 프리드버그(Stroz Friedberg)의 매니징 디렉터 폴 루어는 개인 수준의 보안 정책은 취약하며 그런 정책으로 실패한 사례들을 본 적 있다고 CIO닷컴에 전했다.

"보안은 전반적인 HR 정책의 한 부분이자 특히 일부 사람들에게는 연간 실적 평가의 일부로 만드는 게 좋은 정책이라고 생각한다”라고 루어는 강조했다.

*Tom Kaneshige는 CIO닷컴 기자다. ciokr@idg.co.kr



2014.03.06

블로그 | BYOD 분실 시 정보 유출 책임은 CIO에게만 있나?

Tom Kaneshige | CIO
BYOD 도입한 기업의 임직원들이 모바일 기기를 잃어버리거나 도난당했을 때, 그 안에 회사 정보가 들어있는데도 크게 걱정하지 않는 것으로 나타났다. 미국 근로자들 대다수는 이를 자신의 문제가 아니라고 생각하며 보안 방법을 변경하지 않는 것으로 조사됐다. 그런데도 좀더 엄격하고 명확한 모바일 보안 정책을 만들어 놓지 않은 CIO만 탓해야 할까?

근로자들도 모바일 기기를 분실하거나 도난당했을 때 CIO에게 “내 잘못도 아니고 큰 문제도 아니다”라고 변명한다. “회사 정보 도난이 더 큰 문제다. 이건 그냥 휴대폰일 뿐이다”라고 이들은 마치 생각없는 십대들처럼 말하곤 한다. 여기에 한 술 더 떠서 CIO에게 “모바일 데이터 보안 책임자는 당신이지 내가 아니다”라는 말까지 더한다.

이런 일은 CIO의 혈압을 상승시킬법한 사건이다.

앱솔루트 소프트웨어(Absolute Software)가 지난 11월 미국의 은행, 유통, 의료, 에너지 등의 산업에서 종사하는 750명의 근로자들을 대상으로 한 조사한 결과, 모바일 보안에 대한 무관심이 만연해 있는 것으로 나타났다.

직원이 회사 정보를 유출하거나 분실하는데도 응답자의 25%는 자신들의 문제가 아니라고 말했다. 실제로 휴대전화를 잃어버린 적이 있는 직원들 가운데 34%는 처벌받지 않았으며 30%는 기기를 교체해야 했고 21%는 말로 경고를 받는 정도였다고 답했다. 이러한 답변을 감안할 때, 휴대폰을 분실한 적 있는 응답자의 1/3이 자신들의 보안 습관을 바꾸지 않았다는 사실은 그리 놀랄 일도 아니다.

일부 문제는 직원 스스로 무엇이 위험에 처했는지도 모르고 자신들이 사용자 정책에서 보안 부분을 이해하고자 애쓰지 않는다는 것이다. 이 조사에서 응답자 59%는 자신의 휴대폰에 들어 있는 기업 데이터의 가치를 500달러 이하로 생각한다고 말했다. 하지만, 실제로는 아니다.

캘리포니아에 있는 법률회사인 대린 에드콕(Darin Adcock)의 CIO인 다울링 아론은 <CIO닷컴>과의 인터뷰에서 "변호사가 술집에 자신의 휴대전화를 두고 왔다면, 명성에 큰 타격을 입을 것이다. 말 그대로 수백만 달러의 손실이 될 수도 있다”라고 말했다.

CIO가 비난받아야 할까?
공정하게 하자면, 다소 비중의 차이는 있겠지만 직원들도 동일한 모바일 보안 사용자 정책에 대해 책임을 지도록 CIO가 주지시켜야 한다. 이 조사에 따르면, 업무용 모바일 기기를 분실하거나 도난당했을 때 회사가 어떤 조치를 취하는 지에 대해 알지 못하는 근로자들이 4명 중 1명인 것으로 나타났다. 그것은 전적으로 직원의 잘못이 아니라 커뮤니케이션의 문제다.

또한, 많은 직원들은 잃어버린 모바일 기기를 수 주 동안 찾아다니며 CIO에게 데이터를 지워달라고 요청하지 않는다고 CIO들을 밝혔다. 왜냐면 원격으로 데이터를 삭제할 경우 그 기기 안에 들어있는 개인 데이터까지도 잃어버리기 때문이다. 이는 아마도 사람들의 습성과 관련된 정책 문제일 것이다.

"회사가 기업 데이터 보안의 우선순위를 반영한 정책을 확실하게 실행하지 않으면서 직원들이 회사의 데이터를 우선으로 생각하길 기대할 순 없다"라고 앱솔루트 소프트웨어의 모바일 기업 데이터 전문가인 팀 윌리엄스는 밝혔다.

그러나 사용자 정책을 확실하게 수립하는 것이 직원들을 모바일 데이터 손실의 위험에 주의하도록 하는 유일한 방법은 아니다. 사이버범죄 연구소를 운영하는 글로벌 데이터 위험 관리 업체인 스트로즈 프리드버그(Stroz Friedberg)의 매니징 디렉터 폴 루어는 개인 수준의 보안 정책은 취약하며 그런 정책으로 실패한 사례들을 본 적 있다고 CIO닷컴에 전했다.

"보안은 전반적인 HR 정책의 한 부분이자 특히 일부 사람들에게는 연간 실적 평가의 일부로 만드는 게 좋은 정책이라고 생각한다”라고 루어는 강조했다.

*Tom Kaneshige는 CIO닷컴 기자다. ciokr@idg.co.kr

X