2014.09.25

CRM 데이터를 보호하는 9가지 원칙

Erika Morphy | CITEworld

뉴욕타임즈 보도에 의하면 홈디포(Home Depot)는 고객 데이터를 놀라울 정도로 태만하게 관리하고 있던 것으로 드러났다. 얼마나 엉망이었는가 하면 매장 보안 근무자들이 자신의 친구들에게 현금만 쓰라고 주의를 줄 정도였다.

왜 홈디포가 필요한 변화를 취하는데 너무나도 느렸는지에 대한 뚜렷한 이유를 댈 수는 없다. 필자의 추정으로는 다른 작업들에 밀렸을 것이며 이 외에도 여러 요인이 겹쳤을 듯 싶다. 어찌됐든 뉴욕타임즈 보도가 정확하다면 홈디포의 잘못에는 변명의 여지가 없다. 소매 매장들은 오랫동안 해커들의 주요 공격대상이었고 이는 누구나 알고 있던 바다.

현재 언론들의 전국 소매점들의 사이버 취약점들에 초점이 맞춰져 있다. 특히 CRM 시스템에 대한 보안 위험의 목소리도 커지고 있다.

몇 주 전 세일즈포스(Salesforce)는 대형 금융기관 고객들을 주로 대상으로 하는 다이어(Dyre) 맬웨어가 몇몇 세일즈포스 고객들을 공격하기 위해 변형됐다고 고객사들에게 경고했다.

이 맬웨어는 세일즈포스 플랫폼 내의 취약점을 공격 대상으로 삼지 않고, 그 대신 감염된 컴퓨터 시스템 안에 자리잡아 사용자의 로그인 정보를 훔친다. 아마 이 맬웨어는 어떠한 CRM 애플리케이션을 활용해서 기업 시스템으로 다시 재침투할 수 있을 것으로 관측된다.

그리고 그 진입만 이뤄지면 온갖 훔칠 것들이 기다리고 있다. 결제 정보, 고객 데이터, 어쩌면 고객들의 민감한 지적 재산권까지 손을 뻗칠 수 있다. 또한 기업의 사업 관계와 누가 구매 판단을 내리는 지에 대한 풍부한 지식도 얻을 수 있다.

로그리듬 랩스(LogRhythm Labs)의 디렉터 데이비드 팩은 “CRM 시스템은 사업 관계에 있는 다른 기업의 최고 경영진 개인의 연락처 정보도 가지고 있을 수 있다. 이를 활용함으로써 진짜로 보이는 스피어 피싱(spear phishing) 이메일을 작성해 세일즈포스 사용자가 아닌 다른 조직에 대해 공격할 수도 있다”라고 경고했다.

이제 심각성에 대해 동의할 수 있는가? 좋다. 여기 그 해결책을 소개한다.



CITE월드(CITEworld)는 몇몇 보안 전문가들과 CRM 데이터를 보호하기 위해 무엇을 해야 하는지 그 절차에 대해 이야기를 나눴다.

우리는 예를 들어 보안 소프트웨어가 제대로 업데이트되어 있고, 보안 팀이 고객 데이터를 비롯한 모든 네트워크에 대한 접속권을 가지고 있다는 가정으로(이 두 가지 모두 홈디포에서의 사고 원인이었다고 한다)을 세웠다. 또한 우리는 더욱 발전된, 하지만 여전히 흔히 언급되는 이중인증 같은 보호 조치들 역시 가정했다.

다시 말해 우리는 기업이 CRM 데이터를 보호하기 위해 그 외에 다른 무엇을 할 수 있는지를 물었다.

작업의 범위를 이해하라
스텔스비츠 테크놀로지(STEALTHbits Technologies)의 CTO 카일 케네디는 “중간자”(man in the middle) 공격 경로에 취약하다는 점을 이해해야 한다고 말했다.

그는 “일반적으로 보면 감염된 자사 장비를 기업 데이터와 소통하는데 사용하기로 결정했거나, 부주의하게 비즈니스 기기에 맬웨어를 설치시키는 하이퍼링크를 클릭한 조직의 부주의한 직원의 잘못인 경우가 많다. 그러나 안타깝게도 대부분 서비스 제공자가 욕을 먹곤 한다”라고 말했다.

직원과 협력사들에게 위험을 계속해서 인지시켜라
이런 공격의 위험을 줄이는 최선의 방법은 직원과 협력사에 대한 대폭적이고 지속적인소셜 엔지니어링 교육이다. 싱글홉(SingleHop)의 COO 앤디 페이스는 “모두에게 인증 기술은 암호 같은 것들을 절대 묻지 않는다는 점을 인지시켜야 한다. 또한 직원들은 알 수 없는 송신자로부터의 이메일을 통해 당신의 CRM에 접속하지 말아야 한다는 점 또한 알고 있어야 한다”라고 말했다.

데이터 보호가 외곽/컨테이너 보호보다 훨씬 효율적이라는 점을 인식하라
볼티지 시큐리티(Voltage Security)에서 클라우드 제품 마케팅을 담당하는 트리쉬 라일리는비즈니스 작업흐름에 있어서의 작업 흐름 경로를 볼 때 데이터 그 자체를 주기에 맞춰 보호하는 것이 고도의 공격으로부터 데이터를 보호한다고 강조했다.

그는 “컨테이너는 멈춘 데이터만 보호한다. 이는 모든 위협으로부터의 안전을 보장하지 못한다. 요즘의 클라우드에서 발전된 공격들은 사용중인 데이터, 이동중인 데이터, 멈춰있는 데이터 모두를 공격하는데, 이는 위험을 최소화하기 위한 지속적인 데이터-중심적 접근방식 활용을 시사한다”라고 말했다.

컨테이너에서의 데이터 암호화 조치는 미디어 제거, 도난, 재활용 등의 상황에서는 보호 조치로 가치가 있다고 그녀는 설명했다. “만약 데이터 보호와 그 이동 (혹은 알려지지 않은 이동)이 걱정이라면 데이터-중심적 접근방식을 통한 애플리케이션 레이어 등 높은 단계에서의 암호화가 더 안전하다”라고 그녀는 말했다.




2014.09.25

CRM 데이터를 보호하는 9가지 원칙

Erika Morphy | CITEworld

뉴욕타임즈 보도에 의하면 홈디포(Home Depot)는 고객 데이터를 놀라울 정도로 태만하게 관리하고 있던 것으로 드러났다. 얼마나 엉망이었는가 하면 매장 보안 근무자들이 자신의 친구들에게 현금만 쓰라고 주의를 줄 정도였다.

왜 홈디포가 필요한 변화를 취하는데 너무나도 느렸는지에 대한 뚜렷한 이유를 댈 수는 없다. 필자의 추정으로는 다른 작업들에 밀렸을 것이며 이 외에도 여러 요인이 겹쳤을 듯 싶다. 어찌됐든 뉴욕타임즈 보도가 정확하다면 홈디포의 잘못에는 변명의 여지가 없다. 소매 매장들은 오랫동안 해커들의 주요 공격대상이었고 이는 누구나 알고 있던 바다.

현재 언론들의 전국 소매점들의 사이버 취약점들에 초점이 맞춰져 있다. 특히 CRM 시스템에 대한 보안 위험의 목소리도 커지고 있다.

몇 주 전 세일즈포스(Salesforce)는 대형 금융기관 고객들을 주로 대상으로 하는 다이어(Dyre) 맬웨어가 몇몇 세일즈포스 고객들을 공격하기 위해 변형됐다고 고객사들에게 경고했다.

이 맬웨어는 세일즈포스 플랫폼 내의 취약점을 공격 대상으로 삼지 않고, 그 대신 감염된 컴퓨터 시스템 안에 자리잡아 사용자의 로그인 정보를 훔친다. 아마 이 맬웨어는 어떠한 CRM 애플리케이션을 활용해서 기업 시스템으로 다시 재침투할 수 있을 것으로 관측된다.

그리고 그 진입만 이뤄지면 온갖 훔칠 것들이 기다리고 있다. 결제 정보, 고객 데이터, 어쩌면 고객들의 민감한 지적 재산권까지 손을 뻗칠 수 있다. 또한 기업의 사업 관계와 누가 구매 판단을 내리는 지에 대한 풍부한 지식도 얻을 수 있다.

로그리듬 랩스(LogRhythm Labs)의 디렉터 데이비드 팩은 “CRM 시스템은 사업 관계에 있는 다른 기업의 최고 경영진 개인의 연락처 정보도 가지고 있을 수 있다. 이를 활용함으로써 진짜로 보이는 스피어 피싱(spear phishing) 이메일을 작성해 세일즈포스 사용자가 아닌 다른 조직에 대해 공격할 수도 있다”라고 경고했다.

이제 심각성에 대해 동의할 수 있는가? 좋다. 여기 그 해결책을 소개한다.



CITE월드(CITEworld)는 몇몇 보안 전문가들과 CRM 데이터를 보호하기 위해 무엇을 해야 하는지 그 절차에 대해 이야기를 나눴다.

우리는 예를 들어 보안 소프트웨어가 제대로 업데이트되어 있고, 보안 팀이 고객 데이터를 비롯한 모든 네트워크에 대한 접속권을 가지고 있다는 가정으로(이 두 가지 모두 홈디포에서의 사고 원인이었다고 한다)을 세웠다. 또한 우리는 더욱 발전된, 하지만 여전히 흔히 언급되는 이중인증 같은 보호 조치들 역시 가정했다.

다시 말해 우리는 기업이 CRM 데이터를 보호하기 위해 그 외에 다른 무엇을 할 수 있는지를 물었다.

작업의 범위를 이해하라
스텔스비츠 테크놀로지(STEALTHbits Technologies)의 CTO 카일 케네디는 “중간자”(man in the middle) 공격 경로에 취약하다는 점을 이해해야 한다고 말했다.

그는 “일반적으로 보면 감염된 자사 장비를 기업 데이터와 소통하는데 사용하기로 결정했거나, 부주의하게 비즈니스 기기에 맬웨어를 설치시키는 하이퍼링크를 클릭한 조직의 부주의한 직원의 잘못인 경우가 많다. 그러나 안타깝게도 대부분 서비스 제공자가 욕을 먹곤 한다”라고 말했다.

직원과 협력사들에게 위험을 계속해서 인지시켜라
이런 공격의 위험을 줄이는 최선의 방법은 직원과 협력사에 대한 대폭적이고 지속적인소셜 엔지니어링 교육이다. 싱글홉(SingleHop)의 COO 앤디 페이스는 “모두에게 인증 기술은 암호 같은 것들을 절대 묻지 않는다는 점을 인지시켜야 한다. 또한 직원들은 알 수 없는 송신자로부터의 이메일을 통해 당신의 CRM에 접속하지 말아야 한다는 점 또한 알고 있어야 한다”라고 말했다.

데이터 보호가 외곽/컨테이너 보호보다 훨씬 효율적이라는 점을 인식하라
볼티지 시큐리티(Voltage Security)에서 클라우드 제품 마케팅을 담당하는 트리쉬 라일리는비즈니스 작업흐름에 있어서의 작업 흐름 경로를 볼 때 데이터 그 자체를 주기에 맞춰 보호하는 것이 고도의 공격으로부터 데이터를 보호한다고 강조했다.

그는 “컨테이너는 멈춘 데이터만 보호한다. 이는 모든 위협으로부터의 안전을 보장하지 못한다. 요즘의 클라우드에서 발전된 공격들은 사용중인 데이터, 이동중인 데이터, 멈춰있는 데이터 모두를 공격하는데, 이는 위험을 최소화하기 위한 지속적인 데이터-중심적 접근방식 활용을 시사한다”라고 말했다.

컨테이너에서의 데이터 암호화 조치는 미디어 제거, 도난, 재활용 등의 상황에서는 보호 조치로 가치가 있다고 그녀는 설명했다. “만약 데이터 보호와 그 이동 (혹은 알려지지 않은 이동)이 걱정이라면 데이터-중심적 접근방식을 통한 애플리케이션 레이어 등 높은 단계에서의 암호화가 더 안전하다”라고 그녀는 말했다.


X