Offcanvas

How To / 리더십|조직관리 / 보안

기고 | 소니 사태가 시사하는 2015년 보안 현실

2014.12.26 Ben Rothke  |  CSO


기업들조차도 자신들이 어느 정도의 데이터를 보유하고 있는지 잘 모른다. 스티브 레이건에 따르면 지금까지 해킹으로 유출된 데이터만 약 230GB에 달한다. 여기에 비추어 보건대 아마도 해커들은 테라바이트 이상의 데이터를 가지고 있을 것이다.

사실 얼마나 많은 데이터가 유출됐는 지보다 중요한 건 어떤 데이터가 털렸느냐다. 소니 사건의 경우 해킹된 데이터가 양적으로 봐도, 질적으로 봐도 어마어마했기에 더 거대한 재앙이었다. 기업이 저장하고 있는 엄청난 양의 데이터, 그리고 그 데이터에 액세스 가능한 사람의 수를 생각해 보면 해킹 위험 없이 이를 관리하는 것이 더 불가능해 보일 정도다.

그렇다면 2015년 데이터 보안은?
만일 농사 연감(Farmer's Almanac)이 데이터 보안 위협 관련 예측도 다룬다면, 2015년을 매우 위험한 한 해로 예측했을 것이다. 그렇지만 대비할 방법이 없는 건 아니다. 다음의 조언들을 참고해 보자.

- 훌륭한 보안 설계가 핵심적이다. 견고한 보안의 영광은 모두 CISO에게 돌아가겠지만 훌륭한 보안 설계자야 말로 기업에게 가장 필요한 것이다. 미국 내 기업의 95% 가량이 중소기업이다. 이런 중소기업의 소규모 IT 부서들은 CISO에 FTE 슬롯을 낭비할 수 없다. 때문에 이들 IT팀은 리더십 역량까지 갖춘 보안 설계자나 엔지니어가 필요하다. 어찌됐건 분명한 건 견고한 보안 설계가 매우 중요하다는 것이다.

- 소 잃고 외양간 고치기는 그만하자. 기업들에서는 보안에 돈을 투자하기를 꺼려하지만, 보안 문제에 대한 이해 없이 돈만 투자하고 컨설턴트만 고용한다면 40년 전 프레더럭 브룩스(Frederick Brooks)가 맨먼스 미신-소프트웨어 공학에 관한 에세이에서 예고한 것과 같은 문제에 직면할 수도 있다.

브룩스는 늦어진 소프트웨어 프로젝트에 인력을 추가할수록 더 늦어진다는 사실을 알아냈다. 그는 또 시스템 개발에 있어서는 한 방에 모든 문제를 해결하는 만병 통치약이 없음을 지적했다. 그의 이런 생각은 오늘날 정보 보안에도 그대로 적용된다.

- 정보 보안에 있어 두 갈래로 접근하라. 표준적인 보안 가이드라인을 따르되 기업 사정에 커스터마이징 된, 리스크 기반의 접근법을 취해 회사가 직면한 특유의 리스크를 줄여줄 수 있는 정보 보안 프로그램을 도입할 수 있도록 하자.

- 가능한 한 최고의 정보 보안 인력을 고용하자. 우수 인력 고용은 비용이 아니라 투자다.

- 오래 된 데이터에 대한 처리 계획을 세우자. 오래 된 데이터는 오프라인으로 옮겨놓아야 한다. 대부분 기업들이 오프라인으로 옮길 수도 있음에도 지나치게 많은 데이터를 온라인에 보관하고 있다.

- 애플리케이션 보안: 이 분야에서는 아직도 할 일이 많다. 보안 취약점 뒤에는 항상 보안이 불안정한 소프트웨어가 있게 마련이다. 네트워크 보안에만 신경 쓰고 애플리케이션 보안을 소홀히 하는 경우가 많은데 안전한 애플리케이션 개발 및 테스팅을 위한 정식 프로그램을 갖추고 있어야 한다.

- 벤더 리스크 관리: 써드파티 벤더와 데이터를 공유하거나 써드파티로부터 회사 네트워크로의 연결을 허용하는 기업들의 경우 벤더 리스크 관리 프로세스를 통해 벤더 액세스를 식별하고 관리할 수 있어야 한다.

* 보안 전문가 Ben Rothke는 시큐리티 리딩 룸 블로그를 운영하고 있다. ‘컴퓨터 보안 : 모든 종업원이 알아야 할 20가지’(Computer Security: 20 Things Every Employee Should Know)의 저자이기도 하다. ciokr@idg.co.kr
 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.