2016.04.26

잠 못 드는 이유는?··· IT리더 4인이 전하는 보안 걱정꺼리

Jen A. Miller | CIO
CIO가 밤잠을 설치도록 하는 걱정꺼리들은 뭘까? 데이터 저장부터 퇴사한 직원의 데이터 유출까지 현직 CIO들이 우려하는 4가지 IT보안 문제를 살펴본다.

CIO 업무는 쉽지 않다. 해커가 먹음직스러운 데이터를 훔치기 위해 온갖 방법으로 접근하기 때문에 골치 아픈 것만이 아니다. 단 한 번의 침해 사건으로 ‘믿을 만한 기업’이라는 평판이 ‘훔치기 좋은 정보를 보유하고 있는 기업’이라는 평판으로 뒤바뀔 수 있다는 사실 또한 큰 문젯거리다. CIO를 밤새 못 자게 만드는 IT보안 문제들을 살펴본다. 

1. 데이터 저장
데이터그래비티의 CISO인 앤드류 헤이는 숙면을 방해하는 첫 번째 문제로 데이터 보안 인식 부족을 짚었다. 그는 “어디에 정보를 저장하고 있는지, 어떤 유형의 민감 정보에 미승인 사용자가 접근할 수 있는지 등 조직이 데이터 보안 인식을 갖추고 있어야 하는데 그런 점이 부족하다”라고 분석했다.

데이터 보관 위치만 문제인 것은 아니다. 파일을 올리는 위치, 즉 시스템의 보안도 문제가 된다. 그는 “직원들이 집에서 일할 때나 VPN이 아닌 개인 서버를 사용해야 할 때, 파일을 드롭 박스 또는 구글 독스에 올리고 있는가? (그렇다면 문제가 된다)”라고 말했다.

이는 기업들이 페이스북 같은 소셜 미디어를 차단했던 시절을 생각하면 상당한 변화다. 헤이는 “당시 기업들은 (소셜 미디어 등) 차단 사이트에 프록시 연결을 설정하는 것은 생각하지도 않았다. 점심시간에 외부에서 접근할 수 있기 때문이었다. ‘직접 통제할 수 없는’ 상황이 발생할 여지가 나타난다고 생각했기 때문이었다”라고 말했다.

이러한 상황은 변화했지만 그렇다고 데이터가 인터넷 전체에 퍼지도록 놔둬서는 안 된다고 그는 경고했다. 헤이는 “특히 개인 파일 공유 소프트웨어, 더 나아가 직원들이 더 원활하게 업무를 보기 위해 사용하는 IoT 기기나 소비자용 개인 기기 등을 이용할 때 데이터 유출 문제가 발생할 수 있다”라고 말했다.

2. 직원
세이프가드 월드 인터네셔널의 CTO인 트리스탄 우즈는 “조직과 사업, 평판 관리에 최대한 노력하고 있다”라고 말했다. 우즈는 직원 문제를 언급했다. 그는 “직원이라는 요소의 경우 통제하기 까다롭다는 점에서 해커보다 오히려 큰 문젯거리다”라고 말했다.

세이프가드가 이에 대해 내놓은 대책은 모순적이게도 ‘직원’이었다. 세이프가드는 1년에 두 차례 CEO를 제외한 전 직원을 교육하고 있다. 우즈는 “직원들을 대상으로 일상 속에서 보안을 유지하는 방법에 대해 교육하고 있다. 교육을 통해 온라인 신원 정보와 직장 밖에서 개인 정보를 관리하는 방법이 몸에 배면, 직장 안에서도 자연스럽게 나오기 때문이다”라고 말했다.

3. 해킹
어느 기업도 홈 디포나 앤섬의 뒤를 잇는 해킹 목표물이 되기를 바라지 않는다. 베타포어의 CIO인 조 매그레디에게도 데이터 침해는 가장 큰 고민거리다.

메그레디는 사업상의 가치 사슬 전체에 영향을 주는 엔드투엔드 암호화(end-to-end encryption) 등 다른 문제가 직원 관리보다 더 심각한 문제라고 언급했다. 또 그는 맬웨어/안티바이러스 툴, 방화벽 설치 및 최적화, 모니터링 등의 기존 보안 툴도 중요하다고 전했다.

그는 특히 모니터링에 대해 “선택이 아닌 필수 사항이며 모니터링 시간대/시기가 관건이다”라고 말하며 중요성을 강조했다. 메그레디에 따르면 보안팀은 해커가 언제 침투할 수 있는지 신속하게 파악하고 단계별 대처법을 마련해야 한다.

그는 “문제가 감지됐을 때 최대한 빨리 무엇을 할 수 있는지 알아야 한다. 우선 해당되는 로그 데이터 확보, 데이터 모니터링, 또는 운영상의 관점에서 이 둘을 동시에 실시할 수 있겠다. 뿐만 아니라 문제 요소 간의 상관관계를 파악하고, 노이즈를 필터링하며, 신속하게 대처할 수 있는, 그러한 분석 역량도 갖춰야 할 것이다”라고 말했다.

그는 신용카드번호보다 암시장에서 더 활발히 거래되는 고객의 전체 의료 기록과 같은 고급 정보를 다루는 조직에서 일한다면 해킹 대처에 더 신경 써야 한다고 조언했다.

4. 퇴사한 직원의 데이터 유출
직원이 퇴사할 경우 데이터도 같이 유출될 가능성이 높다. 이그나이트의 공동창업주이자 최고고객책임자인 라제시 램은 “회사에서 중요한 업무를 담당했던 고급 인력이 경쟁사로 이직했을 때 공통적으로 이런 문제(데이터 유출)가 발생했다”라고 말했다. 그는 “이는 CIO마다 직접 해결해야 할 상당히 심각한 문제”라고 덧붙였다.

핏비트와 조본(Jawbone) 사이에 벌어진 법적 공방이 대표적인 사례에 해당된다.

램은 “이상적인 환경이라면 전 직원이 어떤 정보에 접근하며 일하고 있는지 회사가 알 수 있는 구조여야 한다”라고 말했다. 그는 “회사로서는 해당 직원이 어떤 정보에 접근했고, 어떤 정보를 갖고 퇴사했는지 정확히 파악하고 그런 과정을 관리할 수 있어야 한다”라고 조언하기도 했다.

휴대폰이나 노트북을 원격으로 잠그거나 풀 수 있는지 여부도 중요하다. 이는 이직뿐 아니라 기기를 잃어버리거나 도둑맞을 경우에도 문제가 된다. 램은 “회사로서는 해당 데이터가 사라져 되돌릴 수 없다는 사실을 알게 됐을 때 취할 조치가 있어야 한다”라고 말했다. ciokr@idg.co.kr



2016.04.26

잠 못 드는 이유는?··· IT리더 4인이 전하는 보안 걱정꺼리

Jen A. Miller | CIO
CIO가 밤잠을 설치도록 하는 걱정꺼리들은 뭘까? 데이터 저장부터 퇴사한 직원의 데이터 유출까지 현직 CIO들이 우려하는 4가지 IT보안 문제를 살펴본다.

CIO 업무는 쉽지 않다. 해커가 먹음직스러운 데이터를 훔치기 위해 온갖 방법으로 접근하기 때문에 골치 아픈 것만이 아니다. 단 한 번의 침해 사건으로 ‘믿을 만한 기업’이라는 평판이 ‘훔치기 좋은 정보를 보유하고 있는 기업’이라는 평판으로 뒤바뀔 수 있다는 사실 또한 큰 문젯거리다. CIO를 밤새 못 자게 만드는 IT보안 문제들을 살펴본다. 

1. 데이터 저장
데이터그래비티의 CISO인 앤드류 헤이는 숙면을 방해하는 첫 번째 문제로 데이터 보안 인식 부족을 짚었다. 그는 “어디에 정보를 저장하고 있는지, 어떤 유형의 민감 정보에 미승인 사용자가 접근할 수 있는지 등 조직이 데이터 보안 인식을 갖추고 있어야 하는데 그런 점이 부족하다”라고 분석했다.

데이터 보관 위치만 문제인 것은 아니다. 파일을 올리는 위치, 즉 시스템의 보안도 문제가 된다. 그는 “직원들이 집에서 일할 때나 VPN이 아닌 개인 서버를 사용해야 할 때, 파일을 드롭 박스 또는 구글 독스에 올리고 있는가? (그렇다면 문제가 된다)”라고 말했다.

이는 기업들이 페이스북 같은 소셜 미디어를 차단했던 시절을 생각하면 상당한 변화다. 헤이는 “당시 기업들은 (소셜 미디어 등) 차단 사이트에 프록시 연결을 설정하는 것은 생각하지도 않았다. 점심시간에 외부에서 접근할 수 있기 때문이었다. ‘직접 통제할 수 없는’ 상황이 발생할 여지가 나타난다고 생각했기 때문이었다”라고 말했다.

이러한 상황은 변화했지만 그렇다고 데이터가 인터넷 전체에 퍼지도록 놔둬서는 안 된다고 그는 경고했다. 헤이는 “특히 개인 파일 공유 소프트웨어, 더 나아가 직원들이 더 원활하게 업무를 보기 위해 사용하는 IoT 기기나 소비자용 개인 기기 등을 이용할 때 데이터 유출 문제가 발생할 수 있다”라고 말했다.

2. 직원
세이프가드 월드 인터네셔널의 CTO인 트리스탄 우즈는 “조직과 사업, 평판 관리에 최대한 노력하고 있다”라고 말했다. 우즈는 직원 문제를 언급했다. 그는 “직원이라는 요소의 경우 통제하기 까다롭다는 점에서 해커보다 오히려 큰 문젯거리다”라고 말했다.

세이프가드가 이에 대해 내놓은 대책은 모순적이게도 ‘직원’이었다. 세이프가드는 1년에 두 차례 CEO를 제외한 전 직원을 교육하고 있다. 우즈는 “직원들을 대상으로 일상 속에서 보안을 유지하는 방법에 대해 교육하고 있다. 교육을 통해 온라인 신원 정보와 직장 밖에서 개인 정보를 관리하는 방법이 몸에 배면, 직장 안에서도 자연스럽게 나오기 때문이다”라고 말했다.

3. 해킹
어느 기업도 홈 디포나 앤섬의 뒤를 잇는 해킹 목표물이 되기를 바라지 않는다. 베타포어의 CIO인 조 매그레디에게도 데이터 침해는 가장 큰 고민거리다.

메그레디는 사업상의 가치 사슬 전체에 영향을 주는 엔드투엔드 암호화(end-to-end encryption) 등 다른 문제가 직원 관리보다 더 심각한 문제라고 언급했다. 또 그는 맬웨어/안티바이러스 툴, 방화벽 설치 및 최적화, 모니터링 등의 기존 보안 툴도 중요하다고 전했다.

그는 특히 모니터링에 대해 “선택이 아닌 필수 사항이며 모니터링 시간대/시기가 관건이다”라고 말하며 중요성을 강조했다. 메그레디에 따르면 보안팀은 해커가 언제 침투할 수 있는지 신속하게 파악하고 단계별 대처법을 마련해야 한다.

그는 “문제가 감지됐을 때 최대한 빨리 무엇을 할 수 있는지 알아야 한다. 우선 해당되는 로그 데이터 확보, 데이터 모니터링, 또는 운영상의 관점에서 이 둘을 동시에 실시할 수 있겠다. 뿐만 아니라 문제 요소 간의 상관관계를 파악하고, 노이즈를 필터링하며, 신속하게 대처할 수 있는, 그러한 분석 역량도 갖춰야 할 것이다”라고 말했다.

그는 신용카드번호보다 암시장에서 더 활발히 거래되는 고객의 전체 의료 기록과 같은 고급 정보를 다루는 조직에서 일한다면 해킹 대처에 더 신경 써야 한다고 조언했다.

4. 퇴사한 직원의 데이터 유출
직원이 퇴사할 경우 데이터도 같이 유출될 가능성이 높다. 이그나이트의 공동창업주이자 최고고객책임자인 라제시 램은 “회사에서 중요한 업무를 담당했던 고급 인력이 경쟁사로 이직했을 때 공통적으로 이런 문제(데이터 유출)가 발생했다”라고 말했다. 그는 “이는 CIO마다 직접 해결해야 할 상당히 심각한 문제”라고 덧붙였다.

핏비트와 조본(Jawbone) 사이에 벌어진 법적 공방이 대표적인 사례에 해당된다.

램은 “이상적인 환경이라면 전 직원이 어떤 정보에 접근하며 일하고 있는지 회사가 알 수 있는 구조여야 한다”라고 말했다. 그는 “회사로서는 해당 직원이 어떤 정보에 접근했고, 어떤 정보를 갖고 퇴사했는지 정확히 파악하고 그런 과정을 관리할 수 있어야 한다”라고 조언하기도 했다.

휴대폰이나 노트북을 원격으로 잠그거나 풀 수 있는지 여부도 중요하다. 이는 이직뿐 아니라 기기를 잃어버리거나 도둑맞을 경우에도 문제가 된다. 램은 “회사로서는 해당 데이터가 사라져 되돌릴 수 없다는 사실을 알게 됐을 때 취할 조치가 있어야 한다”라고 말했다. ciokr@idg.co.kr

X