2011.08.02

중소기업을 위한 데이터 및 개인정보 침해 예방책 10가지

Tony Bradley | PCWorld
어노니머스(Anonymous)나 룰즈섹(LulzSec)같은 해커그룹 때문에 지난 수 개월간 데이터 파괴는 피할 수 없는 재앙인 것처럼 보였다. 만약 HB개리(HBGary)나 RSA 시큐리티(RSA Security)같은 보안업체들이 안전하지 않다면, 일반적인 중소규모 기업은 누구를 믿어야 하는가? 완벽한 네트워크 보안도 없고, 묘책도 없는 것이 사실이지만, IT 관리자들은 다양한 방법으로 네트워크 침입을 예방하고 데이터와 개인 정보를 더 잘 보호할 수 있다.
 
SafetyWeb.com과 myID.com의 웹 보안 및 온라인 개인정보 보호 전문가들과 함께 10개의 서로 다른 데이터 및 개인정보 침해 시나리오를 마련하고, 이를 피할 수 있는 방법들을 알아보았다.
 
1. 안전하지 못한 네트워크 선택으로 인한 데이터 침해
시스코나 썬같은 이름은 전 세계의 IT 부서들에서 사용되는 기업 수준의 네트워킹 기술과 동의어라 할 수 있다. 하지만 일반적으로 중소기업들은 이런 장비들을 구매하는데 필요한 예산이 부족하다. 만약 SMB가 네트워크 인프라를 보유하고 있다면, 아마도 일반 가정용으로 만들어진 네트워크 장비를 이용해 구축한 것일 가능성이 높다. 일부 소기업은 라우터를 전혀 사용하지 않고 인터넷에 직접 연결하기도 한다. 기업은 고품질 좋은 라우터를 이용하고 이 라우터들의 기본 암호를 변경함으로써 네트워크 보안을 개선하고 대부분의 위협을 차단할 수 있다.
 
2. 부적절한 파쇄 조치로 인한 데이터 침해
쓰레기통에서 신상 정보를 훔치는 도둑들은 서류를 파쇄하지 않고 처리하는 기업들을 주요 목표로 한다. 대부분의 가정용 파쇄기는 소규모 기업들이 사용하기에 충분하지만, 만약 개인 정보를 매일 출력하고 파쇄하는 것을 반복한다면 상용 파쇄기를 마련하는 것도 현명한 선택이 될 수 있다. 민감한 정보나 개인 신상 데이터를 포함하고 있는 서류들은 폐기하기 전에 반드시 꼼꼼히 파쇄하도록 해야 한다.
 
3. 세금정산 시기의 세금내역 절도
같은 의미에서 기업들은 세금과 관련된 정보를 교환할 때 더 세심한 주의를 기울여야 한다. 기업들은 세금 신고서를 우체국에서 받되 메일함에서 즉시 수거하도록 한다. 신상정보 도둑들은 종종 보낼 편지함이나 메일함에서 세금 신고서를 훔쳐낸다.
 
4. 공공 데이터베이스로 인한 신상정보 절도
개인들 특히 기업가들은 종종 공공 데이터베이스에 자신들에 관한 많은 정보를 공개한다. 이것은 하나의 딜레마다. 왜냐하면 소규모 기업의 소유주는 개인 정보를 보호하면서도 노출을 극대화하고 싶어하기 때문이다. 기업들은 등기부등본을 통해 등록되어 있고 전화번호는 전화번호부에 등록되어 있으며, 많은 사람들은 자신의 주소와 생일이 포함된 페이스북 프로필을 갖고 있다.
 
많은 신상정보 도둑들이 공공연하게 검색할 수 있는 정보를 이용해 완전한 신상 정보를 구성할 수 있다. SMB들은 어디에서 어떻게 정보를 노출할지 신중하게 생각할 필요가 있으며 민감한 정보를 공적으로 공유할 때의 결과를 고려해야 한다.
 
5. DBA를 제출하는 대신에 개인의 성명을 사용함으로써 발생하는 신상정보 절도
같은 맥락에서 'DBA(Doing Business As)' 신청서를 제출하지 않은 기업은 기업의 이름이 아닌 기업 소유주의 이름이 공개되기 때문에 더 큰 신상정보 절도의 위험에 노출되어 있다.
 
6. 보호 또는 모니터링의 허점으로 인한 금융 사기
기업은 해커들이 기업 자금을 이용해 수표를 발행하지 않도록 하기 위해서 월별로 결제를 하는 것이 중요하다는 사실을 알고 있지만, 많은 기업들이 자사의 이름으로 어떤 종류의 신용 계좌가 개설되었는지 거의 확인하지 않는다. myID.com과 같은 모니터링 서비스들은 부정한 방법으로 새로운 신용 계좌가 개설되었을 때 이를 기업에 알려줄 수 있다.
 
7. 빈약한 이메일 취급 기준
많은 기업들이 민감하거나 기밀인 정보를 교환하는 안전한 수단인양 이메일을 사용한다. 하지만 현실은 완전히 반대이다. 이메일은 수신인 외에도 여러 사람들이 볼 수 있으며, 교환 과정에서 이메일을 가로챌 수 있는 가능성은 다분하다. 이메일은 밀봉된 편지보다는 엽서 정도로 생각하는 것이 적절하다.
 
8. 안전한 암호 선택의 실패
안전한 암호를 사용하자. 사실 많은 보안 전문가들은 암호 대신에 패스프레이즈(Pass Phrase)를 사용할 것을 권고하고 있다. 패스프레이즈는 최소 3개의 단어로 이루어져 있어 암호보다 훨씬 안전하다. ‘금요일 파란 청바지(friday blue jeans)’같은 패스프레이즈는 복잡한 암호보다 훨씬 빠르게 입력할 수 있으며, 기억하기 위해서 모니터 옆에 메모해서 덕지덕지 붙여둘 필요도 없다.
 
9. 새로운 컴퓨터나 하드 드라이브에 대한 대책 미비
IT 전담부서나 정보보안 관리자를 두고 있지 않는 기업들은 PC와 하드웨어를 안전하게 잠궈둘 수 있는 외부의 컨설턴트를 이용하는 것을 심각하게 고려해 보아야 한다. 만약 윈도우 7과 같은 운영체제에서 이용할 수 있는 보안 기능을 활성화시켜 적절히 설정하면, 대부분의 데이터 침해를 막을 수 있다.
 
10. 소셜 엔지니어링
소셜 엔지니어링 수법을 사용하는 사람들은 스스로를 다른 기관에 속해 있다고 주장한다. 페이스북이나 링크드인같은 소셜 네트워크들도 소셜 프레임워크(Social Framework)에 침입해 민감한 정보에 접근하려는 공격자들에게 노출되어 있다. 공격자들은 스스로를 협력업체의 직원으로 위장할 수도 있다. 만약 모르는 누군가가 전화, 이메일, 소셜 네트워크를 통해 연락해 온다면 암호나 기밀 정보를 알려주기 전에 상대방의 신원을 반드시 확인하기 바란다. 더 좋은 방법은 어떤 환경에서 누가 그런 정보를 열람할 수 있는지에 관한 정책을 수립하는 것이다.
 
자신의 기업에 이 10개의 시나리오들을 대입해 보고 제공된 지침사항을 따른다면 대부분의 데이터 및 개인정보 침해사고를 예방할 수 있을 것이다.  editor@itworld.co.kr



2011.08.02

중소기업을 위한 데이터 및 개인정보 침해 예방책 10가지

Tony Bradley | PCWorld
어노니머스(Anonymous)나 룰즈섹(LulzSec)같은 해커그룹 때문에 지난 수 개월간 데이터 파괴는 피할 수 없는 재앙인 것처럼 보였다. 만약 HB개리(HBGary)나 RSA 시큐리티(RSA Security)같은 보안업체들이 안전하지 않다면, 일반적인 중소규모 기업은 누구를 믿어야 하는가? 완벽한 네트워크 보안도 없고, 묘책도 없는 것이 사실이지만, IT 관리자들은 다양한 방법으로 네트워크 침입을 예방하고 데이터와 개인 정보를 더 잘 보호할 수 있다.
 
SafetyWeb.com과 myID.com의 웹 보안 및 온라인 개인정보 보호 전문가들과 함께 10개의 서로 다른 데이터 및 개인정보 침해 시나리오를 마련하고, 이를 피할 수 있는 방법들을 알아보았다.
 
1. 안전하지 못한 네트워크 선택으로 인한 데이터 침해
시스코나 썬같은 이름은 전 세계의 IT 부서들에서 사용되는 기업 수준의 네트워킹 기술과 동의어라 할 수 있다. 하지만 일반적으로 중소기업들은 이런 장비들을 구매하는데 필요한 예산이 부족하다. 만약 SMB가 네트워크 인프라를 보유하고 있다면, 아마도 일반 가정용으로 만들어진 네트워크 장비를 이용해 구축한 것일 가능성이 높다. 일부 소기업은 라우터를 전혀 사용하지 않고 인터넷에 직접 연결하기도 한다. 기업은 고품질 좋은 라우터를 이용하고 이 라우터들의 기본 암호를 변경함으로써 네트워크 보안을 개선하고 대부분의 위협을 차단할 수 있다.
 
2. 부적절한 파쇄 조치로 인한 데이터 침해
쓰레기통에서 신상 정보를 훔치는 도둑들은 서류를 파쇄하지 않고 처리하는 기업들을 주요 목표로 한다. 대부분의 가정용 파쇄기는 소규모 기업들이 사용하기에 충분하지만, 만약 개인 정보를 매일 출력하고 파쇄하는 것을 반복한다면 상용 파쇄기를 마련하는 것도 현명한 선택이 될 수 있다. 민감한 정보나 개인 신상 데이터를 포함하고 있는 서류들은 폐기하기 전에 반드시 꼼꼼히 파쇄하도록 해야 한다.
 
3. 세금정산 시기의 세금내역 절도
같은 의미에서 기업들은 세금과 관련된 정보를 교환할 때 더 세심한 주의를 기울여야 한다. 기업들은 세금 신고서를 우체국에서 받되 메일함에서 즉시 수거하도록 한다. 신상정보 도둑들은 종종 보낼 편지함이나 메일함에서 세금 신고서를 훔쳐낸다.
 
4. 공공 데이터베이스로 인한 신상정보 절도
개인들 특히 기업가들은 종종 공공 데이터베이스에 자신들에 관한 많은 정보를 공개한다. 이것은 하나의 딜레마다. 왜냐하면 소규모 기업의 소유주는 개인 정보를 보호하면서도 노출을 극대화하고 싶어하기 때문이다. 기업들은 등기부등본을 통해 등록되어 있고 전화번호는 전화번호부에 등록되어 있으며, 많은 사람들은 자신의 주소와 생일이 포함된 페이스북 프로필을 갖고 있다.
 
많은 신상정보 도둑들이 공공연하게 검색할 수 있는 정보를 이용해 완전한 신상 정보를 구성할 수 있다. SMB들은 어디에서 어떻게 정보를 노출할지 신중하게 생각할 필요가 있으며 민감한 정보를 공적으로 공유할 때의 결과를 고려해야 한다.
 
5. DBA를 제출하는 대신에 개인의 성명을 사용함으로써 발생하는 신상정보 절도
같은 맥락에서 'DBA(Doing Business As)' 신청서를 제출하지 않은 기업은 기업의 이름이 아닌 기업 소유주의 이름이 공개되기 때문에 더 큰 신상정보 절도의 위험에 노출되어 있다.
 
6. 보호 또는 모니터링의 허점으로 인한 금융 사기
기업은 해커들이 기업 자금을 이용해 수표를 발행하지 않도록 하기 위해서 월별로 결제를 하는 것이 중요하다는 사실을 알고 있지만, 많은 기업들이 자사의 이름으로 어떤 종류의 신용 계좌가 개설되었는지 거의 확인하지 않는다. myID.com과 같은 모니터링 서비스들은 부정한 방법으로 새로운 신용 계좌가 개설되었을 때 이를 기업에 알려줄 수 있다.
 
7. 빈약한 이메일 취급 기준
많은 기업들이 민감하거나 기밀인 정보를 교환하는 안전한 수단인양 이메일을 사용한다. 하지만 현실은 완전히 반대이다. 이메일은 수신인 외에도 여러 사람들이 볼 수 있으며, 교환 과정에서 이메일을 가로챌 수 있는 가능성은 다분하다. 이메일은 밀봉된 편지보다는 엽서 정도로 생각하는 것이 적절하다.
 
8. 안전한 암호 선택의 실패
안전한 암호를 사용하자. 사실 많은 보안 전문가들은 암호 대신에 패스프레이즈(Pass Phrase)를 사용할 것을 권고하고 있다. 패스프레이즈는 최소 3개의 단어로 이루어져 있어 암호보다 훨씬 안전하다. ‘금요일 파란 청바지(friday blue jeans)’같은 패스프레이즈는 복잡한 암호보다 훨씬 빠르게 입력할 수 있으며, 기억하기 위해서 모니터 옆에 메모해서 덕지덕지 붙여둘 필요도 없다.
 
9. 새로운 컴퓨터나 하드 드라이브에 대한 대책 미비
IT 전담부서나 정보보안 관리자를 두고 있지 않는 기업들은 PC와 하드웨어를 안전하게 잠궈둘 수 있는 외부의 컨설턴트를 이용하는 것을 심각하게 고려해 보아야 한다. 만약 윈도우 7과 같은 운영체제에서 이용할 수 있는 보안 기능을 활성화시켜 적절히 설정하면, 대부분의 데이터 침해를 막을 수 있다.
 
10. 소셜 엔지니어링
소셜 엔지니어링 수법을 사용하는 사람들은 스스로를 다른 기관에 속해 있다고 주장한다. 페이스북이나 링크드인같은 소셜 네트워크들도 소셜 프레임워크(Social Framework)에 침입해 민감한 정보에 접근하려는 공격자들에게 노출되어 있다. 공격자들은 스스로를 협력업체의 직원으로 위장할 수도 있다. 만약 모르는 누군가가 전화, 이메일, 소셜 네트워크를 통해 연락해 온다면 암호나 기밀 정보를 알려주기 전에 상대방의 신원을 반드시 확인하기 바란다. 더 좋은 방법은 어떤 환경에서 누가 그런 정보를 열람할 수 있는지에 관한 정책을 수립하는 것이다.
 
자신의 기업에 이 10개의 시나리오들을 대입해 보고 제공된 지침사항을 따른다면 대부분의 데이터 및 개인정보 침해사고를 예방할 수 있을 것이다.  editor@itworld.co.kr

X