Offcanvas

How To / 검색|인터넷 / 리더십|조직관리 / 모바일 / 보안 / 소비자IT / 아웃소싱 / 애플리케이션 / 웨어러블 / 통신|네트워크

기업에 닥친 보안 위험 6가지와 이를 극복하는 방법

2015.02.02 Jennifer Lonoff Schiff  |  CSO
IT전문가와 보안 전문가들이 보안 유출의 주요 요인과 이를 줄이기 위한 방안에 대해 논의했다.


이미지 출처 : Thinkstock

2014년에도 보안 침해 사고가 뉴스의 헤드라인을 장식했다. 보안 유출 사고와 디도스 공격이 몇 년째 뉴스 헤드라인을 장식하고 보안 전문가들이 "기업과 개인은 중요한 비밀 데이터를 보호하기 위해 더 노력을 기울여야 한다"고 경고했는데도, 다양한 보안 위협을 적절히 방어하지 못하거나 이를 위한 준비가 돼 있지 않은 기업들이 많다.

트러스트웨이브(Trustwave)가 476명의 IT종사자를 대상으로 보안 취약점을 조사한 후, 최근 발표한 '2014년 보안 현황 보고서(2014 State of Risk Report)'에 따르면, 요주의의 데이터를 통제하고 추적하는 시스템을 전혀 갖추고 있지 않거나, 부분적으로만 갖추고 있는 기업이 절반 이상을 차지했다.

기업이 각자와 고객의 중요한 비밀 데이터를 보안 위협으로부터 더 잘 보호하려면 어떻게 해야 할까? CIO닷컴은 수십 명의 보안전문가와 IT전문가들에게 그 방법을 물어봤다. 다음은 전문가들이 말한 보안 침해 사고의 주요 원인이 되거나 정보 유출처가 될 수 있는 6가지와 이런 사고를 방지하거나 극복할 수 있는 방법들이다.

위험 1: 불만을 가진 직원
그린 하우스 데이터(Green House Data)의 코트니 톰슨은 "데이터와 시스템이 직면하는 가장 큰 위협 중 하나는 내부 공격이다. 네트워크와 데이터센터, 관리자 계정에 정통하며, 여기에 접근할 수 있는 IT부서 직원을 중심으로 악의를 가진 직원은 아주 중대한 위험을 초래할 수 있다"고 말했다. 이와 관련, 최근 소니에서 발생한 보안 침해 사고의 범인이 알려진 것과는 달리 북한이 아니라 내부 소행이라는 소문도 있다.

해결책: 사이버아크(CyberArk)의 애덤 보스니안 부사장은 "관리자 계정 등 특별한 권한이 주어진 계정이 악용당하는 위험을 경감하는 첫 단계는 이런 계정과 크리덴션을 샅샅이 파악하고, 해당 계정을 더 이상 사용하지 않거나 회사를 떠난 사람들의 계정과 크리덴셜을 차단하는 것이다.

이후 철저한 모니터링과 통제, 관리를 통해 특수 권한 크리덴셜이 악용되는 것을 방지해야 한다. 마지막으로 특수 권한 계정 활동을 추적해, 로그로 기록해 악의적인 활동에 신속히 대처하고 공격 초기에 잠재적인 위험을 경감하는 프로토콜과 인프라를 갖춰 적용해야 한다"고 보스니안은 강조했다.

위험 2: 부주의하거나 교육을 받지 못해 잘 알지 못하는 직원
세이프로직(SafeLogic)의 CEO 레이 포터는 "잠그지 않은 아이폰을 택시에 두고 내리는 부주의한 직원은 경쟁사에 비밀 정보를 넘겨주는 악의적인 직원과 똑 같은 위험을 초래한다"고 말했다. 마찬가지로 보안 베스트 프랙티스를 교육받지 못하거나, 취약한 비밀번호를 사용하거나, 금지된 웹사이트를 방문하거나, 의심스러운 이메일의 링크를 클릭하거나 첨부파일을 열어보는 직원도 고용주의 시스템과 데이터에 큰 위협이 될 수 있다.

해결책: 로보폼(RoboForm)의 마케팅 부사장인 빌 캐리는 "직원들에게 사이버 보안 프랙티스를 제공하고 계속 지원해야 한다. 일부 직원은 온라인에서 자신을 보호하는 방법을 모르는데, 이는 기업 데이터에 위험을 가져올 수 있다"고 설명했다. 즉 직원들에게 패스워드 관리 방법, 피싱이나 키로거(keylogger) 등 해킹을 피하는 방법을 필수적으로 교육해야 한다. 그리고 직원들이 필요한 정보와 자원을 가지게끔 계속 지원해야 한다.

캐리는 "직원들이 사용하는 기기에 강력한 비밀번호를 사용하도록 만전을 기해야 한다"고 덧붙였다. 그는 "비밀번호는 1차 방어선 역할을 한다. 대문자와 소문자, 숫자, 특수문자가 섞인 비밀번호를 사용하도록 만들어야 한다. 사이트마다 비밀번호가 달라야 하고, 30~60일 간격으로 비밀번호를 바꿔야 한다. 비밀번호 관리 시스템은 이런 과정을 자동화하고, 여러 비밀번호를 일일이 기억할 필요가 없도록 도와준다"고 설명했다.

암호화도 필수다.

포터는 "보안 전략의 일환으로 적절한 암호화를 사용했다면 희망이 있다. 직원 개인이 자신의 전화기를 잠그지 않는 실수를 범하더라도, IT부서가 기업 데이터에 지정한 암호해독 키를 바꿔 선택적으로 데이터를 지울 수 있다"고 말했다.

비욘드트러스트(BeyondTrust)의 제품군 매니저 로드 사이몬스는 "더 확실하게 대비하고 싶다면, 원 타임 패스워드(OTP) 같은 이중 인증 시스템, 스마트 카드, 본인임을 정확히 확인하는 지문 인식기, 홍채 인식기를 도입해 사용할 수 있다. 이는 비밀번호가 유출되어 발생하는 위험을 경감하는데 도움을 준다"고 덧붙였다.

회원 전용 콘텐츠입니다. 이 기사를 더 읽으시려면 로그인 이 필요합니다. 아직 회원이 아니신 분은 '회원가입' 을 해주십시오.

추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.