Offcanvas

디지털 트랜스포메이션 / 보안 / 비즈니스|경제 / 스토리지 / 클라우드

디지털 변혁 추진 중에 만나는 4가지 보안 쟁점

2018.09.14 Maria Korolov  |  CSO


보안 프로세스에서 사람을 없앤다
사람인 직원들이 대다수는 아니라도, 수많은 보안 문제에 책임이 있다. 잘못 입력하고, 보안 제어 활성화를 잊으며, 피싱 이메일을 열거나 악성 링크를 클릭하고, 사기에 속아 넘어가며, 위험한 비밀번호를 모든 장소에서 계속 사용한다.

시큐리티퍼스트(SecurityFirst)의 CTO 트레버 브라운은 “사이버 솔루션이 사람보다 나은 경우가 많다. 사람은 쉽게 ‘조종’되기 때문이다”고 말했다. 그러나 사람은 상식이라는 중요한 이점을 제공한다. 프로세스를 100% 자동화할 경우 이런 이점이 사라진다.

단순한 SQL 주입 공격을 예로 들어보자. 사람은 과거 경험하지 않은 경우에도 제출된 코드가 유효한 형식인지 그 즉시 파악할 수 있다. 그러나 컴퓨터의 경우, 이것이 가능하도록 프로그래밍 되어 있어야 한다. “사람은 느낌으로, 상식으로 잘못된 것을 알 수 있다. 그러나 기계는 그렇지 않다”고 브라운은 이야기했다.

그는 이 문제를 잘 알고 있다. 소속 회사가 자동화를 확대하는 과정에 있기 때문이다. 그는 “우리는 이제 우리 제품과 이 문제를 이야기하고 있다. 효율성이 높은 저비용 환경의 콘솔에 항상 사람들을 집어넣을 수 없기 때문이다”고 설명했다.

‘무엇을 모르는지’ 모른다
디지털 변혁은 때때로 예상하지 못한 새로운 공격 표면을 개방한다. 아마존 S3 스토리지 버킷을 사용했을 때를 예로 들자. 간편히 저렴하게 설치할 수 있다. 보안도 수월하다. 그러나 실수로 잠금이 풀린 상태로 유지될 수도 있다.

지난해 기술에 '정통’한 회사들을 포함해 많은 기업과 기관에서 아마존에 저장해 둔 민감한 데이터가 노출되는 사고가 발생했다. 액센츄어, 다우 존스, 버라이즌, 군사 정보 기관인 ISCOM 등이다. 케나 시큐리티(Kenna Security)의 연구 및 조사 결과에 따르면, 앞에서와 유사하게 구글 그룹의 퍼블릭 설정 때문에 민감한 이메일이 유출되는 사고가 발생한 기업과 기관들도 있다. 여기에는 포천 500대 기업, 병원, 대학, 미국 정부기관들이 포함되어 있다.

런던 소재 인증 기술 업체인 콜사인(Callsign)의 CEO 지아 하야트는 “많은 기업들이 변혁을 추진하면서 구글 G 스위트를 사용하고 있다. 지난 주에도 G 스위트를 사용하는 고객사를 만났다. 그러나 지속해서 경계하도록 G 스위트를 구성하는 데 실패하면서 데이터 침해 사고가 발생한 기업들이 놀랄 만큼 많다. 또 이런 기업들이 활동하는 산업도 다양하다”고 말했다.

사이버보안에 대한 계획이 필요하다
CSO는 기업 디지털 변혁 전략에 사이버보안에 대한 계획이 포함되도록 만드는 데 아주 중요한 역할을 한다. 하야트에 따르면, 회사에 가장 중요한 문제에 초점을 맞추는 것이 가장 효과적이다.

하야트는 “나는 보안 전문가이다. 보안 분야 사람들은 수수께끼 같은 이야기를 하기 좋아한다. 그러나 기술은 물론이고, 브랜드에 미치는 영향을 보여주는 명확하고 가시적인 사례를 활용할 필요가 있다”고 강조했다.

침해 사고가 기업의 시가 총액에 미치는 영향에 대한 사례를 예로 들 수 있다. 그는 “예를 들어, 간단한 그래프를 이용, 소비자 프라이버시와 보안을 경시해 이퀴팩스(Equifax)와 타겟, 페이스북의 시가 총액에 초래된 영향, 비용을 보여줄 수 있다. 이런 영향과 비용, 대가가 크게 급증했다”고 말했다.

리스크렌즈의 와인먼은 여기에 더해, CSO들은 설득과 ‘야단법석'을 구분해야 한다고 강조했다. 예를 들어, 데이터와 프로세스를 클라우드로 마이그레이션했을 때의 이점은 경시한 채 위험에만 초점을 맞추는 보안 분야 종사자들이 아주 많다.

와인먼은 “이는 분석이 아니라 공포와 불확실성, 의심을 확산시키는 행동에 불과하다. 이 경우, CSO에 대한 신뢰가 사라질 수도 있다. 그리고 CSO를 배제한 채 계속해서 프로젝트를 추진한다. 가치와 기회, 비용 절약이라는 이점을 확인했기 때문이다”고 설명했다.

CSO가 ‘비즈니스 용어’를 이용해 객관적으로 위험과 관해 이야기할 수 있어야 한다. 그러면 더 큰 영향력을 발휘할 수 있다. 그는 보안 분야 종사자들이 위험 평가에 있어 국제적인 기준을 활용하는 것이 좋다고 말했다. FARI 위험 평가 프레임워크를 예로 들 수 있다. 그는 “FUD(Fear•uncertainty•doubt)나 클라우드의 위험에 대해 이야기하라는 것이 아니다. 정보를 바탕으로 의사결정을 내리도록 지원하라는 것이다. 이것이 중요하다”고 강조했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.