주의해야 할 IT 보안 조직의 5가지 가장 큰 실수

2011.07.28 Ellen Messmer | Network World

창문 닦는 일과 마찬가지로 IT 보안은 하지 않았을 때만 주목 받는다는 점에서 보람없는 일이 될 수도 있다. 그러나 지금의 가상화, 스마트폰 및 클라우드 컴퓨팅 시대에 보안 작업을 해치우기 위해서는 기술적이고 정치적인 실수들을 피해야만 한다. 특히, 반드시 피해야 할 다섯 가지 보안 실수를 살펴보자.

1. 회사의 사고방식이 5년 전과 다름없다는 생각
그렇지 않다. 이제 기업들은 문을 활짝 열어젖히고 직장에서 직원들의 개인 모바일 기기 사용을 허락하고, IT 보안 부서가 차마 모르는 새 기존의 컴퓨팅 자원들과 응용프로그램들을 클라우드로 몰아 넣으면서 IT 보안 부서의 힘이나 영향력은 점차 약화되고 있다. 때때로 IT 부서 외 사람들이 선택하는 기술에 대해 합당한 보안 사례들을 소개하기 위해서 사전에 준비하고 있어야 한다. 불가능한 과제이긴 하지만, 그것이 바로 IT 보안 부서의 몫이다. 잘못된 가정이 생겨나지 않도록 위험 요소들을 분명하게 설명하는 새로운 정책 지침의 개발을 수반할 수도 있다.

2. IT 및 고위 경영진들과의 업무 관계 구축 실패
IT 보안 조직은 일반적으로 IT 부서의 나머지 조직에 비해 상당히 규모가 작다. IT 부서는 IT 직원들에 의지하여 기본적인 보안 업무를 해결한다. 보안 전문가들은 전문적인 지식과 CISSP같은 자격증들을 상당히 가지고 있을 수는 있겠지만, 이는 다른 직원들이 그것 때문에 그 사람을 반드시 존경하거나 좋아하게 될 것임을 의미하지는 않는다. 특히 보안 분야의 사람들은 다른 사람들의 프로젝트는 거절하는 것이 일반적이기 때문이다.

게다가 힘의 구조가 언제나 최고 의사 결정자로 CIO를 지목할 거라 생각해서도 안 된다. IT 프로젝트 지휘관으로서 CIO의 오랜 역할이 CFO의 부상과 함께 점점 쇠퇴하면서 CFO가 IT 프로젝트들에 최종 발언권을 가지는 등의 근본적인 변화가 일어나고 있다. 일부 증거들은 심지어 CFO가 IT 부서를 별로 좋아하지 않는다는 사실을 보여준다. CFO가 보안에 대해 가지고 있는 생각들은 “컴플라이언스”의 일반적인 법적 개념 수준밖에 안되기도 한다. 보안 전문가는 대화하고 소통하고 또 대화해야 한다.

3. 가상화가 모두의 보안 지원을 망쳐버렸음을 이해하지 못하는 것
조직들은 서버 인프라의 80% 가상화에 맞춰 잘 진척시키고 있고 데스크톱 가상화 프로젝트들도 늘어나고 있다. 그러나 보안은 그것이 VLANs로부터 시작해서 VLANs로 끝난다는 많은 잘못된 가정들로 인해 뒤처지고 있다. 사실상 가상화 아키텍처는 이용당할 수 있는 새로운 경로를 개방함으로써 모든 것을 바꾸어놓고 있다. 그러나 IT업계에서 이전에 아주 많이 경험해 보았듯, 획기적인 기술들은 보안 영향에 충분히 주의를 기울이지 않고 이용되어 왔다.

예를 들면 안티 바이러스 소프트웨어와 같은 일부 기존의 보안 제품들은 종종 가상 머신에서 제대로 작동하지 않는다. 물리적인 기기들이 새로운 사각 지대를 가지고 있을지도 모른다. 오늘날 가상 환경 전용의 보안 제품들이 드디어 시장에 출시되고 보안 전문가들은 VM웨어나 마이크로소프트, 시트릭스(Citrix) 같은 클라우드 제공업체의 보안 계획 발전에 따라가는 한편, 그러한 보안제품들 중 어떤 것이 과연 사용될 것인지 알아볼 필요가 있다. 가상화는 결과적으로 안보의 개선, 특히 재해 복구에 있어서 엄청난 효과를 보장할 것이다.

4. 데이터 유출에 대비하지 않는 것
민감한 데이터를 도둑맞거나 우연히 유출 되는 상황은 악몽의 시나리오에서 나올 법 하다. 기술적인 탐지와 치료뿐 아니라, 데이터 유출에 관련된 법들을 따를 필요가 있다. 하지만 어떤 법들이 있을까? 거의 모든 주에서는 나름대로 데이터 유출 법들을 가지고 있고, 하이테크 법안(HI-TECH ACT) 같은 연방법들도 의료 등의 일부 업계에 영향을 미치고 있다. 데이터 유출이 일어날 경우, 그것은 IT 보안 관리자, IT 부서, 법무 부서, 인적 자원 및 공공 업무 부서, 혹은 그보다 더 많은 사람들이 공동으로 참여해야 하며, 비용도 많이 드는 사건이 될 것이다. 조직들은 최악의 시나리오에 맞춰 계획을 세우고 내부적으로 데이터 유출 훈련을 수행해야 한다.

5. IT 보안 업체들에 안주하는 것
IT와 보안업체들과 긴밀한 파트너십을 가지는 것도 반드시 필요하다. 하지만 어떤 제공업체와의 관계에서건 제품과 서비스를 비판적으로 바라보지 않는 것은 위험하며 특히 그들의 경쟁자에 비해 그들이 가진 것을 평가할 때나 인증과 승인, 취약성평가나 악성 소프트웨어로부터의 보호 등 기본적인 문제들에 관한 새로운 접근법을 찾을 때 더욱 그러하다.

많은 업체들이 기존의 보안 제어를 가상화와 클라우드 컴퓨팅 영역에 적용시키기 위해 노력하고 있다. 어떤 의미에서 지금은 IT 업계가 재발명을 겪고 있는 혼돈기인 셈이다. 그러나 이는 곧 조직이 지금 당장 혹은 미래에 필요로 한다고 생각되는 것들을 얻기 위해 IT 보안 분야에서 더욱 강하게 박차를 가해야 함을 의미할 뿐이다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기

가상화 보안 IT조직

“유료 VPN, 분명한 가치 있다” VPN 선택 가이드

VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.

평점 - 댓글 -개

평점