2014.06.10

구멍투성이 데이터 보안... 등골 서늘한 실화들

Tom Kaneshige | CIO
고위 경영진, IT 전문가, 기타 이른바 지식 종사자라 불리는 사람들은 아주 똑똑한 사람들이다. 어쩌면 신뢰할 수 있는 사람들이라고 말할 수 있다. 그러나 불행히도 기업의 중요한 기밀 정보가 유출되는 취약한 통로이기도 하다.

퇴사하면서 악의적으로 데이터를 가지고 나가는 직원들이 있는가 하면, 파일을 저장해둔 모바일 기기를 잃어버리거나 도난 당해, 또는 피싱 스캠에 넘어가 데이터에 위험이 초래되도록 만드는 부주의한 직원들도 있다.

CIO들에게도 책임이 있다. 아직도 BYOD(Bring Your Own Device) 사용자 정책을 수립하지 않고, 거버넌스 정책을 집행하지 않으며, 모바일 기기의 데이터를 암호화 하도록 의무화하지 않은 회사들이 적지 않다.

그리고 이런 '부주의' 때문에 공포스러운 사건들이 발생한다.

경제적으로 곤경에 놓이게 된 실리콘 밸리 소재 도터스 오브 채리티 헬스 시스템(Daughters of Charity Health System)의 수녀 간호사들을 예로 들어보자.

이들은 나이지리아 스캠이라는 온라인 스캠의 피해자가 되면서 최악의 규칙 위반자 중 하나로 거론될 위기에 처했다. 이들이 범법자일까? 그렇지 않다. 이곳의 수녀들은 사기 행각으로 부자가 되고 싶은 생각은 없었다.

도터스 오브 채리티의 정보 기술 및 전략 담당 부사장인 마이클 데이는 샌프란시스코에서 열린 기술 관련 행사에 참석해 "수녀들은 가난한 병자들을 더 많이 돕는데 돈을 사용하기 원했다"라고 말했다.

더 놀라운 통계가 있다. 2014 RSA 컨퍼런스에 참석한 IT 전문가들을 대상으로 한 설문조사 결과에 따르면, 5명 중 1명은 가장 최근 재직했던 직장의 IT 시스템에 접속을 할 수 있는 것으로 밝혀졌다. 일부는 과거 재직한 두 직장의 시스템에 접속하고 있었다.

도난 당한 노트북 컴퓨터도 기업을 큰 위험에 노출시킬 수 있다. 몇 년 전, 하워드 대학 병원(Howard University Hospital)의 계약직 직원 한 명이 환자 3만 4,000여 명의 의료 기록이 저장된 노트북 컴퓨터를 잃어버린 사건이 있었다.

지난 해 가을에는 산타 클라라 밸리 메디컬 센터(Santa Clara Valley Medical Center)에서 암호화 처리가 되어 있지 않은 노트북을 도난 당하면서 환자 25만 명의 의료 기록이 유출됐다.

엔드포인트 데이터 보호 서비스를 제공하는 회사인 드루바(Durva)의 설립자이자 CEO인 재스프릿 싱은 "데이터 침해 사고를 복구하기 위한 비용이 평균 720만 달러에 달한다. 데이터 침해 위험을 가장 저렴하게 경감할 수 있는 방법은 장치의 데이터를 암호화 하도록 의무화 하는 것"이라고 말했다.

한 로펌의 CIO는 CIO닷컴과의 인터뷰에서, 문제의 소지가 있는 드롭박스(Dropbox)를 가장 많이 사용하는 사용자군 중 하나가 변호사들이라며, 이곳에 비밀 문서를 저장해둔다고 귀띔했다. 또 다른 로펌인 다울링 애론(Dowling Aaron)의 다린 애드콕 CIO는 회사를 안전하게 유지하기 위해 엄격한 BYOD 정책을 도입해 집행하면서 '빅 브라더(Big Brother)'라는 별명까지 얻었다.

애드콕은 지난 해 CIO닷컴과의 인터뷰에서 "변호사 한 명이 술집에서 전화기를 잃어버려 데이터가 유출되고, 이를 자극적인 언론이 보도하면 수백 만 달러에 달하는 기업 평판이 훼손된다"라고 말했다.

데이터 망실이 특정 기업을 넘어서는 피해를 초래할 위험도 있다. 2011년 여름, 오클라호마 대학(Oklahoma University)의 교수 한 명이 차에 노트북 컴퓨터를 놔뒀다가 도난당했다.

그 노트북 컴퓨터에는 전립선 암에 대한 수년 간의 연구 결과가 들어있었다. 게다가 이 교수는 노트북의 데이터를 백업해두지 않은 실정이었다. 가트너의 추정에 따르면, 엔드포인트 장치에 저장된 기업 데이터의 비율은 28%에 이른다.

싱은 "엔드포인트 장치에는 중요한 기밀 데이터가 저장돼 있지 않다는 오해를 많이 한다. 그러나 이곳에 기밀 데이터를 저장하는 사례가 증가하고 있는 추세다"라고 지적했다.

무법이 활개를 치는 서부 시대를 연상시키는 모바일과 BYOD, 클라우드로 대변되는 지금, 데이터 유출 사고가 헤드라인을 계속 장식하고 있다. 사전에 감지된 보안 상의 실수는 이보다 훨씬 많다. 상황을 더 악화시키는 문제는 BYOD 및 모바일 보안을 경시하는 직원들이 증가하고 있는 것이다.

CEO에서 지식 종사자에 이르기까지 모든 사람들이 이런 '경시'를 '주의'로 바꿔야 하며, CIO는 기업을 안전하게 유지할 기술을 도입하고, 정책을 집행해야 한다.

싱은 "기업은 직원들이 퇴사를 했을 때를 중심으로 데이터 및 시스템에 대한 접속을 통제하는 거버넌스 정책을 수립해 집행해야 한다. 그렇게 하지 않을 경우, 중대한 보안 침해 사고가 야기될 수 있다"라고 강조했다. ciokr@idg.co.kr



2014.06.10

구멍투성이 데이터 보안... 등골 서늘한 실화들

Tom Kaneshige | CIO
고위 경영진, IT 전문가, 기타 이른바 지식 종사자라 불리는 사람들은 아주 똑똑한 사람들이다. 어쩌면 신뢰할 수 있는 사람들이라고 말할 수 있다. 그러나 불행히도 기업의 중요한 기밀 정보가 유출되는 취약한 통로이기도 하다.

퇴사하면서 악의적으로 데이터를 가지고 나가는 직원들이 있는가 하면, 파일을 저장해둔 모바일 기기를 잃어버리거나 도난 당해, 또는 피싱 스캠에 넘어가 데이터에 위험이 초래되도록 만드는 부주의한 직원들도 있다.

CIO들에게도 책임이 있다. 아직도 BYOD(Bring Your Own Device) 사용자 정책을 수립하지 않고, 거버넌스 정책을 집행하지 않으며, 모바일 기기의 데이터를 암호화 하도록 의무화하지 않은 회사들이 적지 않다.

그리고 이런 '부주의' 때문에 공포스러운 사건들이 발생한다.

경제적으로 곤경에 놓이게 된 실리콘 밸리 소재 도터스 오브 채리티 헬스 시스템(Daughters of Charity Health System)의 수녀 간호사들을 예로 들어보자.

이들은 나이지리아 스캠이라는 온라인 스캠의 피해자가 되면서 최악의 규칙 위반자 중 하나로 거론될 위기에 처했다. 이들이 범법자일까? 그렇지 않다. 이곳의 수녀들은 사기 행각으로 부자가 되고 싶은 생각은 없었다.

도터스 오브 채리티의 정보 기술 및 전략 담당 부사장인 마이클 데이는 샌프란시스코에서 열린 기술 관련 행사에 참석해 "수녀들은 가난한 병자들을 더 많이 돕는데 돈을 사용하기 원했다"라고 말했다.

더 놀라운 통계가 있다. 2014 RSA 컨퍼런스에 참석한 IT 전문가들을 대상으로 한 설문조사 결과에 따르면, 5명 중 1명은 가장 최근 재직했던 직장의 IT 시스템에 접속을 할 수 있는 것으로 밝혀졌다. 일부는 과거 재직한 두 직장의 시스템에 접속하고 있었다.

도난 당한 노트북 컴퓨터도 기업을 큰 위험에 노출시킬 수 있다. 몇 년 전, 하워드 대학 병원(Howard University Hospital)의 계약직 직원 한 명이 환자 3만 4,000여 명의 의료 기록이 저장된 노트북 컴퓨터를 잃어버린 사건이 있었다.

지난 해 가을에는 산타 클라라 밸리 메디컬 센터(Santa Clara Valley Medical Center)에서 암호화 처리가 되어 있지 않은 노트북을 도난 당하면서 환자 25만 명의 의료 기록이 유출됐다.

엔드포인트 데이터 보호 서비스를 제공하는 회사인 드루바(Durva)의 설립자이자 CEO인 재스프릿 싱은 "데이터 침해 사고를 복구하기 위한 비용이 평균 720만 달러에 달한다. 데이터 침해 위험을 가장 저렴하게 경감할 수 있는 방법은 장치의 데이터를 암호화 하도록 의무화 하는 것"이라고 말했다.

한 로펌의 CIO는 CIO닷컴과의 인터뷰에서, 문제의 소지가 있는 드롭박스(Dropbox)를 가장 많이 사용하는 사용자군 중 하나가 변호사들이라며, 이곳에 비밀 문서를 저장해둔다고 귀띔했다. 또 다른 로펌인 다울링 애론(Dowling Aaron)의 다린 애드콕 CIO는 회사를 안전하게 유지하기 위해 엄격한 BYOD 정책을 도입해 집행하면서 '빅 브라더(Big Brother)'라는 별명까지 얻었다.

애드콕은 지난 해 CIO닷컴과의 인터뷰에서 "변호사 한 명이 술집에서 전화기를 잃어버려 데이터가 유출되고, 이를 자극적인 언론이 보도하면 수백 만 달러에 달하는 기업 평판이 훼손된다"라고 말했다.

데이터 망실이 특정 기업을 넘어서는 피해를 초래할 위험도 있다. 2011년 여름, 오클라호마 대학(Oklahoma University)의 교수 한 명이 차에 노트북 컴퓨터를 놔뒀다가 도난당했다.

그 노트북 컴퓨터에는 전립선 암에 대한 수년 간의 연구 결과가 들어있었다. 게다가 이 교수는 노트북의 데이터를 백업해두지 않은 실정이었다. 가트너의 추정에 따르면, 엔드포인트 장치에 저장된 기업 데이터의 비율은 28%에 이른다.

싱은 "엔드포인트 장치에는 중요한 기밀 데이터가 저장돼 있지 않다는 오해를 많이 한다. 그러나 이곳에 기밀 데이터를 저장하는 사례가 증가하고 있는 추세다"라고 지적했다.

무법이 활개를 치는 서부 시대를 연상시키는 모바일과 BYOD, 클라우드로 대변되는 지금, 데이터 유출 사고가 헤드라인을 계속 장식하고 있다. 사전에 감지된 보안 상의 실수는 이보다 훨씬 많다. 상황을 더 악화시키는 문제는 BYOD 및 모바일 보안을 경시하는 직원들이 증가하고 있는 것이다.

CEO에서 지식 종사자에 이르기까지 모든 사람들이 이런 '경시'를 '주의'로 바꿔야 하며, CIO는 기업을 안전하게 유지할 기술을 도입하고, 정책을 집행해야 한다.

싱은 "기업은 직원들이 퇴사를 했을 때를 중심으로 데이터 및 시스템에 대한 접속을 통제하는 거버넌스 정책을 수립해 집행해야 한다. 그렇게 하지 않을 경우, 중대한 보안 침해 사고가 야기될 수 있다"라고 강조했다. ciokr@idg.co.kr

X