Offcanvas

How To / 보안 / 훈련|교육

'경영진을 보호하라' CSO가 알아야 할 5가지

2017.08.14 Bob Violino  |  CSO
이제 경영진을 물리적인 위협으로부터 보호하는 것만으로는 불충분하다. 그 이상의 보호가 필요하다. 사이버 보안 위험이 과거 어느 때보다 커졌기 때문이다. 조직은 고위 관리직이나 경영진이 이용하는 네트워크와 데이터가 공격 진입점이 되지 않도록 만전을 기해야 한다.

CSO와 CISO는 경영진 보호를 고려해야 한다. 다음은 이와 관련해 보안 책임자들이 명심해야 할 5가지 '기본 사항'들이다.



1. 위험을 분석한다
CSO와 CISO가 가장 먼저 할 일은 종합적인 위험 분석이다. 비즈니스에 핵심 역할을 하는 인물을 파악하고, 이들이 공격의 피해자가 되었을 때 조직에 미칠 영향을 평가하는 활동이 여기에 포함된다.

위험 분석의 일환으로 물어야 할 질문들이 있다. 과거 이들 경영진에 대한 위협이 있었는가? 이들이 정기적으로 위험한 장소를 방문 또는 여행하는가? 이들이 가장 취약한 공격은 무엇인가?

보호가 필요한 사람, 이들의 사적, 공적 생활을 합당한 수준에서, 하지만 위험 요인을 줄일 수 있도록 파악한다. 이를 위해서는 경영진의 협조가 필요하다. 직장은 물론 집에서의 생활 방식에 대해 알아야 하기 때문이다. 다른 사람이 경영진과 가족에 대한 정보를 얼마나 쉽게 조사할 수 있는지 조사한다.

이런 정보를 토대로 경영진이 직면할 위험의 종류와 도입해야 할 보안 대책에 대한 큰 그림을 얻을 수 있다. 단 위험은 계속 바뀐다는 점을 명심해야 한다. 따라서 필요에 따라 격상시킬 수 있는 보안 기준선을 마련해야 한다.

신원 도용 문제 전문가인 보안 컨설턴트 로버트 시실리아노는 "개인의 집과 가정이 보안 분석의 출발점이 되어야 한다. 살고 있는 지역, 해당 지역의 범죄 환경, 가정에 설치된 방범 및 보안 시스템을 예로 들 수 있다. 해당 개인의 '중요도'를 판단하는 것이 중요하다. 해당 개인이 '고가치 표적'인지 판단해야 한다"라고 설명했다.

2. 경영진이 반대를 하는 경우에도 보호를 해야 하는 필요성을 입증한다
업무 및 개인 생활에 대한 조사를 불쾌하게 받아들이는 경영진도 있을 것이다. 그러나 이는 비즈니스를 성공시키고, 많은 책임을 수행하기 위해 필요한 작업이다. 관여된 모든 사람들에게 초래될 '불편과 불쾌감'을 줄이기 위해, CSO와 CISO는 보안이 중요한 이유를 설명하고 입증해야 한다. 경영진이 이 문제에 관심을 갖도록 만드는 좋은 방법이 한 가지 있다. 구글에서 자신의 이름을 검색해 결과를 확인하도록 만드는 것이다.

의료 관련 기술을 공급하는 FEI 시스템스(FEI Systems)의 제이슨 타울 CSO는 "자신이 '표적'이 될 수 있음을 이해시키는 방법이다"라고 말했다. 이러한 방법을 통해 경영진은 해커들이 아주 쉽게 경영진에 대한 정보를 찾고, 이런 정보를 이용해 공격을 시작할 수 있다는 점을 이해할 수 있게 된다.

또 다른 방법은 이메일 스팸 필터를 확인시키는 방법이다. 이들에게 발송된 수 많은 피싱 이메일을 보고 표적이 될 확률이 얼마나 높은 지 깨닫게 될 것이다. 다행히 받은 편지함에 도달하지 못해 공격의 시발점이 될 수 없었던 이메일들이다. 그러나 이런 시도가 많았다는 점이 중요하다.

시실리아노에 따르면, 가장 효과적인 최고의 방법은 의문을 제기하는 방법이다. 그는 "대부분은 자신에게는 일어날 수 없는 일이라고 생각한다. 다른 장소의 다른 사람들에게만 발생하는 문제라는 그릇된 인식을 갖고 있기 때문이다. 이런 경영진 스스로 자신의 취약점을 알 수 있도록 의문을 제기한다. 또 해당 경영진의 물리적 환경과 가상 환경이 얼마나 취약한지 보여준다. 그러면 주의를 집중 시킬 수 있다"라고 설명했다.

3. 경영진의 개인, 업무용 장치를 안전하게 만든다
현재 업무와 사생활에 모바일 장치를 사용하는 사례가 아주 많다. 또 업무와 사생활에 동일한 장치를 사용하는 경영진들이 많다. 집과 직장에서 다른 스마트폰을 사용하는 등 다른 장치를 사용하는 것이 좋다. 그러나 경영진이 이를 수용하지 않는 때가 많다. 회사 정책으로 업무에서 사용할 장치의 종류와 수, 사용 방법을 강제하는 방안을 고려할 수도 있다.

어느 경우이든 경영진이 업무에 사용하는 장치는 아주 안전해야 하며, 최신 보호 및 보안 기법이 적용되어 있어야 한다. 요주의 데이터는 모두 암호화 해야 한다. 또 EMM(Enterprise Mobility Management) 플랫폼으로 장치를 보호해야 한다.

모바일 장치를 안전하게 만들기 위해, 경영진 본인은 물론 직계 가족이 사용하는 장치도 평가해야 한다. 장치를 보호하기 위해 비밀번호를 사용하고 있는지, 운영체제를 최신 상태로 업데이트 했는지, 업데이트 된 안티바이러스 소프트웨어를 사용하고 있는지 파악해야 한다.

시실리아노는 "공유하는 장치를 파악하는 것이 중요하다. 예를 들어, 자녀가 공유하는 장치가 있다면 이로 인해 어떤 위험이 초래될 수 있는지 파악해야 한다"라고 설명했다.

4. 피싱 등 공격에 대한 교육을 실시한다
비즈니스 부문 경영진은 피싱과 웨일링(Whaling) 공격의 가장 큰 '표적' 가운데 하나이다. 중요한 데이터에 대한 접근 권한이 큰 것이 부분적인 이유이다. 경영진이 이런 공격의 '신호'를 찾는 방법을 아는 것이 중요하다.

시실리아노는 "출발점은 보안 인식 제고 교육, 피싱 시뮬레이션 트레이닝이다. 암호화 기능을 제공하고, 이메일 커뮤니케이션을 분리시키는 써드파티 앱도 필요하다"라고 말했다.

경영진의 비서가 피싱 등 공격의 신호를 가진 이메일을 찾아 없애, 경영진의 부담을 덜어주는 것도 방법이 될 수 있다.

일반적으로 경영진이 이메일 취급에 주의를 기울이는 것이 좋다. 콘텐츠 전달 네트워크 서비스를 공급하는 아카마이 테크놀로지스(Akamai Technologies)의 앤드류 엘리스 CSO는 "최근 'CEO 피싱'이라는 스캠이 성행하고 있다. 비밀 업무를 추진하는 CEO로 가장해 도움을 요청하는 방법이다. 정상적인 이메일 가운데 이런 이메일이 더 많을 수록, 공격자가 더 쉽게 공격을 할 수 있다. 최신 이메일 클라이언트는 외부 이메일의 경우 이를 어렵게 만들 수 있다. 그러나 그렇지 못한 클라이언트도 있다. 외부 메시지의 경우 모두 태그를 붙이거나 색상을 변경하는 방법을 사용하는 것이 좋다"라고 말했다.

5. 경영진의 여행이나 출장, 출타에 적용할 규칙을 만들어 시행한다
대부분의 경영진은 업계 행사, 강연, 고객 방문 등 외부 업무가 많다. 이런 외부 업무가 위험을 초래한다. 특히 사전에 출장 계획을 통보하지 않은 경우 위험이 더 커진다.

여행이나 출장, 외부 업무 동안 할 수 있는 일, 하면 안 될 일에 대한 정책을 수립해 적용하는 것이 중요하다. 핵심 경영진이 동시에 함께 출장을 가는 것을 금지하거나, 동일한 교통 수단을 이용하는 것을 금지하는 정책을 예로 들 수 있다.

또 출장이나 외부 업무 동안 모바일 장치 사용에 대한 내용도 포함되어 있어야 한다. 예를 들어, 출장 동안에는 업무에 많이 사용하는 노트북 컴퓨터 대신 민감한 데이터가 저장되지 않은 별개 장치를 휴대하도록 규정하는 방법 등이 있다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.