Offcanvas

CIO / How To / 리더십|조직관리 / 보안 / 인문학|교양

위키리크스 시대··· CXO에게 필요한 데이터 보안 시각

2012.08.09 Dan Geer, Craig Shumard   |  CSO


인가된 내부인에서 비롯된 위협은 언제나 존재한다. 또 이를 경감하는 방법은 회사마다 크게 다르다. 정보의 디지털화가 가속화되고, 저장 매체가 증가하고, (아이패드 등) 새로운 장치와 (소셜 네트워크 등) 공유 매체가 등장하면서, 기술적인 위험은 계속 증가하고 있다. 이렇듯 위험이 발전하면서, 여러 보안 솔루션을 계층적으로 적용할 필요성이 대두되고 있다.


하나의 툴만으로는 위험을 경감할 수 있다. RBAC(Role Based Access Control), 접근/권리 승인, 데이터 분류, 보안 이벤트 감시, 데이터 손실 방지 기술 등을 통합해 적용해야 효과를 얻을 수 있다. 그러나 PBAC, DLP, SIEM 등의 첨단 방법과 기술을 사용하는 경우에도, 악의적인 목적을 가진 인가된 사용자를 추적하고 감시하기에 충분한 정도로 배치를 하지 못하는 경우가 많다.

물론 비정상적인 행동을 모두 범죄 행동으로 판단할 수는 없다. 선의를 가진 직원들이 자신의 업무를 위해 이런 행동을 할 수 있다. 따라서 왜 특정 행동이 위험으로 이어질 수 있는지를 설명하는 훈련과 프로그램에 보안 정책과 절차를 통합하는 것이 중요하다.

이를 위해서는 사용자의 감정과 지성에 호소해야 한다. 그렇게 해야만 기업과 사용자 모두에게 도움이 되는 보안 대책을 수립할 수 있다. 이런 방법은 인가된 내부 사용자에 의한 데이터 누출을 감지하고 예방하는데 도움이 되고, 정보 보안 역량을 파악하고 배양하는데도 도움이 된다.

요약하면, CIO들은 내부 위험과 관련된 문제를 사람과 프로세스, 기술이라는 전체적인 관점으로 고찰해야 한다. 또 악의적인 의도를 가진 내부인 뿐 만 아니라 선의의 의도를 가진 직원들 모두에 초점을 맞춰야 한다.

* 크레이그 슈마드(Craig Shumard)는 슈마드 앤 어소시에이츠(Shumard and Associates)의 대표이다. 슈마드 앤 어소시에이츠는 정보 보안 솔루션 개선에 초점을 맞춘 보안 컨설팅 회사이다. 슈마드는 CIGNA의 CISO를 역임했으며, 정보 보안과 프라이버시, 컴플라이언스 분야에서 오랜 기간 경력을 쌓았다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.