보안 / 애플리케이션 / 클라우드

글로벌 칼럼 | SaaS의 시대와 보안 의식 고취 교육

Mathias Thurman | Computerworld 2011.01.12

필자가 다니는 회사는 어지간한 기업 애플리케이션에는 SaaS를 이용하고 싶어한다. 그래서 필자는 밤잠을 설치곤 한다. SaaS 시장은 보안과 아울러 타 업체의 보안 시행 및 기술과의 상호 운용성 측면에서 아직 유아기에 머물러 있기 때문이다.

 

문제: 모든 이용자가 SaaS 애플리케이션을 이용하는데 따른 위험을 충분히 인식하고 있다고 가정하는 것은 위험하다.

실행안: 보안 인식 교육 프로그램을 수립하고 모든 신입 사원들이 그 자료를 접하게 한다.

 

문제는 기업 기밀 정보를 담고 있는 애플리케이션이다. HR 부서에서 할인 중개 업체와 함께 SaaS 애플리케이션을 이용하는 것은 그렇게 걱정할 문제가 아니다. 직원들이 아무래도 상관 없는 자신의 지출 계획에 접속하기 위해서나 여행 예약을 위해 사용하는 애플리케이션도 그다지 우려하지 않는다. 그러나 재무 팀이 클라우드를 이용해 분기 수익을 계산하거나 유지 관리한다는 것에 신경이 쓰인다. 판매팀이 SaaS 애플리케이션에서 판매 거래를 등록하고 고객 연락처를 유지하고 교섭을 진행한다는 것에 마찬가지로 신경이 쓰인다. 나아가 인수나 합병이 유리한지 판단하는데 온라인 애플리케이션을 이용한다고 생각하면 눈앞이 캄캄해진다.

 

사람들이 이러한 애플리케이션을 이용하면 기밀 자료에 어떤 위험이 닥쳐올 수 있다는 것쯤은 알면서 이를 사용하는지 도대체 의문스럽기만 하다. 필자가 이렇게까지 우려하는 것은 대부분의 사람들이 간단한 보안 조치에 대한 적절한 지식마저 가지고 있지 않음을 경험으로 알고 있기 때문이다. 아무런 거리낌 없이 ID와 패스워드를 기억하도록 체크 표시를 해버린다. SaaS 애플리케이션에 로그인할 때 보안이 되어 있는 컴퓨터인지 그렇지 않은 컴퓨터인지 따위는 신경조차 쓰지 않는다. 심지어 모스크바의 인터넷 키오스크(kiosk: 공항, 호텔 로비 등 왕래가 잦은 장소에 배치돼 웹 애플리케이션으로 접속할 수 있는 컴퓨터 터미널 또는 그 세팅)에서도 접속 한다. 그리고는 아무 문제 없다는 듯 키오스크 컴퓨터를 자신의 계정으로 로그인한 상태로 둔 채 떠나버리거나, 아니라면 중요한 문서를 다운로드하고는 컴퓨터에 그대로 방치해버리기까지 한다.

 

AP480E.JPG분명 이런 사람들은 교육을 필요로 한다. 위와 같은 행동은 SaaS 애플리케이션의 관리 포털에 위협이 될 수 있고 나아가 참담한 결과를 초래할 수 있음을 알아야 한다. 누군가가 네트워크에 침입하여 계정을 추가 내지 삭제한다든지, 데이터를 조작하거나, 심지어 데이터를 삭제한다든지 하는 일이 벌어지고 나서야 허겁지겁 조치를 취하는 것은 그야말로 내키지 않는 일이다.   

 

그래서 필자는 정보 보안 교육 및 인식 프로그램을 우선사항으로 설정하고 있다. 목표는 단순하다. 직원 행동을 변화시키자는 것이다. 각 직원들에게 기본적인 보안 인식을 심어주면 생각 없는 행동으로 인한 위험을 줄일 수 있을 것이다.

 

보안 인식 고취

 

앞에서 언급한 기본적인 보안 인식에 덧붙여 모바일 디바이스, 소셜 미디어, 피싱 사기, 패치가 안된 시스템, Wi-Fi 액세스, 숄더 서핑(shoulder surfing)과 연관된 일반적인 위험, 나아가 몇 가지 보다 심원한 주제들을 다루는 교육을 진행할 예정이다. 키스트로크 로거(keystroke loggers)를 설치하는 게 얼마나 쉬운지 직접 보여줄 것이고 GPS 기능 폰을 통해 소셜 미디어 사이트에 방문해 위치 데이터가 엠베드된 이미지를 게시하는 일과 같은 얼핏 난해해 보이는 위험에 대해 설명해줄 수도 있을 것이다.

 

나아가 필자는 신입 직원에게 나누어주는 자료에 정보 보안 인식 지침을 포함시키고 싶다. 그리고 SANS 연구소 덕분에 ‘오늘의 정보보안 팁’ RSS 피드 등으로 지속 교육을 진행하고 있다. 여기에 거리가 먼 사무실로의 교육 방문, 점심 식사 시간을 이용한 짧은 강좌, 포스터, 보안 경고 이메일 공지로 부족한 부분을 보충할 것이다.

 

보안 인식 교육 프로그램은 비용이 아주 적게 들지만 대단한 효과를 거둘 수 있다. 그러나 뭐니뭐니해도 원거리에 있는 지사로의 교육 방문이 가장 좋아 보인다.

 

이 글의 저자인 마시스 서먼(Marthis Thurnman)은 현역 보안 관리자이다. 이름과 직장은 가명으로 처리했다. editor@idg.co.kr

 Tags SaaS 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.