2018.11.05

글로벌 칼럼 | 피해야 할 4가지 위험한 보안 인식

Michelle Drolet | CSO
요즘 데이터 침해는 흔한 사건이다. 기업 조직 사이에서는 침해와 그 여파에 대처하는 데 더 적극적으로 임해야 한다는 인식이 퍼지고 있다. 도난당한 데이터로 인한 잠재적 비용은 결코 규정 위반 벌금과 기업 평판 손상 정도로 그치지 않는다. 위험에 대한 인식은 늘었지만 데이터를 보호하기 위한 종합적이고 적절한 단계를 취하기란 생각보다 어려운 일이다.


Credit: Getty Images Bank

올바른 방향으로 시작했지만 한 가지 영역을 간과한 탓에 일을 그르치는 경우도 드물지 않다. 높은 수준의 사이버보안을 달성하기 위해서는 위험에 대한 빈틈없고 전체적인 시야와 지속적인 노력이 필요하다. 실상을 보면 많은 조직이 한두 가지는 제대로 하지만 이후 안전하다는 착각 속에 태만함에 빠진다. 보안에 대한 잘못된 인식을 나타내는 4가지 일반적인 말은 다음과 같다.

- 위험이 그다지 크지 않다
규모가 작은 기업은 이와 같은 종류의 희망적 사고에 놀라울 만큼 취약하다. 이들은 큰 기업이 더 매력적인 공격 목표라고 전제하지만 사실 사이버 범죄자는 저항이 가장 적은 길을 선호한다. 보안 수준을 낮춘 기업은 낮은 가지에 걸린 과일과 같다. 기본적인 보안 위생과 관련해 가장 충격적인 점은 많은 기업이 이를 완전히 무시한다는 것이다.

자신의 데이터가 해커에게 별 가치가 없거나 매력적인 공격 목표가 아니라는 생각 역시 위험한 사고방식이다. 침해는 리소스 하이재킹으로 이어지기도 한다. 리소스를 하이재킹한 공격자는 피해자의 서버를 사용해 포르노 영상을 호스팅하거나 암호화폐를 채굴하기 위한 부하를 떠넘길 수 있다. 스스로 공격 목표가 아니라고 생각한다면 착각이다.

또한 공격자가 꼭 대규모 범죄 조직이란 법도 없다. 혼자 활동하는 초보 해커도 다크 웹에서 강력한 툴을 구입하거나 임대하면 툴의 작동 원리를 이해하지 않고도 얼마든지 공격할 수 있다.

- 이미 규정을 준수하고 있다
GDPR, 앞으로 시행될 CCPA와 같은 규정을 준수하는 것은 중요하다. 또한 산업 분야마다 서로 다른 종류의 데이터를 보호하기 위한 각자의 규칙과 규정이 있다. 이런 규정을 준수하지 못할 경우 무거운 벌금을 물게 될 수 있다. 규제 기관이 실제로 큰 벌금을 부과할 가능성을 회의적으로 보는 시각도 있지만 어느 기업도 직접 그 실험 대상이 되고 싶지는 않을 것이다.

규칙을 준수하려면 더 강력한 보안 표준과 더 종합적이고 견고한 사고 대응 계획을 채택하게 되지만 그렇다고 데이터 침해가 완전히 차단된다고 보장할 수는 없다. 규정 준수는 분명 좋지만 규정 준수를 보안과 동일시하는 함정에 빠져서는 안 된다. 또한 규정 준수는 한 번 확인하면 그것으로 끝나는 작업이 아니라는 점을 유념해야 한다. 규정 준수를 위해서는 표준에 맞는 지속적인 갱신과 숙고가 필요하다.

많은 기업이 컨설턴트의 도움을 받아 기한에 맞춰 준수 상태를 달성하고는 더 이상 신경쓰지 않아도 된다고 생각한다. 틀린 생각이다.

- 직원 교육을 시켰다
보안 인식 교육 프로그램을 마련하고 직원을 감시하는 것의 중요성에 대해서는 이미 이야기한 바 있지만, 이것도 많은 사람이 한 번 완료한 다음 잊어도 된다고 착각하는 또 다른 중요한 보안 단계다. 적절한 교육 프로그램은 계속 발전하고 주기적으로 실시되어야 한다.

이 분야에서 많은 기업이 저지르는 또 다른 실수는 직원에게 제공한 교육이 효과적이었는지 여부를 테스트하지 않는 것이다. 모의 피싱 이메일 또는 소셜 미디어 메시지를 사용해 직원을 테스트해 이들인 적절히 대응하는지 확인하는 것이 중요하다. 테스트 결과에 따라 반드시 적절한 조치를 취해야 한다. 적절한 대응에 실패하는 경우 추가 교육이 필요하지만 반복적으로 실패한다면 징계, 심각한 경우 해고가 필요할 수도 있다.

반복적으로 보안 기준을 맞추지 못하는 직원을 방치해서는 안 된다. 보안 전략의 강약은 전적으로 가장 약한 연결 고리에 의해 결정되기 때문이다. 단 한 명의 잘못으로 모든 노력이 수포로 돌아갈 수 있다.

- 사이버 보험에 들었으니 걱정 없다
흔히 이 말에 안도감을 느끼곤 하지만 여러 가지 이유로 위험한 생각이다. 사이버 보험은 새로운 골칫거리로, 보험 상품을 사는 사람이나 파는 사람이나 보험의 대상이 무엇인지조차 제대로 이해하지 못하는 경우가 많다. 어떤 사태에 보험이 적용된다고 믿었지만 나중에 실제 그 사태가 일어나 보험금을 청구할 때 그렇지 않다는 사실을 깨닫게 된다.

좋은 보험은 위험을 낮추는 데 유익한 행동을 유도하기도 한다. 그러나 현재로서는 사이버보안 분야에서 이를 실천하는 데 필요한 깊이는 결여된 경우가 많다. 예를 들어 보험 약관에서 방화벽을 의무화하더라도 방화벽을 구성하는 방법은 다루지 않을 수 있다. 잘못된 구성은 공격자가 침입하는 가장 주된 경로이므로 보험에서 반드시 다뤄야 하는 부분이다.

따라서 지금 상태에서는 단순히 보험에 들었다는 이유로 안전하다고 전제해서는 안 된다.

마지막 조언, 굳은 의지와 노력 필요
데이터 침해 위협에 대한 정확하지 않은 보안 인식을 부추기는 요소는 그 외에도 많다. 그러나 앞서 언급한 4가지 근거없는 믿음은 반드시 짚고 넘어가야 한다. 핵심은 데이터 침해에 대한 성공적인 방어를 위해서는 굳은 의지와 지속적인 노력이 필요하다는 것이다. editor@itworld.co.kr  


2018.11.05

글로벌 칼럼 | 피해야 할 4가지 위험한 보안 인식

Michelle Drolet | CSO
요즘 데이터 침해는 흔한 사건이다. 기업 조직 사이에서는 침해와 그 여파에 대처하는 데 더 적극적으로 임해야 한다는 인식이 퍼지고 있다. 도난당한 데이터로 인한 잠재적 비용은 결코 규정 위반 벌금과 기업 평판 손상 정도로 그치지 않는다. 위험에 대한 인식은 늘었지만 데이터를 보호하기 위한 종합적이고 적절한 단계를 취하기란 생각보다 어려운 일이다.


Credit: Getty Images Bank

올바른 방향으로 시작했지만 한 가지 영역을 간과한 탓에 일을 그르치는 경우도 드물지 않다. 높은 수준의 사이버보안을 달성하기 위해서는 위험에 대한 빈틈없고 전체적인 시야와 지속적인 노력이 필요하다. 실상을 보면 많은 조직이 한두 가지는 제대로 하지만 이후 안전하다는 착각 속에 태만함에 빠진다. 보안에 대한 잘못된 인식을 나타내는 4가지 일반적인 말은 다음과 같다.

- 위험이 그다지 크지 않다
규모가 작은 기업은 이와 같은 종류의 희망적 사고에 놀라울 만큼 취약하다. 이들은 큰 기업이 더 매력적인 공격 목표라고 전제하지만 사실 사이버 범죄자는 저항이 가장 적은 길을 선호한다. 보안 수준을 낮춘 기업은 낮은 가지에 걸린 과일과 같다. 기본적인 보안 위생과 관련해 가장 충격적인 점은 많은 기업이 이를 완전히 무시한다는 것이다.

자신의 데이터가 해커에게 별 가치가 없거나 매력적인 공격 목표가 아니라는 생각 역시 위험한 사고방식이다. 침해는 리소스 하이재킹으로 이어지기도 한다. 리소스를 하이재킹한 공격자는 피해자의 서버를 사용해 포르노 영상을 호스팅하거나 암호화폐를 채굴하기 위한 부하를 떠넘길 수 있다. 스스로 공격 목표가 아니라고 생각한다면 착각이다.

또한 공격자가 꼭 대규모 범죄 조직이란 법도 없다. 혼자 활동하는 초보 해커도 다크 웹에서 강력한 툴을 구입하거나 임대하면 툴의 작동 원리를 이해하지 않고도 얼마든지 공격할 수 있다.

- 이미 규정을 준수하고 있다
GDPR, 앞으로 시행될 CCPA와 같은 규정을 준수하는 것은 중요하다. 또한 산업 분야마다 서로 다른 종류의 데이터를 보호하기 위한 각자의 규칙과 규정이 있다. 이런 규정을 준수하지 못할 경우 무거운 벌금을 물게 될 수 있다. 규제 기관이 실제로 큰 벌금을 부과할 가능성을 회의적으로 보는 시각도 있지만 어느 기업도 직접 그 실험 대상이 되고 싶지는 않을 것이다.

규칙을 준수하려면 더 강력한 보안 표준과 더 종합적이고 견고한 사고 대응 계획을 채택하게 되지만 그렇다고 데이터 침해가 완전히 차단된다고 보장할 수는 없다. 규정 준수는 분명 좋지만 규정 준수를 보안과 동일시하는 함정에 빠져서는 안 된다. 또한 규정 준수는 한 번 확인하면 그것으로 끝나는 작업이 아니라는 점을 유념해야 한다. 규정 준수를 위해서는 표준에 맞는 지속적인 갱신과 숙고가 필요하다.

많은 기업이 컨설턴트의 도움을 받아 기한에 맞춰 준수 상태를 달성하고는 더 이상 신경쓰지 않아도 된다고 생각한다. 틀린 생각이다.

- 직원 교육을 시켰다
보안 인식 교육 프로그램을 마련하고 직원을 감시하는 것의 중요성에 대해서는 이미 이야기한 바 있지만, 이것도 많은 사람이 한 번 완료한 다음 잊어도 된다고 착각하는 또 다른 중요한 보안 단계다. 적절한 교육 프로그램은 계속 발전하고 주기적으로 실시되어야 한다.

이 분야에서 많은 기업이 저지르는 또 다른 실수는 직원에게 제공한 교육이 효과적이었는지 여부를 테스트하지 않는 것이다. 모의 피싱 이메일 또는 소셜 미디어 메시지를 사용해 직원을 테스트해 이들인 적절히 대응하는지 확인하는 것이 중요하다. 테스트 결과에 따라 반드시 적절한 조치를 취해야 한다. 적절한 대응에 실패하는 경우 추가 교육이 필요하지만 반복적으로 실패한다면 징계, 심각한 경우 해고가 필요할 수도 있다.

반복적으로 보안 기준을 맞추지 못하는 직원을 방치해서는 안 된다. 보안 전략의 강약은 전적으로 가장 약한 연결 고리에 의해 결정되기 때문이다. 단 한 명의 잘못으로 모든 노력이 수포로 돌아갈 수 있다.

- 사이버 보험에 들었으니 걱정 없다
흔히 이 말에 안도감을 느끼곤 하지만 여러 가지 이유로 위험한 생각이다. 사이버 보험은 새로운 골칫거리로, 보험 상품을 사는 사람이나 파는 사람이나 보험의 대상이 무엇인지조차 제대로 이해하지 못하는 경우가 많다. 어떤 사태에 보험이 적용된다고 믿었지만 나중에 실제 그 사태가 일어나 보험금을 청구할 때 그렇지 않다는 사실을 깨닫게 된다.

좋은 보험은 위험을 낮추는 데 유익한 행동을 유도하기도 한다. 그러나 현재로서는 사이버보안 분야에서 이를 실천하는 데 필요한 깊이는 결여된 경우가 많다. 예를 들어 보험 약관에서 방화벽을 의무화하더라도 방화벽을 구성하는 방법은 다루지 않을 수 있다. 잘못된 구성은 공격자가 침입하는 가장 주된 경로이므로 보험에서 반드시 다뤄야 하는 부분이다.

따라서 지금 상태에서는 단순히 보험에 들었다는 이유로 안전하다고 전제해서는 안 된다.

마지막 조언, 굳은 의지와 노력 필요
데이터 침해 위협에 대한 정확하지 않은 보안 인식을 부추기는 요소는 그 외에도 많다. 그러나 앞서 언급한 4가지 근거없는 믿음은 반드시 짚고 넘어가야 한다. 핵심은 데이터 침해에 대한 성공적인 방어를 위해서는 굳은 의지와 지속적인 노력이 필요하다는 것이다. editor@itworld.co.kr  


X