보안

웹 2.0 애플리케이션 종류별로 본 보안 위험

Joan Goodchild | CIO 2008.08.12
AP302E.JPG보안 소프트웨어 회사인 시만텍이 최근 실시한 설문조사에 따르면, 1980년 이후에 출생한 밀레니얼(Millennial) 직원들의 66%가 페이스북 및 유튜브 등과 같은 웹 2.0기술을 사용하고 있었다. 앞선 조사에서는 더 어린 직원들도 업무적인 데이터를 PC USB드라이브 등과 같은 개인적인 기기에 규칙적으로 저장하는 것으로 드러났다.

그러나 시만텍이 설문 조사한 기업 IT 책임자들 중 75%는 업무적인 데이터나 정보들을 개인적인 기기에 저장하는 것을 금지하고 있으며, 85%는 직장에서 사용하는 업무용 PC에 개인용 소프트웨어를 다운로드 받거나 설치하는 것을 금지하고 있다고 밝혔다.

보안책임자들은 보안위험에 대한 평가 및 전략을 요즘 직장에서의 젊은세대들의 기술적인 습관(technology habit)에 맞게 변화하는 것을 고려해야 할 듯 하다. 어떤 기술들이 회사 내 젊은 세대들에 의해서 일반적으로 사용되고 있을까? 그리고 이와 같이 젊은 세대들이 업무적인 데이터를 개인적인 USB에 저장을 시키거나 개인용 소프트웨어를 직장 내 컴퓨터에 설치하는 일들이 회사에 어떤 심각한 영향을 주는 것일까?

보안 및 컨설팅 회사인 사이언스 애플리케이션 인터내셔널(Science Applications International)의 보안서비스부서의 CIO인 애론 윌슨(Aaron Wilson)은 최근 널리 이용되고 있는 이러한 기술들을 검열하면서 네트워크 관리에 있어서 주의해야 할 점에 대해서 밝혔다.

P2P,
회사 데이터를 익명의 다수와 공유 ?
토렌트(Torrent) 및 카자아(Kazaa) 등과 같은 P2P 파일공유 소프트웨어의 경우 악성코드 감염 가능성, 저작권이 있는 또는 기밀성의 데이터의 전송, 업무 생산성 저하 등과 같은 문제점이 발생할 가능성이 있다. 이러한 문제점은 인텔리전트 콘텐트 프록시(intelligent content proxy), UTM, 호스트 기반 보호장치 등으로 방어할 수 있으나, 직원이 몰래 P2P 애플리케이션을 사용할 경우, 모든 데이터를 여타 수백만 P2P사용자들에게 노출시키면서 부지불식간에 다른 사람들과 전체 하드드라이브와 공유하게 될 가능성이 있다.

개인 블로그에 회사 기밀이 올라갈 수도
마이스페이스, 유튜브, 페이스북, 블로그 등과 같은 개인적인 친목도모를 위해 만들어진 소프트웨어의 경우 개인정보 노출, 악성코드 감염 가능성, 업무 생산성 저하 등의 문제점을 가지고 있다. 이러한 문제점들은 사용자 교육, 인텔리전트 콘텐트 프록시(intelligent content proxy), 웹사이트 순위평가 기술 , 호스트 기반 보호장치 등으로 방지할 수 있다. 하지만 회사컴퓨터에서 블로그에 사진을 올리면, 공항 같은 보안장소의 사진은 국가안보를 위협할 여지를 줄 수 있고 , 아직 출시되지 않은 제품의 사진이나 상세한 설명이 담긴 글은 경쟁회사에 기밀이 누출이 되어 제품판매에 손실을 가져 오는 등 위험 가능성이 높아진다.

메신져, 우리의 대화를 누군가 모니터 하고 있다
AIM/MSN/ICQ/Yahoo/IRC
및 휴대폰 문자메시지 등과 같은 인스턴트 메신저 소프트웨어의 경우 그 피해는 어떠한 내용이 서로 오갔는지에 달려있으나, 사용자 이름과 비밀번호 누출, 데이터 유출, 파일공유 , 사회공학적 공격(social engineering: 사회공학적 기법(Social Engineering Method)은 해킹 등에서는 예전부터 사용하던 방법으로 현실 세계에서 사기범이 사기를 치듯이 인간의 심리를 교묘히 이용해 해커나 공격자가 의도한 바대로 컴퓨터 이용자가 행동하게 하는 것으로 말한다) 등과 같은 문제점들을 야기시킨다. 이러한 문제점은 회사의 IM 또는 VOIP Cryto, Logging, Policies 같은 솔루션을 설치하거나 직원 트레이닝을 통해서 이러한 문제점을 해결할 수도 있으나, 직원들이 루트 비밀번호, IP 정보, 네트워크 도표 등을 전송하기 위해서 비 암호화된 IM을 사용하는 것은 회사에 큰 손실을 끼칠 수 있다.

언제 어디서 잃어버릴지 모르는USB
USB
썸드라이브, 카메라/휴대폰, iPod/pda, 노트북, 위피(Wifi) 등과 같이 이동이 가능한 매체의 경우는 정보노출의 위험이 있고 추적하기도 어렵다. 디지털 저작권 관리(DRM) 및 데이터 유출 방지(DLP) 기술 등을 사용하여 이러한 문제점을 해결할 수 있지만, 2006년에 미국 군사기밀이 들어있는 USB 드라이브가 아프카니스탄의 한 시장에서 발견된 예와 같은 상황이 발생할 수 있다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.