보안

CEO의 위험한 행동이 보안을 침해한다…코드42

Kacy Zurkus  | CSO 2017.06.12
비즈니스 의사결정권자가 보안 통제를 우회하려할 때, 그들은 일반적으로 조직을 위험에 빠뜨리지 않고 운영 효율성을 얻으려고 한다. 그러나 좋은 의도임에도 위험을 야기할 수 있다.

코드42(Code42)의 최근 연구에 따르면, CEO는 위험하다는 것을 알고 있음에도 불구하고 섀도우 IT의 최대 사용자임이 드러났다. 연구 결과에 따르면, CEO(75%)와 비즈니스 의사 결정권자(52%)의 절반 이상이 IT 부서에서 승인하지 않은 애플리케이션이나 프로그램을 사용하고 있음을 응답했다.

코드42 부사장이자 CSO인 릭 올로프는 "이것이 '견물생심'의 예라고 볼 수 있다"며, "그들은 단지 자신의 방식대로 일하고 싶을 뿐이다. 이렇게 행동이 가능한 것은 그들의 최고 보안 책임자가 그 조직내에서 충분히 높지 않다는 것을 의미한다"고 말했다.

올로프는 "최고 보안 책임자가 CEO나 COO에게 그들이 부적절한 도구를 사용함으로써 일어나는 상황에 대해 좀더 잘 이해시키거나 보안 의사 결정권자가 고위경영진에게 보고한다면 쉽게 피할 수 있는 문제"라고 말했다.

물론 고위 경영진만이 보안을 무시하는 행동을 하는 것은 아니다. 어떤 경우는 보안 전문가 스스로가 위험을 초래하는 경우도 있었다. 그들이 도구를 다운로드하면 도구에 있는 모든 종류의 위험 또한 따라온다.

예를 들면, 기업에서 비밀번호 난이도를 테스트하기 위해 비밀번호 크래킹 툴을 다운로드한 화이트햇 해커가 그 예다. 올로프는 "비밀번호 크래킹은 컴플라이언스 문제가 발생한다"며, "해킹 위험이 있는 작업을 수행할 때에는 매우 신중하게 생각해야 한다"고 덧붙였다.

예를 들어, 조직에서 암호의 난이도를 테스트하기 위해 암호 해독 도구를 다운로드 한 백 모자 해커가 그 예입니다. 올 로프는 "패스워드를 크래킹하면 규정 준수 문제가 발생한다"면서 "위험을 무릅 쓰지 않고이를 수행 할 수있는 방법이 있지만 매우 신중하게 생각해야한다"고 덧붙였다.

올로프는 섀도우 IT를 사용하는 경영진은 "보안 실무자와 그리 좋은 관계가 아닐 것이다"고 말했다. 그러나 베이 다이내믹스(Bay Dynamics) 공동창립자이자 CTO인 라이언 스톨트는 "보안 전문가들에게 자멸적인 행동은 정보 과부하의 문제"라고 말했다.

스톨트는 "보안 전문가에게는 심각한 취약점과 위협에 대한 데이터가 너무 많다는 것이 문제"라고 지적했다.

보안 실무자는 압도당하는 기분이 든다면 그들은 스스로의 배짱을 믿어야 한다. 그들은 자신의 경험을 신뢰하며 들어오는 데이터를 신뢰할 수 없다고 가정한다.

기업들은 취약하고 겉보기에 모든 곳에서 공격받고 있다. 그들은 극복할 수 없는 상황에 직면하거나 자신이 알고 있는 것이 뒤집히게 되면 모든 경고들은 묻히기 쉽고 과거로 역행하기 시작한다.

스톨트는 잡음으로 허우적대는 보안 실무자들은 사냥꾼의 방식을 취하고 데이터 자체를 포기하게 되며 과거에 성공적이었던 특정 패턴을 찾는다고 말했다. 사건이 벌어진 이후, 포렌식 전문가들이 조사하게 되면 사람들이 보지 못하는 증거들을 발견한다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.