보안

데이터 보호를 위한 인적 관리 가이드

Thor Olavsrud | CIO 2012.08.17
컨퍼런스 도중 실제 관객 앞에서, 각각의 참가자는 25분간 전화기를 사용해 그들에게 할당된 조직에 전화를 걸어 최대한 많은 깃발들을 수집하는 경쟁을 벌였다.
 
참가자는 실제 기업의 실제 직원에게 총 140통의 전화를 걸었다. 그들 가운데 오직 다섯 명의 직원만이 참가자들이 원하는 정보 제공을 거부했다. 그 다섯 명에게 전화를 건 경쟁자는 통화를 종료한 후, 같은 기업의 다른 직원에게 전화를 걸어 자발적으로 정보를 제공받았다.
 
사회공학적 침투자는 정보를 빼낼 때 전화만 사용하는 게 아니다. 겉으로 보기에 문제없어 보이는 사업체들의 이메일을 통한 피싱(Phishing) 공격은 사회공학적 침투의 대표적 예다.
 
모두들 암호가 너무 허술하다
암호 문제에 있어서도 상황은 암울하다. 캠브리지 대학의 조셉 보뉴는 암호 유출이 얼마나 어려운지 알아보기 위해 야후 사용자 7,000만 개의 암호를 분석한 연구 결과를 발표했다. 이를 통해 사람들이 취약한 암호를 선택하는 경향이 있다고 결론내렸다.
 
보뉴는 "암호 추정이 놀랄정도로 좁은 범위 내에서 가능했다는 점을 파악했다. 인식가능한 이용자 집단 모두에서 비교적 약한 암호 분포가 나타났다"고 전했다. 
 
또한 지불 카드의 등록 등의 보안 동기부여는 나이나 국적같은 인구학적 요소보다도 변수가 되지못했다. 시각적 피드백까지 사용해 이용자에게 더 복잡한 암호를 사용하도록 강력한 노력도 그다지 큰 차이를 만들어내지 못했다. 
 
더욱 놀라운 점은, 보기에 전혀 연관성이 없는 언어 집단이 동일하게 취약한 암호를 사용하고 있으며, 공격자가 글로벌 단위의 최적화한 사전에서 인구-특정 목록으로 바꾸더라도 공격 효율성이 두배 이상 늘어나지 않는다는 점이다.
 
보안 의식 형성과 훈련 프로그램이 절실
랜스 스피츠너는 "해답은 훈련과 교육이고, 효과가 분명히 있다"고 말했다. 스피츠너는 SANS 연구소와 함께 작업했던 한 조직을 예로 들었다. 그 조직은 감염된 컴퓨터의 수를 크게 줄이게 되었고, 이를 통해 감염 컴퓨터만 전담했던 직원에게 다른 일을 맡길 수 있었다.
 
하지만 훈련과 교육을 그냥 한다고 되는건 아니다. 대부분의 조직내 보안 의식 프로그램은 효과가 거의 없다. 프로그램 설계에서부터 효과를 기대할 수 없이 잘못됐기 때문이다.
 
보안 의식 주도 위원회부터 설립
스피츠너에 따르면 무엇보다도 보안 훈련 주도 위원회를 설립해야 한다. 위원회는 프로그램을 기획하고, 실행하고, 유지할 수 있는 여러 부서 출신의 다섯 명에서 열 명 정도의 자원자로 구성돼야 한다. 
 
스피츠너는 회계와 법무 부서의 사람들을 위원회에 포함시키라고 조언했다. 위원회 구성원이 단순 안내의 역할을 뛰어 넘어, 조직의 구성원들을 돕는 프로그램의 대사 역할을 수행해야 한다.
 
누구와, 무엇을, 어떻게
위원회가 한번 설립되면, 이 위원회는 누구와, 무엇을, 어떻게라는 세 가지 질문에 답할 수 있는 계획을 구상해야 한다. 
 
'누구와'가 가장 먼저다. 스피츠너는 자신이 목격하는 가장 흔한 실수는 기업들이 불변의 철칙처럼 보안 의식과 훈련 프로그램을 만들려 하는 모습이라고 한다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.