2021.06.22

“함부로 버리면 위험” 폐기되는 IT 자산의 보안 위험과 ITAD의 조건

Christopher Burgess | CSO
IT 자산 처분(IT Asset Disposal, ITAD)는 사실 CISO가 가장 중요하게 생각하는 뜨거운 주제 중 하나는 아니지만, 모든 CISO는 자사의 ITAD 프로그램에 대해 물으면 대답할 수 있어야 한다. 이런 프로그램이 없다면, IT 장비가 재활용될 때 데이터가 위험해질 수 있다. ITAD 프로그램이 있다면, 데이터 보호에 대한 주의가 유지되고 있음을 알 수 있다. 어떤 CISO도 전자와 같은 상황을 원하지 않을 것이다. 모든 CISO가 후자의 상황을 바라겠지만, 만약 해당 프로그램에 감사할 수 있는 관리 연속성(Chain of Custody)가 포함되어 있지 않다면, 긍정 오류에 불과할 수도 있다. 
 
ⓒ HSM

ITAD를 맡고 있는 부서나 책임자는 회사 내에 배포되어 사용되는 각각의 디바이스를 어떻게 추적하는지, 디바이스에 담긴 데이터는 어떻게 관리되고, 각 디바이스가 언제 어떻게 회사 생태계에서 제거되어 기업과 고객 데이터는 보호되는 방식으로 처분되는지 설명할 수 있어야 한다.
 

위협 요인으로 인식되는 ITAD

미 CISA가 최근 발간한 보안 지침은 공급망 공격 방어 지침에서 ITAD를 위협 요인으로 파악했다. 모든 조직은 ITAD 프로그램이 필요하고, 그 프로그램은 회사의 통제를 벗어나는 모든 디바이스에 데이터가 없다는 것을 확실히 해야 한다. 하지만 현실은 많은 조직이 그렇지 못하며, 이런 준비를 갖춘 조직 중에서도 많은 수가 인증 업체에 의존하며, 데이터와 디바이스에 대한 감사 가능하고 시각화된 관리 연속성을 구현하지 못하고 있다. 전자는 신뢰가 필요하고, 후자는 검증이 포함된다.

최근 WV 테크놀로지스의 비즈니스 모델이 소개되어 관심을 모았다. WV는 정부기관으로부터 대량의 구형 장비를 경매를 통해 구매하는데, 이들 디바이스는 데이터가 말끔히 삭제된 상태라야 하지만 운영 데이터부터 VoIP 설정, SD 카드, SSD 드라이브 등 데이터가 가득 찬 부품이 심심치 않게 발견됐다. WV는 데이터의 폐기에 적극 개입해 2021년 5월 완전히 깨끗하게 청소한 리퍼비시 디바이스를 판매하기 시작했다. 기존에는 매월 컨테이너 한 대 분량의 장비를 해외 구매자에게 판매하고 있었다. WV는 데이터 처분 방법에 대한 시장의 관심이 줄어든 덕분이라고 이 관심이 줄어든 덕분이라고 보고 있다.

미국 HHS 산하 OCR(Health and Human Services Office for Civil Rights)는 파일팩스(Filefax)를 단속했는데, 이 회사는 PHI를 잘못 처리해 벌금을 맞고 폐업했다. 파일팩스는 의료 기록 폐기를 맡은 계약 업체였는데, 의료 기록을 폐기 시설로 싣고 가 트럭을 잠그지도 않은 상태로 감시도 없이 하룻밤을 방치했다.

숍라이트(ShopRite) 사례도 있다. 이 회사는 약국 고객의 구매 정보와 서명 정보를 수집하는 데 사용한 전자 기기를 적절하게 폐기하지 않아서 벌금을 냈다. 미국 뉴저지주 검찰에 따르면, 이 업체는 민감한 데이터를 삭제하지도 않고 쓰레기통에 디바이스를 버렸다.

빈피트(VinPit)의 설립자 미란다 얀은 내부 통제가 어떻게 규제 기관이나 법전 규제준수를 지키도록 하는지를 강조했다. FTI 테크놀로지의 데이터 프라이버시 및 정보 거버넌스 전문가인 테드 바라시는 미국 통화감독청이 대형 은행 한 곳에 벌금을 부과한 사례를 지적했는데, 데이터센터 해체 프로젝트를 진행하면서 고객 데이터가 들어있는 디스크 드라이브를 제대로 처분하지 못했기 때문이다. 모건 스탠리는 2016년의 사고 때문에 2020년 10월 6,000만 달러의 벌금 제재를 받았다. 바라시는 또 특정할 수 있고 문서 처리 과정에서 추적할 수 있는 IT 자산의 폐기와 해당 자산의 처분 작업을 수행한 업체가 인증하는 것이 중요하다고 덧붙였다.

ITAD 관리 연속성 전문가이자 리타이어IT(Retire-IT)의 CEO인 카일 막스는 단 한 대의 안전하지 않은 IT 자산이 조직을 랜섬웨어나 기타 데이터 보안 위협에 노출시킬 수 있다는 점을 강조했다. 막스는 폐기 인증은 참가자 트로피에 불과하다고 지적했다. 인증은 쉽게 출력할 수 있지만, 검증과 관리 연속성은 완전해야 한다는 것이다.
 

자체 ITAD와 서드파티 ITAD의 선택

CISO에게는 ITAD 프로그램의 필요성은 너무나도 당연한 일이다. 더 중요한 것은 해당 프로그램이 기업이 보유한 디바이스의 100%를 포함하고 있는지를 확실히 해야 한다. 직원이나 계약업체의 BYOD와 그런 디바이스에 담긴 기업 및 고객 데이터를 포괄해야 한다.

ITAD 프로그램을 자체적으로 세우거나 외부 전문가를 고용하는 것은 조직에 따라 달라진다. 하지만 어떤 방법을 선택하든 풍부한 점검과 균형으로 ITAD 프로세서의 검증 가능한 무결성을 충분히 보장해야 하고, 어떤 디바이스라도 데이터를 담은 채 생태계 밖으로 나가지 못하도록 해야 한다. editor@itworld.co.kr


2021.06.22

“함부로 버리면 위험” 폐기되는 IT 자산의 보안 위험과 ITAD의 조건

Christopher Burgess | CSO
IT 자산 처분(IT Asset Disposal, ITAD)는 사실 CISO가 가장 중요하게 생각하는 뜨거운 주제 중 하나는 아니지만, 모든 CISO는 자사의 ITAD 프로그램에 대해 물으면 대답할 수 있어야 한다. 이런 프로그램이 없다면, IT 장비가 재활용될 때 데이터가 위험해질 수 있다. ITAD 프로그램이 있다면, 데이터 보호에 대한 주의가 유지되고 있음을 알 수 있다. 어떤 CISO도 전자와 같은 상황을 원하지 않을 것이다. 모든 CISO가 후자의 상황을 바라겠지만, 만약 해당 프로그램에 감사할 수 있는 관리 연속성(Chain of Custody)가 포함되어 있지 않다면, 긍정 오류에 불과할 수도 있다. 
 
ⓒ HSM

ITAD를 맡고 있는 부서나 책임자는 회사 내에 배포되어 사용되는 각각의 디바이스를 어떻게 추적하는지, 디바이스에 담긴 데이터는 어떻게 관리되고, 각 디바이스가 언제 어떻게 회사 생태계에서 제거되어 기업과 고객 데이터는 보호되는 방식으로 처분되는지 설명할 수 있어야 한다.
 

위협 요인으로 인식되는 ITAD

미 CISA가 최근 발간한 보안 지침은 공급망 공격 방어 지침에서 ITAD를 위협 요인으로 파악했다. 모든 조직은 ITAD 프로그램이 필요하고, 그 프로그램은 회사의 통제를 벗어나는 모든 디바이스에 데이터가 없다는 것을 확실히 해야 한다. 하지만 현실은 많은 조직이 그렇지 못하며, 이런 준비를 갖춘 조직 중에서도 많은 수가 인증 업체에 의존하며, 데이터와 디바이스에 대한 감사 가능하고 시각화된 관리 연속성을 구현하지 못하고 있다. 전자는 신뢰가 필요하고, 후자는 검증이 포함된다.

최근 WV 테크놀로지스의 비즈니스 모델이 소개되어 관심을 모았다. WV는 정부기관으로부터 대량의 구형 장비를 경매를 통해 구매하는데, 이들 디바이스는 데이터가 말끔히 삭제된 상태라야 하지만 운영 데이터부터 VoIP 설정, SD 카드, SSD 드라이브 등 데이터가 가득 찬 부품이 심심치 않게 발견됐다. WV는 데이터의 폐기에 적극 개입해 2021년 5월 완전히 깨끗하게 청소한 리퍼비시 디바이스를 판매하기 시작했다. 기존에는 매월 컨테이너 한 대 분량의 장비를 해외 구매자에게 판매하고 있었다. WV는 데이터 처분 방법에 대한 시장의 관심이 줄어든 덕분이라고 이 관심이 줄어든 덕분이라고 보고 있다.

미국 HHS 산하 OCR(Health and Human Services Office for Civil Rights)는 파일팩스(Filefax)를 단속했는데, 이 회사는 PHI를 잘못 처리해 벌금을 맞고 폐업했다. 파일팩스는 의료 기록 폐기를 맡은 계약 업체였는데, 의료 기록을 폐기 시설로 싣고 가 트럭을 잠그지도 않은 상태로 감시도 없이 하룻밤을 방치했다.

숍라이트(ShopRite) 사례도 있다. 이 회사는 약국 고객의 구매 정보와 서명 정보를 수집하는 데 사용한 전자 기기를 적절하게 폐기하지 않아서 벌금을 냈다. 미국 뉴저지주 검찰에 따르면, 이 업체는 민감한 데이터를 삭제하지도 않고 쓰레기통에 디바이스를 버렸다.

빈피트(VinPit)의 설립자 미란다 얀은 내부 통제가 어떻게 규제 기관이나 법전 규제준수를 지키도록 하는지를 강조했다. FTI 테크놀로지의 데이터 프라이버시 및 정보 거버넌스 전문가인 테드 바라시는 미국 통화감독청이 대형 은행 한 곳에 벌금을 부과한 사례를 지적했는데, 데이터센터 해체 프로젝트를 진행하면서 고객 데이터가 들어있는 디스크 드라이브를 제대로 처분하지 못했기 때문이다. 모건 스탠리는 2016년의 사고 때문에 2020년 10월 6,000만 달러의 벌금 제재를 받았다. 바라시는 또 특정할 수 있고 문서 처리 과정에서 추적할 수 있는 IT 자산의 폐기와 해당 자산의 처분 작업을 수행한 업체가 인증하는 것이 중요하다고 덧붙였다.

ITAD 관리 연속성 전문가이자 리타이어IT(Retire-IT)의 CEO인 카일 막스는 단 한 대의 안전하지 않은 IT 자산이 조직을 랜섬웨어나 기타 데이터 보안 위협에 노출시킬 수 있다는 점을 강조했다. 막스는 폐기 인증은 참가자 트로피에 불과하다고 지적했다. 인증은 쉽게 출력할 수 있지만, 검증과 관리 연속성은 완전해야 한다는 것이다.
 

자체 ITAD와 서드파티 ITAD의 선택

CISO에게는 ITAD 프로그램의 필요성은 너무나도 당연한 일이다. 더 중요한 것은 해당 프로그램이 기업이 보유한 디바이스의 100%를 포함하고 있는지를 확실히 해야 한다. 직원이나 계약업체의 BYOD와 그런 디바이스에 담긴 기업 및 고객 데이터를 포괄해야 한다.

ITAD 프로그램을 자체적으로 세우거나 외부 전문가를 고용하는 것은 조직에 따라 달라진다. 하지만 어떤 방법을 선택하든 풍부한 점검과 균형으로 ITAD 프로세서의 검증 가능한 무결성을 충분히 보장해야 하고, 어떤 디바이스라도 데이터를 담은 채 생태계 밖으로 나가지 못하도록 해야 한다. editor@itworld.co.kr


X