휴대용 스토리지 보안에 대한 6가지 잘못된 속설

Gary Anthes | Computerworld 2009.02.11

노트북이나 이동식 저장장치 등을 분실한 사례들이 뉴스에 종종 보도되고 있다. 사람들은 이와 같이 분실, 또는 도난당한 컴퓨터나 테이프 내에 저장된 정보들이 악용되는 것에 대해 항상 걱정한다. 실제로 특정 정보의 그릇된 사용은 심각한 결과를 초래할 수 있어서다.

이와 같은 저장 수단 및 미디어 매체들을 보호하는 것이 얼마나 중요한지 모르는 사람은 없을 것이다. 그러나 기업의 정보 보안 관리자들 중 상당수는 종종 이들 정보들을 보호하는데 있어 노력을 게을리하는 경우가 많다. 아래에 소개할 6가지 속설들 때문이다.

 

속설 1 : 테이프는 이미 구시대적인 저장 수단이다

우리가 일반적으로 볼 수 있는 마그네틱 테이프는 메인 프레임 및 배치(batch) 프로세싱 시대와 그 궤를 같이한 매우 오래된 저장 수단이다. 기술이 발전하면서 이들은 인터넷, 그리고 여타 디스크들에 주류 정보 전달 도구로서의 역할을 넘겨주었지만, 보다 빠르고, 효율적인 백업을 실행하고, 또 정보를 압축하며, 큰 용량의 데이터를 복구하는 데는 테이프만한 것이 없다.

 

실제로 아이언 마운틴(Iron Mountiain Inc.)는 현재 네트워크 연결 형 전송 기술뿐만이 아니라 테이프 스토리지 기술도 여전히 소비자들에게 공급하고 있다.

 

정보 보호 및 스토리지 기업 수석 부회장을 맡고 있는 켄 루빈은 "시스템 상에 큰 문제가 발생하여 시간이 매우 촉박한 상황일 경우, 결국 이를 해결할 수 있는 가장 빠른 방법은 테이프를 직접 사람이 들고 필요한 곳으로 뛰어가는 것이다" 라고 말했다.

 

이어 "테라바이트, 페타바이트 규모의 정보를 전송하기엔 아직 우리가 사용 중인 광대역의 역량이 부족하다. 효율적이지 못하다는 이야기다"라고 그는 덧붙였다.

 

그러나 일반 사용자들 중에는 테이프 사업을 접고 새로운 정보 전달 수단을 시도하려는 사람들이 상당수 존재하고 있는 것이 현실이다.

 

어필리에트 컴퓨터 서비스(Affiliated Computer Services Inc: ACS) 최고 정보 보안 책임자 크리스토퍼 리치는 "테이프는 항상 분실의 위험에 노출되어 있기 때문에 물리적 분실 위험이 없는 다른 전달 매체로 전환하는 것을 고려하고 있다"라고  말했다. ACS는 용량이 크지 않은 데이터들을 암호화하여 웹 브라우저를 통해 전송하는 서비스를 시행할 예정이라고 더불어 밝혔다.

 

속설2 : 테이프와 노트북을 보호하는 일은 기술직 사람들만의 임무다

정보 기술의 보안은 분명 IT 관련 부서에서 신경을 써야 하는 부분이라는 점에 대해 이견을 달만한 사람은 거의 없다. 그러나 그렇다고 다른 부서의 사람들이 나몰라라하는 것이 바람직한 일은 결단코 아니다.

 

뉴욕 주 CIO 멜로디 메이베리-스튜어트(Melodie Mayberry-Stewart)는 기업들, 특히 금융 관련 기업들의 최적화된 보안 사례들을 조사하고 또 찾는 12명으로 구성된 법무 팀을 이끌고 있다. 이들 중 일부는 암호화 및 정보 통신 관련 전공자다. 더불어 그녀는 보안 및 리스크 관리를 전담하는 팀 또한 운용하고 있다.

 

그녀의 팀에 소속된 변호사들은 뉴욕 주 소유의 테이프들 (한 달에 4,000개 정도)을 저장하고 운송하는 아이언 마운틴 등의 기업들을 대상으로 계약서를 작성하거나 서비스 수준에 대한 정관을 수립하는 역할을 한다고 그녀는 설명했다.

 

썬 마이크로시스템즈(Sun Microsystems Inc.)의 경우 전세계적으로 7개의 데이터센터를 보유하고 있다. 각각의 데이터센터들은 모두 자체 데이터 보존 프로세스를 가지고 있는데, 그렇다고 해서 7개의 데이터센터가 각각 독립적으로 규정을 설정해 실행하는 것은 아니다. 그렇다면 이와 같은 상황에서 모든 데이터센터들에 공통적으로 적용할 규칙, 정책, 그리고 절차들은 누가 어떻게 만드는 것일까?

 

썬의 최고 정보 보안 책임자 레슬리 램버트(Leslie Lambert)는"실제로 우리는 매우 우수한 법무 팀, 사생활 보호 전담 팀, 업무 수행 팀, 내부 감사, 외부 감사, 그리고 정보 보호 전담 그룹 등을 보유하고 있다. 이들 모두가 협력해 만들어 나가는 것"이라고 설명했다.

 

데이터 보호 및 보존에 대한 연방 정부와 개별 주의 요구 조건을 준수하려면 이와 관련한 전문적인 식견을 가진 사람이 반드시 필요하다. 그러나 실제로 이 같은 조건들에 맞추는 작업들은 매우 난해하고 시간이 많이 드는 작업이다. 이 때문에 리치도 수작업만을 고집하지 않고 릴레이셔널 시큐리티(Relational Security Inc.)가 개발한 리스크 관리 소프트웨어의 도움을 받고 있다고 밝혔다.

 

속설3 : 테이프를 잃어버리는 것은 곧 보안 문제가 발생했다는 이야기다

테이프를 분실하면 엄청난 보안 문제가 발생할 수 있고, 대중들에 대한 기업의 이미지도 악화될 것이 뻔하다. 그러나 막상 실제로 우리가 생각하는 최악의 시나리오대로 되기는 힘든 것이 사실이다.

 

의학 제품 메이커 스트라이커 그룹(Stryker Corp.) IT 부문 부회장 브라이언 루리는 "사실 사용자들의 개인정보 (단적인 예로 주민등록번호)들을 분실하는 것에 대해서는 그리 크게 우려하지 않는다. 물론 개인정보를 보호하는 것이 매우 중요한 일이지만 말이다"라고 말했다.

 

이어 "그러나 정작 나로 하여금 잠을 못 이루게 하는 것이 따로 있다. 바로 테이프를 분실한 다음 소송을 대비해 FDA에 관련 데이터를 제출하는 절차가 바로 그 것. 법적으로 우리가 당연히 보호했어야 할 정보를 분실할 경우 기업의 이미지에 타격이 갈 수 밖에 없기 때문이다"라고 그는 밝혔다.

 

법에 따르면 어떤 정보의 경우에는 7년 간 의무적으로 보존하도록 규정되어 있다. 스트라이커의 경우에는 이들이 판매한 제품들을 몸속에 이식한 환자들의 신상 정보를 그들이 죽을 때까지 보존하고 있어야 한다고 루리는 설명했다.

 

물론 스트라이커는 테이프에 저장된 정보들을 원격 재난 복구 센터에도 동일하게 보관하는 정책을 유지하고 있다. 그러나 시간이 지나면 결국 다른 곳에 보존되어 있던 데이터들 중 대부분은 없어지고 아이언 마운틴에 의해 저장, 보존된 테이프만 남을 가능이 높다.

 

루리는 정기적으로 내부 감사들을 아이언 마운틴으로 파견 보내 스트라이커 소유의 테이프에 대한 재고조사를 실시한다고 밝혔다. 그는 이러한 정기 감사가, 잘 짜여진 계약서 작성하기, 믿을만한 테이프 보존 기업 선정하기 등과 함께 장기적인 데이터 보존을 위해서는 없어서는 안 될 항목이라고 주장했다.

 

사실 테이프를 누군가가 악의를 가지고 훔치는 일은 거의 발생하지 않는다고 전문가들은 말한다. 그러나 사람들의 단순한 실수들로 인해 테이프를 분실하는 일은 종종 발생해 보존 프로세스 전체에 안 좋은 영향을 주기도 한다.

 

속설4 : 기술적인 솔루션은 없다. 그저 타이트한 통제만이 유일한 대책이다

치밀하게 짜여진, 그리고 부분적으로 자동화된, 더불어 충분히 테스트된 적절한 통제 절차. 이것이야말로 테이프, 그리고 노트북을 보호할 수 있는 가장 좋은 방법이라고 전문가들은 말한다. 물론 이는 분명한 사실이지만 기술적인 부분들도 충분히 데이터를 보존하는데 도움을 줄 수 있다.

 

데이터 암호화 기술이 대표적인 예라고 할 수 있다. 복구가 불가능한 데이터를 잃음으로써 발생할 소송에 대한 완벽한 해결책을 제시해 주는 것은 아니다.

 

그러나 "걱정하지마. 하드디스크가 암호화 되어 있어서, 또는 그 테이프는 암호를 풀지 못하면 읽지 못하도록 되어 있어서 아무나 섣불리 그 안의 정보에 접근할 수는 없을 거야"라고 말할 수 있다는 사실은 사건을 보다 덜 심각하게 만드는데 충분히 기여한다.

 

리치는 모든 직원의 데스크톱과 노트북에 대해 반드시 "암호화" 하기를 권한다고 말했다. 그는 "한 번 디스크가 암호화되면, 우리는 이들을 개별적으로 감시하고 통제하게 되는데, 실제로 무단으로 해당 디스크의 암호를 해제하려는 상황이 발생했을 경우 이는 즉각 보안 팀에 보고되고 해당 팀의 관리자에게로 암호 해제 시도에 대한 소식을 전달하게 된다"라고 강조했다.

 

ACS는 현재 댈러스에 위치한 자체 테이프 라이브러리에 100만 개 이상의 테이프를 보관하고 있다. ACS 또한 그들이 가지고 있는 컨텐츠들을 암호화시키고 싶어한다.

 

그러나 몇몇 기업 고객들은 ACS 측에서 받은 복구용 자료가 암호화 되어 있는 것을 싫어한다. 암호를 푸는데 드는데 드는 비용과 노력이 무의미하다고 생각하는 것이다. 그들은 실제로 테이프를 암호화하지 말아줄 것을 부탁하곤 한다.

 

리치는 이에 대해 "암호화 되어 있지 않은 테이프의 경우, 전송 시 매우 꼼꼼하게 이중 삼중으로 포장을 한다. 거의 판결을 받기 위해 법정으로 가는 중범죄자 수준으로 묶은 후에야 비로소 발송한다"고 그는 말했다. "테이프들은 각각의 모서리를 잠글 수 있도록 디자인 되어 있는 박스에 넣어 배송된다"라고 묘사했다.

 

이어 "이 경우 우리는 고객에게 더 많은 비용을 청구한다. 테이프나 CD가 비싸서 그런 건 물론 아니다. 그러나 배송 시 보다 더 세심한 주의를 기울이는데 드는 추가 비용 개념이다"라고 설명했다.

 

사용자들은 최근 암호화 기술을 대체하거나 보조할 수 있는 새로운 기술들을 연구 중에 있다고 밝혔다. 실제로 뉴욕 주는 노트북 및 테이프 케이스에 지문 인식 장치를 삽입하는 것을 고려  중이다.

 

ACS는 자성 물질로 만들어진 3개의 테이프 케이스 프로토타입을 선보였는데, 누군가가 이 케이스를 강제로 여는데 성공할 경우 그 즉시 테이프 내에 있는 자료를 자석을 이용해 지워버리는 기능을 가지고 있다.

 

한 아이언 마운틴 측 관계자는 "결국 테이프를 보존하는데 가장 필요한 자동화 시스템은 바로 테이프 재고 관리 시스템일 것이다. 결국 테이프 분실의 주된 요인이 바로 인간의 실수이기 때문"이라고 말했다.

 

속설 5 : 암호화는 만병통치약이다

암호화 기술이 가장 훌륭한 기술적 솔루션으로 각광받고 있는 것은 사실이지만 분명 단점도 가지고 있다. 예를 들어, 만약 테이프를 복구하려고 하는데 암호를 해제하는 방법을 까먹었을 경우 이를 열 수 있는 방법은 없어진다.

 

또 테이프, 노트북 하드드라이브, 또는 이동식 디스크 등에 자료를 저장하기 전 암호화를 할 경우 상당량의 컴퓨터 리소스를 소모하게 된다. 마지막으로 대다수의 기업들의 경우 암호화 자체가 선택 사항이거나 쉽게 간과 당할 가능성이 높은 기술로 생각한다.

 

위와 같은 맥락에서 스트라이커는 매우 중요한 데이터가 아닌 이상 노트북 하드 드라이브는 암호화 하지 않고 있다. 사용자들에게 필수적이면서도 중요하고 예민한 데이터는 안정적인 보안을 기대할 수 있는 서버에 저장되어 있어야 하며, 꼭 필요한 경우가 아니면 들춰 보는 것을 삼가야 한다는 것이다. 물론 이와 같은 일련의 절차들은 모두 사람들의 자발적인 참여 없이는 불가능한 것이라고 루리는 말했다.

 

그는 "스트라이커 전체가 윈도우 비스타로 운영체제를 전환할 경우, 나의 업무가 보다 쉬워질 것으로 기대하고 있다. 비스타가 자동으로 데이터를 암호화 해주기 때문"이라고 말했다.

 

이어 "그러나 사실 비스타를 사용하는 것에는 분명한 장단점이 존재한다. 우선 당장 암호화 기능을 사용할 경우 더 많은 메모리를 소모할 것이 뻔하고, 컴퓨터 자체도 느려지는 것을 감수해야 한다"고 그는 덧붙였다.

 

속설 6 : 테이프와 노트북만 보호하면 안전하다

뉴스 기사들은 분실된 테이프, 또는 노트북에만 지나치게 초점을 맞추는 경향이 있다. 그러나 실제로 보면 이들 이외에도 중요한 기업 정보들을 저장한 채 매일 같이 사무실을 들락거리는 기기들이 매우 많이 존재한다.

 

당장 블랙베리만 해도 그렇다. 스트라이커에서는 블랙베리 또한 데이터 보안 프로그램의 통제를 받도록 하고 있다.

 

루리는 “필요하다면 여기서 원격으로 직원들이 사용하는 블랙베리에 있는 모든 정보를 삭제할 수 있다"라며, "만약 직원이 블랙베리를 잃어버렸을 경우, 우리는 즉시 신호를 보내 그 안에 있는 내용물들을 자동으로 삭제해버린다"라고 설명했다.

 

그러나 플래시 드라이브, CD, DVD들은 사실 통제하기 매우 힘든 것이 사실이다. 루리는 "가장 좋은 방법은 중요한 정보를 이들 저장 수단을 통해 옮기거나 전달하지 않는 것"이라고 말했다.

 

휴대폰 또한 정보 보안을 위협하는 휴대용 기기라고 루리는 언급했다. 우리는 본사 안에 카메라를 가지고 출입하지 못하도록 통제하고 있다. 그러나 요즘 휴대폰들에는 대부분 카메라가 달려있다.

 

그는 "실제로 기업의 내부 정보를 누군가가 휴대폰으로 사진을 찍어 웹에 개제할 경우, 상당한 문제를 유발할 수 있다. 나도 개인적으로 이와 같은 문제를 해결하기 위해 많은 생각을 하고 있지만 아직 정확한 대책은 수립하지 못한 상태"라고 말했다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.