보안

시큐리티 월드 2015|짐 넴스 메이요 클리닉 CISO, "공격자들, 우리보다 쎄다는 걸 인정하자. 하지만..."

이대영 기자 | ITWorld 2015.08.28
"이제 공격자들이 우리보다 힘이 쎄다는 걸 인정해야 한다. 이런 적대적인 환경에서도 우리는 자사의 비즈니스를 유지할 수 있도록 전략을 수립해야 한다. 모든 기업은 리스크에 노출되어 있다. 그리고 모든 것을 100% 만족시킬 수 없기 때문에 위험에 노출되는 가능성을 적게하는 것이 중요하다."

짐 넴스 메이요 클리닉 CISO는 8월 27일 한국IDG가 개최한 시큐리티 월드 2015 기조연설에서 '21세기 정보 리스크를 관리하라'라는 주제로 의료 산업을 중심으로 한 데이터 보호 및 리스크 관리에 대한 전략에 대해 설파했다.

짐 넴스는 "현재 해킹 사고에서 가장 큰 피해를 입는 것은 정보를 손실했을 때이며, 정보 손실 시 복구비용이 가장 많이 드는 분야가 바로 금융과 의료 산업"이라고 말했다. 유출 건수 당 복구 비용이 가장 높은 분야는 바로 의료 산업(233달러)이었으며, 금융(215달러), 제약 산업(207달러)이 이 뒤를 이었다.

2000년대 말부터 지금까지 금융 산업은 정보보안에 대해 엄청난 투자를 감행해 현재는 상당한 안전성을 보유하게 됐다. 하지만 의료 분야는 보안 투자에 사실상 늦었고 현재 사고도 빈번하게 일어나고 있다. 의료 산업에서의 정보 유출 사고는 미국뿐만 아니라 국내에서도 증가하고 있는 추세다.

의료 산업의 정보는 금융보다 한단계 더 높은 수준의 보안으로 관리할 필요가 있다. 은행이나 금융은 돈을 관리하기 위해 높은 보안 수준을 유지해왔으나 의료 관련 정보는 돈보다 더 중요한 가치를 갖고 있다.

짐 넴스는 "계좌번호, 비밀번호, 신용카드번호 등 금융 정보의 경우 유출된다고 해도 쉽게 변경할 수 있지만 의료 정보는 한 사람을 식별하는 많은 정보를 갖고 있으며, 유출된다고 해서 변경할 수도 없는 데이터이기 때문"이라고 설명했다.

특히 전자의무기록(EHR)은 개인의 모든 건강 정보들이 망라하게 되는데, 이것이 유출된다면 각종 범죄에 악용되기 쉽기 때문에 병원이 최근 공격자의 공략 대상이 되고 있다.

짐 넴스는 "진화하는 공격에 맞게 방어 또한 진화해야 하는데, 국가 주도의 공격, 사이버 테러리즘, 조직적 사이버범죄, 내부자 유출 등 공격 주체나 목적에 따라 위험 수준은 다르며, 이에 대한 대응 방법도 다르다"고 말했다. 정문 앞에서 문을 흔들고 노는 어린아이 장난에 무장 경찰이 출동할 필요는 없다.

한편 사물인터넷 시대가 도래하면서 기업에게는 보호 관리해야 하는 대상이 하나 더 증가하게 됐다. 기존 기술, 프로세스, 사람에 데이터가 추가된 것이다. 특히 의료 산업에서는 절대적으로 관리가 필요한 기기들이 상당히 많다. 또한 이 사물들에서 쏟아져 나오는 데이터들은 기존 관리 방법으로는 도저히 관리할 수 없는 상황에 이르렀다.

짐 넴스는 잭 웰치의 '우리 스스로가 우리 운명을 제어하지 않으면 누군가 우리를 제어할 것이다'는 말을 빌어 정보 관리의 중요성을 강조하면서 21세기 정보 보안 전략에 대해 설파했다.

짐 넴스는 "공격자들이 더 힘이 강한 현실에서 우리는 적대적인 환경에서도 자사의 비즈니스를 유지할 수 있도록 전략을 수립해야 한다. 모든 기업은 리스크에 노출되어 있으며 모든 것을 100% 만족시킬 수 없다. 노출시키는 가능성을 적게하는 것이 중요하다"고 말했다.

이제 정보보안 리스크는 IT나 보안상의 문제가 아니라 기업 비즈니스 문제이며, 기업 전체가 이 리스크를 줄이는 데 주력해야 한다.

짐 넴스는 정보보호를 위해 인식(perception)보다는 증거(evidence)에 기반을 두고, '다르게 생각(Think differently)'하고 '비판적 사고(Critical Thinking)'을 가질 것을 주문했다.

"또한 주변 환경을 보호하기 위해 더 강한 방어벽은 필수적이다. 무엇보다 아웃풋(output)보다는 아웃컴(outcome)이, 위험 가능성보다 위험 확률이, 지표 데이터가 아닌 리스크 분석이, 그리고 컴플라이언스보다 리스크 관리가 더 중요하다. 매일 보고서가 나오더라도 이를 의사결정에 활용하지 못하면 아무 소용이 없다"고 덧붙였다. editor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.