보안

"보안에 성공하는 기업은 달랐다" 안전한 협업을 위한 관행 5가지

CSO staff | CSO 2022.08.08
협업 및 통신보안 분야의 양상은 최근 몇 년간 달라졌다. 변화에 박차를 가한 것은 원격 업무로의 전환과 함께 기업이 서둘러 동영상 및 팀 협업 도구의 온라인화에 나선 것이다. 이는 곧 보안에 대한 우려로 이어졌다. 시장 조사 업체 메트리지(Metrigy)의 대표 겸 수석 애널리스트 어윈 라자는 "기업 내 여러 팀이 협력업체, 공급업체, 고객은 물론 내부적으로 통신하는 방식이 빠르게 변하면서 새로운 보안 과제가 대두됐다"라고 말했다.

최근 CSO의 인포섹 서밋(InfoSec Summit)에서 라자는 성공적으로 새로운 협업 기술을 활용하는 기업이 보안을 위해 실천하는 방법을 조사해 공유했다. 다음은 그 발표 내용을 발췌 정리한 것이다. 더 자세한 것은 다음 세션 동영상을 참고하면 된다.


 

현황

통신 및 협업 보안에 대한 주제로 이야기를 나눠보면 여전히 요금 사기에 집중하는 경우가 많다. 많은 기업이 전화 시스템에 가해지는 공격, 즉 누군가 그들의 전화 시스템에 등록해 통화를 하고 심지어 통화 기록 등과 같은 데이터를 빼내거나, 악성 통신업체 또는 악성 지점을 거쳐 통화를 라우팅해 요금을 과다 청구하는 등 피해를 입는 것을 우려한다.

그러나 이런 상황은 지난 몇 년간에 걸쳐 빠르게 변한 것으로 확인된다. 여전히 통화는 중요하지만 이 분야에 도입된 다른 협업 기술이 관점에 따라서는 더욱 커졌기 때문이다. 그중에서도 첫 번째는 동영상이다.

동영상 보안 확보와 관련해 흔히 회자하는 문제는 관계자가 아닌 사람들이 회의에 침입해 내용을 염탐하고 엿듣는 것이다. 그 문제는 다행히도 대부분 업체가 해결한 상태다. 그러나 보안 관점과 특히 규정 준수 관점에서 발생하는 것으로 확인된 실질적인 다른 문제는 회의에서 많은 콘텐츠가 발생한다는 점이다. 오늘날 대부분 화상회의 서비스 업체는 회의 녹화 기능을 제공한다. 회의 내용을 글로 옮길 수도 있다. 대화가 진행되기도 하고 회의 밖에서 공개된 메모가 있을 수도 있다.

그렇다면 이 모든 자료는 어디에 있으며 이를 사용자의 규제 환경과 규정 준수 및 검색 전략, 전반적인 보안 전략의 맥락에서 어떻게 통제해야 할지 고민해야 한다.
 

성공적인 기업이 실천하는 관행

CSO는 2021년 3분기에 400곳 정도의 회사를 대상으로 조사를 실시했다. 협업의 관점에서 어디에 돈을 쓰는지 확인했다. 예산이 늘어나고 있는 부분과 줄어들고 있는 부분은 어디이고, 소위 ‘성공 그룹’의 차이점을 파악했다.

그 결과 성공적인 회사는 협업 지출 대비 ROI가 가장 높은 회사다. 이들 회사는 협업 애플리케이션에 투자하는 비용을 확인한 후 매출 증가, 비용 절감, 생산성 향상 등을 측정할 수 있다. 이번 조사의 설문 대상 중 이런 기준을 충족하는 '성공적인 기업'은 68곳이었다.

그다음으로 성공적인 기업이 어디에 돈을 쓰는지 살펴보니, 협업 보안에 가장 큰 차이가 있음을 확인했다. 성공적인 기업은 그렇지 않은 기업에 비해 협업 보안에 돈을 쓸 가능성이 약 20% 더 높았다. 또한, 성공적인 기업은 협업 보안 전략을 갖추고 있을 가능성이 상당히 높았다.
 

협업 보안을 위한 최고의 방법 5가지

이러한 성공 그룹과의 연관성이 가장 강한 것으로 확인된 최고의 보안 방법 5가지는 다음과 같다.

보안 플랫폼을 사용한다
시중에는 협업 보안 플랫폼을 제공하는 업체가 많다. 협업 서비스 업체 자체에서 제공하는 통제 장치도 많다. 그러나, 여러 업체의 서비스를 사용하는 현재의 협업 환경을 고려하면, 다양한 애플리케이션에 걸쳐 정책을 실행할 수 있고 다양한 애플리케이션을 감시할 수 있으며 공격 위협이나 실제 공격을 찾아내거나 대응할 수 있는 단일 플랫폼을 사용할 능력을 갖추는 것이 곧 성공과 직결된다.

누가 협업 보안의 책임자인지 안다
CSO라면 당연히 협업 보안을 최종적으로 책임지지만 일상적인 보안 업무 관리의 소유권을 위임하거나 위험이 무엇이며 가능한 완화 기법은 무엇인지에 대한 정보를 얻으려면 협업팀과도 함께 일해야 한다.

새로운 채널을 주목한다
이메일과 구형 인스턴트 메시징(IM)을 주로 다뤘던 규정 준수 및 보안 거버넌스 방식은 이제 팀 협업 앱이 다양화된 현재에 맞게 진화해야 한다. 팀 협업 앱을 고객, 협력업체, 공급업체 등에 확장하기 위해 게이트웨이 기능 또는 연합 기능이 사용될 가능성이 있다.

요금 사기에 대해 계속 생각한다
요금 사기는 여전히 기업에 심각한 잠재적 위험 요소다. 감청된 통화 또는 승인되지 않은 네트워크에 걸쳐 생성된 통화로 인해 비용 같은 위험뿐만 아니다. 의도하지 않은 전화가 우리 기업으로 발신되는 경우 평판 사기를 당할 위험도 있다.
    
SASE와 제로 트러스트(zero trust)를 실행한다
협업 보안에 관한 몇몇 다양한 측면이 있다. 하나는 원격 직원의 보안을 확보할 수 있어야 한다는 점이다. 예를 들어, 원격 직원이 인터넷을 통해 직접 어떤 애플리케이션에 접근하거나 인터넷에 연결된 컴퓨터를 사용하는 경우에는 VPN을 거쳐 무엇이 어떻게 사내에 들어오고 있는지 파악해야 하고 원격 직원이 어떤 애플리케이션에 접근 가능한지 통제하고 있어야 한다.

또한 제로 트러스트가 기업 협업 협력업체에 적용하기 시작하는 모습이 확인되고 있다. 즉, 내부 직원과 마찬가지로 제공업체를 신뢰할 수 없는 것으로 취급해 보안 방안을 마련하는 것이다.
editor@itworld.co.kr
 
 Tags 보안 협업

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.