보안

코로나 19 이후의 시대, CISO에게 주어진 과제는…RSA 컨퍼런스

Cynthia Brumfield | CSO 2021.05.26
코로나 19 위기가 종료된다면 좀 더 영구적인 원격 작업자, 직원의 건강 데이터 보호를 위한 요구사항 및 더 위험한 위협 환경이 보안 팀을 기다리고 있다. 
 
ⓒ Getty Images Bank

CISO는 코로나 19 이후의 세상에서 새로운 보안 문제를 관리해야 한다. 최근 RSA 컨퍼런스에서 발표한 전문가에 따르면, 많은 보안 직원이 피로와 스트레스를 받고 있는 것처럼 기업은 재구성된 작업 환경과 직원 건강 고려 사항, 증가된 위협을 해결해야 한다. 
 
시스코 시큐어(Cisco Secure) 자문 CISO이자 미국 오하이오 주립대학 전 CISO인 헬렌 패튼은 ”코로나 19가 처음 발생했을 때, 우리는 항상 불안감을 느꼈다. 우리는 전투 모드에 들어갔고 이를 잘 수행했고, 학습했다. 그러나 이 일이 너무 오래 지속되고 있다. 스트레스와 과로함을 느낄 수 있다”라고 토로했다. 


일과 삶의 균형에 집중하라 

패튼은 “지난 18개월 동안 100% 이상을 운영해왔지만, 끝이 보이지 않는다. 예상치 못한 상황에 대한 계획을 더 잘 세워야 한다. 즉, 팀을 위한 계획을 세워 그들을 불태우지 않도록 해야 한다”라고 조언했다. 증가된 작업량은 약간의 이점이 있었다. 패튼은 결과적으로 일과 삶의 균형이 가져오는 좋은 점을 발견했다고 말했다. 

많은 기관과 기업이 코로나 19 기간동안 사기를 높이기 위한 특전과 인센티브를 제공함으로써 보안팀의 증가된 워크로드에 대한 부담을 완화하기 위해 노력해왔다.

마켈(Markel) CISO이자 CPO인 패티 타이투스는 “실제로 직원들이 정신 건강상의 이유로 사무실로 돌아오는 것을 허용했다. 또한 크레이트조이(Cratejoy)라는 제품에 구매해 재택에서 아이들과 함께 일하는 직원은 아이가 할 수 있는 일로 가득 찬 상자를 받았다. 우리는 회사를 연결하는데 '힘을 합친다'는 좌우명이 정말 필요하다는 것을 느꼈다”라고 말했다.

노스웨스턴 뮤추얼(Northwestern Mutual) CISO 로라 디너는 보안 직원들이 위기에 처했지만 이 위기동안 조성된 공동체 의식이 위안이 된다는 데 동의했다. 디너는 “모든 사람이 함께 모이는 것을 보니 좋았다”라고. 


직원의 근무지에 대한 유연성 증대

많은 직원이 오프라인 사무실로 돌아오고 있지만, 업무 공간은 이전과 달라졌다. 마이크로소프트 기업 부사장이자 CISO인 브렛 아세놀트는 “우리는 72시간 이상 10%의 원격 근무에서 97%의 원격 근무로 전환한다. 우리는 IT 업계에 있었기에 전염병을 헤쳐 나갈 수 있었다. 매우 운이 좋았다"라고 밝혔다. 
 
그러나 이제 건강상의 고려 사항이 직원들이 생각하는 작업 환경과 다른 양상으로 바꾸고 있다. 아세놀트는 직원들을 직장으로 다시 데려올 때, 사회적 거리, 위생 환경, 계획하지 않은 모든 다른 것들을 준비해야 한다고 말했다.
 
아세놀트는 "직원 4명 이상 같은 사무실에 앉아 있지 않도록 하기 위해 업무 및 사무실 환경을 전환, 변경해야 한다. 모든 직원의 보안과 사생활을 확실히 보호하길 원한다. 다시 돌아오면 매우 다른 작업 공간이 됐다”라고 설명했다. 

이제 직원들이 재택근무 환경에 적응했기 때문에 모든 직원이 사무실로 돌아오지는 않을 것이며, 이에 따라 회의나 기타 모임을 구성하기가 더 어려워질 것이다. 아세놀트는 “훨씬 더 다양한 작업 시간을 보게 될 것이다. 직원들은 단지 그들의 동네에서, 집에서 일하는 것이 아니라, 2시간이나 떨어진 곳으로 이사할 수도 있고, 가족과 더 가까운 곳으로 이사할 수도 있다. 지역적인 것이나 다른 것에 대한 생각, 그 모든 전제가 깨질 것이다”라고 예측했다. 


건강 데이터 수집 및 보호를 위한 새로운 요구사항 

최상의 의료 관행을 수용할 수 있도록 사무실 환경을 구성하는 것 외에도 기업은 이제 직원으로부터 많은 건강 정보를 수집하고 있다. 이 데이터 수집에는 CISO가 업무에 통합해야 하는 새로운 수준의 보안 보호와 개인정보 보호 관행이 필요하다. 

폴 헤이스팅스(Paul Hastings LLP) 파트너 아론 찰푸스는 “고용주가 직원들에게 요구할 수 있는 정보에 대한 기대치는 실제로 상향됐다. 전통적으로 사적인 것으로 간주되었던 몇 가지 정보를 수집하는 것은 장기적으로 해야 할 일이다”라고 말했다.

찰푸스는 진정으로 필요한 정보의 범위, 정보를 수집하고 저장하는 최선의 방법, 그리고 긍정적인 테스트 결과와 연락처 추적에 대한 주 및 지방 의무사항의 적용 방법에 관한 것이라고 언급했다. 이 모든 것들은 이전에 다루지 않아도 되는 것들이었다.

찰푸스에 따르면, 기관과 기업의 76%가 직원에게 코로나 19 진단을 받은 경우 고용주에게 알리도록 요청했으며, 53%는 직원에게 개인적인 여행이 어디였는지 질문했다. 또한 고용주의 35%가 가구 구성원의 코로나 19 상태에 대해 질문한 반면, 고용주의 23%는 직원들이 회사 문을 들어올 때 체온을 측정했다. 

고용주가 직면한 진짜 문제는 ‘이 모든 정보를 수집하거나 어느 정도까지 보관해야 하는가’이다. 찰푸스는 “직원으로부터 이 정보를 받아야 하는가? 보관해야 하는가? 보관할 경우 얼마나 오래 보관할 것인가? 정보를 얻고 보관한다면 영원히, 그 자체로 많은 문제를 일으킬 수 있다”라고 우려했다. 건강 관리 데이터를 다루는 미 연방법(Health Insurance Portability and Accountability Act, HIPAA)을 준수하는 것 외에도 정보 보호를 약속하는 방식에 주의를 기울이고 있는지 확인하는 것이 중요하다.  


위협 행위자, 데이터 유출 공격 증가 

스콰이어 패튼 보그스(Squire Patton Boggs LLP) 대리 에릭카 존슨은 “전염병 이후 집에서 일하는 일이 계속 확산되면서 랜섬웨어 공격과 데이터를 훔치려는 것을 막는 것은 더 어려워졌다. 지금까지 본 결과, 코로나 19는 사이버보안 사건들을 증가시켰다. 이제 위협 행위자는 랜섬웨어 공격을 하기 전에 데이터를 유출하고 전체 데이터를 암호화하는 2가지 공격을 수행하고 있다”라고 설명했다. 

기관과 기업은 이제 피싱 및 소셜 엔지니어링 공격에 더욱 취약해졌다. 존슨은 “위협 행위자가 복잡한 부동산 거래를 설명하는 CEO로 가장한 ‘매우 고도로 정교한’ 사건을 다룬 적이 있다. 이 위협 행위자는 전문 용어를 말할 수 있었다”라고 말했다. 

일반적인 상황이라면 피해 직원은 CEO의 사무실로 걸어가 500만 달러를 송금해야 하는지 의사를 확인할 수 있었다. 하지만 원격 환경에 있기 때문에 이런 위협 행위자들이 소셜 엔지니어링 공격을 사용해 공격하는 것이 훨씬 더 쉬워졌다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.