보안을 생각하는 기업들조차도 보안에 관한 일반적인 오해 때문에 데이터 침해와 좋지 못한 평판에 이르는 경우가 있다.

오늘날 상당수의 기업들은 민감한 고객 데이터에 관해 신문 1면에 실릴법한 위험을 떠안고 있다. 이것은 결코 그들이 보안 전략을 갖고 있지 않거나 규제 요건 사항을 충족시키기 위한 단계를 밟고 있지 않기 때문이 아니다. 기업들은 어떤 솔루션들이 실제보다 훨씬 훌륭한 수준의 보안을 제공한다고, 또는 어떤 프로세스가 보안 침해에 영향 받지 않는다고 생각하기 때문에 실수를 저지르게 된다. 이러한 생각 때문에 내가 곧잘 ‘덫에 걸린 순간’이라고 부르는, 즉 데이터 침해와 부정적인 평판이라는 결과에 이르게 되는 것이다. 기업이 원치 않는 언론 보도에 시달릴 수 있는 원인이 되는 몇 가지 오해와 실수는 다음과 같다.

암호화 되어있다면 안전하다? 암호화는 민감한 정보를 보호하기 위한 훌륭한 방법이며 올바르게 행해지기만 한다면 기업들이 대부분의 업계 및 규정의 데이터 보안 요건을 충족시키는데 도움이 될 수 있다. 또한 대부분의 경우 이것은 수많은 침해 공지 법으로부터의 자유를 의미하기도 한다. 그러나 정보가 암호화되어 있다고 해서 그것이 반드시 안전하다는 의미는 아니다.

따라서 암호화 키를 생성하고 관리하기 위한 방법이 중요하다. 일부 기업들은 개발자들과 관리자들, 그리고 사용자들에게 암호화 키를 제공할 뿐만 아니라 심지어 그 키들을 암호화된 데이터가 저장되어있는 데이터베이스에 함께 저장해준다. 이것이 바로 암호화의 효과를 약화시키는 악습이다.

무선 네트워크에 WPA2를 작동시키면 안전하다? 최신 무선 인증과 암호화 표준, 즉 WPA2를 작동시키는 것이 무선 네트워크와 관련된 취약성을 제거해 줄 것이라는 생각은 흔히 있는 오해다. 그러나 무선 클라이언트 세팅이 적절하게 설정되고 차단되지 않는 한, 무선 네트워크는 액세스 포인트 위장(Impersonation)이나 중간자 공격에 취약하다. 허용된 액세스 포인트로 위장해 기업 로그인 스크린처럼 보임으로써 사용자를 속여 ‘이블 트윈(evil twin : 엔드 유저가 모르게 개인적인 정보를 수집하기 위해 합법적인 것으로 가장하는 사적으로 제작된 무선 접근 노드)’과 연결시키는 액세스 포인트를 설정하는 것은 상당히 흔한 일이다.

보안 정책은 대기업에만 필요하다? 규모에 상관없이 기업은 정보보호 정책을 갖고 있어야만 한다. 그러나 중간 규모나 소규모의 사업체들은 이에 관해 심각하게 생각하지 않는다. 일부는 수년 간  IT 정책 없이 민감한 신용카드 정보를 저장해오고 있다. 이러한 회사들은 보안 기술을 구현했지만 그것만으로 문제를 해결할 수 있다는 한결같은 믿음 때문에 고난을 겪는다. 보안 기술에 아무리 많은 투자를 하더라도 관리 승인된 정책 없이는 효과적일 수 없다.

민감한 데이터를 무기한 저장해야 한다? 일부 회사들은 그들이 고객에 관하여 수집한 것은 심지어 민감한 정보라 할지라도 결코 아무것도 삭제하지 않는다. 여기에서의 실수는 수년 전에 통했던 데이터 수집 프로세스가 오늘날에도 통하리라고 생각하는 것이다. 훨씬 많은 정보들이 수집되고 디지털로 저장됨에 따라 교묘한 해커들에 의해 내포된 위협들도 더욱 커지고 있어 보안의 증진이 요구된다.

직원들에게 모든 것에 접근할 수 있는 권한을 부여? 일부 기업들은 어떠한 실제적인 증명 없이 거의 대부분의 직원들과 계약자들이 민감한 고객 데이터에 접근할 수 있도록 허용하고 있다. 그들은 이러한 정보에 대한 접근을 적절히 제한하는데 필요한 액세스 컨트롤을 관리하는 것은 무리라고 주장한다. 그것 말고도 우선해야 할 다른 일들이 있기 때문이다. 그러나 가장 엄청났던 민감한 데이터 노출 또는 오용과 관련한 사건들 중 상당수는 내부자에 의해 비롯됐다.

‘덫에 걸린 순간’에 이르러서는 안 된다. 만일 당신의 회사가 앞서 언급했던 악습들을 피할 수 있다면  좋지 못한 이유로 언론의 헤드라인을 장식하는 일은 없을 것이다.

<글· 케네스 스미스(Kenneth M. Smith)>

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>