Cover Story

“이것은 진정한 프로세스 지향 보안이다”

그렉 보스틱(Gregg Bostick, 사진), 피나클 푸드(Pinnacle Foods) 운송 부사장

Q 5. 누가 후단에서 애플리케이션을 관리하며 내부 유출을 막기 위한 정책으로는 어떤 것이 있는가?

세일즈포스닷컴 침해에서 나타난 것처럼 많은 보안 이슈들은 기술적인 약점보다는 인간 본성의 약점과 좀 더 관련 있다.

인센트라 솔루션즈(Incentra Solutions)의 서비스 개발 관리 책임자 제이 엘더(Jay Elder)는 “수많은 SaaS 공급자들은 128bit 암호화를 제공한다. 그러나 이것이 항상 의무적으로 지켜지고 있는 것은 아니다”라며 “사용자들에게 진짜 필요한 것은 가장 까다로운 암호화를 사용해 로그인하는 것을 훈련하는 일이며 자신들의 패스워드를 내어주는 것으로 인한 사회적 취약성을 인식하는 것이다”라고 말했다. 당신이 애플리케이션 내부에 있을 경우 사용자 관리 권한에 관한 문제도 또한 과소평가해서는 안 된다. 피나클 푸드(Pinnacle Foods)사의 운송 부사장 그렉 보스틱(Gregg Bostick)은 그의 팀과 여러 선적 파트너사들 사이의 운송 조정을 관리하기 위해 SaaS 애플리케이션 LeanLogistics On-Demand TMS을 사용하고 있다.

보스틱은 운송료 테이블이나 지불 계정 정보 등과 같은 특정한 유형의 데이터를 볼 수 있는 권한을 가진 사람을 엄중히 통제하고 있다. 보스틱은 “이것은 진정한 프로세스 지향 보안”이라며 “유일한 문제라면 그것은 당신이 그것을 문제가 되도록 만들 경우”라고 말했다.

더 큰 문제는 아마도 공급사의 애플리케이션의 관리에 있을 것이다. 포레스터사의 허버트는 규칙과 접근 권한과 더불어 애플리케이션을 수정할 수 있는 사람이 누구인지 아는 것이 중요하다고 말했다. 고객의 관점에서 이것은 사업체 내부의 IT 팀의 통제로 남겨야만 한다고 그녀는 말했다. 세일즈포스닷컴 사태가 시사하듯 계정 정보가 쉽게 공유되거나 서비스 공급사의 직원이 접근할 수 없도록 보증하기 위한 강력한 조치가 필요하다. 기업은 또한 계정 스푸핑과 피싱에 관련된 구체적인 정책을 갖고 있어야만 한다.

<글·헤더 클랜시(Heather Clancy)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>