사용자, SW 개발자, 보안전문가 등에 따라 보안전략 다르게 수립해야

[보안뉴스 김경애 기자] 이젠 보안도 전략이다. 이메일 해킹부터 스미싱, USB 악성코드 감염 등에 효과적으로 대응하기 위해서는 좀더 실질적이고 효율성 있는 전략으로 보안을 강화해야 한다는 목소리가 커지고 있다.


악성코드가 주로 배포되는 주요 통로는 이메일, 물리저장장치(USB 등), 온라인 게시물, 파일 공유 서비스, 장악된 시스템이다. 특히, 사용자가 많이 이용하는 주요 악성코드 배포지는 온라인 게시물, 이메일, 파일 공유 서비스, USB 및 공유 폴더다.

리투인소프트웨어 강동현 연구개발팀장은 eGISEC 2023 콘퍼런스에서 “공격자가 악성코드 유포 통로를 이용하는 이유는 사용자 중심으로 분류해야 공격이 용이하고, 사용자 개별 대응이라 차단이 쉽지 않기 때문”이라며, “해커는 공격 항목을 직관적으로 이해하고 있다. 심플하고 공격하기 쉬운 범위, 경험 위주로 분류해 공격한다”고 말했다.

따라서 사용자, SW 개발자, 보안전문가 등에 따라 정보보안 전략을 다르게 하는 주체적 사고가 필요하다고 강 팀장은 강조했다. 사용자는 개별적 행동지침에 따라 보안을 강화하고, SW 개발자는 시큐어코딩, 취약점 패치 등에 주안점을 두고 보안을 강화해야 한다. 또한, 보안전문가는 이해하기 쉽게 설명하는 비전문가 화법을 사용해야 한다는 뜻이다.

강동현 팀장은 “홍보팀은 마케팅 자료, 홍보 프로젝트 자료, 고객 자료 등을 취급하고, 회계부서는 회계자료, 인사팀은 인사자료, 프로젝트 자료 등 사용자마다 취급하는 정보의 범위와 개별적 행동지침이 다르다”며 “개인과 조직 환경에 따라 보안관련 행동지침을 다르게 세워야 한다. 신규 연구개발팀은 주로 USB를 사용하기 때문에 그에 맞춘 보안전략을 짜야 한다. 실제 사용자 측면과 효율성 측면을 고려한 보안전략을 수립해야 한다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>