2012년 런던 올림픽을 향해 달리고 있는 지금,

영국의 공공업체가 주요한 공격목표가 되면서

위협들은 증가할 것이다.

런던, 파리와 샌프란시스코의 거리를 지나는 성화 봉송을 둘러싼 논쟁과 시위들은 영국이 2012년 올림픽으로 나아가면서 그 동안 직면하게 될 매우 심각한 보안 문제들을 강조하고 있다. 8월 24일 행사 폐회식에서 런던에 바통이 전달되어 영국이 주목을 받게 되면서, 초점의 방향이 바뀌어 영국은 정치와 종교적 신념들로 인한 공격들의 다음 목표가 되고 있다. 믿거나 말거나, 세계의 모든 이들이 영국과 그 문화를 사랑하는 것은 아니다. 이러한 공격들은 물리적이면서 디지털로 이루어질 가망이 매우 높으며, 의심의 여지없이 뒤에 가려진 조직범죄에 대한 훌륭한 연막이 될 것이다. 보안 공동체는 사업상의 위협들에 관한 교육 필요성이라는 엄청난 도전에 직면하고 있다.

사업상의 위협

2007년 말 ‘더 타임스’는 CPNI(국가 인프라 보호 센터)가 중국이 영국 경제의 주요 부분(대형은행의 컴퓨터 시스템과 재무 서비스 회사 등을 포함하는)에 대한 국가적 스파이 활동을 했다고 고발했다며 영국의 주요 기업체들에게 경고한 내용의 헤드라인 기사가 있었다. 정부는 중국에서 영업 중인 영국 회사들이 기밀 상업정보(올해 올림픽을 주최한 그들과 아이러니한 접촉) 절도를 위해 인터넷을 이용하는 중국 국가 조직의 목표가 되고 있다고 주장한다. 게다가 영국이 유일한 게 아니며, 미 국방부는 자신의 시스템도 중국에 의해 마비된 적이 있었고, 그 정도나 심각성은 모른다는 점을 인정했다는 사실이 공식 확인되었다. 그러면 여러분의 조직에 대한 위협은 무엇이고, 정부에서 왜 통보를 하려고 하는가?

보안 공동체는

사업상의 위협들에 관한 교육 필요성이라는

엄청난 도전에 직면하고 있다.

IT에 대한 의존도가 높아지면서 얼마나 많은 민감하거나 중요한 정보가 IT 환경 내에 보유되고 있는지에 대한 인식도 높아지고 있다. 민감한 데이터가 점점 더 디지털화되고, 규제 요건들이 점점 엄격해짐에 따라 조직들은 권한없는 접근, 변경과 손실로부터 자신의 데이터에 대한 보안의 어려움에 직면하게 된다. 기업 네트워크는 수많은 장비, 플랫폼, 기기 그리고 운영 체계를 포함하는 복잡한 존재이다. 직원의 이동성 증가와 네트워크 장비들의 증가로 인해 네트워크 접근의 추적과 통제가 기업 네트워크에서의 데이터 보안 유지를 위해 필수가 되고 있다. 조직들은 이런 자원들에 대한 접근에서 균형을 잡아야 하는 한편, 귀중한 자산을 보호하고 고객의 사생활을 보장해야 한다. 이런 균형 잡힌 권한을 얻지 못하면 비용이 많이 드는 사업상의 문제로 이어진다는 사실이 밝혀지고 있다.

보안 취약성 대처

기업 IT 시스템들에 대한 위협과 침투건수는 지난 몇 년간 엄청나게 증가했고, 현재의 보안 위험성은 대단히 복잡한 상태다. 조직에 대한 위협은 외부 위협에서부터 내부 위협 그리고 수동적 위협까지 들 수 있다. 네트워크와 개인 컴퓨터는 기물파괴행위(악성 모바일코드, 트로이 목마, 웜, VB/자바스크립트), 바이러스, 데이터 노출 그리고 부적절한 내용들로부터 보호될 필요가 있다. 급격히 진화하는 위협에 더 잘 대처하기 위해 조직들은 기존 네트워크와 그 네트워크가 외부 또는 알려지지 않은 장비들과 상호작용을 할 수 있는 경계에서 예방과 대응 조치를 결합하는 방향으로 가고 있다. 인터넷 공격에 대한 네트워크 보호와 연결된 방화벽들은 인터넷 위협들에 대한 네트워크 보안을 위해 점점 더 중요해지고 있다.

그러면 어디서 시작할 것인가? 당신의 조직이 직면하고 있는 보안 취약성에 대처하는 것을 생각하는 것만으로 충분히 머리가 아프다. 네트워크 취약성의 전체 문제를 발견하고 우선권을 부여하며, 그 후 그것들이 고쳐졌는지를 보장하는 것은 거의 불가능한 일이라서 당신의 조직이 노출될 수도 있다. 취약성 발견과 조사, 그리고 시스템 구성의 활용과 유지를 위해 취약성을 지속적으로 관리하는 일은 결국 시간과 돈을 절약해 주는 보안 환경을 보장해 줄 것이다.

위협에 대한 각성

기업에 대한 위협은 우리가 데이터에 의존하게 되면서 증가하고 있다. 좋은 소식으로는 영국 공공 유한 회사가 최종적으로 자신의 사업에 대한 위협에 대해 각성을 한 것처럼 보인다는 사실이다. 프로파일 데이터 손실을 여러 번 겪은 이후, 이사회가 결국 IT 예산보다 더 많은 부분을 보안에 쏟고 있다는 것이 이를 증명한다. 이것이 어느 CEO도 스스로가 신문의 헤드라인 기사에 등장하길 원하지 않고, 자신의 주주들에게 그들이 고객 데이터를 모두 잃어버렸다고 설명해야 하기 때문인가? 아니면 그 위협들이 결국 적절한 방송 시간을 부여 받고 있기 때문인가?

어느 쪽이라도, 보안업체가 직면하고 있는 문제는 그들이 제대로 일을 한다면, 사고가 일어나기 전에 예방되었을 것이기 때문에 금전 투자를 잘한 것으로 증명될 수 없을 것이라는 사실이다. 필자는 최근 몇 번의 행사에서 한 보안업체의 전 이사인 리처드 월튼 바로 옆자리에 앉아 이야기를 나눈 적이 있었다. 그는 항공사들이 항공기 조종석에 철갑으로 된 문을 두도록 의무화하는 법이 9·11 이전에 통과되었다면, 9·11이 일어나지 않았을 거라고 지적했다. 그렇지만 필자의 의견으로는 설사 법안이 통과되었다고 해도 업계가 그것이 불필요하다고 주장하면서 추가 지출에 대해 반대했을 것이다. 아마도 지나고 보니 무엇보다 이전에 여러 번의 항공기 납치가 있었기 때문에, 이 일은 바로 꼭 이루어졌어야 할일이었던 것이다.

우리는 재무이사들이 주식 투자에서의 실재 이익이 오늘뿐 아니라 미래에도 우리를 보호하는 데 필수적이라는 사실을 인식할 필요가 있다. 이런 지출의 결과, 그들이 손해가 적으면 배수로에 흘려보내는 대신 돈을 잘 썼다고 인식해야 한다. 2012년으로 향해 가면서 영국 공공 유한 회사가 주요 공격 목표가 되면서 위협은 늘어날 것이다. 말이 도망간 후에 문을 고치는 것은 아무 소용없는 일이므로 낭비할 시간이 없다. 런던 올림픽은 분명 역사에 기록되고 그에 따라 기억이 될 것이다. 그리고 그 기억이 테러가 아닌 ‘훌륭한 올림픽’으로 남도록 노력해야 할 것이다.

<글 : David Hobson, MD, Global Secure Systems (www.ges.co.uk)>

[월간 시큐리티월드 통권 제150호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>