나는 나를 둘러싼 세계에 의해 환멸을 느끼지 않는 나이에 도달할 수 있을지 자주 궁금해진다. 그것은 인생에서 아주 어린 시기에 시작되었다. 돈을 지불하지 않은 소프트 드링크 한 병을 가져온 대가로 아버지에게 혹독한 징벌을 당하였던 그 때 나는 이미 환멸을 경험했다. 나는 그저 가게에 들어가 어떤 것을 들고 그대로 나와 버렸다고 생각하지는 않는다. 나는 그때 이후 몰락의 길을 걸었다. 산타클로스는 존재하지 않았다. 학교에서 공부를 해야 했고 편지도 써야 했다. 그렇지 않으면 허리끈으로 두들겨 맞아야 했으니까. 2008년 이것은 아동 학대라고 하겠지만 그 당시는 예방적 차원의 조치라고 말들을 했다. 그 후 마침내 나는 직업의 세계로 들어가 봉급의 반을 스피드 카메라와 다양한 다른 유용한 물품들을 구입하는 데 썼다. 그리고 감사 책임자는 믿을 수 없다는 것을 발견했다.

여기에서 나는 수 년 간 IT 직원이 처한 위험이나 혹은 더한 거래처의 위험에 관한 감사 책임자(CO)에게 조언을 제공해 왔다. 감사 책임자는 회사의 비밀을 훔치고 부적절한 자금을 훔칠 준비가 된 잠재적인 범죄자였다. 그리고 나는 몇 주 전에 회사로 가서 감사 책임자가 해고되었음을 알게 되었다. 이것은 사소한 예에 불과했다. 감사 책임자는 회사가 모든 관련 정책들을 준수하고 있음을 확인하는 모든 계약들을 단순히 평가했다. 그리고 모든 사람들은 CO가 내부 부정행위자를 찾기 위해 부지런히 일하면서 제 임무를 묵묵히 해내는 것으로 생각했다. 결국 당신은 아주 운이 나쁘게도 많은 거래와 비난을 동시에 받을 수 있다. 감사 책임자는 그들 모두에게 가장 큰 악을 저지르는 자였다.

위험 산정

요즘 당신이 어디에서 보이는지는 중요하지 않는 것처럼 보인다. 당신은 누구도 믿을 수 없다. 이것은 현재 많은 기관들에서 직면하는 문제의 핵심이다. 그들은 자신들의 직원이 어리석을 짓을 하지 않는다고 믿을 수 있고, 직원들을 믿을 수 있다고 생각한다. 직원들이 모두 기본적으로 정직하기 때문에 신뢰가 가능하다고 생각하는 것이다. 그러나 불행하게도 가장 자주 피해자가 되는 것은 정직한 사람들이고, 한 사람의 부정직하고 부주의한 직원이 우리가 흔히 듣는 재난 수준의 결과를 야기하여 회사에 엄청난 실패를 가져다주는 사람이 된다. 정부를 위해 일하는 부주의한 직원 혹은 금융 부분에서 근무하는 비도덕적인 직원이든 상관없이 끝장이 나는 결과는 똑같다.

접근 통제

오늘날 모든 기관은 규모가 크든 작든 상관없이 시스템에 대한 우선적인 접근권이 제어되고 비밀 데이터의 보안을 유지하는 것이 필요하다. 그리고 여기에서 핵심적인 지위에 있는 사람들이 자신이 무슨 일을 하는지 이해하는 것이 필요하다. 일례로 포춘지가 선정한 영국 100대 기업의 한 CISO는 계획한 인수 작업에 대한 M&A 데이터가 안전하며 그 이유는 이사회 회의실 서버의 보안수준을 대폭 강화해 오직 감사 책임자만이 관리가 가능하도록 시스템을 정비했기 때문이라고 밝혔다. 

데이터 보안

내부 통제의 실패는 결국 데이터 침범, 서비스 거부 공격, 그리고 감사 실패의 결과를 야기한다. 그리고 취약성을 가진 핵심적인 대상은 네트워크 내부와 외부의 특권을 부여 받은 사용자의 접근 통제, 공공 네트워크를 통한 비밀 데이터 교환, 그리고 네트워크 내 아주 민감한 데이터 확보이다. 내부자 위협은 오늘날 회사에는 최고의 보안 위험이다. 왜냐하면 내부자 사고는 시스템 관리자나 특권을 부여 받은 계정 접근을 통해 이루어지는데 이는 데이터 보안에서 10개의 위반 중 9개에 대해 책임이 있는 것이다.

정보 누출

정보 누출은 모든 형태로 일어나며 오늘날 대기업이나 중소기업에서 점차 증가하는 추세이다. 이러한 범죄는 고의적이든 아니면 연합 공격이든 간에 아주 민감한 정보들을 보다 큰 시장으로 누출하여 원래 회사의 비즈니스와 경쟁력과 명성에 치명타를 입히는 행위이며, 이는 또한 고객이나 협력업체 혹은 거래업체의 프라이버시와 신뢰에 심각한 손상을 초래한다.

해결책

일반적인 해결책, 예를 들면 우편(우편을 통한 CD), 이메일 혹은 FTP는 여러 가지 단점이 있다. 우편으로 방대한 양의 문서들을 보내는 것은 성가신 일이며 추적도 어렵다. FTP 해결책은 신뢰성도 없고 안전하지도 않다. 암호화 이메일을 포함한 이메일 방법 역시 신뢰성이 없다. 왜냐하면 수신자의 이메일 인프라에 따라 결과가 달라지기 때문이다. 대용량 파일이나 암호화된 파일은 많은 경우 이메일 보안정책에서 실패할 수 있다. 회사들은 보안을 유지하면서도 글로벌 차원의 접근성과 접속 가능성을 확보해야 한다.

데이터 보호를 위한 조언

Cyber-Ark의 IT 보안 고문으로서 위의 내용은 데이터를 보호하기 위해 어떻게 해야 하는지에 관해 고객들에게 들려주는 조언이다.

정보는 비 인증 수정, 삭제, 노출로부터 보호되어야 한다. 암호화와 다른 보안 메커니즘은 누군가가 컴퓨터를 해킹하거나 보안 시스템을 교묘하게 빠져나가면 별 도움이 되지 않는다. 예를 들면 암호화는 비밀 유지에는 유용하다. 그러나 고의적인 삭제나 우발적인 수정으로부터는 보호되지 않는다. 확실한 보안구조를 구축하기 위해서는 안전 유지 장치를 취한 환경이 보안 인프라의 수용과 보호를 위해 반드시 존재해야 한다.

어떤 회사도 정보 노출사고의 위험에서 안전한 회사는 없다. 100% 신뢰할 만한 기관(집단) 같은 것은 존재하지 않는다. 특히, 당신이 아웃소싱 직원이나 계약 직원을 사용하는 경우에는 그러하다. 얼마나 많은 회사들이 누군가에 사기를 당했는지, 혹은 언제 그랬는지 모른다는 반응을 하고 있다. 그리고 명심할 것은 보안사고는 회사의 종말과 연결된다는 것이다.

그래서 사람들은 당신을 실망시키는 습관이 있기 때문에 당신의 데이터는 확실히 보안장치가 취해져 있고 제대로 잠금장치가 되어 있다고 말해야 한다. 누군가는 언젠가 다음과 같은 유명한 말을 했다. “저항할 수 없는 경우 보통 나는 유혹을 아예 피해 버립니다.”  

데이터 보호를 위한 방법

1. 반드시 시각적으로 확인할 수 있는 심사 체제를 마련하라. 정보의 소유주들은 반드시 정보에 무슨 일이 일어나고 있는지 실제 눈으로 항상 확인해야 한다. 자동 로그인, 자동 경보와 연결하여 회사는 반드시 예방과 감시 시스템을 확보해야 한다.
2. 정보의 소유주와 정보의 관리자 간에 반드시 직무 분리가 있어야 한다. 달리 말하자면 인사관리 과장을 겸임하고 있지 않는 한 IT 직원이 직원 계약을 모두 읽을 필요는 없다.
3. 이중 컨트롤을 통해 높은 보안을 요하는 데이터는 또 다른 사람의 승인이 있을 때에만 접근 가능한 체제가 확보되어야 한다.
4. 데이터는 항상 암호화된 형태로 백업해야 하고 비승인 접속을 방지하기 위해 백업된 매체에도 암호가 유지되어야 한다.
5. 그리고 접근은 항상 사용자 지점을 근거로 컨트롤이 되어야 한다. 달리 말하자면 PC방에서 귀여운 외모의 아가씨에게 과시용으로 직원이 정보를 공개하는 것이 직원의 책임은 아닌 것이다. 정보는 그 정보가 있는 곳에서 정확히 내부적인 용도임을 명심하라.

<글 : Calum Macleod, European Director, Cyber-Ark(www.cyber-ark.com)>

[월간 시큐리티월드 통권 제153호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>