제퍼슨 웰즈 위험관리 책임자 돈 얼쉬 인터뷰

제퍼슨 웰즈(Jefferson Wells)의 위험관리 책임자이자 전 영국 국방부(British Ministry of Defense) 고문인 돈 얼쉬(Don Ulsch)는 일부 기업에서 물리적인 보안과 정보보안을 별도로 취급하는 것은 큰 실수라고 경고한다. 신원조사와 같이 중대한 기능은 기업의 보안정책에 통합되어야 한다. IT 보안에 영향을 줄 수 있기 때문이다.

물리적인 보안과 정보보안의 통합에 대해서 기업이 오해하는 것이 있다면?

간부들만 대상으로 신원조사를 하고 상대적으로 하부조직에 직원들의 신원조사는 생략하는 회사들이 있다. 이렇게 되면 평사원들이 회사의 중역들만 볼 수 있는 중대한 정보에 접근하게 될 수도 있다. 이들이 계약자, 신입 직원 또는 방문자들의 지문을 채취하여 생물학적 ID 시스템에 등록할 수 있다는 뜻이다. 즉, 지문과 같이 개인을 생물학적으로 식별해주는 증거물을 날조할 수 있다는 것이다. 누군가가 등록될 때마다 암호화되기 전에 지문이 모니터에 표시된다. 관리자는 이 이미지를 인쇄하거나 이메일로 전송할 수 없으며, 워드 문서로 복사할 수도 없다. 하지만, 고해상도의 디지털 사진을 입수하여 데이터 파일로 변환할 수는 있다. 1년 정도 되면 수천 개의 지문을 병합할 수 있게 되는 것이다.

일반적인 신원조사가 어떻게 이런 사람을 놓칠 수 있는가?

이런 사람은 낮은 수준으로 간주되어 신원조사를 받지 않거나 일반적인 지방 사법 기관의 조사만 받는다. 하지만 이런 사람도 중죄로 선고되거나 연방법원에 구속될 수 있다. 그렇지만, 인증된 연방법원의 신원조사가 없기 때문에 업체들은 연방 유죄 판결에 대해 알지 못한다.

이런 보안상의 허점이 얼마나 확산되어 있는가?

거의 대부분의 회사에서 이렇게 법적 및 재정적으로 또는 명성에 손해를 입힐 수 있는 잠재적인 문제들이 발견된다. 이런 문제는 보통 물리적인 보안, IT 보안 그리고 위험관리 사이의 통합 부족에서 기인한다. 역사적으로 우리는 별도의 보안 및 위험점검은 많이 수행했지만, 이런 요소들을 하나의 통일체로 간주하기 시작한 것은 불과 얼마 전이다.

어떤 위협들이 간과되고 있는가?

인터넷이 지원되는 카메라폰도 또 다른 문제다. 기밀정보가 공유되는 회의실에 이런 카메라폰의 휴대를 허용할 것인가? 이런 것들이 업체의 보안정책에서 해결되어야 할 사항들이다.

블로그도 또한 기밀 정보의 유출이라는 점에서 심각한 위협으로 떠오르고 있다. 내가 거래하는 어떤 회사에서는 한 IT 설계자가 자신의 블로그에 기밀정보를 공개한 일이 있었다. 이 사람은 특정 문제를 해결하려는 친구들과 블로그를 공유하고 있었는데, 반대측에 있던 한 해커가 이 설계자의 신뢰를 얻게 되자 이 설계자가 자사의 보안 아키텍처를 공개해버린 것이었다. 하루도 못되어 이 사람의 회사는 엄청난 공격을 받게 되었다고 한다.  (글: ┖TechTarget┖ Bill Brenner)

[보안뉴스(www.boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>