시그나(GIGNA)의 크레이그 슈머드(Craig A. Shumard)는 정보보안과 위험관리를 대부분의 사람들보다 더 오래 융합해오고 있다. 시그나에서 25년을 보내고 난 후, 그 중 마지막 7년은 CISO로 근무했다, 그는 경쟁자들에게 왜 민감한 자료의 안전이 경시되어서는 안 되는지 알도록 도와주는 일에 적극적이었고, 특히 계약자와 사업 파트너들이 관계될 때는 더욱 활동이 눈부셨다.

얼마 전만해도 ‘정보보안’을 이해한 회사들이 거의 없었다고 크레이그 슈머드(Craig Shumard)씨는 말한다. 이제는 정보 보안과 위험 관리가 모든 기업들에게 가장 중요한 사항을 깨닫고 있다는 것.

“1990년대 후반으로 돌아가서, 그 때 우리가 동업종 회사들과 이야기를 나눌 때 우리는 위험 문제에 대해 심각하게 생각하지 않았습니다,” 라고 건강관리와 보험 분야의 거대 회사인 시그나(CIGNA)의 최고정보보호책임자(CISO)가 말한다.

슈머드씨는 이러한 발전에 대비해 명성을 받을 만한 인물이다. 시그나에서 25년을 보내고 난 후, 그 중 마지막 7년은 CISO로 근무했다, 55세인 그는 그의 산업 분야에서 아마 가장 많은 의견을 내세울 보안 중역이 되었다. 사실 그는 경쟁자들에게 왜 민감한 자료의 안전이 경시되어서는 안 되는지 알도록 도와주는 일에 적극적이었고, 특히 계약자와 사업 파트너들이 관계될 때는 더욱 활동이 눈부셨다.

“나를 항상 걱정시키는 것들 가운데 하나는 사람들이 자신들의 사업 파트너를 볼 때 그들을 다른 눈으로, 덜 성실하게 대한다는 겁니다,” 라고 슈머드씨는 말한다.

“우리가 심각한 문제를 가지고 있는 여러 타 회사들을 점검한 결과 우리는 그들이 자료의 위험에 대해 거의 신경을 안 쓰고 있거나 또는 전혀 신경을 쓰고 있지 않는 다른 유명기업들과 거래를 하고 있다는 것을 알게 되었습니다. 일관적이고 굳건한 기준을 가지는 것과 인증된 공급자, 제삼자와 거래를 하는 것이 우리의 산업에서 그리고 산업계 전체에서 정보보안을 향상시키는 데 큰 효과가 있을 것입니다. “

몇 가지 예를 들자면 최근 미국보훈처(VA), 비자와 이퀴팩스 (Equifax)에서 명백한 데이터 침해가 있은 후에도 여전히 민감한 데이터 제어 액세스에 대해 적절한 조치를 취하고 있지 않은 조직들이 있다고 슈머드씨는 말한다. 

그러나 더 나쁜 것은 불량 인증사용자들이 가하는 위협을 아직도 과소평가하고 있는 것이라고 그는 말한다.

시그나(CIGNA)의 경우에, 그 168억불의 회사는 엄청난 정보보안정책 리스트를 가지고 있다. 그러나 사용자 행동이 제대로 감시, 제어되지 못하고 있기 때문에, 그 중의 반 이상이 충분히 집행될 수가 없는 것이라고 슈머드씨는 말한다. 그것은 그 성공이 시그나의 2만8천여명의 종업원이 정책을 따르는 것에 달려있다는 것을 의미한다.

예를 들어, 많은 회사들처럼 시그나도 각 메시지의 민감성에 근거해 이메일 메시지를 암호화해야 하는지에 대한 결정을 종업원에게 맡기고 있다고 말한다. 사용자들 또한 탈착형 미디어(removable media, 플로피 또는 CD) 상에서 데이터를 암호화하는 작업을 하고 있는데, 그러나 이것이 자동적 프로세스가 아니기 때문에 잊어버리기가 쉽다.

“사람들이 제대로 일을 하고자 하는 동안, 실수를 할 수 있습니다. 그 때 사람들은 취약성과 위험을 만들어내게 됩니다.”

보안 업체들조차도 문제를 충분히 인식하지 못하고 있다. 슈머드씨는 오늘날 이용 가능한 대부분의 보안 제품들이 인증사용자들을 제어하고 관리하는 과정보다 차라리 외부 위협에 초점을 맞추고 있다고 말한다.

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>