• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한 해의 마무리 혹은 시작, 정보보호 전략이 필수 2014.11.26

전체적인 시각에서의 민감한 정보 관리 전략 필요

비싼 수업료 내는 조직, 내년엔 없었으면


[보안뉴스 문가용] 사이버 범죄자들이 헤드라인을 차지한 것이 어제 오늘 일이 아니다. 그리고 앞으로도 계속해서 그럴 전망이다. 하지만 이런 뉴스가 나올 때마다 한 소리 듣는 것은 이상하게 피해자 측이다. “회사가 데이터 관리를 똑바로 하지 않았으니 그러지”라고들 말한다. 그런데 이 말은 어느 정도 일리가 있다. 보안이 허술한 회사가 많으니 해커들 입장에서도 굳이 보안이 단단한 곳을 뚫으려고 애쓰지 않기 때문이다.

 

▲ 거를 건 걸러야...


데이터를 보호할 때 가장 효과가 좋은 건 ‘전체적인 접근’을 하는 것이다. 사실 기업들이 데이터 보호에 실패하는 건 민감한 정보를 관리하는 것과 데이터 손실을 방지하는 것을 혼동하기 때문이다. 먼저 이 둘의 차이점을 살펴보도록 하자.


데이터 손실 방지(DLP)라는 건 어떤 네트워크 범위 밖으로 데이터가 나가지 못하게 막는 것이다. 예를 들어 직원이 몰래 정보를 첨부해 이메일로 전송하는 등의 행위 같은 걸 막는 것이라고 볼 수 있다. 민감한 정보 관리라는 것은 사람, 과정, 기술을 모두 아울러서 데이터를 분류하고, 보안의 방법을 수립하고, 수립한 걸 실행해 내는 전략 자체를 말한다. 즉 민감한 정보 관리라는 전략 안에 데이터 손실 방지가 포함되는 개념이다. 그리고 이 전략은 ‘정보가 무엇인지, 위험요소가 무엇인지, 접근 가능한 사람이 누구인지, 어떻게 접근을 가능하게 할 것인지 등의 모든 사항을 고려할 수 있어야 한다. 이게 바로 ’전체적인 접근‘이다.


대부분의 조직들에서는 다음 일곱 가지 과정을 거쳐 민감한 정보를 관리한다.

1. 조직의 관점에서 민감한 정보가 무엇인지 정의한다.

2. 그 민감한 정보가 어디에 있고 누가 접근할 수 있는지 파악한다.

3. 정보를 중요도나 위험도에 따라 분류한다.

4. 그 정보의 소유주가 누구인지 결정한다.

5. 데이터 소유주의 책임 범위를 설정한다.

6. 불필요한 위험을 야기하는 정보의 경우 지워도 되는지 결정한다.

7. 지워도 되면 즉시 지우고 아니라면 따로 보안책을 세운다.


민감한 정보를 관리하려는 전략이 올바로 세워지지 않으면 결과가 참담할 수도 있다. 또한 그 피해를 복구하는 데 얼마나 긴 시간이 걸리는 지 설명하는 것이 불가능할 정도다. 아니, 복구가 가능한 것인지조차 아직 제대로 증명된 예가 거의 없다. 몇 가지 예를 들면 다음과 같다.


1. 벌금, 소송 비용, 보험료 등 지출이 높아진다. 일반 사기업뿐 아니라 정부 기관이 보안 관련 정책이나 법을 지키지 않으면 최소한 벌금을 내야 한다. 피해 복구에 돈을 내지도 않았는데, 이 벌금, 소송 비용, 보험료 등 때문에 지갑이 굉장히 얇아지는 걸 경험할 수 있다.


2. 판매 실적 부진이 이어진다. 금융, 소매업, 의료업 할 것 없이 정보 유출사고가 발생한 조직은 고객들의 신뢰를 사고 이전만큼 받을 수 없다. 한 조사에 의하면 1/3이나 다른 경쟁업체와 거래를 트기 시작한다고 한다. 1/3이라면 사업체로서는 어마어마한 손실이다. 문을 닫을 수 있을 정도로.


3. 쓸데없이 IT 비용 혹은 보안 비용이 늘어난다. 전략이 올바로 세워지지 않아서 ‘보호해야 할 정보’라고 정의된 데이터가 필요보다 많다면 그 정보를 저장해야 하는 저장소도 더 사야 하고 그만큼 사고가 날 확률도 높아진다. 또한 정보가 많아지니 필요한 때에 필요한 정보를 찾아내는 데에도 시간이 더 걸린다. 이는 생산성 저하로도 이어질 수 있다.


사건사고가 늘어만 가는 때, 어느 산업에 있건 조직 및 업체들은 민감한 정보를 보호하는 것에 더 많은 관심을 가져야할 뿐 아니라 구체적이고 분명한 보호 전략을 세워야 한다. 사실 대부분 조직은 물건 버리지 못하는 노인처럼 이상한 데이터들을 꼭 끌어안고 있다. 버리는 법을 배우지 못한 것이다. 나무도 가을이면 잎을 떼버리는데, 조직 역시 정말 필요한 게 무엇인지 결정을 내려야 한다. 정보 관리를 잘 하려면 귀찮고 사소한 일을 잘 하는 것부터다. 당연해보여도 다시 한 번 분류하고 정리하고 솎아내자.


글 : 토드 페인맨(Todd Fienman)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>