정보화 보안관리, 보안인증 강화, 개인정보보호 관리체계 등 강조  

[보안뉴스 민세아] 개인정보보호 및 보안전문기업에서는 일반 기업이나 기관의 개인정보담당자들에게 어떤 말을 해주고 싶었을까?

지난 6월 30일 열렸던 ‘2015 개인정보보호페어 및 CPO 워크숍’에서는 기업·기관 개인정보보호 담당자 및 개인정보최고책임자(CPO)를 대상으로 각종 데이터 유출, 침해사고 등으로부터 해당 기업·기관의 정보를 안전하게 지킬 수 있는 팁을 제공했다.

정보화사업, 보안관점에서 관리의 문제와 대책

정보화 보안관리를 위해 필요한 것은 무엇일까? 정보보호 전문기업 좋을의 김영혁 상무는 △자체 보안시스템과 명확한 발주자 관계 △시스템, 관리자, PM의 환상적인 궁합 △상황과 조건에 맞는 체계 △법보다 빨리 진화하는 디바이스와 환경 대응 △명확한 책임 소재를 확립을 위한 체계와 장치가 필요하다고 말했다.

외부 용역사업 발주시 철저한 보안관리를 위해 보안관리 담당과 사업관리 담당을 분리해야 하며, 사업수행 관련 보안관리는 보안관리 담당이 수행해야 한다는 점을 정보화 보안관리의 첫 번째 가이드로 제시했다.

이와 함께 배치된 인력의 업무형태, 근무장소, 근무형태, 사용단말, 사용계정, 접근서버, 접근방법 등 특정 상황이나 조건에 맞는 체계를 갖춰야 하며, 정보화사업 보안관리를 위해 신규 디바이스와 환경에 적응해야 한다는 점을 포인트로 꼽았다.

마지막으로 특정 사고나 유출에 대한 책임은 해당 관리자에게 전가되기 때문에 명확한 책임 소재를 가리기 위해 데이터 반출입 경로를 관리하거나 소스 변경으로 인한 서비스 장애 근원을 추적하는 등의 체계와 장치가 필요하다는 점도 제시됐다. 

공공기관의 보안인증 강화에 OTP가 한몫

계정정보 해킹으로 인한 사고가 빈번하게 발생하면서 기관 및 기업마다 패스워드 정책을 강화하고 있다. 그러나 패스워드가 길고 복잡해질수록 관리가 힘들고, 아이디와 패스워드 유출 가능성은 여전히 남아 있다. 미래테크놀로지 김수용 부장은 이에 대한 해답으로 OTP(One Time Password)를 제시했다.

OTP는 가장 쉽고 편리한 이중요소 인증 수단으로, Have(OTP기기)+Know(비밀번호) 이중요소를 통한 인증수단을 말한다. OTP는 OTP 발생기기를 사용하기 때문에 복제가 불가능하고, 본인인증 필요 시 매번 다른 번호가 생성되기 때문에 강력한 보안성을 제공한다.

OTP는 PC 등 서비스 환경에 제약이 없어 시스템 구성이 간단하고, 사용하기 쉽다는 장점이 있다. 또한 아이디·패스워드 기반의 서버, VPN, Web 모바일 등 대부분의 시스템에 적용이 가능하고 통합된 인증서버로 확장할 수 있다.

김 부장은 OTP(One Time Password) 도입 시 고려사항으로 △도입 목적 및 적용 대상 △적용 서비스에 대한 연동 경험 △OTP 적용 대상 확대 시 확장성 △사내 환경에 맞는 OTP 제품 선정 △관리 편의성 및 비상 대체 방법 등을 제시했다.

2014/2015년 상반기 보안 동향으로 살펴 본 교훈과 대응방안

IBM의 2015년 1분기 위협보고서에 따르면 83%의 CISO들은 외부 공격자에 의한 정보 유출을 가장 큰 위협이라고 대답했고, 59%의 CISO들은 APT 공격과 같은 고도화된 공격에 적절한 대비를 하지 못하고 있다고 응답했다.

한국IBM 박형근 실장은 이러한 문제는 임직원들이 기본적인 보안수칙을 지키지 않는 데에서 출발한다고 전했다. 사용자의 패스워드 재사용, 관리자 권한 계정에 기본 패스워드 사용, 패스워드 재설정 절차 및 규정 미흡에서부터 시작해 운영체제·오픈소스·웹서비스의 취약점을 그대로 사용하거나 클라우드 서비스를 통해 개인정보를 공유하는 문제 등이다.

또한 데이터 유출사고로 인한 비용은 기업이나 기관에서 무시할 수 없는 부분 중 하나다. IBM이 발표한 데이터 유출사고의 주요 이유는 기존에 설정한 보안통제를 우회한다는 것이었고, 데이터 유출사고로 인한 비용을 절감하는 요인 중 가장 큰 비율을 차지하는 것은 사고대응팀(Incident Response Team)이라고 밝혔다. 그 다음으로 많은 비율을 차지하는 것은 ‘암호의 집중적인 사용’이다.

이에 따라 박 실장은 기업·기관의 데이터 유출 사고에 대한 대응방안으로 암호화를 제시했다. 일반 사용자와 개발·운영담당자, 중요 데이터에 접근이 가능하도록 인가된 사용자를 제외한 비인가 사용자에게는 정보가 유출되더라도 암호화된 데이터가 보이도록 함으로써 데이터 유출로 인한 기업·기관의 피해를 최소화할 수 있다는 설명이다.

뿐만 아니라 웹 마스킹을 통해 개인정보 제3자 제공시 수탁자에게 마스킹된 개인정보를 제공해 민감 데이터 유출을 사전에 방지할 수 있다. ‘실시간 모니터링·감사 및 DB 보호’ 기술을 도입해 어떤 사용자가 어떤 데이터에 접근하는지, 누가 DB를 변경 또는 삭제하는지, 누가 언제 SQL 인젝션 공격을 시도하는지 등을 확인할 수 있다는 설명이다.

사이버보안진단의 날, 효율적인 개인정보보호 자동 관리체계

지난 2008년 10월부터 행정안전부(現 행정자치부) 훈령으로 범정부차원에서 매월 세 번째 수요일을 ‘사이버보안진단의 날’로 지정하면서 전제 교육, 연구기관의 PC안전성 정기점검, 비밀현황 확인 등 자체 진단을 실시하도록 했다.

그러나 임직원들의 무관심과 보안의식 미비 때문에 기업이나 기관의 보안담당자들은 골머리를 앓고 있다. 지인소프트 김남효 부장은 “한 달에 한번 사이버보안진단의 날만 관리해서는 불완전함을 극복하기 어렵다”며, “이 때문에 365일 지속적이고 순환적인 관리가 필요하다”고 지적했다.

이를 위해 취약성 점검항목 기준에 맞게 자동화된 사이버보안진단으로 365일 매일 자동으로 점검을 수행하고, 수치화된 결과를 진단 대상자에게 제시하는 사례를 소개했다. 또한, PC의 보안취약점과 개인정보 보호수준을 함께 평가하는 ‘업무 단말기 보안수준 및 개인정보 보호수준 통합 평가사례’도 공개했다.

김 부장은 환경이 지속적으로 변화하고 위협이 다양화되는 만큼 점검항목도 진화해야 한다고 당부했다. 규정은 최소한 지켜야 할 범위지만, 실제 보안은 100개의 보안항목 중 99개를 준수해도 1개를 지키지 못할 경우 보안사고가 발생할 수 있기 때문이다.

김 부장은 보안수준 진단은 조사 목적이 아닌 어떤 변화를 이끌어낼 것인가에 중점을 맞춰야 하며, 구성원들로 하여금 바람직한 조직의 목표에 자발적으로 협조하도록 ‘보안문화를 적극적으로 리드하는 리더십’을 강조했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>