새로운 비즈니스의 시작은 새로운 위협을 의미한다.

여러분은 준비되었는가?

신분도난 리소스 센터(Identity Theft Resource Center)에 올해 1월부터 5월까지 접수된 신분도난 사건은 136건이며, 이 사건은 5600만 명에게 영향을 미쳤다. 포네몬 인스티튜트(Ponemon Institue)는 이 사건의 45%가 노트북 도난에서 비롯되었다고 밝혔다.

손상된 기록마다 평균 182달러의 비용이 든다. 왜 모든 회사들이 노트북 속 데이터를 암호화하지 않는가? 휴대용 보안벤더인 크레던트 테크놀로지스(Credant Technologies)의 부사장인 리차드 스톤(Richard Stone)은 “세계적으로 약 20%의 노트북에 암호가 설정되어 있다. 1년 전만 해도 보안의 장애는 ‘예산’이었지만, 더 이상 예산은 기업에게 보안의 장애가 되지 않는다”고 말했다.

예를 들어 정보가 공격을 당했을 때 감염사실을 알아내는 데만 1100만 달러가 소요된다. 데이터를 암호화 했다면 지출하지 않았을 비용이다. 스톤은 많은 기업이 규정을 충족하기 위해, 그리고 기업을 안전하게 하기 위해 무엇을 해야 하는지 결정하지 않았기 때문에 노트북을 암호화 하지 않았다고 지적했다. 그는 “두 번 평가하고, 한 번 차단하는 것이 암호화에 적용된다”고 말했다.

부팅

노트북의 암호화는 의무사항이다. 휴대장비에 대한 보호기능을 제공하는 세이프부트(SafeBoot)의 CEO인 제라드 왓징거(Gerhard Watziger)는 “10년 전에는 고객들이 IT의 관점에서 결정을 내렸다. 그러나 지금 고객의 결정을 가름하는 결정적인 원인은 컴플라이언스이다. 고객사의 이사회는 기업 전체의 역할을 고려한 컴플라이언스를 통해 결정한다”고 말했다.

조지 워싱턴 대학교 ISS 테크놀로지의 책임이사인 알렉산드라 킴(Alexandra Kim)은 이러한 변화를 실제로 경험했다고 밝힌다. 그는 “몇 년 전부터 이러한 분위기가 무르익고 있었으며, 2006년 이사회는 컴플라이언스를 고려해 결정을 하게 했다”고 말했다.

그 후 조지 워싱턴 대학교는 유티모코 세이프가드(Utimaco Safe Guard)를 통해 모든 기밀 데이터를 암호화하는 5단계 계획을 만들었다. 킴은 “우리는 회사 직원들을 나누었다. 첫 단계는 기밀 데이터에 액세스 하면서 노트북을 가지고 다니는 사람이 대상이었다. 다음 단계로 기밀 데이터를 다루는 부서 내의 모든 데스크탑을 암호화 할 것이다”고 설명했다.

펜실베니아의 하이마크 블루 크로스/블루 쉴드(Highmark Blue Cross/Blue Shield )는 수 천 개의 노트북과 데스크탑 PC를 암호화해야 한다는 사실을 절감하기 시작하였다. 데스크탑 PC 전문가인 크리스 캐쉬너(Chris Kashner)는 “우리는 DoD(국방성)의 하청업체이며, HIPPA와 SOX의 규제도 받고 있다. 국가적인 기밀을 다루고 있는 만큼 기밀을 소홀히 다루어서 우리 회사 이름이 신문에 오르는 것을 바라지 않는다”고 밝혔다.

그래서 하이마크는 가장 먼저 직원들의 노트북에 가디언에지 하드 디스크 암호화를 시행했다. 그 후 원격지 사무실에 있는 직원들의 PC에 설치하였다. 다음으로 플래시 드라이브 누출을 방지하기 위해 포인섹 미디어 암호화를 추가하였다.

알맞은 도구

캐쉬너는 “우리가 통일화 정책을 수행한 것이 아니다. 우리는 노트북에 사용하기 위해 방탄용으로 개발된 AES 전디스크 암호화를 선택했다. 그 후 휴대용 미디어를 보호하기 위해  DoD 히스토리, 중앙 컨트롤, 유스 케이스 예외를 만들어내는 기능을 사용할 수 있는 다른 플랫폼을 선택했다.

샌 안토니오에 소재한 클라크 어메리칸 첵스(Clarke American Checks)는 700여 개 노트북의 PGP 디스크 암호화가 장착된 노트북에 대해 컴퓨트레이스 로잭(Computrace LoJack)을 통합하고 있다. 선임 IS 감사관인 데론 민즈(Deron Means)는 “새로운 노트북은 반드시 이러한 암호화 장치를 설정해야 한다. 클라크는 PGP를 설정하기 전에 여섯 개의 제품을 평가한다. 만일 디스크 암호화만을 요구했다면 보다 쉬운 방법을 사용할 수 있었을 것이다. 그러나 쉬운 방법은 큰 이메일에 첨부된 압축화일이나 자료를 암호화 할 수 없다”고 지적했다.

허쉬 컴퍼니(Hershey Company)는 투명하고 사용이 편리하며 점유공간이 적기 때문에 세이프부트 디바이스 암호화를 선택했다. IS의 관리자인 댄 클링거(Dan Klinger)는 “감사 컴플라이언스와 신분관리 기반장비의 통합이 중요하다. 우리의 지원센터 또한 대리임무와 한 개의 콘솔을 통한 중앙관리를 요구한다.”

암호화를 어디까지 적용할지 역시 매우 중요하다.오클라호마 시티의 인테그리스 헬스(Integris Health)에서 IS 이사로 일하는 롭 마티(Rob Marti)는 “직원의 노트북에 대한 암호화는 우리가 규정할 수 있지만, 의사들이 새로 구입하는 장비에 대해서는 어떻게 하라고 명령을 할 수 없다. 새로운 장비에 대한 암호화 정책은 빠를수록 좋다”고 말했다. 인테그리스는 크레던트 모바일 가디언을 윈도즈 노트북, 팜 PDA, 윈도즈 모바일 5를 위한 일반형 파일/폴더 암호화 플랫폼으로 선정했다.

골칫거리 처리하기

기업의 다양한 요구에 대처하기 위해서는 다른 플랫폼을 선택하지만 모든 고민을 한 번에 해결하기 위해서는 파일럿 프로그램이 중요하다고 강조한다.

데론 민즈는 “내 노트북의 BIOS는 암호화가 작동하기 전에 플래시 처리되어야 한다. 지금 우리에게는 설치 전에 스캔디스크를 돌리고 BIOS를 업그레이드하는 과정이 있다”고 말했다. 구형 노트북에서의 문제를 피하기 위해, 민즈는 암호화 전에로잭 소프트웨어를 설치한다. “칩 기반 로잭을 통해 더 최근의 노트북만 암호화하기로 결정해도 좋을 것”이라고 덧붙였다.

하이마크 역시 영향을 최소화하기 위해 서서히 작업을 시작했지만 유별난 수단 없이도 신뢰할 만한 암호화가 가능함을 알게 되었다. 캐쉬너는 “백업과 BIOS 업데이트는 괜찮은 아이디어지만, 4000개의 노트북을 암호화하려고 하는것은 그건 가능하지 않다. 우리는 그런 종류의 일은해보지 않았고, 실패율은 미미해서, 13만 개 PC에서 한 개 정도 실패했을 것이다”고 말했다

인테그리스의 마티는 “노트북 자체가 잘 관리되기 때문에, 우리에겐 암호화에 대한 문제가 없다. 그러나 PDA에 대해서는 어떤 모바일 5 장치들이 메모리 방출에 대한 문제를 갖고 있기 때문에, 우리는 하드디스크 리셋을 수행하고, 크레던트를 설치하고, 애플리케이션을 다시 재설치한다”고 설명했다.

프로세스, 프로세스

파일럿 동안 워싱턴대학교는 커뮤니케이션을 강조했다. 킴은 “나는 개인적으로 착수전에 각 부서의 부장들을 불렀다. 마주친 문제는 두 가지였고, 모두 데이터 손실 없이 소멸되었고, 더 큰 롤아웃을 위해 확신을 주입했다”고 말했다.

또한 파일럿은 프로세스를 만들었다. 킴은 “우리는 암호화에 2내지 8시간이 걸린다는 것을 알았다. 이제 우리는 그들의 업무에 영향을 미치지 않는 시간을 선택해 각 부서들과 작업하고, 사용자들이 노트북을 제출하게 한 후 24시간 뒤에 가져가도록 한다. 그리고 모든 사용자들은 어떤 질문에도 답할 수 있는 FAQ를 가져갈 수 있다”고 설명한다.

인터뷰에 응한 모든사람들이 기술보다 사람이 가장중요한 구성요소임을 인정했다.

크레던트의 스톤은“데이터의 보호가 하나이고, 장치의 본래 사용성을 유지하는 것이 다른 하나이다. 당신은 사용자들에게 일하는 방식을 바꾸라고 요구할 수 없다. IT 기업에도 그들이 일하는 방식을 바꾸라고 요구하지 말라”

왓징거에 의하면, 세이프부트 고객의 약 35%는 전 디스크와 파일/폴더 암호화 모두를 동일한 노트북 상에 사용하고 있다. 그가 말했다. “CEO의 노트북을 관리하는 외부업체가 있다면, 엑세스를 부여할 필요가 있지만, 민감한 데이터를 볼 수는 없도록 해야 한다.”

마티는 다음과 같이 권장한다. “장비를 표준화 한 이후 가장 큰 문제는 암호화된 직원들을 지원하는 전담 관리부서를 갖는 것과, 매일 그것과 싸울필요가 없게 하는 것이다.”

허쉬의 클링거가 말했다. “벤더가 당신의 설치작업을 도우러 왔거나 아니거나, 당신이야말로 지원할 것들을 위해 남겨진 사람이다. 당신은 지속적인 지원이 가능한 진정한 파트너가 될 벤더를 원하고 있다.”

크라크 어메리칸 첵스의 민즈가 말했다. “우리는 정책을 더 엄격하게 만듦으로써, 노트북 보호에 대해 어떤 무게감을 실어주었다. 절도를 무시한다면, 당신은 실직할 수도있다. 어떤 남자가 노트북을 두 번 잃어버렸는데, 더 이상 여기서 일하지 않는다. 놀라운 것은 그 이후 잃어버린 노트북이 거의 없다는 것이다.”

Copyright ⓒ 2006 Information Security and TechTarget