데이터 유출 사고 유형 중 첫 손에 꼽히는 것은, 이동 중 모바일 도난
가시성에 대한 고민 늘어나야…데이터 암호화 하고 있었다는 것 증명해야

[보안뉴스 문가용 기자] 이른 바 ‘스매시 앤 그랩(smash and grab)’ 유형의 자동차 범죄가 미국 전역을 휩쓸고 있다. 지난 4월 한 달 동안에만 샌프란시스코에서는 자동차의 유리를 깨고 그 안에 든 스마트폰, 랩톱, 태블릿 컴퓨터 등을 탈취하는 사건이 하루 평균 51건이나 발생했다.


이러한 범죄가 유행하고 있다는 것은 IT 보안 업계에 있어 비상 사태와 다름이 없다. 중요한 데이터가 저장된 장비가 예기치 않게 도난당할 수 있기 때문이다. 심지어 차 안에 있던 모바일 장비가 회사 네트워크와 연결되어 있을 가능성도 높다. 실제로 모바일 장비의 도난 때문에 발생하는 정보 유출 사고는 전체 유출 사고의 절반 정도를 차지하고 있고, 이로 인한 피해 규모는 전 세계적으로 3백만 달러에 이른다.

스매시 앤 그랩이 유행하면서 다시 한 번 관심을 받기 시작한 건 ‘침해 사고 통보’에 관한 규정이다. 많은 국가나 주들에서는 데이터 침해 사고가 발생했을 때 유관 기관과 당사자들에게 알리도록 정해져 있다. 예를 들어 캘리포니아에서는 S.B. 1386이라는 주법이 있어, 데이터 침해가 의심되는 상황에서 모든 기업들이 반드시 해당 기관에 사실을 공개해야만 한다.

스매시 앤 그랩을 당해 모바일 폰이 사라진 상황에서도 그 사실은 여러 사람에게 전달되어야 하는데, 만약 데이터를 암호화 하고 있었다면 처벌이 많이 완화될 수 있다. 다만 암호화를 했다는 증거 자료를 제출할 수 있어야 성립되는 말이다. 즉 장비에 저장된 데이터를 암호화 하는 것도 중요하지만, 이를 법률 전문가들이 납득할 수 있게 제시할 수 있어야 한다는 것이다.

장비가 IT의 통제권 바깥에 있을 경우, 조직 전체가 위험해질 수 있다. 그리고 IT 장비들이 가장 많이 사라지는 건 자동차와 이동 수단 내에서라고 한다. 그러므로 직원들이 이동할 때의 보안에 대해서도 신경을 써야 한다. 특히 민감한 정보가 장비에 저장되어 있는 경우와 침해 사고와 관련된 무시무시한 법이 효력을 발휘하는 지역에서라면 말이다.

이미 많은 전문가들이 수십 번도 넘게 강조했겠지만, 모바일 시대에 있어 가장 중요한 건 가시성이다. 기업에서 다루는 데이터가 어디에, 어떤 형태로, 누구 손에서 사용되거나 저장되는지를 그때 그때 파악할 수 있어야 한다는 뜻이다. 가시성에는 두 가지 종류가 있는데, 하나는 ‘진행 중의 가시성(ongoing visibility)’이고 다른 하나는 ‘사후 가시성(post hoc visibility)’이다. 전자는 중요한 데이터를 안전하게 보호하기 위한 장치들이 제대로 작동하고 있는지 확인할 수 있도록 해주며, 후자는 사건이 발생한 이후 보호 조치들을 증명할 수 있게 해준다.

하지만 안타깝게도 보안 예산이 가시성 향상에 할당되는 경우가 흔치 않다. 시장 조사 전문 기관인 451리서치(451 Research)의 분석가인 자바드 말릭(Javvad Malik)의 설명처럼, “일반적으로 보안에 특별히 신경을 쓰지 않는 조직들은, 최소한의 예산만 보안에 투자한다.” 그러고는 사고가 일어나면 갑자기 보안에 돈을 쓰다가 금세 다시 예전으로 돌아가는 게 보통이다. “혹은 보안 예산을 넉넉하게 할당하되 엉뚱한 곳에 돈을 낭비합니다.”

일반적으로 보안 담당자가 겪는 시나리오는 다음과 같다.
1) 보안 책임자가 CFO 등 예산 책임자를 찾아간다.
2) 장비 보호 장치에 예산을 할당해달라고 요청한다. 최근 직원 한 명이 출장 중에 노트북을 분실한 사건이 있었기 때문이다.
3) 예산 책임자가 승인해준다.
4) 하지만 얼마 지나지 않아 다른 직원이 ‘스매시 앤 그랩’에 당해 핸드폰을 잃어버렸다.
5) 보안 책임자가 다시 예산을 올려달라고 요청하고 승인을 받는다.
6) 위 일이 반복되면서 회사는 돈만 버린 꼴이 된다.

이 경우 악순환을 끊으려면 암호화가 제대로 적용되어 있었다는 것이 증명될 수 있어야 한다. 그렇지 않으면 CFO의 보고를 받은 인사 책임자가 보안 담당자를 추궁할 것이고, 데이터가 안전하다는 걸 증명할 수 없어 회사 돈만 낭비한 것이 되는 보안 담당자는 해고될 가능성이 높다. 기술이 아무리 좋아져도, 그것이 제대로 ‘보이지’ 않는다면 소용이 없다. 데이터는 보호할 수 있을지 몰라도, 그 데이터를 담당하는 사람을 보호할 수는 없다는 것이다.

환경 전체를 이해하는 건 보안 담당자로서 매우 주요한 일이다. 이는 ‘보여야만’ 가능하고, 따라서 가시성 확보는 기본 중의 기본이다. 단지 데이터만을 말하는 게 아니다. 그 데이터가 저장되고 옮겨다니면서 활용되는 장비와 애플리케이션들까지도 아우르는 가시성이어야 한다. 그래야만 위험을 제때 확인하고 방비할 수 있다. 또한 사건이 발생했을 때의 증명까지도 수월해진다. 자동차 유리를 깨부수고 순식간에 모바일 장비를 들고 튀는 범죄자들이 증가하는 때에 사후 가시성은 더더욱 중요한 요소가 되고 있다.

글 : 니코 반 소머렌(Nicko van Someren), Absolute

3줄 요약
1. 현재 자동차 창문 부수고 모바일 장비 탈취해가는 범행이 성행 중.
2. 이러면서 유관 기관에 ‘데이터를 암호화 하고 있었다’는 내용을 증명해야 할 필요가 생기고 있음.
3. 이는 결국 가시성 문제. 데이터를 보호하는 사전 가시성과, 데이터 보호를 입증하는 사후 가시성 모두 중요.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>