중소기업, 같은 공격을 받아도 더 치명적으로 피해 입어
보안 수칙 준수하는 것과 안전한 건 다른 이야기
[보안뉴스 문가용] 회사들 중에 해킹의 위협에서 완전히 자유로운 곳은 단 한 군데도 없다. 각종 보고서를 종합해 보면 공공부문, 금융산업, IT산업이 해킹에 가장 취약한 것으로 나타나지만 그렇다고 해서 다른 산업이 안심하고 있을 때는 아니다. 특히 출판, 미디어, 영화사 등에 대한 공격도 늘어나고 있고, 법률 사무소와 의료계통은 이미 굵직한 사건들을 통해 ‘매우 취약하다’는 사실이 공표되어버린 듯 하기까지 하다.
이런 분위기에서 가장 울상을 짓게 되는 건 바로 중소기업들이다. 보안 인력을 한 명, 유료 백신 하나 마음껏 고용, 도입할 수도 없는 규모의 사업장에서는 정보보안이 사치 그 자체다. 물론 우리가 알고 있는 대규모 해킹 사건들은 거의 다 잘 알려진 거대 기업이나 주요 정부기관에서 일어난 것이 사실이다. 그들에겐 보안을 제대로 갖출 여력이 있다. 그러나 중소기업이 안전하지 않다는 사실엔 변함이 없다.
파이어아이(FireEye)의 부회장인 크리스티나 폴리(Christina Foley)는 “중소기업이 안전하지 못한 정도가 아니라, 더 위험하다”고 설명한다. “일단 같은 공격을 받더라도 중소기업에겐 매우 치명적으로 작용하죠. 복구해서 사업을 다시 재개할 수 없는 곳이 대다수입니다. 아니, 심지어 보안 상태를 계속 유지하는 것도 힘든 게 사실입니다.”
또한 회사 규모가 작다고 해서 다루는 돈의 금액이 작은 것도 아니다. “헤지펀드 회사들 보세요. 작은 금융업체지만 큰 액수를 다루죠. 중소기업주들은 ‘큰 기업 놔두고 왜 우리 회사를 노리겠느냐’라고 생각하시는데, 바로 그 점을 해커들이 노린다는 걸 기억해야 합니다. 쉬운 표적이라는 건 공격의 비용도 적게 든다는 소리기도 하죠.”
프로스트 앤 설리반(Frost & Sullivan)의 정보 및 네트워크 보안 담당자인 프랭크 딕슨(Frank Dickson) 역시 중소기업의 위험성에 대해 공감한다. 거기에 더해 중소기업들이 할 수 있는 보안 조치들을 몇 가지 고안해내기도 했다.
1. 회사 내 데이터 자산이 어디에 위치하고 있는지, 또 값어치가 얼마나 되는지를 이해하고 있어야 한다. 회사의 강점이 무엇인지를 자문하며 이 작업을 해나가는 게 도움이 된다. 정말 중요한 게 무엇인지, 얼마나 중요한지 객관적으로 파악하라. 온라인 쇼핑몰이라면 고객들의 신용카드 정보가 중요하겠고 진료실이라면 환자들의 건강정보 및 금융관련 정보가 될 것이다.
2. 중요한 데이터를 찾았다면 그게 어떤 식으로 보호를 받고 있는지를 파악한다. 직원들의 접근 방식에 문제가 없는지, 그 방식이 회사 내에서 문화나 정책으로 자리 잡혀 있는지, 그 중요한 데이터를 필요로 하는 직원은 누구며 왜 그런 건지, 암호화 등 특별한 보안 기술이 활용되고 있는지, 이 데이터가 애플리케이션 등을 통하여 제3자와 연결이 되어 있는지 다방면으로 살펴야 한다. 또한 ‘이 정보가 사고로 새나간다면 어떤 조치를 취할까’도 같이 고민해보는 게 좋다.
3. 보안 관련 법률을 준수하는 것과 정보를 보호하는 것은 서로 다른 이야기다. 딕슨은 “여기가 바로 많은 분들이 착각하는 부분”이라고 강조한다. 보안 수칙과 표준을 지킨다고 해서 ‘안전한 상태’가 되는 것이 아니기 때문이다. PCI DSS처럼 특정 종류의 데이터에 관한 보안 수칙이나 표준을 지키는 것과 회사 전체의 수많은 데이터를 지키는 건 별개의 이야기라는 뜻. 아직 보안의 모든 것을 관장할 수 있는 정책이나 표준은 존재하지 않는다. 있어도 모호할 뿐이다. 보안은 현실이다.
4. 시스템 관리 역시 중요한 부분이다. 다른 게 아니라 업데이트와 패치만 잊지 않아도 충분하다. 어도비, 애플, MS와 같은 주요 소프트웨어 기업들은 대단히 자주 패치를 배포한다. 그만큼 그 회사의 소프트웨어에는 공격이 많이 들어가기 때문이다. 하지만 ‘패치 잘 하자’라고 독려하고 회사 벽에 대자보로 써 붙여 놔도 안 할 사람은 끝까지 안 한다. 중요한 건 패치를 잘 할 수 있도록 회사 내 규정이나 체계를 만들어놓는 것이다.
5. 작은 회사의 강점은 회사가 ‘통으로’ 움직이기가 아무래도 큰 기업보다는 더 용이하다는 데에 있다. 이 말을 보안에 접목해보면, 정보보안에 IT 담당자만이 아니라 전 직원 혹은 되도록 많은 직원들을 동원할 수 있다는 말이 된다. 솔루션을 구매하기로 최종 결정한다거나 사람을 한 명 더 고용하기로 하는 등의 중요한 사안은 윗선에서 하더라도, ‘피싱 메일 클릭하지 않기’라던가, 중요한 데이터의 접근권한을 소수에게만 부여한다거나 하는 ‘매일의 보안’은 모두가 참여해야만 하는 것이다. 교육도 자주하고, 간단한 2중 인증 시스템을 저렴하게 마련해보는 것도 괜찮은 방법이다.
6. 보안업체와 협력 체계를 구축한다. 자체적으로 해결이 불가능하거나 힘들다면 차라리 보안업체에 네트워크의 보안을 맡겨두는 것도 좋은 방법이다. 보안을 전문으로 하는 업체라면 중소기업 단위의 작은 네트워크 관리가 그리 힘든 일도 아닐 것이다. 다만 이렇게 하더라도 그런 업체와 연락을 취하며 보안에 대해 배울 수 있는 담당자는 하나 배정해 두는 것이 미래를 위해서는 바람직하다.
중소기업이 해킹에 더 조심해야 하는 이유는 간단하다. 구글이나 MS는 해킹을 당해도 살아남을 수 있지만 중소기업은 아니기 때문이다. 백악관은 해킹을 당해도 대통령이 물러나진 않는다. 중소기업은 그렇지 않다. 훔쳐갈 것이 없어서 중소기업이 아니라, 실패할 여력이 없는 것이 중소기업이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
보안 수칙 준수하는 것과 안전한 건 다른 이야기
[보안뉴스 문가용] 회사들 중에 해킹의 위협에서 완전히 자유로운 곳은 단 한 군데도 없다. 각종 보고서를 종합해 보면 공공부문, 금융산업, IT산업이 해킹에 가장 취약한 것으로 나타나지만 그렇다고 해서 다른 산업이 안심하고 있을 때는 아니다. 특히 출판, 미디어, 영화사 등에 대한 공격도 늘어나고 있고, 법률 사무소와 의료계통은 이미 굵직한 사건들을 통해 ‘매우 취약하다’는 사실이 공표되어버린 듯 하기까지 하다.
이런 분위기에서 가장 울상을 짓게 되는 건 바로 중소기업들이다. 보안 인력을 한 명, 유료 백신 하나 마음껏 고용, 도입할 수도 없는 규모의 사업장에서는 정보보안이 사치 그 자체다. 물론 우리가 알고 있는 대규모 해킹 사건들은 거의 다 잘 알려진 거대 기업이나 주요 정부기관에서 일어난 것이 사실이다. 그들에겐 보안을 제대로 갖출 여력이 있다. 그러나 중소기업이 안전하지 않다는 사실엔 변함이 없다.
파이어아이(FireEye)의 부회장인 크리스티나 폴리(Christina Foley)는 “중소기업이 안전하지 못한 정도가 아니라, 더 위험하다”고 설명한다. “일단 같은 공격을 받더라도 중소기업에겐 매우 치명적으로 작용하죠. 복구해서 사업을 다시 재개할 수 없는 곳이 대다수입니다. 아니, 심지어 보안 상태를 계속 유지하는 것도 힘든 게 사실입니다.”
또한 회사 규모가 작다고 해서 다루는 돈의 금액이 작은 것도 아니다. “헤지펀드 회사들 보세요. 작은 금융업체지만 큰 액수를 다루죠. 중소기업주들은 ‘큰 기업 놔두고 왜 우리 회사를 노리겠느냐’라고 생각하시는데, 바로 그 점을 해커들이 노린다는 걸 기억해야 합니다. 쉬운 표적이라는 건 공격의 비용도 적게 든다는 소리기도 하죠.”
프로스트 앤 설리반(Frost & Sullivan)의 정보 및 네트워크 보안 담당자인 프랭크 딕슨(Frank Dickson) 역시 중소기업의 위험성에 대해 공감한다. 거기에 더해 중소기업들이 할 수 있는 보안 조치들을 몇 가지 고안해내기도 했다.
1. 회사 내 데이터 자산이 어디에 위치하고 있는지, 또 값어치가 얼마나 되는지를 이해하고 있어야 한다. 회사의 강점이 무엇인지를 자문하며 이 작업을 해나가는 게 도움이 된다. 정말 중요한 게 무엇인지, 얼마나 중요한지 객관적으로 파악하라. 온라인 쇼핑몰이라면 고객들의 신용카드 정보가 중요하겠고 진료실이라면 환자들의 건강정보 및 금융관련 정보가 될 것이다.
2. 중요한 데이터를 찾았다면 그게 어떤 식으로 보호를 받고 있는지를 파악한다. 직원들의 접근 방식에 문제가 없는지, 그 방식이 회사 내에서 문화나 정책으로 자리 잡혀 있는지, 그 중요한 데이터를 필요로 하는 직원은 누구며 왜 그런 건지, 암호화 등 특별한 보안 기술이 활용되고 있는지, 이 데이터가 애플리케이션 등을 통하여 제3자와 연결이 되어 있는지 다방면으로 살펴야 한다. 또한 ‘이 정보가 사고로 새나간다면 어떤 조치를 취할까’도 같이 고민해보는 게 좋다.
3. 보안 관련 법률을 준수하는 것과 정보를 보호하는 것은 서로 다른 이야기다. 딕슨은 “여기가 바로 많은 분들이 착각하는 부분”이라고 강조한다. 보안 수칙과 표준을 지킨다고 해서 ‘안전한 상태’가 되는 것이 아니기 때문이다. PCI DSS처럼 특정 종류의 데이터에 관한 보안 수칙이나 표준을 지키는 것과 회사 전체의 수많은 데이터를 지키는 건 별개의 이야기라는 뜻. 아직 보안의 모든 것을 관장할 수 있는 정책이나 표준은 존재하지 않는다. 있어도 모호할 뿐이다. 보안은 현실이다.
4. 시스템 관리 역시 중요한 부분이다. 다른 게 아니라 업데이트와 패치만 잊지 않아도 충분하다. 어도비, 애플, MS와 같은 주요 소프트웨어 기업들은 대단히 자주 패치를 배포한다. 그만큼 그 회사의 소프트웨어에는 공격이 많이 들어가기 때문이다. 하지만 ‘패치 잘 하자’라고 독려하고 회사 벽에 대자보로 써 붙여 놔도 안 할 사람은 끝까지 안 한다. 중요한 건 패치를 잘 할 수 있도록 회사 내 규정이나 체계를 만들어놓는 것이다.
5. 작은 회사의 강점은 회사가 ‘통으로’ 움직이기가 아무래도 큰 기업보다는 더 용이하다는 데에 있다. 이 말을 보안에 접목해보면, 정보보안에 IT 담당자만이 아니라 전 직원 혹은 되도록 많은 직원들을 동원할 수 있다는 말이 된다. 솔루션을 구매하기로 최종 결정한다거나 사람을 한 명 더 고용하기로 하는 등의 중요한 사안은 윗선에서 하더라도, ‘피싱 메일 클릭하지 않기’라던가, 중요한 데이터의 접근권한을 소수에게만 부여한다거나 하는 ‘매일의 보안’은 모두가 참여해야만 하는 것이다. 교육도 자주하고, 간단한 2중 인증 시스템을 저렴하게 마련해보는 것도 괜찮은 방법이다.
6. 보안업체와 협력 체계를 구축한다. 자체적으로 해결이 불가능하거나 힘들다면 차라리 보안업체에 네트워크의 보안을 맡겨두는 것도 좋은 방법이다. 보안을 전문으로 하는 업체라면 중소기업 단위의 작은 네트워크 관리가 그리 힘든 일도 아닐 것이다. 다만 이렇게 하더라도 그런 업체와 연락을 취하며 보안에 대해 배울 수 있는 담당자는 하나 배정해 두는 것이 미래를 위해서는 바람직하다.
중소기업이 해킹에 더 조심해야 하는 이유는 간단하다. 구글이나 MS는 해킹을 당해도 살아남을 수 있지만 중소기업은 아니기 때문이다. 백악관은 해킹을 당해도 대통령이 물러나진 않는다. 중소기업은 그렇지 않다. 훔쳐갈 것이 없어서 중소기업이 아니라, 실패할 여력이 없는 것이 중소기업이다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
