[주말판] 트위터의 내부 고발자 사건, 보안 측면에서 기업에 시사하는 것

2022-10-01 10:08
  • 카카오톡
  • 네이버 블로그
  • url
기업들은 더 이상 립서비스 형태로 보안과 프라이버시를 강화할 수 없다. 소비자들의 기대치가 매우 높아졌고, 이것이 깨질 경우 브랜드에 대해 전혀 신뢰할 수 없다는 식으로 돌변하기 때문이다. 이런 때 기업이 추구해야 할 건 투명한 보안성 강화다.

[보안뉴스 문정후 기자] 요즘 같은 세상에 데이터 침해 한 번이면 사업에 막대한 피해가 생길 수 있다. 얼마 전 트위터 내부 고발자가 등장해 여론을 조성한 뒤 트위터에 대한 불신 여론은 팽창하는 중이다. 몇 년 전만 해도 데이터 침해 사고에 대해 고객들은 너그러운 편이었다. 사과문만 잘 쓰면 용서가 되는 분위기였다. 하지만 이제는 데이터 유출의 소문만 나도 성난 벌 떼처럼 들고 일어난다. 점점 데이터 침해에 기업들이 벌벌 떨 수밖에 없는 방향으로 흘러가고 있다. 이런 때 기업들은 어떻게 스스로를 보호해야 할까?


[이미지 = utoimage]

전 트위터 근무자의 내부 고발
트위터 내부 고발 사건이 제일 크게 시사하는 건 “해킹 사고가 없어도 데이터 침해 수준의 타격을 입는 게 가능하다”는 것이다. 전 트위터 보안 책임자였던 피터 자트코(Peiter Zatko)는 “트위터의 데이터 및 프라이버시 보호 수준이 형편 없다”는 주장을 하며 여러 매체의 헤드라인을 차지했다. 보안을 주제로 한 발언이, 보안 사고가 일어난 것과 같은 효과를 가지며 일파만파 퍼졌다.

물론 주장만 있던 것은 아니었다. 그는 200페이지에 달하는 보고서를 작성해 의회에 제출했다. 트위터가 어떤 식으로 얼마나 잘못하고 있는지를 드러내는 근거들이 그 안에 가득한 것으로 알려져 있다. 특히 트위터라는 플랫폼에 있는 민감한 정보와, 트위터의 중앙 제어 시스템에 일반 직원들이 아무렇게 접근할 수 있었다는 주장이 그에게서 나오면서 사용자들의 성토는 더욱 커졌다.

진실 여부 판정은 아직 나지 않았지만
고발만으로도 큰 파급 효과가 나타나는 건 왜일까? 보안 침해 혹은 데이터 침해 주장이 나왔을 경우, 진위여부가 크게 중요한 위치를 차지하지 않기 때문이다. 이미 대중의 여론은 ‘그 기업의 보안은 엉망’이라고 판결을 내린다. “A라는 기업에서 정보가 유출된 것 같다”고 말하는 순간 그 기업은 유죄 판결을 받는 것이나 다름이 없다. 사람들은 정보 유출 주장을 대단히 쉽게 믿어버리는 습성을 언젠가부터 갖게 되었다.

그도 그럴 것이 타겟(Target), 어도비(Adobe), 야후(Yahoo) 등 그 동안 소비자들의 신뢰를 한껏 받아 왔던 사기업들에서 너무 많은 데이터 침해 사고를 일으켰다. 심지어 대부분이 해커가 뛰어나서 당한 게 아니라, 보안에 대해 해이해서 나타난 결과들이었다. 이런 식의 사건에서 기업은 항상 유죄라는 게 소비자들에게 각인이 된 것으로 생각된다. 매체들은 침해 의혹은 대대적으로 보도하는데, ‘사실 그게 아니었다’는 건 잘 내지 않기도 한다. 

고객들은 왜 프라이버시에 그토록 민감할까?
기업들이 어마어마한 양의 개인정보를 수집한다는 건 잘 알려진 사실이다. 그리고 그 수집이라는 것을 그냥 얌전히 하는 게 아니라 소비자들을 집요하게 쫓아다니면서 한다는 것도 여러 차례 적발된 적이 있다. 우리가 어느 사이트에서 뭘 하고 뭘 사는지를 추적하면서 자신들의 이윤을 극대화 한다고 하니 소비자들로서는 거부감이 들 수밖에 없다. 서비스 향상을 위해 어느 정도 정보를 가져가는 건 괜찮은데, 그렇게까지 일거수일투족을 감시할 필요까지는 없지 않느냐는 것이다.

여기다가 해커들도 기승을 부리며 우리의 ‘사이버 일상’을 위협하고 있다. 아이덴티티 정보를 훔치고, 피싱을 하고, 랜섬웨어를 흩뿌리니 갈수록 보안에 예민하게 될 수밖에 없다. 기업은 우릴 감시하고, 해커들은 우리를 매일처럼 속일 생각만 하니 계속 둔감한 상태로 있는다는 게 더 이상하다. 심지어 기업이나 해커나 사실 하는 짓은 똑같다고 생각하는 소비자들도 늘어나고 있다.

기업이 스스로를 보호하려면 : 투명성
데이터 침해에 대해 이렇게 시장이 민감하게 반응할 때 기업이 취할 수 있는 가장 안전한 노선은 데이터 관리에 관한 현황을 투명하게 공개하는 것이다. 대다수 기업들은 보안과 프라이버시 문제에 대해 터놓고 이야기하는 것을 극도로 꺼린다. 왜냐하면 보안을 위한 바람직한 실천 사항을 꼼꼼하게 지키지 못하고 있는 게 현실이기 때문이다. 하지만 세상에 있는 거의 모든 기업들의 사정이 비슷하다. 제일 먼저 앞으로 나서 있는 그대로 자신들의 상황을 알리고 노력의 모습을 보여주면 신뢰를 얻을 수 있다.

하지만 투명한 태도를 유지한다고 해서 무조건 신뢰로 이어지는 건 아니다. 지켜야 할 몇 가지가 있는데, 이는 다음과 같다.

1) 구체적이고 지킬 수 있는 계획을 먼저 마련하라.
2) 가장 먼저 사업의 핵심이 되는 데이터와, 가장 큰 리스크가 되는 부분들에 집중하라.
3) 단기 목표와 장기 목표를 모두 설정하라. 고객들은 물론 내부의 직원들까지도 수긍할 만한 것이어야 한다.
4) 보안 점검을 대대적으로, 주기적으로 하라. 보통 보안 점검은 임원진들만이 비밀 리에 진행하는 것이 보통이지만, 일반 직원들까지도 참여하도록 하는 게 좋다. 그래야 보안에 대해 입으로만 떠든 게 아니라는 걸 납득시킬 수 있다.
5) 인증서를 획득하라. 
6) 외부 감사자들을 활용하라. 물론 회사 입장에서 내키지 않겠지만, 이를 통해 소비자와의 보안 강화 약속을 지킬 의지가 있음을 확연히 보여줄 수 있게 된다.

끝나려면 멀었다
위협이라는 것도 그렇고, 소비자들의 기대라는 것도 그렇고, 어느 것 하나 가만히 있는 것은 없다. 모두 빠르게 변한다. 그러므로 그 때 그 때 보안 계획도 제대로 변경시켜 적응해야 한다. 적응에는 돈이 들기 마련인데, 그 어느 기업도 IT와 보안 담당 부서에 무제한 예산을 허락하지는 않는다. 그러니 최대한 저렴하게 변화에 적응하는 게 관건이다. 몇 가지 참고할 만한 내용을 정리하면 다음과 같다.

1) 혼자서 감당하는 보안은 이제 그만 : 보안의 모든 문제를 한두 사람이나 한 부서가 떠안을 수는 없다. 그런 시대는 지났다. 기본적인 부분은 차라리 외주를 줘서 해결하고, ‘회사 상황에 맞는 보안’을 내부 팀이 도맡는 게 효과적이다.

2) 비용 절감은 세부적으로 하는 게 아니다 : 예산이 한정적일 때 대부분 보안 팀들은 벤더사로부터 높은 할인율을 끌어내는 데 집중한다. 잘 되지 않으면 팀원들의 불 타는 야근으로 신기술을 대체하려는 곳들도 대단히 많다. 이는 불만을 쌓이게 하는 결과를 낳는다. 비용 절감이라는 건 보다 큰 그림에서 기획되고 실행되어야 한다. 예를 들어 보안과 프라이버시를 충분히 강화시킴으로써 보다 저렴한 보험 상품에 가입할 수 있게 되는 것처럼 말이다.

3) 데이터는 되도록 조금만 저장 : 기업이라면 데이터 욕심을 내는 게 당연하다. 뭐든지 저장하고 싶고, 뭐든지 가지고 있고 싶다. 하지만 이렇게 데이터를 영원히 가지고 있으려 하면 저장소 비용도 늘어나고, 이제는 각종 벌금과 법적 리스크까지 짊어져야 한다. 데이터를 줄이는 게 여러 면에서 이득이라는 걸 이해시켜야 한다.

트위터 내부자 고발 사건으로 인해 우리는 공식적으로 확인되지 않은 소식만으로도 기업이 큰 타격을 입을 수 있다는 사실을 실시간으로 보고 있다. 데이터 유출에 대한 소비자들의 민감한 태도 역시 우리는 익히 알고 있었다. 이런 때에 뭘 더 기다리겠는가? 보안을 실질적으로 강화하고, 그러한 내용을 소비자들에게 투명하게 공개해야 한다. 조금이라도 늑장을 부리면 트위터가 받고 있는 화살을 당신의 회사가 받을 수도 있다.

글 : 스티븐 맨리(Stephen Manley), CTO, Druva
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 현대틸스
      팬틸트 / 카메라

    • 이노뎁

    • 아이브스

    • 아이디스

    • TVT코리아

    • 웹게이트

    • 스누아이랩

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 엔토스정보통신

    • 쿠도커뮤니케이션

    • 슈프리마

    • 비전정보통신

    • 이화트론

    • 지오멕스소프트

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 퀀텀코리아

    • 보이저아이엔씨

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 다후아테크놀로지코리아

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 가드텍

    • 성현시스템

    • 하이앤텍

    • 트루엔

    • 송암시스템

    • 동양유니텍

    • 유에치디프로

    • 디비시스

    • 위트콘

    • 주식회사 에스카

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • (주)우경정보기술

    • 투윈스컴

    • (주)넥스트림

    • 지에스티

    • A3시큐리티

    • 씨게이트

    • 안랩

    • 지니언스

    • 시만텍

    • 소만사

    • 엔피코어

    • 센티넬원

    • 트렌드마이크로

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엔시드

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 보문테크닉스

    • 탄탄코어

    • 다원테크

    • (주)일산정밀

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • 유투에스알

    • 코스템

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 이스트컨트롤

    • 코디텍

    • 티에스아이솔루션
      출입 통제 솔루션

    • 구네보코리아주식회사

    • 디알에스

    • 포커스에이치앤에스

    • 한국화웨이기술

    • 대산시큐리티

    • 케이컨트롤

    • 센스타임

    • 모스타

    • 메트로게이트
      시큐리티 게이트

    • 제네텍

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기