퀘스트, 데이터 보안관련 조사결과 발표....보안정책 무시 다반사 기업 데이터 손실로 인해 30억 낭비...계정접근관리 모범사례 소개

[보안뉴스 권 준] 회사 직원들이 정책을 무시하고 편리한 방법으로 정보를 공유하고 있다고 생각하는 CIO가 65%에 달한다는 내용의 최신 조사결과가 나왔다.

물리, 가상, 클라우드를 포함해 전체 IT 환경 관리를 단순화해주는 퀘스트 소프트웨어 코리아(www.quest.kr/ 대표이사 우미영)는 이러한 조사결과를 발표하고, 직원들의 형편없는 정보공유 습관에 의한 주요 데이터 노출을 방지할 수 있는 계정접근관리(IAM) 모범사례를 소개했다.

최근 유럽 내 CIO를 대상으로 실시한 퀘스트 소프트웨어의 설문조사에 따르면 기업 내 기존 정보보안정책으로는 비즈니스 상의 중요한 정보를 완벽히 보호할 수 없는 것으로 드러났다.

실제로 직장 내 개인 디바이스 사용의 증가, 지리적으로 분산된 팀, 소셜 네트워크 확산 등이 기업 정보 공유 방식에 큰 영향을 끼치면서 데이터 보안에 대한 우려는 더욱 커지고 있다. 특히, 계정접근관리 프로세스는 직원들의 변화하는 요구를 충족시키지 못해 비즈니스를 위험에 노출시키고 있다.

이번 조사에 참여한 IT 의사결정권자의 65%는 직원들이 기업 내 IT 정책을 무시한 채 편리한 방식으로 정보를 공유하고 있으며, 기업 데이터 보호에 있어 자신의 역할이 얼마나 중요한지 충분히 이해하고 있지 못한다고 답했다.

또한, CIO의 69%는 기업과 직원 모두가 비즈니스에 중요한 정보가 어떻게 공유·저장·관리되는지에 대해 더 큰 책임을 느껴야 한다고 말했다. 응답자의 3/4 이상(76%)이 정보 분실은 보안, 재무, 기업 이미지에 상당한 손상을 끼칠 수 있는 계정접근관리를 2013년도 데이터 보안의 우선순위로 꼽기도 했다.

이번 조사에서는 지난 12~18개월간 효과적이지 못한 계정접근관리로 인해 응답자의 30 %가 HR 정보를, 25%가 고객 정보를, 23%가 금융 정보를 비즈니스의 외부로 노출시킨다고 밝혔다. 이러한 데이터 손실을 경험한 기업 중 33%는 고객 신뢰를 잃었다고 답했고, 32%는 기업 이미지에 손상을 입었다고 했다.

이 외에도 CIO의 98%는 정보를 저장 및 공유할 때 협업과 생산성을 저해하는 잘못된 계정접근관리 때문에 직원들이 써드파티 사이트를 사용하게 된다고 했고, 31%는 12~18개월의 기간 동안 직원들이 작업 수행에 필요한 정보에 접근할 수 없었던 적이 있다고 말했다. CIO 62%는 지난 12개월에 걸쳐 높아지는 내부 압력에 맞부딪히고 있는 것으로 밝혀졌다.

퀘스트 소프트웨어는 이러한 보안위반 증가, 생산성 하락, 시스템 보안 등 보안이슈들을 해결할 수 있는 모범사례를 제공한다. 퀘스트는 원 아이덴티티 솔루션을 통해 보안문제의 전체 범위를 커버할 수 있도록 했다. 이를 통해 형편없는 계정접근 관리 사례에 의한 위험을 방지할 수 있다는 것. CIO의 부담을 덜어주는 퀘스트 소프트웨어의 모범사례 가이드라인은 다음과 같다.

교육에 초점 맞추기- 오늘날의 정보보안 위협에 대한 방지 및 완화를 위해서는 비밀번호를 주기적으로 변경할 수 있도록 적절한 기술로 지원할 있는 교육, 지속적인 관리, 프로세스가 필요하다.

최소 권한 정책 채택 - 각각의 직원들에게 필요한 작업을 수행하는 데 요구되는 최소한의 권한을 부여하고, 직원들의 역할이 변경될 때마다 불필요한 접근 권한이 취소되도록 한다.

접근 검토 정책 포괄 - 2개 이상의 관리자에게 접근 변경, 직원 변경 및 다른 민감한 이슈를 통지하는 일반적이고 자동화된 접근 경고를 제공한다.

컴플라이언스 달성 - 접근 제어, 업무 관행과 기술의 분리를 구현하고 모든 시스템 접근에 대한 보안 정책을 개발 및 구현한다.

퀘스트 소프트웨어 필 알런(Phil Allen) EMEA 정보보안 전문가는 “이번 조사는 고객 데이터 보호에 실패할 경우 기업이 수익 손실이나 벌금으로 약 30억원(2백 2십만 유로)의 비용을 낭비할 수 있다고 예측하고 있지만 기업 이미지에 더 부정적인 영향을 끼칠 수 있다는 것을 명심해야 한다”며, “직원들을 더 잘 교육하고 IT 서비스, 툴을 제공하는 방법을 재고해 불필요한 위험 없이 고객과 비즈니스 요구사항 모두를 충족시키는 더 나은 서비스를 제공해야 한다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>