이동식 저장매체의 장단점과 IT 관리자가 주의해야 할 점
 
 
이동식 저장매체는 사용상의 편리함과 저렴한 가격으로 인해 어디에서든 쉽게 찾아 볼 수 있는 장비가 됐다. 그로 인해 이동식 저장매체는 그 사용량이 갈수록 늘어날 것으로 보인다. 하지만 이렇듯 편리한 이동식 저장매체가 엄청난 위험성을 갖고 있다는 것을 많은 사람들은 인식하지 못하고 있는 듯 보인다. 여기서는 이동매체의 장단점과 이와 관련된 보안상의 위험을 감소시키기 위해 보안 및 IT 관리자들이 취할 수 있는 조치에 대해 생각해 보기로 한다.
 

<20MB 정도의 정보쯤은 다른 사람이 마음만 먹는다면 쉽게 가져나갈 수 있다(그림제공 : Pointsec Mobile Technologies).>


필자는 어느 날 USB 메모리 스틱이 필요해 인터넷 쇼핑을 통해 구입하기로 마음먹었다. 인터넷을 뒤적인지 얼마 되지도 않아 엄청나게 싼 가격(수백 파운드)에 4GB의 USB 메모리 스틱을 구입할 수 있음을 알게 됐다. 이것은 곧 4GB의 정보를 한 손에 넣을 수 있음을 의미하는 것이다.

대용량, 휴대성 및 간편성으로 이동매체는 오늘날 우리 주변에서 가장 인기 있는 저장매체가 됐다. 이렇듯 폭발적인 인기를 얻고 있는 저장매체는 가격도 저렴해져 이제는 대형 컴퓨터 쇼룸에 가면 선물로 공짜 메모리 스틱을 받을 수 있을 정도가 됐다.


<대용량, 휴대성, 그리고 단순성으로 USB 디스크와 같은 이동매체는 오늘날 가장 인기 있는 저장매체 중의 하나가 됐다.(사진제공 : Pointsec Mobile Technologies)>
여러분이 필자와 같다면, 작은 메모리 스틱이나 콤팩트 플래시 카드, 그리고 디지털 카메라에 사용되는 메모리 카드가 갖는 장점이 매우 매력적이라 느낄 것이다. 이런 장점은 장시간의 여행이나 사무실에서 오래 떨어져 있을 때 더 이상 휴대용 컴퓨터를 들고 다닐 필요가 없다는 것을 의미한다.

그냥 열쇠고리에 USB 메모리를 달아 놓으면 그 무겁고 불편한 노트북 컴퓨터를 들고 다닐 필요 없이 필요한 모든 서류들을 갖고 다닐 수 있기 때문이다. 이동매체 장치는 우리가 일하는 방식에 ‘편리함’을 부여해줬을 뿐만 아니라 즐거움까지 더해준 환상적인 장치다.
 

<이동매체로 인해 장시간의 여행 또는 출장을 갔을 때 휴대용 컴퓨터를 들고 다니던 시대가 사라지게 됐다(그림제공 : Pointsec Mobile Technologies).>
그렇다면 이에 따른 단점은 존재하지 않는 것일까? 이동매체가 인기를 얻게 되면서 더욱 많은 사람들이 회사의 정보를 저장하기 위해 이런 매체를 작업 현장에서 사용하게 됐다. 서류, 데이터베이스, 그래픽, 음악, 심지어는 영화와 비디오까지도 이 장치에 저장해 사용하고 있는 것이다. 그러나 이동매체와 관련된 보안상의 문제점이나 위험도도 증가하고 있다는 것은 불행한 사실이다.

만약 당신이 중요한 회사서류를 다운로드 받아 USB장치에 저장해뒀다고 가정해보자. 어느 날 그것을 사용하기 위해 가방을 뒤져봤지만, 불행하게도 USB는 온데 간데 사라졌다. USB 장치를 분실한 것이다.

당신의 USB를 주운 사람이 안의 내용을 읽어본 후 흥미가 없다고 한다면 불행 중 다행이겠지만 만약 그 정보가 범죄자나 기자 또는 경쟁사에게 입수되게 되는 경우에는 어떤 일이 일어날지는 상상할 수 없다.

더욱 치명적인 경우는 당신의 은행구좌가 텅 비게 되거나 당신의 신상 정보를 도둑맞게 되는 것이다. 이런 일들은 실제로 발생하고 있으며, 믿을 수 없을 정도로 많은 사람들에게 치명적인 상처를 남기고 있다.
 

<만약 불만을 가진 종업원이 고객정보를 누설하는 경우, 심각한 회사의 명예훼손뿐만 아니라 고객이 제기하는 명예훼손 소송에 휘말릴 수도 있다. 따라서 장치나 실행 파일을 통제할 수 있는 대책을 수립해 어떤 장치들이 시스템에 연결이 가능하고, 또한 어떤 실행 파일들만이 실행 가능한 지를 통제할 수 있어야 한다(사진제공 : Pointsec Mobile Technologies).>


IT 관리자들이 당신의 회사조직 안에서 이동매체 사용을 통제할 수 없다면 그것은 당신 회사의 지적재산과 다른 민감한 회사정보를 마음대로 다운로드 받도록 대문을 활짝 열어놓고 있는 것과 다름없다.

정보손실이 비즈니스에 끼치는 해악은 단순히 재정적이거나 또는 영업에 관련된 것만은 아니다. 즉, 이제는 이동매체로 누출된 정보에 대한 법적인 책임도 고려해야 한다는 것이다. 만약 불만을 가진 종업원이 고객정보를 누설하는 경우, 회사의 심각한 명예훼손을 불러일으킬 수 있을 뿐만 아니라 고객이 제기하는 명예훼손 소송에 휘말릴 수도 있다는 것을 의미한다.

5가지의 손쉬운 대처 방법

이동매체는 크기가 작고, 쉽게 은닉할 수 있으며, 사용이 간편하기 때문에 어느 조직에게나 보안상 심각한 위협요소가 될 수 있다. 이러한 이동매체가 가진 효용성과 그 안에 내재된 위험요소간의 균형을 이룰 수 있는 몇 가지 방법을 제시하고자 한다.
 

<IT 부서에서는 통제할 수 있는 매체에 대해서는 강제적인 암호화 기법을 활용할 수 있어야 한다(그림제공 : Pointsec Mobile Technologies).> 


▲제 1단계 : 보안 정책
이동매체는 장난감이 아니다. 따라서 먼저 회사 입장에서 이것을 어떻게 관리할 지를 결정해야 한다. 하지만 모든 이동매체의 사용을 금지한다는 것은 순진한 생각이 될 것이다. 이유는 이동매체가 실생활과 기업비즈니스에 너무나도 폭넓게 사용되고 있기 때문이다. 따라서 이동매체의 사용을 용인하되 이동매체를 보안정책 대상에 포함시키고, 모든 직원들이 이 정책에 동의한다는 각서를 쓰게 하는 것이 첫 번째 방법이 될 수 있다. 또한, 직원들에게 이러한 정책이 지켜지지 않을시 취할 조치에 대해서도 충분히 설명할 필요가 있다.

▲ 제 2단계 : 교육 실시
종업원들에게 보안의 개념과 의미에 대해 알려줘야 한다. 그리고 왜 이런 특정한 통제들이 필요할 수밖에 없는지를 설명해야 한다. 여러 가지 통제규칙을 단순히 강압적으로 부과하면 안된다. 그들에게 이를 충분히 설명하지 못한다면 종업원들은 이러한 통제규칙을 무시하게 될 것이다. 

▲ 제 3단계 : 암호화
이동식 데이터를 보호하는 장치의 사용을 검토한다. IT 부서에 의해 이동식 매체에 대한 강제적인 암호화 기법이 가능하다. 이러한 보호 장치는 자동으로 USB 장치나 다른 이동매체에 다운로드 되는 모든 정보에 암호를 부여하게 된다. 그리고 패스워드를 갖고 있는 사용자에게만 접근이 허용된다.

▲ 제4단계 : 통제
이동매체나 실행파일을 통제할 수 있는 대책을 수립해 어떤 장치들이 시스템에 연결 가능하고, 어떤 실행 파일들만이 실행 가능한지 충분히 파악하고, 통제할 수 있어야 한다.

 

<장치나 실행 파일을 통제할 수 있는 대책을 수립한다(그림제공 : Pointsec Mobile Technologies).>

 
▲ 제 5단계 : 감사와 대응책
누가 이동매체를 사용하고 있는지를 파악하기 위해 정기적으로 감사를 실시하도록 한다. 오늘날의 복잡한 디지털 세계에서는 보안에 관한 어떤 것도 완벽히 보장되지 않는다. 그러나 이러한 몇 가지 간단한 조치들만으로도 위험을 상당부분 줄일 수 있으며, 이동매체를 통해 전달되고 있는 정보들의 안전을 위해 당신이 할 수 있는 모든 적절한 조치를 취하고 있음을 증명해 보일 수 있다.
 
 일급 기밀이 담긴 독일 경찰의 하드디스크가 단돈 20유로에 이베이 경매사이트에서 팔리다!

독일의 유력 주간지인 스피겔에 따르면 독일의 브란덴부르그 지역 경찰의 기밀정보가 담긴 하드 드라이브가 이베이에서 단돈 20유로에 경매됐다고 밝혔다.  

스피겔지에 따르면 20GB의 용량을 가진 이 하드드라이브에는 인질 또는 납치상황 같은 사건들이 발생했을 때 경찰의 대응방법을 언급하고 있는 내부 비상계획을 담고 있으며, 전략적인 명령과 정치적 안보상황 분석, 그리고 비상상황 발생시 접속해야 할 위기관리팀의 담당자 이름들이 기록돼 있었다고 한다. 참고로 이런 정보들은 일급기밀로써 정보기관의 최고위 담당자들이나 경찰 총수 및 내무부장관의 수행진 등에게만 접근이 허락돼있는 것이었다.

포츠담시에서 온 한 학생이 담긴 내용이 무엇인지도 모른 채 단돈 20유로에 이것을 구매한 이 사건 이후 Jorg Schonbohm 장관은 즉각 조사를 시작해 어떻게 이와 같은 기밀정보가 이베이에서 팔리게 됐는지 밝혀내기 시작했다. 또한, 그것이 제3자에 의한 것인지 또는 어떤 범죄행위에 의한 유출인지도 파악하고자 했다. 중요한 것은 이베이에서 팔린 하드드라이브가 보안 장벽을 깨고 어떤 해당 조직을 공개적으로 노출시킨 첫 사례가 아니라는 것이다.

이동매체 보안관련 전문업체인 Pointsec은 디스크를 처분하기 전에 자신들이 갖고 있는 디스크를 철저하게 지워버리거나 또는 리포맷하는 회사가 거의 없다는 점을 증명하기 위해 예민한 회사 정보를 담고 있는 하드드라이브를 이베이에서 얼마나 많은 양을 구매할 수 있는지 조사를 실시했다.

그 결과 Pointsec은 이베이와 같은 경매 사이트에서 맥도날드 음식 값만도 못한 가격에 리포맷됐다고 추정되는 10개의 하드 드라이브 중 7개를 판독할 수 있었다, Pointsec이 경매로 구매한 첫 번째 랩탑 컴퓨터에는 대형식품회사의 예민한 정보가 담겨져 있었다. 그 하드 디스크를 분석해 보니 회사와 고객 관련정보가 담긴 4개의 Microsoft Access 데이터베이스와 15개의 Microsoft PowerPoint 프리젠테이션 자료, 그리고 회사와 개인사진을 찍은 1,512개의 JPG사진이 저장돼 있었다.

조사를 끝낸 Pointsec Mobile Technologies사의 사장인 Peter Larsson 씨는 다음과 같이 말했다.
“우리가 실시한 조사를 통해 이베이와 같은 인터넷 경매 사이트에서 하드 드라이브를 매우 쉽게 구매할 수 있으며, 그 안의 정보 또한 함께 접할 수 있음을 알게 됐다. 덧붙여 회사나 개인이 하드 드라이브를 깨끗이 지웠다고 생각하지만, 그 안에 담긴 정보를 재생할 수 있음을 알 수 있었다. 독일 브란덴부르그 경찰의 치명적인 정보유출사건은 암호화가 돼있지 않거나 패스워드에 의해 보호를 받지 못하는 저장식 이동매체가 얼마나 위험한지에 대해 증명하는 것이다.”

만약 컴퓨터나 이동매체를 폐기한 이후에도 그 안에 담긴 정보가 계속적으로 안전하기를 바란다면 Pointsec Mobile Technologies는 다음과 같은 방법들을 시도할 것을 제안했다.

1. 데스크탑 컴퓨터도 때때로 이동식으로 전환될 수 있으므로 안전하게 관리하고, 암호화하도록 한다.

2. 데스크탑을 A/S 맡길 때나 업그레이드 시킬 때 불순한 의도를 가진 사람의 손에 들어가거나 또는 분실될 위험이 있으므로 주의를 게을리 하지 않도록 한다.

3. 만약 데이터가 암호화돼 있지 않다면 폐기하기 전에 최소한 8번 이상 리포맷을 하거나 데이터 삭제를 위해 전문적인 삭제프로그램을 활용하도록 한다. 만약 담겨져 있는 정보가 예민하고 어떤 누구도 그 하드 드라이버에 담긴 내용을 볼 수 없도록 확실한 조치를 취하고자 한다면 하드 드라이버를 아예 태워 버리는 것도 하나의 방법이다.

4. 이동매체 장치의 보안문제를 사용자에게 맡기지 않도록 한다. 왜냐하면 그들 대부분은 보안문제에 신경을 쓰지 않기 때문이다. 그러므로 패스워드, 접속 코드 및 암호화하는 것을 강제화하고 중앙에서 집중적으로 관리하도록 한다.

5. 이동매체에 관한 정책을 수립해 이동매체를 관리하는 회사의 가이드라인을 만들고, 이에 대한 교육을 실시한다. 

<글: Magnus Ahlberg Managing Director, Pointsec Mobile Technologies>
 
[월간 시큐리티월드(info@boannews.com)]

           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>