일반 기업 사용자 대부분 “적어도 한 번 이상은 정보 유출 있었다”
‘5W 강화 운동’에 ‘마찰 없는 보안’ 화두...이상과 현실 간극 좁혀야
▲ 발만 구르다 이렇게 벌어질라
[보안뉴스 문가용] 각종 파트너, 고객, 계약자 등과의 정보 공유가 활발해지고 용이해짐에 따라 보안 문제가 커지고 있다. 얼마 전 ESG(기업전략그룹)가 발표한 보고서에 의하면 약 35%의 기업들이 “26~50%의 직원들이 외부 인원과 주기적으로 파일을 공유한다”고 밝힌 것으로 나타났다.
또한 지난 12개월 동안 한 번 이상의 정보 손실 및 유출이 발생했을 것이라고 확신하는 이들이 98%나 되었다. “결국 파일이나 정보를 업무 때문에 어쩔 수 없이 공유하긴 하는데, 뭔가 혹은 대단히 찜찜하다고 느끼는 사람들이 많다는 겁니다.” ESG의 수석 분석가인 덕 카힐(Doug Cahill)의 설명이다.
최근 기업 저작권 관리 전문업체인 시클로어(Seclore)가 200명의 IT 및 사이버 보안 전문가들을 대상으로 안전한 데이터 전송에 대한 연구를 진행했다. 응답자들은 기업용 파일 동기화 및 공유 솔루션(Enterprise File Sync and Share, EFSS), FTP/이메일, 데이터 보안 통제기법, 디지털 저작권 관리 툴 등을 업무 시 사용해본 적이 있는 사람들이었다.
기업들이 민감한 정보를 손실하는 경로는 여러 가지가 있다고 더그 카힐은 설명한다. “휴대용 저장 기기를 분실하거나, 피싱 공격 등으로 로그인 정보를 빼앗기거나, 악성 소프트웨어를 설치하거나, 비합법적 접근을 하거나, 친한 동료가 배신하거나, 이메일 주소에 오타를 내서 잘못 전송하거나 등, 정말로 다양한 이유와 경위로 데이터를 잃죠.”
결국 민감한 정보의 손실에 해커들만 개입하는 건 아니라는 뜻이다. ESG의 보고서에 의하면 약 27%가 ‘작년 한 해 동안 민감한 정보를 잃은 직원이 분명히 있을 것’이라고 답했고, 28%는 ‘작년 한 해 동안 민감한 정보를 잃은 파트너사가 분명히 있을 것’이라고 답했다. 즉, 직원과 파트너사도 적지 않은 지분을 차지하고 있다는 것.
시클로어의 CEO인 비샬 굽타(Vishal Gupta)는 “기업들의 정보 공유 방법이 다양해지고 있고, 따라서 위험도도 높아지고 있다”고 말한다. “HR 정보는 외부의 금융기관과 보통 공유되죠. 금융정보는 임원들에게 공유되고 있고, 때에 따라서 외부 고문도 이에 접근이 가능합니다. 기술 정보들은 외주 엔지니어들이 알고 있고요.”
굽타는 IT 엔지니어들 사이에서 지적재산이 잘못 혹은 실수로 공유되는 예가 정말 많다고 경고한다. “흔한 스토리 중 하나입니다. 어떤 회사가 외주 엔지니어를 고용했는데, 같은 외주 엔지니어를 하필이면 경쟁사에서도 고용했다. 양쪽을 왔다갔다 하면서 일하는 와중에 정보가 다른 한쪽에 유출되어 경쟁사 하나가 무너진다거나, 직원 중 한 명이 그런 정보를 가지고 나가 창업을 한다거나 하는 거요.”
민감한 기업 정보를 보호해야 한다는 이슈 때문에 클라우드의 도입이나 BYOD의 확산도 느려지고 있다고 카힐은 설명한다. “클라우드와 모바일 사용도 역시 공격의 경로만 늘이는 데 일조한다는 생각이 만연합니다. 현실이기도 하고요.” 클라우드와 모바일을 사용하면 업무가 매우 편해지고 빨라진다. 그래서 많은 기업들이 ‘느리지만’ 클라우드와 모바일을 점점 더 많이 사용해가는 추세다. “그래서 사용자의 편의성을 해치지 않는 보안(frictionless security)가 화두에 오르는 것이죠. ‘클라우드 편한데 왜 보안이 이걸 못 쓰게 막냐’는 불만이 커지고 있거든요.”
데이터를 보호하기 위해 사업체들은 이른 바 ‘5W’라는 걸 강화해야 한다는 운동도 벌어지고 있다. 1) 누가(Who) 2) 어떤(Which) 파일에 접근할 수 있는지 3) 그 파일로 뭘(What) 할 수 있는지 4) 어떤 지역이나 기기로부터의(Where) 접근인지 5) 언제(When) 접근시도가 이뤄지고 있는지가 바로 이 5W다.
ESG의 연구 결과는 맥아피 랩에서 실시한 정보 탈취 및 손실에 대한 연구 결과와도 맞물린다. 맥아피의 연구 결과에 따르면 1000~3000명 사이의 직원을 두고 있는 소기업은 하루에 11~20건의 정보 유출/탈취/손실 사건을 겪고, 3001~5000명 사이의 직원이 있는 중견 기업은 21~30건, 5000명 이상의 대기업은 31~50건을 겪는다고 한다.
또한 USB 드라이브와 같은 물리적인 매체를 관리, 관찰하는 기업은 37%에 불과하다는 것도 드러났다. 물리 매체로 발생하는 정보 관련 사건이 약 40%에 달하는데도 말이다. 또한 요즘 유행하는 클라우드 관련 앱 보안에 대해서는 60%의 응답자가 조치를 취했다고 답했으며 클라우드 저장 및 작업 과정에 대한 보안 전략을 갖추었다고 주장한 응답자가 90%나 되었으나 정작 클라우드 안에서의 데이터 가시성을 확보했다고 밝힌 이는 12%에 불과했다.
기업이 보안을 강화해야 한다는 것만 알지 뭘 어떻게 해야 하는지 모른다는 것이다. 이는 기업 내 구성원 개개인에게도 해당하는 말이다. 매체나 일반 대중의 웅성거림 속에 등장하는 최신 IT 용어에 귀를 기울이기는 하지만, 더 깊이 파보지는 않는다. 큰 방향을 볼 줄 아는 것과 그 방향을 향해 작은 페달이라도 밟을 줄 아는 능력 사이에 커다란 간극이 있다. 그 공간 사이에서 각종 데이터들이 주인을 잃고 헤매도 있다.
이 간극을 좁혀야 한다. 기업 환경에서 가장 흔히 사용되고 있는 데이터 손실 방지 대책들은 점점 그 효율이 떨어지고 있다. 새로운 공격 기법들이 자꾸만 개발되기 때문이다. 지금 우리는 기존의 손실 방지 대책 솔루션을 설치해놓은 것으로 안심할 수 없다. 조직과 개인의 적극적인 ‘보안 강화의 커스터마이징’이 필요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
‘5W 강화 운동’에 ‘마찰 없는 보안’ 화두...이상과 현실 간극 좁혀야
▲ 발만 구르다 이렇게 벌어질라
[보안뉴스 문가용] 각종 파트너, 고객, 계약자 등과의 정보 공유가 활발해지고 용이해짐에 따라 보안 문제가 커지고 있다. 얼마 전 ESG(기업전략그룹)가 발표한 보고서에 의하면 약 35%의 기업들이 “26~50%의 직원들이 외부 인원과 주기적으로 파일을 공유한다”고 밝힌 것으로 나타났다.
또한 지난 12개월 동안 한 번 이상의 정보 손실 및 유출이 발생했을 것이라고 확신하는 이들이 98%나 되었다. “결국 파일이나 정보를 업무 때문에 어쩔 수 없이 공유하긴 하는데, 뭔가 혹은 대단히 찜찜하다고 느끼는 사람들이 많다는 겁니다.” ESG의 수석 분석가인 덕 카힐(Doug Cahill)의 설명이다.
최근 기업 저작권 관리 전문업체인 시클로어(Seclore)가 200명의 IT 및 사이버 보안 전문가들을 대상으로 안전한 데이터 전송에 대한 연구를 진행했다. 응답자들은 기업용 파일 동기화 및 공유 솔루션(Enterprise File Sync and Share, EFSS), FTP/이메일, 데이터 보안 통제기법, 디지털 저작권 관리 툴 등을 업무 시 사용해본 적이 있는 사람들이었다.
기업들이 민감한 정보를 손실하는 경로는 여러 가지가 있다고 더그 카힐은 설명한다. “휴대용 저장 기기를 분실하거나, 피싱 공격 등으로 로그인 정보를 빼앗기거나, 악성 소프트웨어를 설치하거나, 비합법적 접근을 하거나, 친한 동료가 배신하거나, 이메일 주소에 오타를 내서 잘못 전송하거나 등, 정말로 다양한 이유와 경위로 데이터를 잃죠.”
결국 민감한 정보의 손실에 해커들만 개입하는 건 아니라는 뜻이다. ESG의 보고서에 의하면 약 27%가 ‘작년 한 해 동안 민감한 정보를 잃은 직원이 분명히 있을 것’이라고 답했고, 28%는 ‘작년 한 해 동안 민감한 정보를 잃은 파트너사가 분명히 있을 것’이라고 답했다. 즉, 직원과 파트너사도 적지 않은 지분을 차지하고 있다는 것.
시클로어의 CEO인 비샬 굽타(Vishal Gupta)는 “기업들의 정보 공유 방법이 다양해지고 있고, 따라서 위험도도 높아지고 있다”고 말한다. “HR 정보는 외부의 금융기관과 보통 공유되죠. 금융정보는 임원들에게 공유되고 있고, 때에 따라서 외부 고문도 이에 접근이 가능합니다. 기술 정보들은 외주 엔지니어들이 알고 있고요.”
굽타는 IT 엔지니어들 사이에서 지적재산이 잘못 혹은 실수로 공유되는 예가 정말 많다고 경고한다. “흔한 스토리 중 하나입니다. 어떤 회사가 외주 엔지니어를 고용했는데, 같은 외주 엔지니어를 하필이면 경쟁사에서도 고용했다. 양쪽을 왔다갔다 하면서 일하는 와중에 정보가 다른 한쪽에 유출되어 경쟁사 하나가 무너진다거나, 직원 중 한 명이 그런 정보를 가지고 나가 창업을 한다거나 하는 거요.”
민감한 기업 정보를 보호해야 한다는 이슈 때문에 클라우드의 도입이나 BYOD의 확산도 느려지고 있다고 카힐은 설명한다. “클라우드와 모바일 사용도 역시 공격의 경로만 늘이는 데 일조한다는 생각이 만연합니다. 현실이기도 하고요.” 클라우드와 모바일을 사용하면 업무가 매우 편해지고 빨라진다. 그래서 많은 기업들이 ‘느리지만’ 클라우드와 모바일을 점점 더 많이 사용해가는 추세다. “그래서 사용자의 편의성을 해치지 않는 보안(frictionless security)가 화두에 오르는 것이죠. ‘클라우드 편한데 왜 보안이 이걸 못 쓰게 막냐’는 불만이 커지고 있거든요.”
데이터를 보호하기 위해 사업체들은 이른 바 ‘5W’라는 걸 강화해야 한다는 운동도 벌어지고 있다. 1) 누가(Who) 2) 어떤(Which) 파일에 접근할 수 있는지 3) 그 파일로 뭘(What) 할 수 있는지 4) 어떤 지역이나 기기로부터의(Where) 접근인지 5) 언제(When) 접근시도가 이뤄지고 있는지가 바로 이 5W다.
ESG의 연구 결과는 맥아피 랩에서 실시한 정보 탈취 및 손실에 대한 연구 결과와도 맞물린다. 맥아피의 연구 결과에 따르면 1000~3000명 사이의 직원을 두고 있는 소기업은 하루에 11~20건의 정보 유출/탈취/손실 사건을 겪고, 3001~5000명 사이의 직원이 있는 중견 기업은 21~30건, 5000명 이상의 대기업은 31~50건을 겪는다고 한다.
또한 USB 드라이브와 같은 물리적인 매체를 관리, 관찰하는 기업은 37%에 불과하다는 것도 드러났다. 물리 매체로 발생하는 정보 관련 사건이 약 40%에 달하는데도 말이다. 또한 요즘 유행하는 클라우드 관련 앱 보안에 대해서는 60%의 응답자가 조치를 취했다고 답했으며 클라우드 저장 및 작업 과정에 대한 보안 전략을 갖추었다고 주장한 응답자가 90%나 되었으나 정작 클라우드 안에서의 데이터 가시성을 확보했다고 밝힌 이는 12%에 불과했다.
기업이 보안을 강화해야 한다는 것만 알지 뭘 어떻게 해야 하는지 모른다는 것이다. 이는 기업 내 구성원 개개인에게도 해당하는 말이다. 매체나 일반 대중의 웅성거림 속에 등장하는 최신 IT 용어에 귀를 기울이기는 하지만, 더 깊이 파보지는 않는다. 큰 방향을 볼 줄 아는 것과 그 방향을 향해 작은 페달이라도 밟을 줄 아는 능력 사이에 커다란 간극이 있다. 그 공간 사이에서 각종 데이터들이 주인을 잃고 헤매도 있다.
이 간극을 좁혀야 한다. 기업 환경에서 가장 흔히 사용되고 있는 데이터 손실 방지 대책들은 점점 그 효율이 떨어지고 있다. 새로운 공격 기법들이 자꾸만 개발되기 때문이다. 지금 우리는 기존의 손실 방지 대책 솔루션을 설치해놓은 것으로 안심할 수 없다. 조직과 개인의 적극적인 ‘보안 강화의 커스터마이징’이 필요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
