노트북 한 대당 일으키는 피해, 평균 5천만 원, 최대 10억 원
싱글사인온 및 다중인증 사용하고, 출장 사실 일부러 떠벌리지 않고
[보안뉴스 문가용 기자] 중요한 노트북이나 모바일 기기의 도난 사고로부터 완전히 면역인 사람은 아무도 없다. 미국 대선 시절엔 힐러리 캠프에서도 노트북이 세 대나 도난당했고, 지금도 세상 어느 곳에서는 주요 기업 정보가 담긴 노트북 잃어버린 직원이 말도 못하고 발만 동동 구르고 있을 것이다.
.jpg)
노트북 도난 사건은 꽤나 심각한 정보보안 사고다. 일단 기기가 절대 저렴하지 않다. 게다가 중요한 정보도 많이 담겨져 있다. 인텔이 이전에 노트북 도난에 대한 기업의 실질적인 피해액을 조사한 적이 있는데, 당시 결과가 평균 5천만 원 정도로 나왔다. 노트북 한 대당 기업이 입는 피해가 무려 5천만 원이라는 것이다. 노트북 기종과 정보에 따라 10억 원으로 집계되는 기업도 있었다.
작년 오리건 주의 비영리 건강보험 관련 단체인 헬스코옵(Health Co-op)에서도 이런 종류의 사고가 있었다. 노트북 한 대가 도난당했는데, 여기에 하필 개인정보가 1만 5천 건이나 저장되어 있었던 것이다. 이런 경우 피해액 집계가 딱 떨어지지는 않지만, 어마어마하게 높아진다.
계정 보안 전문업체인 원로긴(OneLogIn)의 수석 제품 책임자인 알 사전트(Al Sargent)는 카스퍼스키의 보고서를 인용하며 “노트북 잃어버린 직원이 회사에 이를 정식 보고하는 데 걸리는 시간이 평균 24시간”이라고 말하며, “그 시간이면 해커들이 필요한 정보 탈탈 털고도 남는다”고 설명한다. “게다가 가트너의 한 보고서에 의하면 53초에 한 번씩 노트북 한 대가 도난당하거나 분실된다고 합니다. 정보가 빠른 속도로 새나가고 있다는 소리죠.”
보안 전문업체인 IDC의 수석 연구원인 프랭크 딕슨(Frank Dickson)은 “핸드폰 등과 연계한 다중인증 시스템을 노트북에도 구축하는 게 가장 안전하다”고 권장한다. 보안 컨설팅 업체인 콘트롤리스크(Control Risk)의 책임자인 알렉스 맥스포란(Alex McSporran)은 “기술적인 해결책만으로는 불완전하다”며 “외근과 출장이 잦은 직원들은 안전(보안) 교육도 배로 시켜야 한다”고 주장한다.
“교육 및 훈련 과정을 거칠수록 노트북 및 모바일 기기의 리스크에 대해 더 잘 이해하게 됩니다. 이 이해가 바탕이 되면 분실 및 도난으로 이어질 수 있는 실수나 행위를 줄일 수 있지요. 물론 교육만으로 다 되지는 않습니다. 기술적인 부분도 기업이 충족해주어야 합니다. 즉, 어느 하나에만 의존할 것이 아니라 상호보완적으로 모든 방법들을 활용해야 한다는 겁니다.”
기업 차원에서 노트북을 보다 안전하게 지키기 위해 할 수 있는 일은 무엇일까? 사전트, 딕슨, 맥스포란의 의견을 모아서 정리해보았다.
1. 강력한 비밀번호 사용은 기본이다
이미 클라우드로의 이전을 심각하게 검토하거나 진행해본 기업들은 좀 더 잘 알고 있을 텐데, 사용자 개개인에게 비밀번호 관리를 맡긴다는 건 이미 비현실적인 시대가 되었다. 가장 이상적인 건 기기마다, 애플리케이션마다, 웹 서비스마다 비밀번호를 다 다르게 설정하는 건데, 이걸 직원들이 순순히 따를 리가 없다. 기업은 차라리 싱글사인온(Single Sign On) 기능을 구축하고, 대신 하나의 강력한 암호를 만들어 직원들에게 알려주는 게 낫다. 이는 보안 담당자나 직원이나 기업 모두에게 좋은 방법이다. 물론 암호는 회사가 규칙적으로 바꿔주어야 한다.
2. 강력한 인증 과정 역시 필수다
딕슨은 앞에서도 강조했지만 이중인증 혹은 다중인증이 ‘시대의 필수 덕목’이라고 믿는 부류다. 특히 모두가 모바일을 가지고 다니는 지금 시대에 로그인 과정에 모바일 확인 과정 하나 넣는 게 뭐가 그리 어려운 일인지 이해할 수가 없다고 말한다. “노트북 하나만 훔쳐서는 아무런 소용이 없도록 만들 수 있습니다. 핸드폰을 활용한 이중인증 시스템이라면, 도둑 입장에서 핸드폰과 노트북을 같이 훔쳐야 하죠. 사람들이 노트북보다 핸드폰은 훨씬 더 신경 써서 간수하는 편이기도 하고요. 게다가 요즘 모바일 기기들은 지문 인증도 갖추고 있어 더 탄탄한 보안이 구성됩니다.”
3. 비밀번호는 돌려가며 사용한다
비밀번호를 자주 바꿔야 한다는 말은 이미 사람들의 귀에 못이 박힌 상태다. 이게 부담스럽게 느껴지는 이유는 ‘늘 새로운 비밀번호를 만들고 기억해야 한다’고 생각하기 때문이다. 물론 이는 매우 이상적인 방법이다. 하지만 충분히 부담스러울 수도 있다. 차라리 같은 비밀번호 몇 개를 두고 돌려쓰라고 교육하는 게 더 실용적일 수 있다. 이는 분실되거나 도난당한 노트북 자체를 보호하는 데에 유용한 팁이라기보다, 노트북 분실/도난이 이미 일어난 후 같은 비밀번호를 가지고 2차, 3차 침투 시도를 하는 해커들의 습성에 대한 대비책이다.
4. 여행지 혹은 도착지에 대해 잘 파악하라
출장을 간다면, 그 동네가 어떤 곳인지 조사해보는 것도 중요하다. 소매치기가 많지는 않은지, 경쟁사의 활동이 활발한 곳은 아닌지, 우리 기업의 사업 활동이 누군가를 자극할만한 여지가 있지는 않은지 등 안전을 위주로 조사해야 한다. 이런 조사 후에는 그에 맞는 보안 전략을 갖춰야 한다.
5. 제발 자기 입으로 어디 간다고 광고하지 말 것
SNS 사용자가 늘어나면서 자기의 일거수일투족을 불필요하게 알리는 사람이 많아졌다. 심지어 SNS에 뭐 올리기 위해서 살아가는 것처럼 보이기도 한다. 보안을 우선으로 생각하는 사람이라면, 절대로 피해야 할 행동이다. 그냥 조용히 출장 갔다오면 된다. 굳이 쓸데없는 위험을 자초하지 않는 게 지혜다.
[국제부 문가용 기자(globoan@boannews.com)]
싱글사인온 및 다중인증 사용하고, 출장 사실 일부러 떠벌리지 않고
[보안뉴스 문가용 기자] 중요한 노트북이나 모바일 기기의 도난 사고로부터 완전히 면역인 사람은 아무도 없다. 미국 대선 시절엔 힐러리 캠프에서도 노트북이 세 대나 도난당했고, 지금도 세상 어느 곳에서는 주요 기업 정보가 담긴 노트북 잃어버린 직원이 말도 못하고 발만 동동 구르고 있을 것이다.
노트북 도난 사건은 꽤나 심각한 정보보안 사고다. 일단 기기가 절대 저렴하지 않다. 게다가 중요한 정보도 많이 담겨져 있다. 인텔이 이전에 노트북 도난에 대한 기업의 실질적인 피해액을 조사한 적이 있는데, 당시 결과가 평균 5천만 원 정도로 나왔다. 노트북 한 대당 기업이 입는 피해가 무려 5천만 원이라는 것이다. 노트북 기종과 정보에 따라 10억 원으로 집계되는 기업도 있었다.
작년 오리건 주의 비영리 건강보험 관련 단체인 헬스코옵(Health Co-op)에서도 이런 종류의 사고가 있었다. 노트북 한 대가 도난당했는데, 여기에 하필 개인정보가 1만 5천 건이나 저장되어 있었던 것이다. 이런 경우 피해액 집계가 딱 떨어지지는 않지만, 어마어마하게 높아진다.
계정 보안 전문업체인 원로긴(OneLogIn)의 수석 제품 책임자인 알 사전트(Al Sargent)는 카스퍼스키의 보고서를 인용하며 “노트북 잃어버린 직원이 회사에 이를 정식 보고하는 데 걸리는 시간이 평균 24시간”이라고 말하며, “그 시간이면 해커들이 필요한 정보 탈탈 털고도 남는다”고 설명한다. “게다가 가트너의 한 보고서에 의하면 53초에 한 번씩 노트북 한 대가 도난당하거나 분실된다고 합니다. 정보가 빠른 속도로 새나가고 있다는 소리죠.”
보안 전문업체인 IDC의 수석 연구원인 프랭크 딕슨(Frank Dickson)은 “핸드폰 등과 연계한 다중인증 시스템을 노트북에도 구축하는 게 가장 안전하다”고 권장한다. 보안 컨설팅 업체인 콘트롤리스크(Control Risk)의 책임자인 알렉스 맥스포란(Alex McSporran)은 “기술적인 해결책만으로는 불완전하다”며 “외근과 출장이 잦은 직원들은 안전(보안) 교육도 배로 시켜야 한다”고 주장한다.
“교육 및 훈련 과정을 거칠수록 노트북 및 모바일 기기의 리스크에 대해 더 잘 이해하게 됩니다. 이 이해가 바탕이 되면 분실 및 도난으로 이어질 수 있는 실수나 행위를 줄일 수 있지요. 물론 교육만으로 다 되지는 않습니다. 기술적인 부분도 기업이 충족해주어야 합니다. 즉, 어느 하나에만 의존할 것이 아니라 상호보완적으로 모든 방법들을 활용해야 한다는 겁니다.”
기업 차원에서 노트북을 보다 안전하게 지키기 위해 할 수 있는 일은 무엇일까? 사전트, 딕슨, 맥스포란의 의견을 모아서 정리해보았다.
1. 강력한 비밀번호 사용은 기본이다
이미 클라우드로의 이전을 심각하게 검토하거나 진행해본 기업들은 좀 더 잘 알고 있을 텐데, 사용자 개개인에게 비밀번호 관리를 맡긴다는 건 이미 비현실적인 시대가 되었다. 가장 이상적인 건 기기마다, 애플리케이션마다, 웹 서비스마다 비밀번호를 다 다르게 설정하는 건데, 이걸 직원들이 순순히 따를 리가 없다. 기업은 차라리 싱글사인온(Single Sign On) 기능을 구축하고, 대신 하나의 강력한 암호를 만들어 직원들에게 알려주는 게 낫다. 이는 보안 담당자나 직원이나 기업 모두에게 좋은 방법이다. 물론 암호는 회사가 규칙적으로 바꿔주어야 한다.
2. 강력한 인증 과정 역시 필수다
딕슨은 앞에서도 강조했지만 이중인증 혹은 다중인증이 ‘시대의 필수 덕목’이라고 믿는 부류다. 특히 모두가 모바일을 가지고 다니는 지금 시대에 로그인 과정에 모바일 확인 과정 하나 넣는 게 뭐가 그리 어려운 일인지 이해할 수가 없다고 말한다. “노트북 하나만 훔쳐서는 아무런 소용이 없도록 만들 수 있습니다. 핸드폰을 활용한 이중인증 시스템이라면, 도둑 입장에서 핸드폰과 노트북을 같이 훔쳐야 하죠. 사람들이 노트북보다 핸드폰은 훨씬 더 신경 써서 간수하는 편이기도 하고요. 게다가 요즘 모바일 기기들은 지문 인증도 갖추고 있어 더 탄탄한 보안이 구성됩니다.”
3. 비밀번호는 돌려가며 사용한다
비밀번호를 자주 바꿔야 한다는 말은 이미 사람들의 귀에 못이 박힌 상태다. 이게 부담스럽게 느껴지는 이유는 ‘늘 새로운 비밀번호를 만들고 기억해야 한다’고 생각하기 때문이다. 물론 이는 매우 이상적인 방법이다. 하지만 충분히 부담스러울 수도 있다. 차라리 같은 비밀번호 몇 개를 두고 돌려쓰라고 교육하는 게 더 실용적일 수 있다. 이는 분실되거나 도난당한 노트북 자체를 보호하는 데에 유용한 팁이라기보다, 노트북 분실/도난이 이미 일어난 후 같은 비밀번호를 가지고 2차, 3차 침투 시도를 하는 해커들의 습성에 대한 대비책이다.
4. 여행지 혹은 도착지에 대해 잘 파악하라
출장을 간다면, 그 동네가 어떤 곳인지 조사해보는 것도 중요하다. 소매치기가 많지는 않은지, 경쟁사의 활동이 활발한 곳은 아닌지, 우리 기업의 사업 활동이 누군가를 자극할만한 여지가 있지는 않은지 등 안전을 위주로 조사해야 한다. 이런 조사 후에는 그에 맞는 보안 전략을 갖춰야 한다.
5. 제발 자기 입으로 어디 간다고 광고하지 말 것
SNS 사용자가 늘어나면서 자기의 일거수일투족을 불필요하게 알리는 사람이 많아졌다. 심지어 SNS에 뭐 올리기 위해서 살아가는 것처럼 보이기도 한다. 보안을 우선으로 생각하는 사람이라면, 절대로 피해야 할 행동이다. 그냥 조용히 출장 갔다오면 된다. 굳이 쓸데없는 위험을 자초하지 않는 게 지혜다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
