노트북 속 데이터를 보호하라! - 미국 기업들 비상
일부 전문가들, “어쩌면 데이터를 가지고 다니지 않는 것이 상책”
[보안뉴스 문가용 기자] 미국 국토안보부가 제정한 여행 금지 정책 때문에 많은 기업들이 때 아닌 랩톱 보호 정책 손보기에 바빠졌다고 한다. 트럼프 정권의 움직임으로 인해 국경 보안이 강화됨에 따라 경비대가 ‘모바일 기기는 따로 짐칸에 실으시오’라고 요구할 수 있을 것으로 보이기 때문이다. 이제 해외 출장을 갈 때는 중요한 정보가 저장되어 있는 기기들을 보이지 않는 곳에 맡기고 비행기 등에 탑승해야 한다.
보안 전문업체인 사이버세인트 시큐리티(CyberSaint Security)의 CEO인 조지 렌(George Wrenn)은 “많은 기업과 사람들이 종이 위에만 존재하고 있는 보안 정책들을 실제로 도입해야 할 때가 되었다”고 진단한다. “노트북이나 모바일 기기가 도난당했을 때나 분실됐을 때를 대비하여 기기 자체에 암호화 기술을 적용하고 데이터 스토리지 접근을 제한하는 방침은 이미 여러 기업들이 ‘이론적으로’ 마련하고 있습니다. 하지만 실천되지는 않고 있죠. 도난당하거나 잃어버릴 거라고 생각하지 않기 때문입니다.”
조지 렌은 “하지만 국경 경비대 측에서 컴퓨터를 켜보라고 요구하거나 따로 짐칸에 실으라고 요구할 것이 분명해지기 때문에 이런 누군가 데이터에 함부로 접근할 가능성은 굉장히 높아졌다”며 “잃어버리고 도난당할 것을 실제로 가정해야만 하는 상황이나 다름없다”고 말한다. “그러니 이제는 이미 마련된 정책을 어떻게 실제 현장에 도입시킬 것인가, 하는 고민을 해야 합니다. 그것이 요즘 국경 보안 변화의 핵심입니다.”
보안 전문업체 시스템엑스퍼츠(SystemExperts)의 CEO인 조나단 고셀즈(Jonathan Gossels)는 “난이도가 매우 높은 문제는 아니”라고 설명을 시작한다. “결국 디스크 암호화, 어려운 비밀번호, 2중인증, 비밀키 관리 문제로 요약이 가능하니까요. 이미 다 알고 있는 것이고, 가지고 있는 기술들 아닙니까?” 그렇지만 기업의 중요한 비밀이 가득 담긴 노트북을 손에서 놔버려야 한다는 건 찜찜할 수밖에 없는 일이다.
“아무리 보안을 철저히 해도 기업 입장에선 외근자의 노트북이 짐칸에 따로 실려있다는 사실이 매우 불편할 겁니다. 아무리 공항과 비행기의 화물 보안이 철저하다고 해도 말이죠.” 블랑코테크놀로지그룹(Blancco Technology Group)의 CSO인 리차드 스테이논(Richard Steinnon)도 동의한다. “이러한 여행자 정책에 해당하는 국가로 누군가 출장을 보내야 한다면 기업들 대부분이 아무런 기기도 가져가지 못하게 하지 않을까 합니다. 기기를 반드시 보유해야 한다면 저장할 데이터를 매우 조심스럽게 고르겠죠.”
심지어 어떤 회사들은 아예 외근 가는 사람이 한 시도 랩톱을 떨어트려놓지 못하게 정책으로 정하고 있다. 즉 트럼프의 이민 정책과 정면으로 대치되는 것이다. 민간 군사 사업체를 운영하고 있는 에릭 오닐(Eric O’Neill)이라는 인물은 “군사 기밀이나 관련 정보를 다루기 때문에 그 어떤 기기든 해당 정보가 저장되어 있는 기기는 몸에서 떨어트리면 안 된다”고 하며, “앞으로 해외로 외근을 가야할 경우 어떻게 해야 할지 잘 모르겠다”고 난감함을 표현한다.
그러나 경비대의 권한이 높아지면 디스크 암호화 및 잠금 장치도 해제시키라고 요구할 수 있다는 게 더 큰 문제다. 위에 열거했던 각종 데이터 보호 기술이 말 한 마디로 무용지물이 되는 것이기 때문이다. “그런 경우 가장 은밀한 정보가 처음 보는 사람에게 합법적으로 노출됩니다. 게다가 정당한 이유나 권한도 없는 사람인데 말이죠.” 나스닥의 전 CISO이자 텔라그라프(Tellagraff)의 CEO인 마크 그라프(Mark Graff)의 설명이다. “이 때문에 누군가는 법정 소송에 휘말릴 수 있고, 자기도 모르게 또 원하지도 않는 상황에서 데이터 유출을 시킬 수밖에 없는 처지에 놓입니다. 기업들은 어마어마한 벌금을 내야하는 상황으로 몰릴 것이고요.”
정보보안 솔루션 업체인 코모도(Comodo)의 수석 과학자이자 부회장인 필립 할람베이커(Phillip Hallam-Baker)는 “랩톱 반입 금지와 경비대의 데이터 열람권 두 가지 때문에 데이터 기밀성과 무결성이 전혀 보장받지 못하게 되었다”며 “딱히 대책도 마련되지 않고 있는 상황이 더 답답하다”고 설명하고 있다.
“사실 랩톱 반입 금지는 특정 국가에만 적용되는 것이기 때문에 그다지 큰 영향이 있지는 않습니다. 하지만 경비대에서 기기를 들여다볼 수 있도록 해주는 것은 장기적으로 엄청난 악수입니다. 모든 데이터 보호 기술을 일거에 버리는 것이나 다름없고, 그 동안 쌓아왔던 데이터 기밀성이나 프라이버시에 대한 논의들까지도 한 번에 갈아치우는 것이니까요. 그것도 매우 폭력적인 방법으로 말이죠. 그리고 미국 정부가 이렇게 하니까 다른 나라 정부들도 이걸 따라할 가능성도 높아요. 특히 러시아가 미국 시민들에 대한 검사를 얼마나 철저히 할지는 눈에 훤하죠.”
보안 전문가들 대부분은 이 정책의 변화 덕분에 “많은 기업들이 모바일과 엔드포인트 보안에 진짜로 철저하게 변해야 할 것”이라고 말한다. 보안 업체인 던바시큐리티솔루션즈(Dunbar Security Solutions)의 COO인 크리스토퍼 엔시(Christopher Ensey)는 “데이터를 가지고 여행을 다닌다는 문화 자체에 큰 변화가 있어야 할 것”이라고 설명하기도 한다.
“현실적으로 어떤 건 검사해도 되고, 어떤 건 압수해도 되는지, 또 어떤 데이터는 보지도 않고 통과시켜야 하는지 구분해줄 수가 없습니다. 법으로 정할 수도 없고, 그걸 경비대 모두에게 완벽히 이해시킬 수도 없어요. 그러니 데이터 저장은 다른 곳에다 해놓고, 그 저장소에 연결할 수 있는 기기만 가지고 다니는 게 최고입니다. 물론 안전한 통신 채널과 강력한 인증 단계가 마련되어 있어야 하겠죠.” 물론 지역에 따라 연결 문제 때문에 데이터 원격 접속이 불가능할 수도 있다. “하지만 그러는 편이 정보가 유출되는 것보단 낫겠죠.”
보안 업체인 비욘드트러스트(BeyondTrust)의 부회장인 모리 하버(Morey Haber)는 조금 의견이 다르다. “저장을 다른 곳에다 하면 인터넷 없이 아무런 일을 할 수 없다는 건데, 그러면 출장 간 의미가 없지 않을까요? 아무리 안전이 중요하다고 해도 일을 할 수 없을 정도로 불편하다면, 사람들에게 채택되지 않을 겁니다. 차라리 기기의 VPN 키와 비밀번호를 즉각즉각 바꿔줄 수 있는 방법을 적용시키는 게 더 나을 듯 합니다.”
하지만 스테이논은 “이미 기업들은 적국으로 분류되는 국가에 직원을 파견 보낼 때 아무 것도 저장되어 있지 않은 깨끗한 기기만 들려 보낸다”며 “메모리를 오버라이트 하고 새 이미지를 기기에 로드시키는 건 이미 많은 기업들이 하고 있는 행위”라고 지적한다. “일반적으로 ‘위험하다’고 생각되는 국가와 사업을 벌이는 다국적 기업들이 어떤 식으로 직원을 출장보내는지 조사해둘 필요가 있습니다. 이제 모두가 그렇게 해야 되는 때가 됐거든요.”
[국제부 문가용 기자(globoan@boannews.com)]
일부 전문가들, “어쩌면 데이터를 가지고 다니지 않는 것이 상책”
[보안뉴스 문가용 기자] 미국 국토안보부가 제정한 여행 금지 정책 때문에 많은 기업들이 때 아닌 랩톱 보호 정책 손보기에 바빠졌다고 한다. 트럼프 정권의 움직임으로 인해 국경 보안이 강화됨에 따라 경비대가 ‘모바일 기기는 따로 짐칸에 실으시오’라고 요구할 수 있을 것으로 보이기 때문이다. 이제 해외 출장을 갈 때는 중요한 정보가 저장되어 있는 기기들을 보이지 않는 곳에 맡기고 비행기 등에 탑승해야 한다.
보안 전문업체인 사이버세인트 시큐리티(CyberSaint Security)의 CEO인 조지 렌(George Wrenn)은 “많은 기업과 사람들이 종이 위에만 존재하고 있는 보안 정책들을 실제로 도입해야 할 때가 되었다”고 진단한다. “노트북이나 모바일 기기가 도난당했을 때나 분실됐을 때를 대비하여 기기 자체에 암호화 기술을 적용하고 데이터 스토리지 접근을 제한하는 방침은 이미 여러 기업들이 ‘이론적으로’ 마련하고 있습니다. 하지만 실천되지는 않고 있죠. 도난당하거나 잃어버릴 거라고 생각하지 않기 때문입니다.”
조지 렌은 “하지만 국경 경비대 측에서 컴퓨터를 켜보라고 요구하거나 따로 짐칸에 실으라고 요구할 것이 분명해지기 때문에 이런 누군가 데이터에 함부로 접근할 가능성은 굉장히 높아졌다”며 “잃어버리고 도난당할 것을 실제로 가정해야만 하는 상황이나 다름없다”고 말한다. “그러니 이제는 이미 마련된 정책을 어떻게 실제 현장에 도입시킬 것인가, 하는 고민을 해야 합니다. 그것이 요즘 국경 보안 변화의 핵심입니다.”
보안 전문업체 시스템엑스퍼츠(SystemExperts)의 CEO인 조나단 고셀즈(Jonathan Gossels)는 “난이도가 매우 높은 문제는 아니”라고 설명을 시작한다. “결국 디스크 암호화, 어려운 비밀번호, 2중인증, 비밀키 관리 문제로 요약이 가능하니까요. 이미 다 알고 있는 것이고, 가지고 있는 기술들 아닙니까?” 그렇지만 기업의 중요한 비밀이 가득 담긴 노트북을 손에서 놔버려야 한다는 건 찜찜할 수밖에 없는 일이다.
“아무리 보안을 철저히 해도 기업 입장에선 외근자의 노트북이 짐칸에 따로 실려있다는 사실이 매우 불편할 겁니다. 아무리 공항과 비행기의 화물 보안이 철저하다고 해도 말이죠.” 블랑코테크놀로지그룹(Blancco Technology Group)의 CSO인 리차드 스테이논(Richard Steinnon)도 동의한다. “이러한 여행자 정책에 해당하는 국가로 누군가 출장을 보내야 한다면 기업들 대부분이 아무런 기기도 가져가지 못하게 하지 않을까 합니다. 기기를 반드시 보유해야 한다면 저장할 데이터를 매우 조심스럽게 고르겠죠.”
심지어 어떤 회사들은 아예 외근 가는 사람이 한 시도 랩톱을 떨어트려놓지 못하게 정책으로 정하고 있다. 즉 트럼프의 이민 정책과 정면으로 대치되는 것이다. 민간 군사 사업체를 운영하고 있는 에릭 오닐(Eric O’Neill)이라는 인물은 “군사 기밀이나 관련 정보를 다루기 때문에 그 어떤 기기든 해당 정보가 저장되어 있는 기기는 몸에서 떨어트리면 안 된다”고 하며, “앞으로 해외로 외근을 가야할 경우 어떻게 해야 할지 잘 모르겠다”고 난감함을 표현한다.
그러나 경비대의 권한이 높아지면 디스크 암호화 및 잠금 장치도 해제시키라고 요구할 수 있다는 게 더 큰 문제다. 위에 열거했던 각종 데이터 보호 기술이 말 한 마디로 무용지물이 되는 것이기 때문이다. “그런 경우 가장 은밀한 정보가 처음 보는 사람에게 합법적으로 노출됩니다. 게다가 정당한 이유나 권한도 없는 사람인데 말이죠.” 나스닥의 전 CISO이자 텔라그라프(Tellagraff)의 CEO인 마크 그라프(Mark Graff)의 설명이다. “이 때문에 누군가는 법정 소송에 휘말릴 수 있고, 자기도 모르게 또 원하지도 않는 상황에서 데이터 유출을 시킬 수밖에 없는 처지에 놓입니다. 기업들은 어마어마한 벌금을 내야하는 상황으로 몰릴 것이고요.”
정보보안 솔루션 업체인 코모도(Comodo)의 수석 과학자이자 부회장인 필립 할람베이커(Phillip Hallam-Baker)는 “랩톱 반입 금지와 경비대의 데이터 열람권 두 가지 때문에 데이터 기밀성과 무결성이 전혀 보장받지 못하게 되었다”며 “딱히 대책도 마련되지 않고 있는 상황이 더 답답하다”고 설명하고 있다.
“사실 랩톱 반입 금지는 특정 국가에만 적용되는 것이기 때문에 그다지 큰 영향이 있지는 않습니다. 하지만 경비대에서 기기를 들여다볼 수 있도록 해주는 것은 장기적으로 엄청난 악수입니다. 모든 데이터 보호 기술을 일거에 버리는 것이나 다름없고, 그 동안 쌓아왔던 데이터 기밀성이나 프라이버시에 대한 논의들까지도 한 번에 갈아치우는 것이니까요. 그것도 매우 폭력적인 방법으로 말이죠. 그리고 미국 정부가 이렇게 하니까 다른 나라 정부들도 이걸 따라할 가능성도 높아요. 특히 러시아가 미국 시민들에 대한 검사를 얼마나 철저히 할지는 눈에 훤하죠.”
보안 전문가들 대부분은 이 정책의 변화 덕분에 “많은 기업들이 모바일과 엔드포인트 보안에 진짜로 철저하게 변해야 할 것”이라고 말한다. 보안 업체인 던바시큐리티솔루션즈(Dunbar Security Solutions)의 COO인 크리스토퍼 엔시(Christopher Ensey)는 “데이터를 가지고 여행을 다닌다는 문화 자체에 큰 변화가 있어야 할 것”이라고 설명하기도 한다.
“현실적으로 어떤 건 검사해도 되고, 어떤 건 압수해도 되는지, 또 어떤 데이터는 보지도 않고 통과시켜야 하는지 구분해줄 수가 없습니다. 법으로 정할 수도 없고, 그걸 경비대 모두에게 완벽히 이해시킬 수도 없어요. 그러니 데이터 저장은 다른 곳에다 해놓고, 그 저장소에 연결할 수 있는 기기만 가지고 다니는 게 최고입니다. 물론 안전한 통신 채널과 강력한 인증 단계가 마련되어 있어야 하겠죠.” 물론 지역에 따라 연결 문제 때문에 데이터 원격 접속이 불가능할 수도 있다. “하지만 그러는 편이 정보가 유출되는 것보단 낫겠죠.”
보안 업체인 비욘드트러스트(BeyondTrust)의 부회장인 모리 하버(Morey Haber)는 조금 의견이 다르다. “저장을 다른 곳에다 하면 인터넷 없이 아무런 일을 할 수 없다는 건데, 그러면 출장 간 의미가 없지 않을까요? 아무리 안전이 중요하다고 해도 일을 할 수 없을 정도로 불편하다면, 사람들에게 채택되지 않을 겁니다. 차라리 기기의 VPN 키와 비밀번호를 즉각즉각 바꿔줄 수 있는 방법을 적용시키는 게 더 나을 듯 합니다.”
하지만 스테이논은 “이미 기업들은 적국으로 분류되는 국가에 직원을 파견 보낼 때 아무 것도 저장되어 있지 않은 깨끗한 기기만 들려 보낸다”며 “메모리를 오버라이트 하고 새 이미지를 기기에 로드시키는 건 이미 많은 기업들이 하고 있는 행위”라고 지적한다. “일반적으로 ‘위험하다’고 생각되는 국가와 사업을 벌이는 다국적 기업들이 어떤 식으로 직원을 출장보내는지 조사해둘 필요가 있습니다. 이제 모두가 그렇게 해야 되는 때가 됐거든요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)