방화벽이 부주의함까지 막아주지는 못한다

기업의 척추인 IT는 항상 많은 위협에 노출되어 있다. 이제 기업들에게 통일된 보안전략은 필수적이다. 이 상황에서 기술적 조치 외에 인적자원도 심각하게 고려해야 한다.

올라프 니마이츠(Olaf Niemeitz): Axians IT Security 이사 및 Axians IT Solutions 판매 분과 대표

오늘날 기업은 IT 없이는 아무 것도 실행할 수 없다. 고장이 나면 내 외부 통신이 두절될 뿐만 아니라 최악의 경우 생산라인 전체가 올 스톱될 수 있다. 인터넷에는 IT 보안을 위협하는 수많은 위험 요소들이 잠재해 있다. 사이버 범죄자들은 전세계의 어느 곳에서든지 익명으로 공격을 감행하고 있다. 다음 공격이 언제 어느 방향에서 올 것인지 또 피해가 얼마나 클 것인지 예측할 수 없다. Bitkom 계산에 의하면 독일의 IT 보안사고로 인한 손실이 연간 약 510억 유로에 이른다. 기업은 비즈니스 전략과 재정적 측면에서 포괄적인 보안전략에 투자해야 한다. 보안개념은 보통 두 개의 중심 축을 기반으로 하며, 기술차원과 조직차원으로 이루어진다. 기술적 차원에서 주의 깊게 선택한 하드웨어와 소프트웨어가 결정적이다. 모든 요소들은 잘 협력하고, 상호 조율되어야 하며, 최신 기술수준에 상응해야 한다.

통일적인 보안전략은 많은 요소를 고려해야 한다. 그러한 요소들 가운데 보안에 가장 큰 빈틈은 비로 사용자이다.

보안전략의 두 가지 측면

조직적 차원에서 핵심 역할을 하는 것은 ISMS(Information Security Management System, 정보 보안 관리시스템)이다. ISMS이란 보안프로세스, 절차, 규칙 및 책임으로 구성된 패키지를 의미한다. 이 시스템은 비상 상황에서 모든 중요정보를 묶고, 이를 신속하게 각 직원들이 접근할 수 있도록, 관련자들이 목적에 적합하게 반응하도록 한다. 뿐만 아니라 품질 관리에도 기여하고, IT 보안의 지속적인 개선을 촉진한다. 직원들이 보안을 위해 적절한 행동을 취하도록 촉진하는 것이 IT의 핵심과제 가운데 하나이다. 부주의한 사용자들은 오래 전부터 해커들에게 좋은 먹이감이 되어 왔다. 이들은 무지로 인해 단 몇 번의 클릭만으로 커다란 보안의 틈새를 만들곤 한다. 랜섬웨어 Locky는 2016년 초부터 많은 IT 책임자들을 괴롭혀 왔다. 랜섬웨어는 이메일 첨부파일을 통해 피해자의 컴퓨터에 들어와 눈치채지 못하도록 컴퓨터의 내용을 암호화하고, 네트워크 메모리나 클라우드 메모리를 데이터를 암호화하여 몸값을 요구한다. 피해자들은 몸값을 지불한 후에야 데이터에 접근할 수 있는 키를 받을 수 있다.

‚소셜 엔지니어‘ 또는 ‚소셜 해커‘라고 불리는 해커들은 기술적 수단을 통해 중요한 데이터를 수집하는 것이 아니라, 직접 접촉을 통해 사용자를 기만하기도 한다. 해커들은 기술자를 사칭하여 피해자들에게 기술적 전문 용어와 알고 있는 회사 세부사항을 쏟아내, 직원들이 자신도 모르게 접근 데이터와 다른 기밀정보를 유출하도록 현혹한다. 기술 솔루션은 현재의 악성 소프트웨어에 대응하는 데에 도움이 될 수 있다. 이른바 Sandboxing 메커니즘은 이메일이나 다운로드를 통해 회사네트워크에 들어온 콘텐츠를 차단된 가상의 환경으로 보내, 악의적인 활동을 하는지 검사하고, 피해를 예방하고 내용을 수신자에게 전달한다. 암호화된 이메일 서명은 보낸 사람의 신원을 확인하여 보안을 강화할 수 있다.

사내에서의 교육

그러나 회사에서 보안의 가장 큰 걸림돌은 결국 사람이다. 사람이 전체사슬에서 가장 약한 연결 고리이다. 직원들에게 속임수, 리스크 및 위험에 대한 경각심을 일깨우고 교육을 통해 높은 안전 의식을 달성해야 한다. 이를 통해 직원들은 안전에 적합한 행동방식을 일깨우고, 의심스러운 이메일, 파일, 다른 음모에 대해 합리적인 의심을 하게 된다. 직원들의 새로운 노동현실도 고려해야 한다. 유연한 근무환경으로 인하여 스마트폰, 태블릿, 노트북을 점점 많이 사용할 수 있어, 이런 채널을 통해 민감한 기업정보와 운영기밀이 쉽게 빠져나갈 수 있다. 기밀정보를 암호화하지 않은 상태로 무신경하게 클라우드 서비스에 저장하고, IT에 대한 전문지식 없이 쉐도우 IT로서 클라우드 서비스를 이용한다. 많은 클라우드 서비스는 기업에서 사용하기에 적합하지 않다. 중요한 보안기능이 없거나 데이터 보안에 그다지 엄격하지 않기 때문이다. 모바일 환경이나 클라우드 환경에서 회사의 정보를 무단으로 접근하거나 조작으로부터 보호하는 것이 IT 부서의 주된 업무가 될 것이다. 또 이러한 조치가 사업 성공에 결정적인 요소가 될 것이다.