IT보안 먼저 기본에 충실하라

.

이 글은 zdnet기사중에서 발췌한것입니다.
요즘 보안,보안하는데…  정말 기본적인데서 출발하는것 같습니다.
좋은 글이라서.. 여기에 올렸답니다.
뭐든지.. 기본에 충실해야한다는거…  잊지않았으면 하네요…


프라이버시 침해가 점점 심각해지고 있다.

초이스포인트는 보안 결함으로 인해 회사의 최대 재산인 개인회원 정보 14만 5000개가 유출됐다. 또 2주 전에는 120만개의 계정 자료가 들어있는 뱅크오브아메리카의 백업 테이프가 사라졌다.

최근에는 렉시스넥시스 계열사인 세이신트가 3만 2000개의 기록이 보관된 기밀 데이터베이스를 해킹당했다.

사이버 범죄자들은 기업 데이터베이스를 표적으로 한다. 데이터베이스는 돈과 다름없기 때문이다. 하지만 이보다 더 큰 문제는 아직도 대부분의 기업들이 내부 데이터베이스나 중요한 시스템을 무방비 상태로 노출시키고 있다는 사실이다.

ESG(Enterprise Strategy Group)는 최근 미국에 있는 종업원 1000명 이상의 기업에 근무하는 229명의 보안 전문가들을 대상으로 설문 조사를 실시했다. 응답자의 52%는 연간 매출 10억 달러 이상의 기업에서 근무하고 있다. 이번 설문 조사는 기업 내부 보안에 대한 위협이 실제 어느 정도인지를 객관적으로 측정하는 데 목표를 두고 진행됐다.

결과는 가히 놀랄만한 수준이었다. 응답자 중 27%가 사내에서 보안 관련 문제가 발생했는지조차 전혀 모르고 있었고, 23%는 지난 12개월 동안 내부 보안 결함으로 인한 침입이 있었다고 응답했다.

내부 보안 침입으로 인한 손실과 관련해서는 응답자의 40%가 중요한 시스템이나 서비스 중단을 경험했고, 38%는 데이터 손상이나 손실을 겪었으며, 17%는 지적 재산이 유출된 적이 있다고 응답했다.

문제는 상황이 갈수록 악화되고 있다는 것이다.

문제의 범위를 이해하기 위해 응답자들에게 지난 몇 년 동안 발견한 네트워크 결함의 형태를 식별해줄 것을 요청했다. 관련 목록이 너무 많아 모두 살펴볼 수는 없지만 공통적인 몇 가지 보안 금지 항목을 살펴보는 것만으로도 충분할 것 같다.

  • 이미 퇴사한 직원의 계정 유지
  • 기본 암호로 구성된 장비
  • 비인가 직원·서버·장비가 중요한 시스템에 루트(혹은 관리자) 권한으로 접근하는 것 등이다.

    가장 우려되는 부분은 응답자의 16%가 이 같은 네트워크 결함이 있다는 사실을 알고 있음에도 불구하고 감사(audit)를 실시할 시간이 충분하지 않다고 답했다는 사실이다.

    해법 찾기
    이러한 어처구니없는 상황은 데이터 보안 문제를 새로운 화두로 만들고 있다.

    시민들은 이에 대해 분개하면서 적절한 조치를 요구하고 나섰다. 또 이 같은 쟁점을 그냥 지나칠 리 없는 정치인들도 새로운 규제가 필요하다며 곳곳에서 목소리를 높이고 있다. 보안 기업들은 프라이버시 공포증과 이를 조장하는 소문에 힘입어 자사 제품이 더 잘 팔리기를 기대하고 있다. 모두가 천편일률적인 반응을 보이는 것이다.

    모든 문제는 바로 여기에 있다. 현재 논란으로 떠오른 보안의 부정적 측면에 대해 누구나 각각의 의견을 갖고 있고, 이러한 의견이 공개적인 과잉 반응으로 표출된다는 것이다. 조치를 취해야 하는 것은 맞는 얘기다. 그러나 이에 앞서 먼저 기본으로 돌아갈 필요가 있다.

    대부분의 침입자들은 기술적인 도전을 추구하는 광기 어린 과학자들이 아니다. 정확히 말하자면 시골 사람이나 외국인 관광객을 대상으로 사기를 치는 일종의 협잡꾼 정도라고 할 수 있을 것이다. 영악한 사이버 범죄자들은 도둑질을 하기 전에 시스템에 빈 틈이 있는지 미리 조사한다.

    크래커들은 시스템에 빈 틈이 있는지 찾아내기 위해 온갖 기술을 동원한다. 예를 들어 렉시스넥시스의 경우 해커들은 합법적인 사용자의 패스워드를 훔쳐 시스템에 침투했다. 미성년자 동생이 형의 ID를 빌려 술을 사는 것과 마찬가지다. 뱅크오브아메리카는 테이프 한 상자를 여객기 창고에서 도난당했다. 위 사례에서 어떤 공통점을 찾을 수 있을까? 모든 사람을 공황 상태로 몰아넣기 전에 진지하게 고려해야 할 문제는 어떤 보안 절차도 논리적인 첫 단계는 감사로부터 시작한다는 점이다. 여기에는 화려한 기술이 아니라 시스템의 모든 구성 요소와 프로세스 각 단계의 약점을 찾아내는 똑똑한 보안 전문가들이 있을 뿐이다.

    앞서 언급한 네트워크 결함 목록을 다시 한 번 살펴보자. 고객 데이터베이스 서버가 기본 패스워드를 기반으로 구성됐고, 이미 퇴사한 직원의 계정이 아직도 사용된다면 그 시스템은 크래커에게 문을 열어주고 있는 것이나 마찬가지다.

    기업들은 이런 종류의 취약성을 발견해 우선순위를 설정하고, 위험도가 가장 높은 부분부터 먼저 검토할 필요가 있다. 정말 간단한 보안 조치들이다.

    또 다른 기본적인 보안 예방책은 사용자 교육이다. 직원들이 위협을 인지하고 보고하는 방법을 숙지하고 있어야 한다.

    만약 급여 시스템에 들어가고 싶다면 가장 손쉬운 방법은 재정 담당 부서 직원에게 암호를 물어보는 것이다. 약간의 속임수만으로도 얼마나 많은 사람이 중요한 내부 정보를 자발적으로 제공할 수 있는지를 알게 된다면 아마 놀랄 것이다.

    이번 설문 조사 대상 기업 중 25%만이 직원에 대한 보안 교육을 실시하고 있는 것으로 조사됐다. 바로 여기에 근본적인 문제가 있다고 생각한다.

    규칙과 보안 기술을 잊자는 것이 아니다. 프라이버시를 보호하고, ID 도난에 대응하려면 몇 가지 중요한 단계가 있다. 하지만 현재 상황을 공황 상태라고 치부하기보다는 상식에서 출발할 필요가 있다.

    일상 생활에서도 문을 잠근다거나 어두운 뒷골목은 피하는 등의 간단한 보호 수단을 통해 개인의 위험을 예방할 수 있다. 보안 경고에 귀를 기울이기 전에 업무 환경에서도 똑같이 행동할 필요가 있다. @

  • 답글 남기기

    이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.