Breaking
사이버 보안(Cybersecurity)
[구멍 뚫린 사이버 보안]포브스, 기업·기관 '사이버 보안' 위험 경고
2019-05-03 09:56:44
조현
▲해킹 사건이 현재 빈번해지자 크고 작은 기업들이 사이버 보안에 우선 순위를 두게 됐다(사진=ⓒ123RF)

[라이헨바흐=조현 기자] 사이버 보안·소프트웨어 관련 기업 현직 총수들이 기관과 기업의 허술한 사이버 보안에 대한 경각심을 촉구했다.

최근 은행의 개인정보 유출·해운사의 시스템 해킹·정부 기관 디도스 공격 등 여러이해 관계가 엮인 기업과 기관에 대한 사이버 공격이 논란이 되고있다.

이에 관해 IT 관련 기업 CIO 및 CTO 13인으로 구성된 포브스 기술위원회가 경각심을 갖을 것을 조언하며 점검 요소들에 대해 조언했다.

기본으로 돌아가기

재무 및 자산 관리 소프트웨어 업체 퍼스널 캐피털의 최고 정보 보안 책임자 막심 루소는 "사이버 보안의 기본으로 돌아가는 것이 중요하다"고 말했다. 그는 "많은 사람들이 제일 좋은, 그리고 최신 소프트웨어를 사용하는 것이 좋다고 생각하다가 기본에 집중하지 않는 일이 많다"고 상기시켰다.

제로 트러스트 프레임 워크 고려

생체 인식을 사용해 블록 체인에서 디지털 신원을 인증할 수 있도록 만드는 회사인 1코스모스 블록키드의 수석 기술 책임자 로한 핀토는 "조직이 제로 트러스트 모델을 채택해야 한다"고 말했다.

이 프레임 워크는 분석 회사인 포레스트 리서치가 IT 보안의 대안을 위해 소개한 방법이다.

제로 트러스트라는 보안 개념은 조직이 자신의 경계선 안팎을 무조건적으로 신뢰해서는 안된다는 것이다. 따라서 시스템에 액세스하기 전에 모든 것을 먼저 확인해야 한다.

결국 아무도 신뢰할 수 없다는 것이 제로 트러스트의 기본 개념이다. 사용자가 누구인지 정확히 알기 전까지는 컴퓨터 또는 IP 주소에 액세스하지 못하도록 한다.

핀토는 "제로 트러스트 프레임 워크는 영역, 정보 및 클라이언트를 고려해 소규모 부서 인증을 사용할 수 있다"고 덧붙였다.

▲IT 전문가 중 한 명은 기업이 제로 트러스트 정책을 적용하고 시스템 보호를 다른 사람에게 의존하지 말아야 한다고 전했다(사진=ⓒ123RF)

IT 인프라에 대한 명확한 이해

IT 보안 소프트웨어 회사 네트릭스 코포레이션의 마이클 피민은 "사람들이 IT 인프라에 대한 명확한 가시성을 확보하는 것이 중요하다"고 말했다.

기업은 가장 진보한 소프트웨어를 구입하고 보안 전문가에게 수백만 달러를 지불하지만 만약 회사나 IT 부서가 기술 인프라 전체에서 어떤 일이 벌어지고 있는지 명확하게 알 수 없다면 모든 노력은 헛되이 사라지고 만다.

따라서 데이터에 우선 순위를 지정해 분류하고 이런 데이터에 액세스할 수 있는 사용자를 추적해야 한다.

IT 보안 직원 교육

라운드포인트 모기지 서비싱 코포레이션의 브렌트 챔프먼은 "기업이 IT 보안을 위해 직원들을 참여시키고 교육해야 한다"고 밝혔다.

그 이유는 모든 직원들이 회사의 최전선에서 일해야 하기 때문이다. 예를 들어 어떤 직원이 의심스러운 이메일을 발견하는 순간 이 직원은 곧바로 IT 부서 전문가에게 소식을 알려야 한다. 그리고 직원들이 의심스러운 이메일이나 네트워크 활동 등을 구분해낼 수 있어야 한다.

▲제로 트러스트 정책을 사용한다고 해서 자사의 직원들까지 의심해서는 안 된다. 직원들에게 IT 교육을 실시해야 한다(사진=ⓒ123RF)

팀과 프로세스를 신뢰하라

인포페이에서 일하는 와이지 콜러는 사이버 보안이 팀에서 시작된다고 말했다. 즉 팀원을 신뢰하는 것은 업무 프로세스는 물론 사이버 보안에도 중요한 것이다.

그리고 회사가 신뢰할 수 있는 사람과 협력해 일해야 한다는 사실을 알려준다. 개발 프로세스가 논리적이고 안전하게, 신뢰를 기반으로 진행된 회사는 80% 안전하다고 볼 수 있다. 나머지 20%는 지속적인 업데이트를 통해 보완해야 한다.

주요 위협 살피기

소프트웨어 보안 회사 시큐리티 이노베이션의 에드 애덤스는 "어떤 것이 회사에 최고 위협이 될지 이해해야 한다"고 말했다.

위험을 알아보기 위해서는 인프라, IT, 거버넌스, 컴플라이언스, 개발 등 다양한 각도에서 살펴봐야 한다. 회사가 최고 위협이 무엇인지 알아내고 이해하는 순간 모든 팀이 협력해 위협을 완화할 심층적이고 전략적인 방어책을 갖출 수 있다.

워크 플로우 자동화

취약성 관리 및 보안 테스트의 업계 선두 주자인 넷SPI의 엔지니어링 담당자 파반 고라카비는 "자산 관리·사고 대응·패치 관리 또는 취약성과 관련해 사이버 보안 영역에서 리소스 부족이 심각하다"고 말했다.

또한, 그는 "타사 공급 업체 통합·보고 작업·데이터 상관 관계·치료 및 우선 순위에 대한 도전도 문제다"고 덧붙였다.

따라서 기업의 보안 팀이 보안 워크 플로우를 조정 또는 자동화하면 큰 도움이 될 것이다. 워크 플로우의 자동화는 보안 담당자가 일상적으로 직면하는 문제 중 일부를 해결한다.

오프 사이트 저장소 백업

한편 소프트 NAS의 설립자이자 CEO 릭 브래디는 백업 데이터를 권장했다. 단, 너무 많은 직원과 관리자가 쉽게 액세스할 수 없도록 만드는 것이 관건이다.

클라우드는 백업을 오프 사이트에 저장하는 한 가지 예시다. 그러나 백업 내용이 변경되는 것을 방지하려면 보안 팀은 '쓰기 전용' 액세스 제어 정책을 고려해야 한다.

[라이헨바흐=조현 기자]