미국에서 8월 중순 1억3000만명의 개인 신용정보를 해킹, 유출시킨 사건의 주범이 잡혔다.
이 사고는 극도로 민감한 개인의 금융관련 정보를 다루는 금융권마저도 허술한 보안 체계로 쉽게 구멍이 뚫렸다는 점 때문에 더 충격적이다.
곤잘레스 사건으로 알아보는 10가지 보안 교훈을 미 eWEEK지가 소개했다.
①시스템 이전에 데이터를 보호하라
적절한 암호화가 적용돼 있는 데이터는 유출돼도 해커들에게는 가치가 없다. 암호화를 시스템 차원에서 시작하기보다 데이터에서 시작하라.
시스템 차원에서 암호화하는 것은 비밀번호 액세스, 끊임없이 변경되는 로그인에 대한 지속적인 추적 등 더 까다로운 작업을 요구한다. 그러나 데이터를 암호화하는 것은 비교적 수월하며, 데이터 전송과 액세스 속도 또한 유지할 수 있다.
②가장 취약한 상태가 곧 보안 수준이다.
시스템의 취약점 리스트를 만들어보고 그 중 가장 취약한 것이 무엇인지 파악하라. 그것이 곧 기업의 현재 보안 수준이다. 기업의 보안 수준은 최상의 것과 최약체의 것을 더해 평균을 낸 것이 아니라, 기업의 가장 취약한 상태가 곧 보안 수준이다.
외부에서의 시스템 액세스를 지속적으로 모니터링하고 주시해야 한다.
얼마나 많은 정보가 기업의 인터넷 POS 시스템에 있는지, 방문자(guest) 로그인으로 기업 네트워크에 얼마나 깊숙이 들어올 수 있는지, 기업 보안을 위해 전직 해커를 고용할 필요는 없지만 해커처럼 생각해야 한다.
③임직원 액세스를 모니터링·관리하라
물론 기업 임직원들은 신뢰할 수 있는 사람들일 것이다. 그러나 해커가 기업 네트워크에 침입하는 가장 빠른 방법은 임직원의 아이디를 해킹해 들어오는 것이다. 퇴사한 임직원들의 패찰을 수거해오는 것은 중요하지 않다. 그들의 컴퓨터 액세스부터 막아라.
④해커는 무리지어 행동한다
곤잘레스 사건에서도 알 수 있듯이 많은 해커들은 동료와 함께 작업한다. ①의 교훈에서처럼 데이터 보안을 최우선시하고 보안 허점을 막는 패치 작업에 많은 시간을 들여야 한다.
보안 패치는 종종 번거롭고 단순한 작업으로 치부되지만, 당신 기업의 시스템 취약점을 해커들이 논의하고 있음을 기억하라. 보안 부서는 보안 패치 작업에 많은 노력을 기울여야 한다.
⑤데이터 유출은 돈이 되는 비즈니스다
유출된 개인 정보는 많은 돈에 팔린다. 또한 지역적 한계도 없다. 개인 신용정보를 사겠다는 수요자는 전 세계적으로 줄을 선다. 외로운 괴짜 천재가 자신의 실력을 뽐내기 위해 해커가 되는 시대는 지나갔다.
유출된 정보는 마치 주식거래시스템처럼 정교한 방법으로 지하 세계에서 매매가 주문, 체결된다.
⑥컴플라이언스가 보안의 목적은 아니다
최소한의 컴플라이언스 가이드라인만으로 보안 책임을 다했다고 생각하는 기업들이 있다면 정말 오산이다. 컴플라이언스에 보안이 필수이긴 하지만 컴플라이언스 때문에 보안을 하는 것은 아니다. 보안은 고객에 대한 기업의 책임이다.보안 컴플라이언스는 정부기관들이 요구하는 최소한의 필요성일 뿐이다.
⑦클라우드 컴퓨팅이 정보 유출을 쉽게 하진 않는다
클라우드 컴퓨팅으로 정보 유출이 우려된다는 것은 기우다. 클라우드 컴퓨팅은 정보 유출을 용이하게 만들지 않지만 어렵게 만들지도 않는다. 클라우드 컴퓨팅, SaaS(Softwareas a Service)를 이용할 때는 서비스 계약에 반드시 보안 관련 조항을 포함시킨다. 기업 내부에서 직접 데이터센터를 운영할 때와 동등한 수준으로 생각하면 된다.
⑧주변에 조언자를 만들어라
CIO도 친구가 필요하다. 물론 CIO가 자신이 근무하는 기업에 적용한 세부적인 보안 정책과 접근법을 상세히 가르쳐줄 리는 만무하다. 하지만 다른 기업의 CIO에게 조언과 가이드라인은 기꺼이 제시해주려 할 것이다. 다만 공개적인 석상은 꺼려할 것이다. 동종 업계 CIO들을 만날 수 있는 자리를 만들거나 이용하라. 가장 가치 높은 조언은 저녁식사 이후에 나올 가능성이 높다.
⑨기술 변화에 기업 요구도 변한다
기술은 발전하며, 기업의 보안 요구도 바뀌기 마련이다. 몇 년 전 주목받지 못했던 솔루션이 업그레이드되고 발전되면서 중요한 보안 솔루션으로 등장하고 있다. 기업 내부 IT부서 또는 외부 서비스 업체가 새로운 접근법과 기술을 항상 파악·검토·평가하고 있는지 확실히 해둘 필요가 있다.
⑩소셜 네트워크는 잠재적 보안 위협
CIO란 앞으로 더욱 어려운 자리가 될 것이다. 확산일로에 있는 소셜 네트워크는 바꿔 말해 거대한 보안 위협이다. 기업이 업무 환경과 임직원에게 소셜 네트워크를 제공할수록 CIO는 정보와 문서, 액세스 포인트 등 보안을 위해 챙겨야 할 것들이 늘어난다.
박현선기자 hspark@etnews.co.kr