Today
2019.09.17
로그인 |  회원가입
| 공지/이벤트 | 전체기사
> 뉴스 > 해외자료 > DRJ
     
데이터 보호 조직 내 가장 취약한 부분은 바로 직원들?
보안 의식을 상품처럼 생각해야 한다
2012년 10월 23일 (화) 15:28:08 편집국 marketing@di-focus.com

DRJ 뉴스
기업의 자산을 지키기 위해 보안 전문성과 자원을 투입하지만 정작 조직 내에서 가장 취약한 부분을 신경쓰지 않는다. 바로 직원들이다. 일반적인 직원들은 강력한 암호를 만드는 방법, 데이터 보호 정책을 제대로 준수하는 방법, 데이터를 안전하게 공유하는 방법 등에 무지하다.
<위기관리경영 - 편집부>

   
 
인간이 가장 허술

인간이 가장 허술보안 인증 연구 및 교육 기관인 SANS 연구소 인간 보안 프로그램의 훈련 책임자 랜스 스피츠너는 “컴퓨터는 지난 15년간 점점 안전해졌지만, 인간은 그렇지 못했다”며, “이제 인간은 보안의 가장 취약한 고리가 됐다”고 말했다. 보안 기술 그 자체가 더 이상 허술하지 않은 지금, 악성 해커들은 조직 침투를 위한 좀 더 쉬운 방법을 찾고있다.  침투나 암호를 치밀하게 관리하지 못하는 직원이다. 스피츠너는 일반적인 직원들은 강력한 암호를 만드는 방법, 데이터 보호 정책을 제대로 준수하는 방법, 데이터를 안전하게 공유하는 방법 등에 무지하다고 말했다.

직원들의 암호 문제에 있어서도 상황은 암울하다. 한 보안전문기관에서는 암호 유출이 얼마나 어려운지 알아보기 위해 야후 사용자 7,000만 개의 암호를 분석한 연구 결과를 발표했다. 이 기관에서는 “암호 추정이 놀랄 정도로 좁은 범위 내에서 가능했다는 점을 파악했으며 인식 가능한 이용자 집단 모두에서 비교적 약한 암호 분포가 나타났다”고 전했다. 또한 지불 카드의 등록 등의 보안 동기부여는 변수가 되지못했으며 시각적 피드백까지 사용해 이용자에게 더 복잡한 암호를 사용하도록 강력한 노력도 효과를 내지 못했다. 더욱 놀라운 점은, 전혀 연관성이 없는 언어 집단이 동일하게 취약한 암호를 사용하고 있다는 점이다.
 
보안 의식 형성 절실
   
랜스 스피츠너는 “해답은 훈련과 교육이고, 효과가 분명히 있다”고 말했다. 스피츠너는 SANS 연구소와 함께 작업했던 한 조직을 예로 들었다. 그 조직은 감염된 컴퓨터의 수를 크게 줄이게 되었고, 이를 통해 감염 컴퓨터만 전담했던 직원에게 다른 일을 맡길 수 있었다.하지만 대부분의 조직내 보안 의식 프로그램은 효과가 거의 없다. 프로그램 설계에서부터 효과를 기대할 수 없이 잘못됐기 때문이다. 스피츠너는 자신이 목격하는 가장 흔한 실수는 기업들이 불변의 철칙처럼 보안 의식과 훈련 프로그램을 만들려 하는 모습이라고 한다. 스피츠너는 “수많은 의식 프로그램이 상황마다 임기응변으로 바뀐다”며, “적절한 계획은 누구를 표적으로 하고 그 범위는 얼마나 되는가를 확인하는 것”이라고 설명했다.

많은 경우, 일반 직원과 계약직원, IT 직원, 헬프데스크, 고위급 관리직 등 모두 다른 대상에 모두 다른 프로그램이 필요하다. 스피츠너는 “조직 내에 어떠한 데이터라도 접속 가능한 모든 이에게 교육이 필요하다”고 강조했다. 누구라는 대상이 확인되면, 각각의 대상이 무엇을 배워야 하는지 결정해야 한다. 스피츠너는 조금씩 모든걸 가르치려고 하기보다, 큰 효과를 가지는 몇 가지 주제에 집중하는 것을 추천했다. 각각 조직마다 필요성과 위험이 다르기 때문에, 각각 주제마다 위험 산정이 도움이 될 것이다. 일반적인 주제들로는 암호, 사회공학, 규칙준수, 이메일, 인스턴트 메시징, 브라우징, 브라우저, 소셜 네트워크, 모바일 기기 보안, 데이터 보호, 데이터 삭제 등이 있다.

 

스피츠너는 “이에 대해 어떻게 소통할 것인가? 보안 의식을 상품처럼 생각해야 한다”고 말했다. 유도 방식을 생각해야 한다. 조직에 돌아오는 이익에 초점을 맞추는 것이 아니라 직원이 얻는 이익에 집중해야 한다. 대부분의 경우, 이 교육은 직원의 개인적인 생활과 조직 내에서의 생활 모두에 도움이 된다. 만약 그들이 개인적으로 얻는 혜택에 집중하면, 적극적인 참여와 이익을 이끌어낼 수 있다. 페이스북 피드(feed), 트위터 피드, 포스터, 그리고 플라이어(flyer) 역시 한 몫 할 수 있다. 직원이 주 훈련을 일년에 한번씩 받고, 그리고 계속적으로 이를 상기시켜 의식을 강화하는 것이 중요하다.

글/ 랜스 스피츠너

편집국의 다른기사 보기  
ⓒ 위기관리경영(http://www.bcperm.com) 무단전재 및 재배포금지 | 저작권문의   

     
전체기사의견(0)  
      자동등록방지용 코드를 입력하세요!   
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
가장 많이 본 기사
더 편하고 안전해진 어선용 구명의...
초가을 9월에는 야외활동에 주의하...
부산, 인천 등 주요 항만을 항만...
행안부,「2019 행정안전통계연보...
여름철 살모넬라 식중독에 주의하세...
낚싯배 탑승,‘모바일로 편리하고 ...
남부지방산림청, 태풍 '링링' 대...
교통사고와 화재 예방으로 안전한 ...
재난대비훈련, 증강현실 기반으로 ...
지진 안전, 우리 모두 함께 만들...

개인정보취급방침 청소년보호정책 회사소개 정기구독 광고문의 이용약관 이메일무단수집 거부
주소: (우) 07402 서울 영등포구 가마산로46가길 9, 2층 ㆍ TEL) 02-735-0963 ㆍ FAX) 02-722-7073
인터넷신문 등록번호:서울아00353 ㆍ등록연월일:2007년 4월 16일ㆍ 발행인:한채옥ㆍ 편집인:한채옥
청소년보호책임자:여인표
Copyright 2007 Daily 위기관리경영 All Rights Reserved. mail to admin@di-focus.com