본문 바로가기

보안 이야기

소프트캠프가 만난 보안 담당자들의 2015년 관심 키워드 Best 5

 

벌써 한 장 밖에 남지 않은 달력을 보니
2015년도 이제 얼마 남지 않았음을 실감하게 되네요^^

 

올 한해 목표한 바는 다 이루셨나요?
올 한해를 되돌아보면 보안업계는 참 ‘다사다난’했던 것 같습니다.
작년에 비해 기업∙기관들의 대형 유출사고는 비교적 잠잠해졌지만,
일반인을 대상으로 한 작은 보안 사고는 해가 바뀔수록 증가하고 있습니다.

 

 

한국인터넷진흥원(KISA) 118사이버민원센터에 따르면
사이버 범죄 신고는 누적 300만 건을 넘어섰으며
분야별로는 개인정보 관련 상담이 누적 799.006건으로 가장 많았고
스팸, 해킹∙바이러스 등 보안 피해로 인한 신고가 그 뒤를 이었습니다.

 

 

                                     <출처:한국인터넷진흥원>

 

상담건수의 경우만 하더라도 2010년 약 45만 건에서 2014년 63만 건으로 18만 건 증가했고
올 2015년 10월까지 집계된 건수만 48만 건에 달하고 있습니다.
이는 2010년 대비 약 30% 가량 상승한 수치입니다.
눈에 띄는 큰 사고가 없었을 뿐, 정보 보안사고는 매년 증가하고 있다는 뜻이겠죠.

저희 소프트캠프에서는 올 한해 동안 60여개의 대기업 그룹사, 금융권 고객사들을 대상으로
방문 프로그램을 진행해 왔습니다.
그들이 가장 관심을 가졌던 보안이슈는 어떤 것들이 있었을까요?

2015년 한해 동안 만났던 보안 담당자들의 관심키워드 5가지를 정리해 봤습니다.

 

 

 인력보안과 내부통제

 

 

‘안에서 새는 바가지, 밖에서도 샌다’라는 말이 있습니다.
이 속담은 특히 ‘보안’분야에서 잘 적용되는 것 같습니다.

 

지난 번 포스팅에서도 언급한적이 있는데,
기업의 소중한 정보자산은 대부분 전∙현직자에 의해 유출되는 경우가 많았습니다.
바로 이 경우가 ‘안에서 새는 바가지’를 잘 관리하지 못한 이유에서겠죠?
[기업지식자산 유출 비상! ∙∙∙ http://blog.softcamp.co.kr/92]

 

기업 정보 보호에 대한 니즈가 더욱 커지고 있는 이때,
기업을 구성하는 주체이자, 기업 정보 자산을 직접 다루는 ‘인력’에 대한
보안 중요성 또한 더욱 커지고 있습니다.

 

고객사에 방문하면서 가장 많이 들었던 말 중 하나가
“아무리 좋은 솔루션을 많이 도입해 놓아도 그것을 사용하는 사람을 관리하지 못하면
아무 소용이 없다. 무엇보다 내부통제, 사람을 관리하는 것이 중요하다”라는 것이었습니다.
아무리 좋은 솔루션들이 있어도 사람을 통제하지 못하면 무용지물이란 것이죠.

 

현직 직원이 마음만 먹으면 언제든지 기업의 정보 자산에 접근 할 수 있고
USB, 이메일, 휴대기기 촬영 등으로 어디에서든지 정보를 이동시킬 수 있기 때문에
내부 직원이 산업 스파이로 변하는 것은 시간문제입니다.

 

이 때문에 기업에서는 직원들에 대한 보안교육과 보안시스템 도입을 통해
기업의 소중한 정보자산을 보호하고 있는데요.
이 과정은 ‘내부통제’ 시스템이 얼마나 잘 구축이 되어있느냐에 따라
그 성과가 결정될 수 있습니다.

 

보안분야에서의 ‘내부통제’는
전산자료의 유출을 막기 위한 정기적인 백업 및 자료의 분산 보관, 자료의 기록∙관리
그리고 파일 유출과 반입에 대한 절차와 규제, 접근 권한 등을 주로 다루게 됩니다.
문서보안(DRM), 영역보안, 문서중앙화, 외부유입파일관리 등을 통해 기업 정보자산을 보호하고
혹시나 일어날지 모를 오류 및 일탈행위를 감소시키기 위함이죠.

 

또한 개개인의 PC에서 기업 정보 유출의 가능성이 있는
불법 소프트웨어, 위•변조 프로그램, 악성바이러스 등의 실행을 실시간 통제 관리하는 것 또한
내부통제를 통해 해결해야 할 문제입니다.

 

특히 전자금융업자들은 전산자료 보호대책을 수립∙운용하지 않는 경우
‘내부통제 미흡’의 사유로 금융감독원의 징계를 받을 수 있기 때문에
IT 부서 내 내부감사자를 지정하고, IT 시스템 및 보안 운영에 대한 주기적 점검을 실시하는 등
내부통제체계를 더욱 더 철저히 갖춰야 합니다.

 

 

 

 클라우드 환경

 

 

‘Paperless’라는 말, 들어보셨나요?
A4용지가 여기저기 흩어져 있는 사무실의 모습은
벌써 많은 기업들에게는 과거의 이야기가 되어가고 있습니다.

 

갑자기 무슨 얘기냐고요?
바로 전자문서화 시스템이 도래한 이후의 모습입니다.
BYOD(Bring Your Own Device)시대의 도래와 전자화 업무 시스템을 통해
언제 어디서나 PC와 스마트기기를 통한 업무처리가 가능해졌습니다..
이러한 변화의 환경에는 바로 ‘클라우드’가 있기 때문이죠.

 

하늘 위에 떠 있는 구름처럼
‘클라우드’는 인터넷만 연결 된다면 언제 어디서든
내가 필요한 파일과 자료들을 다운로드 받아 사용할 수 있습니다.

 

개인의 기기로는 입출력작업만 이루어지고, 정보의 분석과 처리, 저장, 관리, 유통 등
관리과 용량의 문제는 ‘클라우드’가 해결해 주기 때문에
개인의 업무와 비즈니스 협업에 있어서도 부담이 없죠.

 

일일이 상대방에게 자료를 전송해줄 필요 없이
‘클라우드’에 접속하여 개개인이 필요한 자료만을 선별∙저장할 수 있기 때문에
시간적∙공간적 제약 또한 극복할 수 있습니다.

 

언제 어디서든 자료공유가 가능한 환경과 업무 효율의 증대를 위해
많은 기업들은 클라우드 업무 환경을 구축하고자 하고 있는데요.
보안 솔루션이 도입되지 않은 상태에서의 정보공유 기능 강화는
자칫 잘못하다가는 보안의 먹구름이 될 수도 있다는 사실, 놓치면 안되겠죠?

 

때문에 많은 중소기업들은 T bizpoint와 같은 클라우드형 DRM을 통해
문서보안과 클라우드 업무환경 도입, 시스템 구축에 필요한 비용 절약 등
다방면으로 효율적인 선택을 하는 경우가 많아지고 있습니다.

 

클라우드 서비스, 많은 기업들이 주목하고 있는 만큼
우리 회사에 맞는 효율적인 도입이 필요하겠죠?

 

 

 

 개인정보 유출방지

 

 

강조하고 또 강조해도 모자라지 않는 것, 개인정보 보안입니다.
한 번 유출된 개인정보는 평생 인터넷을 떠돌아다닌다는 것을 생각한다면
백 번 강조해도 부족할 것입니다.

 

특히 많은 고객정보를 보유하고 있는 금융권이라면 더욱 예민할 수 밖에 없을 텐데요.
고객사에서 저희 소프트캠프 ‘문서 DRM’ 제품 덕에 보안사고도 예방하고
여러모로 도움을 되었다는 이야기를 해주실 때면 정말 뿌듯하답니다. ^^

 

이처럼 좋은 솔루션을 쓰는 것도 중요하지만 사실 개인정보는 개인의 노력이 가장 중요한데요.
일상 생활 속 개인정보를 보호하기 위한 팁, 소프트캠프에서 간단하게 짚고 넘어가도록 하겠습니다.

 

① 메신저나 메시지를 통한 개인정보 주고받기 NO
 = 텍스트 상으로 오고 간 개인정보는 기록이 남기 때문에
    꼭 필요한 상황에서는 유선 상으로 확인하고
   혹시라도 개인정보가 담긴 채팅내용은 그 즉시 삭제하세요!

 

② 로그인 기록 확인하기
  = 수많은 사이트 속 내 아이디, 잘 살고 있을까요?
     주기적으로 로그인 관리와 비밀번호 변경을 통해 해킹여부를 확인하고,
     혹시라도 일어날지 모르는 보이스피싱을 방지하기 위해 해외IP접속은 차단!

 

③ 송장은 꼭 떼어서 버리기
 = 무심코 버린 우편물과 택배박스에는 내 개인정보가 잔뜩 붙어 있다는 사실,
    이름, 집주소, 전화번호만으로도 범죄의 타깃이 될 가능성은 현저히 높아진답니다.
 
④ 가입약관, 무분별한 동의는 NO
 = 사이트 가입, 금융상품 가입 시 약관 ‘동의’에 무조건 체크하기보단
   꼼꼼히 읽어보신 후 필수가 아니라면 패스하세요!
   내 정보가 제 3자에게 제공되는 것을 ‘동의’하고 있을 수도 있으니까요.

 

⑤ 개인정보 문서 파기하기
 = 혹시나 잊어버릴까 적어둔 계좌번호, 집주소, 메일 비밀번호 등
   악용될 소지가 있는 모든 개인정보 문서는 반드시 파기∙삭제하세요.
   ‘꺼진 불씨’도 다시 봐야겠지만, 개인정보 보호를 위해 ‘꺼진 파일도 다시 보아야겠지요?

 


               <출처 – 한국인터넷진흥원 주민등록번호 클린센터 http://clean.kisa.or.kr/mainList.do>

 

한국인터넷진흥원에서는 주민등록번호 조회를 통해
사이트 가입 내역 등의 주민등록번호 이용내역 확인서비스를 제공하고 있습니다.

 

2015년이 가기 전에 올 한해 내 주민등록번호가 안전하게 사용되고 있었는지
꼭 한번 확인하시길 바랍니다^^

 

 

 

 기술유출 방지

 

 

기업은 ‘기업 기밀’을 보호해야 합니다.
자칫 경쟁사에 유출되었다가는 소중한 기업자산을 그대로 빼앗기는 사태가 발생되며
이는 기업의 이익을 넘어 흥망까지 좌우하기 때문이죠.

 

수 년간의 연구와 투자를 통해 개발한 산업기술을 단 한번의 실수로 빼앗긴다면?
이미 땅을 치고 후회해도 돌이킬 수 없는 결과를 낳는 것이 바로 기업의 기술유출 입니다.

 

 

중소기업청이 조사한 결과에 따르면
2011년부터 2013년까지 3년간 기술유출 피해경험이 있는 중소기업은 63개사로
조사대상 기업의 33%를 차지했으며
평균 약 25억 원의 기술유출 피해가 있는 것으로 조사되었습니다.

 

그 중 복사절취(42.1%), 휴대용 저장장치(34%), 이메일(26.4%)등
DRM, 워터마크, 외부유입파일관리 등의 보안시스템구축만으로도
예방할 수 있었던 기술유출 피해가 대부분을 차지하고 있어
보안솔루션에 대한 필요성이 더욱 강조되고 있습니다.

 

물론, 인력보안과 내부통제로써 기업 기밀유출을 조금이나마 예방할 수 있지만,
‘열길 물 속은 알아도 한 길 사람 속은 모르는 법’!
체계적인 보안 시스템 구축을 통해 가장 근원적인 정보유출을 방지하는 것이 최선의 방책이겠죠?

 

특히 고객의 DB를 다루거나 중앙집중적 정보 관리 시스템을 활용하는 기업,
외부와의 협업이 빈번한 기업이라면?
반드시 문서 DRM, 영역 DRM을 통해
문서의 생성-사용-유통-폐기의 모든 과정을 컨트롤 해야 한다는 것을 절대 잊어선 안되겠습니다.

 

 

 

 APT 대응

 

 

누군가 내 PC 속에 숨어있다?
2015 상반기 사이버공격 관련 통계에서
한국은 취약점 공격과 악성코드 감염 위협에 가장 많이 노출된 국가 등의 부문에서
줄줄이 1위에 올랐습니다.

 

그 중 APT 공격 노출률은 글로벌 평균 수치 20%의 2배에 육박하는 39%를 기록하여
전세계 APT 공격의 주요 타깃이 되고 있다는 사실을 알 수 있었습니다.
이는 한국의 발달된 인터넷 인프라와 첨단기술산업, 특허 및 지적재산(IP) 기반 산업이
밀집되어 있는 것을 그 원인으로 찾을 수 있었는데요.

 

APT는 공격 특정 목표(테러, 기밀문서 유출 등)을 이루기 위해 타깃을 지정,
시스템에 침입하여 악성코드를 숨긴 후 장기적∙지능적∙집중적 공격을 하는 해킹의 한 방법입니다.
계속적으로 확대되는 전 세계적인 사이버 위협에서
특히 올해는 악성코드를 통해 데이터를 암호화한 후 대가를 요구하는 랜섬웨어가 급증했습니다.

 

악성코드는 주로 이메일을 통해 아무도 모르게 스며들기 때문에
현재 내 PC를 통해 정보가 흘러나가고 있는지 여부를 쉽게 알 수 없습니다.
직원 중 누군가가 클릭한 콘텐츠나 이메일 속 첨부파일, 웹사이트 링크를 통해
흘러나온 악성코드가 회사 전체를 감염시키고 회사 기밀정보를 빼낼 때 까지도
정보유출에 대해 알아차리기 쉽지 않은 것이죠.

 

또한 핀테크와 빅데이터 활성화, IoT 등 다양한 환경의 변화는
한편으론 APT가 노리는 먹잇감을 더욱 풍부하게 만들었고
먹잇감에 다가갈 수 있는 경로 또한 다양해졌다고 해석할 수 있습니다.
실제 네트워크에 연결된 CCTV를 원격 제어해 사생활을 유출시키기도 하고
차량 내 어플리케이션에 악성코드를 감염시켜 차량을 원격 제어하는 등
IoT 환경을 발판 삼아 APT 공격 방법은 점차 다양해 지고 있기 때문이죠.

 

그로 인해 많은 기업들의 고민이 점점 깊어지고 있습니다.
실제로 경로가 너무 다양해서
어디서부터 어떻게 막아야 할지 모르겠다는 의견이 많았는데요.

 

언제 어디서든 APT 공격에 노출되어 있는 상황에서
APT에 대한 체계적인 보안솔루션은 필수겠죠?
기존의 백신과 망분리만으로는 지능적 APT공격을 막을 수 없다는 것이 증명되면서
외부에서 유입되는 모든 파일을 관리해야 한다는 필요성이 점차 대두되고 있습니다.
이 때문에 많은 기업들은 외부파일이 PC 영역을 침입하는 것을 차단하기 위해
외부유입파일관리 솔루션을 통해 기업의 소중한 자산을 보호하고 있습니다.

 

메일, USB, 인터넷 등 도처에 도사리고 있는 악성코드 유입의 위험은
언제 어디서 기업 PC와 기밀정보를 노리고 있다는 사실,
그 해결책으로는 외부유입파일관리 솔루션이라는 것을 잊지 말아야겠습니다.


2015년 보안 BEST 5 이슈를 되짚어보면서 2016년도 보안이슈를 미리 예측해볼 수 있었는데요.
2016년에는 조금 더 성장하고 안전한 보안정책이 마련되길 기대해봅니다.