Home > 전체기사
보안의 가장 큰 구멍은, “정책과 규정 무시하는 임원들”
  |  입력 : 2018-07-25 15:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
회사 나갈 때, “내가 작업한 결과물” 가지고 나가는 사람들이 태반
회사 입장에서는 지적 재산...규정 위에 있는 임원진들, 보안 구멍 만들어


[보안뉴스 문가용 기자] 보안 예산을 아무리 늘려도, 고차원적인 신기술을 아무리 도입해도 데이터를 훔치는 CEO를 막을 수 없다는 재미있는 연구 보고서가 발표됐다. 아무리 규정과 표준으로 막아도, 마음만 먹으면 얼마든지 데이터를 남용할 수 있는 CEO들이 데이터 보안의 새로운 위협이라는 지적이 있었다.

[이미지 = iclickart]


이러한 조사를 실시한 건 보안 업체 코드42(Code42)로, IT 분야의 임원급(CSO, CTO, CISO, CIO 등) 1034명과 600명의 CEO를 상대로 설문을 실시했고, 그 결과 지도자들 사이에서 ‘입으로 하는 보안’과 ‘몸으로 하는 보안’에 심각한 차이가 발견할 수 있었다고 한다.

CEO의 78%와 경영진의 74%는 기업 내 가장 중요한 정보가 지적 재산이라고 답했다. 그런데 CEO들 중 72%가 이 지적 재산을 이전 근무지로부터 가져온 적이 있는 것으로 나타났다. 게다가 경영진의 절반과 CMO의 71% 역시 비슷한 행위를 저지른 바 있다고 답했다.

코드42의 CISO인 제이디 핸슨(Jadee Hanson)은 “누구나 회사를 나갈 때 정보를 쥐고 나간다는 사실을 우린 다 알고 있다”고 말한다. “다만 C레벨급 임원들조차도 이전 회사에서부터 정보를 가지고 나온다는 건 조금 충격적입니다.”

이건 보안의 문제다. 이번 조사에 참여한 CISO 중 78%가 “정책과 규정을 무시하고 자신의 일을 하는 사람들이 가장 큰 보안 구멍”이라고 답했다. 또한 이런 사람들을 설득해서 행동을 바꾸게 하는 것은 불가능에 가까울 정도로 힘들다고 말하기도 했다.

하지만 CEO들 중 3/4는 그러한 행위가 잘못임을 인지하지 못하고 있기도 했다. “회사 데이터이기도 하지만 제가 지휘하고 제가 생각해낸 저의 작업 결과물이기도 합니다.” ‘회사 소유의 정보’라기보다 ‘내 정보’라고 느끼는 사람이 많다는 것인데, 이는 많은 사업 경영진들 사이에서 발견되는 감정이기도 하다. 93%의 CEO가 작업물의 복사본을 보관하고 있다고 밝히기도 했다. “그래서 정보를 ‘훔치는 것’이라고 느끼지 못합니다.”

일견 이해가 가는 바이기도 하지만, 회사 입장에서는 무척 위험한 일이라는 건 분명하다. 3/4의 CEO들은 “직원들이 데이터 복사본을 여기 저기 저장하고 있다는 걸 알고는 있지만 어찌할 도리가 없다”고 답했으며, 86%의 IT 및 보안 책임자들은 이러한 무분별한 데이터 저장 행위가 기업의 리스크를 높인다고 답했다.

뿐만 아니라 사업 경영진들과 CEO의 63%는 “누르면 안 되는 줄 알고도 링크를 클릭한 적 있다”고 답했다. 또한 34%는 그 결과로 비밀번호를 바꿔야만 했다고 답했으며, 1/4은 계정에 대한 권한을 손실했고, 25%는 랜섬웨어에 걸려 돈을 지불해야만 했다고 말했다.

물론 사고는 발생하고 누구나 실수는 하기 마련이다. 문제는 사고를 일으킨 후 대처법이다. 14%의 CEO들과 36%의 경영진이 “스스로 해결할 수 있다고 생각하고 회사에 보고하지 않았다”고 답했다. 또한 별거 아니라고 생각해서 알리지 않은 CEO가 20%, 경영진이 24%였고, 벌을 받을까봐 무서워서 숨겼다는 CEO가 26%, 경영진이 23%였다. 그러면서 아무 일도 일어나지 않길 바랐다고 답한 CEO는 27%, 경영진은 22%였다.

한편 CEO의 60% 가까운 수가 보안 점검을 마치지 않은 채 소프트웨어를 다운로드 받았다고 답하기도 했다. 여기에는 금지된 줄 알고도 다운로드 받은 CEO도 포함되어 있다. 이렇게 위험할 수 있는 다운로드 행위를 한 CEO들 중 77%는 “보안 문제가 생길 수도 있음을 인지하고 있었다”고 한다.

더 심각한 건 경영진이나 일반 직원들이나 별반 다르지 않다는 것이다. 70%의 CISO들과 62%의 CIO들은 “모든 임직원들이 허가되지 않은 소프트웨어를 다운로드 받는다”고 확신한다. 이렇게 위험을 무릅쓰고 소프트웨어를 다운로드 받는 이유는 여러 가지다. 1) 개인적으로 써본 경험이 있어서, 2) 그런 소프트웨어가 있으면 작업이 더 쉬워져서, 3) 회사가 권장하는 소프트웨어는 별로 좋지 않아서 등이다.

또한 CISO의 64%와 CEO의 56%는 “내년 안에 회사에 공격이 한 번쯤은 있을 것으로 보고 있다”고 답했다. 랜섬웨어가 공격 가능성이 가장 높은 사이버 위협 유형으로 꼽혔으며, 그 다음은 순서대로 APT, 피싱, 악성 내부자였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제