[뉴스토마토 류석기자] 최근의 금융권 등의 정보유출 사고의 원인은 대부분 보안 기술력 부족 문제가 아니었다. 그 보다 내부자에 의한 유출 등 보안의 기본적인 원칙이 지켜지지 않았던 것이 주요 원인으로 분석된다.
각종 보안 솔루션들은 기술 고도화를 거듭하며 보다 안전한 보안성을 제공해 주고 있지만 각 기업 보안 담당자들의 보안 의식은 그렇지 못했던 것.
19일 델 소프트웨어 코리아는 서울 강남구 리츠칼튼 호텔에서 ‘차세대 보안전략 발표 간담회’와 ‘델 소프트웨어 시큐리티 포럼’을 개최하고 보안에서의 패스워드 관리와 내부자 통제의 중요성에 대해 강조했다.
◇우미영 델 소프트웨어 코리아 대표가 사업 전략을 발표하고 있다.(사진=류석 기자)
◇보안 “기본에서 다시 시작하자”
아무리 좋은 보안 솔루션을 도입해도 회사의 보안 담당자 혹은 내부 직원이 회사 내부 데이터 관리를 소홀히 하거나 정보 접근에 대한 원칙을 지키지 않는다면 사고가 나기 마련이다. 이런 관점에서 회사 내부 데이터 접근에 사용되는 패스워드에는 엄격한 원칙이 적용돼야 한다.
유형선 델 소프트웨어 코리아 부장은 정보 접근 권한 부여의 중요성에 대해 강조했다. 그는 “대부분의 기업들이 시스템에 대한 운영은 하청업체에게 맡기는 경우가 많고, 실제 회사의 보안담당자는 시스템에 대한 권한이 없는 경우가 있다”라며 “이에 대한 불안함을 없애기 위해 서버 담당자라 할 지라고 서버 접속 패스워드는 필요할 때마다 승인을 받고 사용할 수 있도록 해야 한다”라고 주장했다.
이는 ‘제로 트러스트 시큐리티(Zero-Trust Security)’의 원칙을 되짚어 보자는 의미로 외부 보안을 신경쓰기에 앞서 내부 보안부터 철저하게 관리하자는 것이다. 내부 직원이라고 해서 무조건적으로 믿고 정보에 대한 필요 이상의 많은 권한을 부여하게 되면 보안 사고 발생 가능성은 높이지기 때문이다.
유형선 부장은 “내부자라도 패스워드를 사용할 때는 그 전에 승인 과정을 거치게 해야 하고, 사용 후에는 감사도 해야 한다”라며 “접근권한은 필요한 사람에게만 제한적으로 제공하는 것이 필요하다”라고 말했다.
◇델 소프트웨어 코리아가 '차세대 보안 전략'을 발표했다.(사진=류석 기자)
◇내부자 통제가 보안의 '핵심'
내부자에 의한 정보유출의 경우 그 어떤 정보유출 유형보다 회사나 고객들이 입는 타격은 크다. 고객들이 느끼는 배신감은 물론 회사 내부 직원들 간 불신 분위기가 조성될 수 있기 때문이다. 이럴 경우 보안 문제로 인해 기업이 갖고 있는 본원적인 경쟁력 자체를 잃게 된다.
최근 정보유출 사고를 일으킨 기업들 경우 사고가 일어난 지 몇 개월이 지난 현재까지도 고객들로부터의 손해배상 소송, 정부의 재제, 내부 분위기 쇄신 등의 문제로 어수선한 분위기기 이어지고 있다.
조현정 델 소프트웨어 코리아 부장은 “기업 경쟁력을 위한 정보의 중요성은 날로 증가하고 있고, 데이터의 종류 또한 메일, 파일, 데이터베이스 등으로 다양해 지고 있다”라며 “정보 관리 담당자의 정보 유출로 인한 기업의 손실도 증가하고 있는 상황”이라고 설명했다.
우미영 델 소프트웨어 코리아 대표는 “최근 일어나는 보안 사고들을 보면 외부로부터 위협 뿐 아니라 내부로부터 위협도 굉장히 많다”라며 “델 소프트웨어는 외부 위협 뿐 아니라 내부 위협을 아우르는 보안 전략을 수립하고 고객의 시스템과 데이터, 애플리케이션을 보호할 수 있는 솔루션을 통해 보안을 어떻게 하면 강화할 수 있을지에 대해 고민 하고 있다”라고 밝혔다.
한편 이날 델 소프트웨어 코리아는 '커넥티드 시큐리티(Connected Security)'라는 차세대 보안 전략을 발표했다. 커넥티드 시큐리티란 외부로부터의 보안과 내부 보안을 아우르는 다양한 보안 솔루션을 바탕으로 솔루션 간의 연결성 강화와 기존 소프트웨어의 효율을 향상 시키는 보안 서비스 전략을 의미한다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지