보안, 그것은 운명 공동체 또는 최소한의 공통 언어! (Security: It Takes a Village—or at Least a Common Language)

    본 페이지는 번역된 것입니다. 영어 원문을 보고자 하시면 클릭해 주십시오.


    바벨탑을 쌓아 올린 이야기, 기억하십니까? 시작은 좋았지만 갑자기 모두가 다른 언어를 사용하게 되면서 결국 소통할 수 없었기에 이 프로젝트는 버려졌습니다.

    조직을 위해 사이버 보안 계획을 수립하는 것은 이 이야기와 많은 부분이 비슷합니다. 관리자들은 비즈니스 측면에서 수익성, 고객 유지, 생산성 등을 생각하고 있습니다. 그러나 기술적인 측면에서는 방화벽, 랜섬웨어 공격, 피싱을 통한 각종 사기, 여타 보안 침해에 포커스를 맞추고 있습니다. 결론적으로 관리자들은 동일한 언어를 사용하지 않기 때문에 앞으로 나아가는데 어려움을 겪습니다.

    아이러니하지만 두 측면 모두는 사업의 연속성, 자산 보호, 그리고 그 외 성공적인 비즈니스를 위한 요소들에 있어 동일한 목표를 두고 있습니다. 그렇다면 이 모든 부분들은 어떻게 합의에 이를 수 있을까요?

    오늘날 심화되고 있는 온라인 범죄 활동으로 인해 동일한 청사진을 갖고 업무에 임해야 한다는 것이 갈수록 중요해지고 있습니다. 대부분의 조직이 희생자가 되는 것은 시간 문제입니다. 운이 좋다면 심각한 공격이 아닐 수 있겠죠. 그러나 사이버 범죄가 수익성 좋은 수십억짜리 비즈니스가 됨으로써 운 좋게 심각한 공격이 아닐 수 있는 경우의 수는 점점 낮아지고 있습니다.

     

    요구하는 것을 내어준다 해도 잃을 수 있습니다.

    공격자들은 조직의 네트워크 액세스를 차단하고 몸값을 요구할 수 있습니다. 때로는, 몸값을 지불하고 액세스 권한을 다시 부여 받아도 파일 도난이나 손상을 발견하게 될 수 도 있습니다. 도둑들은 고객 기록에 침입하고 주요 정보를 훔치고 회사의 평판과 더불어 정체성과 신용 등급 평가에도 피해를 입힐 수 있습니다. 힘들게 공들여 개발한 지적 재산도 해킹 당해 가장 높은 값을 부르는 자에게 팔려 나갈 수 도 있습니다..Group at desk sm.jpg

     

    한편, 사이버 범죄자들은 충분히 똑똑합니다. 사이버 범죄자들은 안전하지 않은 서버나 컴퓨터에 침입하여 침입한 그 시스템을 통해 공격을 시도하고 몇 분 안에 사라질 정도죠. 그들은 보통 전 세계에서 분산된 팀 형태로 이런 일은 진행하므로 고발하거나 추적하기가 어렵습니다.

    이것은 더 이상 비밀번호 보호 차원의 문제가 아닙니다. 이제는 피싱, 소셜 엔지니어링, 그 외 교묘한 공격 방식으로 인해 공급망, 파트너, 배포자 그리고 고객까지도 포함하여 조직의 누구나 약점이 될 수 있습니다.  특정 부분까지 경계선을 두고 보호(Perimeter protections)하는것 보다는 잠재적 액세스의 모든 레벨을 반드시 강화 시켜야만 합니다.

    공동 보안 목표 마련

    조직 전체의 관리자들은 모든 부분을 염두에 두어 공통 보안 목표를 수립하고 우선 순위를 통합하는 것이 필수가 되었습니다.  사업 경영부로 보안 전문가 보강을 요청할 때 IT관리자는 더이상 민첩하지 못한 "Tech Talk"에 의존할 수 없습니다. 그리고 경영진은 단순히 "지난달 기술직 보강이 있었다"라는 이유로 이런 요청을 거부할 수 없습니다.

    오히려 한 팀으로서 다음과 같이 행동해야만 합니다.

    • 손실될 위험이 있는 자산과 기능이 어떤 것인지, 어떤 손실이 사업 비용을 초래하는지, 어떤 제어(Control)가 준비되어 있고 이 제어안들은 제대로 기능을 할 수 있는지를 스스로 자문해야 합니다.
    • 자산 목록을 만들고 우선 순위를 지정하며, 잠재적 위험 및 위협을 파악하고, 새로운 위험성과 관련된 최신 뉴스에 항상 귀 기울여야 합니다.
    • 새로운 요구 사항 및 규정, 조직이 배포 한 새로운 자산 / 기능에 대한 업데이트 상태를 항상 최신으로 유지해야만 합니다.
    • 보안 팀과 팀의 기술력 (기술 격차 포함)을 평가하고, 중요 기술 보유자를 확보하고, 최신의 교육을 받았는지 확실히 해야 합니다..
    • 내부적으로 필요한 부분을 모두 커버할 수 있는지, 아니면 외부 아웃소싱 계획이 있는지를 확실히 확인해야 합니다.
    • 그리고 조직 전반에 걸쳐 보안 대책을 수립, 배포, 시행해야만 합니다.

     

    어떤 조직이든 사람이 항상 약점이 될 수 있으므로공동 보안책을 배포하고 시행한 후에는 강제 실행이 될 수 있게 하는 것이 절대적인 필수 사항입니다. 그래서 모두가 잠재적 공격을 구분할 수 있고 경영진에 알릴 수 있도록 훈련돼야만 합니다.

     

     

     

    너무 두렵게 느껴 지신다면 이런 이슈들을 통해 사업 및 기술 두 분야 모두의 경영관리에 도움을 드리고자 시스코가 만든 무료 백서 사이버 보안 분야에서의 IT 및 비즈니스 매니지먼트의 역할 (IT and Business Management Roles in Cybersecurity) 와 체크리스트를 다운로드해 보십시오. 그리고 조직 전체의 미션 크리티컬(Mission-Critical)을 위한 니즈를 충족시킬 수 있는 계획 개발을 시작해 보십시오.

     

    네. 작업이 필요합니다. 그러나 이러한 조치를 취하지 않는다면 실제로 어떤 장기적 손실을 입게 될까요?

     

    최신 IT 업계 소식과 Cisco의 독점 학습 서비스를 확인하려면 지금 등록하세요!

     

    Donna Head Shot 2 sm.jpg
    다나 머우릴로(Donna Maurillo) 는 Learning @ Cisco의 컨텐츠 관리자로서 백서, 블로그, 웹 사이트 컨텐츠 및 기타 자료를 만들고 있습니다. 평생동안 홍보 및 기업 홍보 분야에서 경력을 쌓아왔으며 서로 연결된 환경이 가져다 주는 많은 이점들을 알리는 것입니다.