웹 애플리케이션, 사회적 네트워킹 사이트, wikis, blogs, podcasts들이 웹 2.0 기반으로 점점 많이 나타나고 있고, 이를 통한 개인정보 유출과 기업내 정보 유출에 대한 우려가 증가하고 있는 가운데, 이러한 상황을 해결할 수 있는 기술적 관점의 베스트 프랙티스를 호스트 관점, 네트워크 관점에서 나타내고 있는 다음의 기사에 주목할 필요가 있다. 인터넷 기반의 위협이 기업 정보보호에 미치는 영향은 이전 전자메일로 인해 발생하던 보안상의 문제점보다 더 큰 위협을 미치는 것으로 나타난 주장을 넘어서 이제는 웹 2.0 기반의 플랫폼에서 예상치 못한 위협이 등장[GTB2007070636]하고, 이를 위한 베스트 프랙티스로 풀이되는 것이다.
웹 기반 커뮤니케이션 시장에서의 웹 애플리케이션, 사회적 네트워킹 사이트, wikis, blogs, podcasts 형태의 다양한 서비스의 지속적인 증가로 인하여 새로운 보안문제가 기업 전체를 대상으로 이슈가 되고 있다. 기업들은 웹 2.0 기반에서 다양한 보안책을 내놓고 있는 것으로 현재 파악되고 있다. 웹 2.0 기술이 인터넷 상에서 다양한 협업방식과 상호작용 방식을 새롭게 제공함에 따라, 장점이 존재하고 있기는 하지만, 이에 못지 않게 보안문제가 수평에 떠 오르게 되고 있다. 기업 내 구성원들이 자신의 컴퓨터에서 웹 기반 서비스를 사용함에 따라, 자신들의 개별 생산성은 증가할 수 있지만, 조직 내에 미칠 수 있는 보안측면에서의 악영향이 새롭게 문제시 되고 있는 것으로 풀이된다.
특히, 해커들은 다른 사이트에 비하여 웹 2.0 기반 사이트를 주요 해킹 대상으로 하고 있다. 주된 이유는 비밀번호와 같은 개인정보를 발견하기가 매우 용이하기 때문이다. 최근에 발생하고 있는 많은 보안침해 사건들은 고객이나 종업원들로부터 획득한 개인 정보로 인하여 발생하고 있다. 많은 기업들이 이러한 측면에 대하여 적절한 보안책을 현재 준비하고 있지 못하기 때문에, 향후에 더욱 더 다양한 보안문제가 발생할 것으로 관계자들은 내다보고 있다.
다양한 유형의 웹 애플리케이션, 사회적 네트워킹 사이트, wikis, blogs, podcasts를 통하여 기업 내 종업원들이 자신들의 개인정보와 관심사, 누구를 만나고 있는지에 대한 정보를 노출하고 있고, 이러한 정보 간의 관계를 분석하여 기업 내에 침투되는 메커니즘이 더욱 더 정교하고 용이하여지고 있는 것으로 현재 풀이된다. 예를 들어, 2007년 라스베이거스 Black Hat USA에서는 암호화되지 못한 무선기기를 통한 메일전송이 기업 내에 얼마나 큰 위협을 초래하고 있는지에 대하여 다양한 사례들이 발표되기도 하였다.
많은 기업들이 인트라넷과 엑스트라넷을 사용하여 방화벽 기술을 중심으로 보안을 유지하며, 자신들 만의 네트워크를 사용한 것은 사실이었으나, 웹 기반 전자메일, 인터넷 메신저, 사회적 네트워킹 사이트 의 증가는 기업 내 보안에 있어서 큰 새로운 고민거리를 던져주고 있으며, 생산성에 도움이 되는지에 대한 다양한 논란이 벌어지고 있다. 웹 애플리케이션, 사회적 네트워킹 사이트, wikis, blogs, podcasts 를 통한 보안위협에 대하여 새롭게 대처하기 위하여 다양한 기술적 인프라와 메커니즘이 출현하고 있는데, 대표적인 조치들로 다음과 같은 미국 정부에서 발행된 IT 보안 향상을 위한 지침과 유사한 형태로[GTB2007060299] 웹 2.0 기반 새로운 보안책을 베스트 프랙티스로 제시할 수 있다.
첫째, 지속적인 컴퓨터 사용자에 대한 보안 교육을 실시하라 둘째, 익숙하지 않은 링크에 대해 클릭을 하지 마라(tempt-to-click 공격을 막기 위함) 셋째, 개인정보를 온라인에 노출시키지 마라 넷째, 메신저와 문자 메시지 사용에 대하여 주의하라 다섯째, 사회적 네트워킹 사이트 접속을 삼가라 여섯째, 전자메일에는 민감한 정보를 쓰지 마라 일곱 번째, 민감한 정보를 포함한 전자메일에 함부로 답장하지 말아라 여덟 번째, 무선 기술 기반의 VPN (virtual private network) 서비스를 사용하라
이와 별도로 호스트 기반의 보안 기술들을 다음과 같이 들 수 있다.
첫째, 모든 노트 컴퓨터의 하드 드라이버에 암호를 설정하기 둘째, USB 드라이버와 같은 휴대용 저장장치에 대한 관리를 엄격히 하기 셋째, 개인용/데스크톱용 방화벽 소프트웨어의 사용을 요구하기 넷째, 개인용/데스크톱용 안티 바이러스 소프트웨어를 사용하기 다섯째, 문서 관리 시스템을 사용하기
네트워크 기반의 보안 기술책으로는 다음과 같은 것이 강조될 수 있다.
첫째, 네트워크 침입 방지 시스템(network intrusion prevention (IPS)) 설치하기 둘째, network admission control(NAC) 설치하기 셋째, 정보유출을 탐지할 수 있는 시스템 설치하기
웹 2.0 기반 애플리케이션의 등장은 이와 같은 다양한 새로운 보안책을 요구하는 것이고, 조직들이 적절한 보안책을 수행하게 된다면, 기업 내의 다양한 자료들을 안전하게 보안을 유지할 수 있게 되는 것이다. 데이터 유출과 정보 침해를 방지하기 위하여 위에서 언급된 다양한 베스트 프랙티스의 실행이 요구된다.
※ 이 글은 [한국과학기술정보연구원]과의 협의에 따라 전재한 것 입니다.
|