기업의 보안 침해 사고 대응

#1 기업 자산(고객 데이터)은 누가 보호해야 하는가

무단 번역(비공인) 및 복사 관련 아래의 원저작물의 글은 공적으로 아닌 개인적 목적으로 발췌하였고 저작권법 다음 30조를 참조해서 사업적 이익을 도모하기 위함이 아님을 미리 밝힙니다. 저작권법 제30조(사적 이용을 위한 복제) 공표된 저작물을 영리를 목적으로 하지 아니하고 개인적으로 이용하거나 가정 및 이에 준하는 한정된 범위 안에서 이용하는 경우에는 그 이용자는 이를 복제할 수 있다. 다만, 공중의 사용에 제공하기 위하여 설치된 복사기기에 의한 복제는 그러하지 아니하다.

---

Let's Not Go There

Most of us know precious little about the people and/or companies that connect us and our data to the outside world. Whether you are dealing with an external ISP or an internal communications department, you need to ask some hard questions up-front.

저희(ISP 보안업체)는 어떤 직원들과 혹은 회사들에 의해 저희의 ISP(Internet Service Provider)에 접속해서 데이터가 외부로 나가는지에 대해 대부분 상세히도 알고 있습니다. 당신이 외부의 ISP를 담당하거나 또는 내부 전산부서 소속이던지 몇몇 껄끄러운 질문들은 대놓고 물어봐야 합니다.

Do you have a contract with your ISP? If so, does it say that they are not responsible for your data-that is, the data they are supposed to be caring for? Perhaps you don't even have an ISP that maintains your data. Even if all your data is maintained on your own internal network, you could unknowingly be overlooking the same risks found at TransWorld. Your system administrations may be installing your entire network using systems straight out-of-the-box. Every system on your intranet could be at risk.

당신은 회사의 ISP에 관해 계약을 했습니까? 만약 그렇다면 그 계약서에는 당신 회사의 데이터를 ISP 업체가 지켜주는 것에 대해 책임이 없다고 말하고 있지 않나요? 아마도 당신은 당신의 회사 자산(고객 데이터)을 ISP에서 유지(백업)해준다는 것에 대해서는 누락했을지도 모릅니다. 심지어 만약 모든 데이터들이 회사 소유의 내부망을 통해 유지한다면, 당신도 모르게 트랜스 월드(가명의 미국에서 보안사고가 터진 업체-역자주)에서 터진 보안사고와 같은 위험을 간과하는 것일 수 도 있습니다. 당신 회사가 사용하는 시스템은 사내 전체 네트워크를 보안 테스트가 결여된 채 설치 중인지도 모릅니다. 그러면 회사의 인트라넷 내 모든 시스템은 이후에 침입사고의 위험에 빠질 수 있습니다.

You need to know when your company last did a security audit. That's the only way to be sure that your systems are secure. Otherwise, you are playing Russian roulette with your own data-not to mention your stockholders' expected returns.

당신은 회사가 근래에 언제 보안감사를 받았는 지를 알 필요가 있습니다. 이 한 가지 방법만이 당신의 시스템이 보안상태 있다고 확신할 수 있습니다. 이와 반대라면, 당신은 회사 소유의 데이터와 함께 러시안룰렛 게임이나 하는 것과 마찬가지입니다(보안 사고는 어느 업체나 누구에게든지 언제든지 일어날 확률이 있으므로 저자는 아마 이 글을 볼 수도 있는 IT업체 경영자에게 보안 침해사고에 대한 확률을 러시안룰렛의 확률에 빗댄 거 같다-역주).- 수익만을 기대하는 당신(만약 경영자라면)의 주주들에게는 밝히지 마시기 바랍니다.   

Remember, management is responsible for the reliability and integrity of the data. 

관리자는 데이터의 신뢰성, 무결성에 대해 책임을 져야 한다는 것을 기억하십시오.

Know Your Risks

Do you know what the risk to data is on your company's network? Most Hackers are looking for information that they can sell, which could mean financial information, customer information, credit card numbers. CSI's 2002 "Computer Crime and Security Survey" noted that incidents reported by a mere 26 respondents produced losses of $170,927,000 from the theft of proprietary information

회사 네트워크를 흐르는 어떤 데이터가 해킹당하는지 알고 있나요? 대부분의 해커들은 그들이 팔 수 있는 정보를 찾습니다. 이를테면 금융정보, 고객 개인정보, 신용카드 번호를 의미하죠. 2002년에 보고된 CSI의 "컴퓨터 범죄와 보안 조사"에 언급하기를, 정보자산의 도난사고로 인해 26명 미만의 응답자들은 170,927,000 달러(2002년 당시 한화 약 2,026억 원이었으니, 15년 가까이 지난 현재의 예상 손실액은 읽는 이의 상상에 맡기겠다-역주 )의 손실이 발생한 것으로 보고하고 있습니다.

And, if you still think the "standard" hacker is a precocious teenager with no supervision and poor social skills, think again. Increasingly, "hacker" theft is deliberate and well organized. In some cases, entire governments may be involved. In March 2001 FBI officials reported that ongoing computer hacking by organized criminal groups in Russia and Ukraine had stolen more than a million credit card numbers. That 15-year old boy whom most people imagine could, in fact, be a 50-year-old bureaucrat embarking on a state-authorized scavenger hunt. Remember this when you think about what parts and aspects of your corporate data you need to protect. Make especially sure that all the people with access to your data understand what they are protecting and from whom.

그리고 만약 당신은 여전히 전형적인 해커의 이미지가 부모의 통제가 없고 사회 적응이 뒤떨어진 미성숙한 청소년으로 떠오른다면 다시 생각하시기 바랍니다. 갈수록 자신의 이익을 위해 사이버 범죄를 저지르는 해커들은 상당히 계획적이며 조직적으로 증가하고 있습니다. 어떤 경우는 연방 정부 소속일 수도 있습니다. 2001년 FBI 기관에서 보고한 바에 따르면 러시아와 우크라이나의 크래커 그룹에 의해 사용자 권한이 도용된 컴퓨터에서 백만 이상의 신용카드 번호를 훔쳤다고 합니다. 대부분이 상상하기를 그저 15살의 소년이, 사실은 50살의 국가 권위의 숨은 그림 찾기 프로젝트(scavenger hunt는 번호-정답 찾기 퀴즈의 일종으로 이 게임을 공직자 업무를 비꼬기 위해 비유했는지는 잘 모르겠다-역주)에 착수하는 관료 기관 소속의 사람일 수 있습니다. 당신이 회사의 데이터의 어느 부분과 어떤 측면의 보호가 필요한 지를 고려할 때 다음을 상기하십시오. 당신의 데이터로 접속하는 모든 사람들이 그들의 정보는 보호받고 있는지 그리고 누구로부터 보호받고 있는지에 대해 알고 있는지 확신할 수 있도록 하십시오.

Obviously, some information is more important than other information. That's why a proper risk analysis of your network needs to be done. Have the experts inside your company classified the data? Has your company added higher levels of controls on the data that is high-risk? Maybe. Maybe not.

분명히 어떤 데이터는 다른 데이터보다 더 중요합니다. 그것이 회사 네트워크의 ISMS(International Security Management System) 인증의 획득을 수행할 수 있는 기관으로부터(우리나라는 KISA나 이에 준하는 보안업체) 적절한 위험 분석을 끝낼 필요가 있는 이유입니다. 회사 내부의 데이터를 분류하는 전문가가 있나요? 당신의 회사는 털릴 경우 손해배상액이 만만치 않을 중요한 데이터 관리에 대해 높은 전문성을 부여했나요? 했을 수도, 안 했을 수도 있을 겁니다.

참조 및 번역한 도서 |                 

McCarthy, L. (2003). IT security: risking the corporation. Upper Saddle River, NJ: Prentice Hall.