사내보안을 강화하려면

21034
2019-03-10

인터넷 끊으면 됨. 피싱이고 APT고 랜섬웨어고 뭐고 다 인터넷만 끊으면 걱정 끝. 이후엔 톰아저씨만 조심하며 된다. 진짜로(..)

1

인터넷 끊겨서 직접 왔어

피싱 등으로 직원 PC가 털린 후 고객정보 유출로 이어진 동종 업계 사례 때문에 고민인 분을 만났다. 근데 이분 본업은 DBA라고.-_-

2

내가 보안담당자라니

내부에서 간단하게 위험을 모니터링할 수 있는 방법을 알려달라고 하는데, 네트워크 통신량같은 거 보는 게 간단하겠지만 정보유출 때문에 통신량이 늘었다면 이미 털린 후.

더 정밀한 사전징후 포착을 원한다면 (모니터링 대상은 대부분 윈도우 PC일테니) 방법은 이벤트 로그를 뒤지는 건데, 그게 간단했으면 고민일리가 없지.

어찌어찌 로그 모니터링 체계를 갖추더라도 그 모니터링 제대로 해보자 마음 먹는 순간, DBA 업무는 바이바이(..) 결국 그분 입장에서 가장 간편한 해결책은 망분리라 생각한다. 인터넷과 업무망을 분리하면 뭐가 좋을까?

인터넷망이 1차 방어선 역할을 해주니 그만큼 업무망이 안전해질 거라는 마음의 위안을 얻을 수 있다. 보안 시장은 기본적으로 보험 시장과 비슷하다. 안전을 위해 가만히 있지 않고 뭐라도 했다는 심리 덕을 본다는 얘기. 보험들면 덜 불안해지는 것과 같은 이치.

마음의 위안 이상을 원한다면

망분리 이후가 중요하다. 망분리로 얻을 수 있는 유일한 이득은 인터넷망이 뚫리더라도 그 피해가 업무망 노출로 즉각 이어지지 않는다는 것이다. 최악의 상황까지 시간을 벌 수 있다는 얘기.

당연히 그 시간이 의미가 있으려면 인터넷망에서 무슨 일이 벌어지는지를 알고 있어야 한다. 상황을 알아야 벌어놓은 시간 동안 대응을 할 수 있다. 모르면 최악의 상황이 그저 조금 늦춰질 뿐.

그런데 망분리를 제안하자 직원들 반발이 심할거라며 그분 표정이 급어두워진다. 본의 아니게 보안 업무를 겸직하면서 마음 고생이 심한 듯.ㅜㅜ

현재 방화벽만을 운영중이라는 그분 상황이 슬쩍 짐작이 간다. 보통 방화벽 기본 기능 외에 유해사이트 차단 기능을 사용하는 경우가 많은데 이때 방통위의 유해사이트 DB를 많이 이용한다.

그런데 이 유해사이트 기준이 나름 훌륭(?)해서 불만이 제기될 때가 꽤 잦더라. 개인적으로도 업무 관련 해외 사이트 접속하려다 유해사이트나 접속하는 변태 취급에 광분해서 방화벽 담당자랑 아웅다웅했던 기억이(..)

업무 수행에 필요한 적절한 지원 없이 위에서는 지시만 내리고, 밑에서는 불편해 못해먹겠다며 치받는 상황이라면 어떻게 해야 할까?

3

만만한 후임자라도 빨리 찾으시길 빈다(..)

정보보호 조직장의 직급과 직책을 전사적으로 힘을 발휘할 수 있는 수준으로 만들어야 한다. 일할 수 있는 환경을 만들어 주고 일을 시켜야 일이 제대로 돌아간다 - 'CxO가 읽어야할 정보보안' 43페이지


Popit은 페이스북 댓글만 사용하고 있습니다. 페이스북 로그인 후 글을 보시면 댓글이 나타납니다.