ISMS 이바구 12 - 보안 솔루션을 구매하면 개인정보를 보호할 수 있다?!

요즘 카드사에 이어 통신사까지 하루가 멀다 하고 개인정보보호 사고가 나고 있습니다.

여러 가지 원인이 있겠지만 아직까지 보안은 비용으로 생각하고 있기 때문에 지원이 잘 되지 않는 것 같습니다. 가난한 집에 도둑이 들지 않는 것처럼 불필요한 개인정보 수집은 하지 않아야 하겠고 사용기간이 지난 개인정보는 노출되지 않도록 삭제해야 하겠습니다.

일부 보안담당자는 구속 여부를 고민한다고 하니 개인정보보호 업무에 관련하시는 분은 더 이상 남의 일이 아니기 때문에 문제점은 없는지 고민해야 할 것입니다.

 

 

이번 시간에는 개인정보보호의 오해와 편견에 대해서 알아보도록 하겠습니다.

 

보안 솔루션을 구매하면 개인정보를 보호할 수 있다?!

 

 

1. 아니다. 지속적인 모니터링이 필요하다.

 

 

이 장비만 있으면 보안은 문제없습니다. 라고 말한다면 보안 전문가가 아니라 영업하는 분일 가능성이 크다.

조직에서 인원을 충원해서 관리하기보다 얼마간의 비용이 들더라도 시스템을 도입해서 자동화하는 것이 더 이익이라고 생각하는 것 같다. 마치 컴퓨터가 들어오면 자동으로 내 일을 처리해줄 것 같지만 사용법을 배워야 하고, 내가 지시한 일만 하듯이 보안 장비는 내 일을 도와줄지언정 대신 해주지는 않는다.

 

 

공장에서 시스템을 자동화해도 그 시스템을 모니터링하고 이상이 생기면 고치는 엔지니어가 필요하듯 자동화하면 줄어드는 일이 있고, 또 반대로 그 일로 인해 처리해야 할 일도 늘어나기 마련이다.

따라서 새로운 장비의 도입이 끝이 아니라 관리의 시작으로 봐야 한다.

보안도 주기적으로 닦고 조이고 기름칠 해야 제대로 돌아간다.

 

 

2. 아니다. 예외인 정책/사람을 더 꼼꼼히 살펴봐야 한다.

 

 

방화벽이든 문서 보안이든 예외인 사람이 있기 마련이다.

대부분 고위 경영자나 대표자가 예외가 된다.

경영을 책임지는 사람이기 때문에 안전할 것이라고 생각하지만 다른 직원에 비해 IT전문 지식이 낮은 편이고, 다루는 정보 역시 고급 정보가 많아 위험은 커지기 마련이다.

 

 

또한 개발자나 운영자 같은 정보기술에 정통한 사람도 언제든 내부 정보 접근을 시도할 수 있고, 시스템의 취약점도 잘 알고 있기 때문에 위험하다.

 

 

따라서 고위 경영자라고 해도 불필요한 권한을 제거하고, 접근을 허용한다고 해도 모니터링을 통해 위험을 최소화해야 한다. 특히 국내의 경우 상급자일수록 하위 직의 권한을 모두 포함하는 경우가 있는데 굳이 사용할 필요가 없다면 “최소한의 권한”을 부여해야 한다.

 

 

예를 들어 감사 업무의 경우 시스템 접근을 허용해야 하지만 시스템을 수정할 필요는 없음으로 모니터링 권한(읽기 전용)만 부여해도 충분하다.

 

 

3. 아니다. 직무분리도 고려 해야 한다.

 

 

관리자라고 해도 안심할 수 없다.

보안 담당자나 관리자는 신뢰할 수 있어야 한다는 가정이 있어야 하지만 많은 조직에서 비용을 이유로 외부 직원을 관리자로 임명하는 경우가 많다.

 

 

따라서 한 사람이 모든 권한을 가지기 보다 상호 견제할 수 있도록 직무 분리를 고려해야 한다.

예를 들어 네트워크 관리자와 방화벽 관리자를 겸임하는 경우 별도 승인 권한 없이 본인이 필요에 따라 방화벽 정책을 수정할 수 있다.

또한 문서 보안 담당자와 사내 네트워크 관리자가 동일한 경우 역시 상급자의 승인 없이 중요 문서의 보안 기능을 해지하고 외부로 유출할 수 있다.

 

 

따라서 담당자와 책임자 역할을 구분하고 주기적으로 외부인에 의해서 점검할 수 있어야 한다.

불편한 현실이지만 믿는 구석을 통해 취약점이 발생하기 때문이다.

 

 

 

 

다시 한번 강조하지만 보안은 창의적인 작업이다.

새로운 기술이나 장비가 나오면 그에 따라 취약점은 나오기 마련이고, 어제까지 안전했다고 해도 내일도 안전하리라는 보장은 없다.

따라서 항상 준비하는 자세가 필요하다.