본문 바로가기
좋은날

IT 보안의 정석-CEO가 알아야 할 기업정보보안의 기본/ 매일경제신문사

by It works 2015. 6. 29.

 

 


 

 

CEO가 알아야 할 기업정보보안의
기본 개념을 한 권에 담았다

웹 애플리케이션 보안을 강화하고, 데이터를 암호화하는 것은 결국 기업의 몫일 수밖에 없다. 그걸 개인이 할 수 있는 일이 아니라는 건 누가 봐도 안다. 하지만 기업 현장의 경영자들은 IT 시스템 관련 지식이 거의 전무한 상태. 기술 실무는 전문가에게 맡긴다 하더라도, 그들과 테이블에 앉았을 때 적어도 비용지출과 관련된 대화는 통해야 하지 않겠는가.

《IT 보안의 정석》은 바로 그런 경영자들을 대상으로 만들어졌다. 수준 높은 보안성을 확보하는 것은 개인과 기업의 미래 경쟁력이다. 무작정 어렵다며 손사레만 칠 것이 아니라 기본부터 차근차근 배워보자. 모르는 게 있다면 주변에 있는 IT기기들을 활용하라. 꼭꼭 씹어가며 천천히 따라 읽다보면, 적어도 세간에 떠도는 기사의 내용을 분별할 수 있을 만큼의 상식은 갖게 될 것이다.
현직 경영자와 임원을 꿈꾸는 직장인, 그밖에도 기업정보보안에 관심을 갖는 독자들에게 ‘보안 입문서’로 권한다.

저자 소개

저자 : 박지훈

한국예술종합학교 영상원 졸업. TV, 영화, 광고, 애니메이션, 게임, 출판 등 대중문화 콘텐츠 기획자. 현재 보안전문기업 펜타시큐리티의 정보보안연구소 ‘TOSLab’ 편집장으로서, 복잡하고 난해한 IT 기술을 비기술자들도 쉽게 이해할 수 있게끔 돕는 ‘Simple & Easy’ 출판 프로젝트를 맡고 있다.

저자 : 펜타시큐리티

펜타시큐리티는 1997년 설립된 암호화 기술을 기반으로 한 정보보안 소프트웨어 전문기업이다. 웹 보안, 인증 보안, 데이터 암호화 등 기업정보보안 각 분야 시장 점유율 국내 1위 제조사로서 국내외 시장을 선도하고 있다.

목차

머리말 5

part 01. ICT 리스크, 실상과 허상
소를 잃을 수밖에 없는 외양간 14
하인리히 법칙, 절벽 끝에 매달린 보안 27
그들이 유출에 대비하는 법 34
공인인증서의 허와 실 40
소 잃고 엉뚱한 외양간 고치기, 이젠 지겨워 46
정보보안은 기업의 몫이다 53
금고에 든 돈을 지키는 일 60
‘연애의 목적’만큼 중요한 ‘보안의 목적’ 67
손자와 프리드리히에게 배우는 보안 73
“내가 간첩이다” 77
이제는 공부를 해야 할 때 83
보안 기술이란? 86

part 02. 정보보안의 핵심, ‘웹 보안’과 ‘데이터 암호화’
정보보안 엑기스? 96
완벽한 보안은 없다! 데이터만 사수하라! 106
웹 보안은 선택이 아닌 필수다 115
웹 위협의 심각성 118
웹 공격의 유형 121
‘전자상거래’는 죄가 없다 125
웹 보안의 정석 134
실전 웹 보안 146
데이터 암호화에 대해 반드시 알아야 할 것들 151
바람직한 데이터 암호화 시스템 161
플랫폼과 데이터 암호화 167
가장 중요한 데이터 암호화 171
아예 통째로 암호화해버려? 180
데이터 암호화, 그리고 접근제어 186
ERP 시스템의 데이터 암호화 190
나만 안전하면 된다? 197
‘누구’인지 밝혀라 204

part 03. ICT 신조류의 도전, 보안의 응전
웹사이트는 ‘홈페이지’가 아니다! 212
본격 ‘웹 시대’, 기업보안의 3대 요소 225
사물인터넷과 정보보안 236
목숨이 걸린 자동차 보안! 242
클라우드 보안 248
빅데이터, 정체를 밝혀라 253
‘데이터=패턴’, 빅데이터를 활용한 정보보안 260
개인정보 비식별화 269
메신저, 내 대화를 지켜줘 278
발등 찍는 도끼 ‘SSL 암호화 통신’ 288
양자 컴퓨터? 295
‘핀테크 보안’도 결국, 웹 보안 & 데이터 암호화! 300

맺음말 304

조사 대상 기업 중 단 11.3%의 기업만이 정보보호 정책을 세워뒀다. 하지만 보안 정책이 법으로 강제되는 금융업(74.5%)과 정보서비스업(26%)을 제외한 나머지 업종들은 매우 적다. 숫자 높은 업종 또한 개인정보보호법 등 관련 규제에 따른 결과이므로 혹시나 허울만 멀쩡한 면피성 체면치레는 아닌지, 내용의 적절성은 점검이 필요하다.
일반적으로 어떤 회사의 ‘수준’은 곧 ‘문서화 수준’으로 드러나게 마련이다. 문서화는 기업에서 처리하는 업무의 질과 직결되기 때문이다. 보안 정책은 우리 기업들의 특성상 ‘정말 하기 싫은데 위에서 하라니까 어쩔 수 없이 하는 일’의 성격일 수밖에 없다(물론 그래서는 안 되지만, 뭐 어쩌랴 현실이 그러한 것을). 그러니 여타 분야 문서화에 비해 보다 엄격한 문서화 작업이 꼭 필요하다.
---「part 01 ICT 리스크, 실상과 허상」중에서

정보보안사고는 일단 사회나 기업 시스템의 실패에 따른 인재(人災)로 해석할 필요가 있다. 시스템의 모순을 집약적으로 보여주는 사건임이 명백함에도 개인의 책임으로 돌리려는 습성이 있는데, 이는 문제를 일으킨 집단이 피해 규모를 축소하려고 부리는 수작임은 따로 말할 필요도 없을 것이다.
단언컨대 보안은, ‘집단의 몫’이어야 한다. 책임 소재와는 맥락이 다른 이야기다. 책임은 건마다 경우가 다르니 뭐라 잘라 말하기 어렵지만, 보안의 실천만큼은 엄연히 기업이 먼저 달려들어야 할 일이다. 법이 어떻고 규제가 어떻기 때문에 어쩔 수 없이 하는 게 아니라, 필요하니까 하는 것이다.
---「part 01 ICT 리스크, 실상과 허상」중에서

그래서, 정보보안에 있어 가장 중요한 것은? ‘웹 보안’과 ‘데이터 암호화’다.
오늘날 IT 보안의 중심은 네트워크와 서버 등 IT 인프라를 보호하는 보안으로부터 데이터와 애플리케이션을 보호하는 보안으로 이동하고 있다. 이는 지켜야 할 진짜 가치가 무엇인지 깨닫는 과정이다. 정말 지켜야 할 가치는? 물론 데이터다. 그리고 데이터를 가장 안전하게 지키는 방법은 ‘암호화’다.
데이터는 애플리케이션을 통해 이동한다. 그리고 현재 애플리케이션의 주요 환경은 웹이다. 통신기술뿐 아니라 시스템 환경에서부터 사용자 인터페이스에 이르기까지, 모든 IT 기술이 웹으로 통합되고 있다. 앞으로는 모든 애플리케이션이 웹 환경에서 개발되고 운용될 것이다. 웹으로 통합되는 환경의 변화는 더 널리 연결하고 더 많이 공유하는 열린 사회로의 변화를 뜻한다.
---「part 02 정보보안의 핵심, ‘웹 보안’과 ‘데이터 암호화」중에서

정보가 기업의 주요 자산이 된 오늘날, 이제 더 이상 물리적 보안과 네트워크 보안만으로는 자산을 지킬 수 없다. 웹이 우리 생활의 많은 부분을 차지하고 있고, 그 안에 개인과 기업 자산에 직접적인 영향을 줄 수 있는 정보들이 담겨 있기 때문에, 웹 위협에 대해 정확하게 인지하고 대응하는 작업은 꼭 필요한 일이며 너무도 당연한 일이다. 웹 보안이 선택이 아닌 필수인 시대가 온 것이다.
이에, 지난 몇 년간 발생한 웹 공격 사례를 되짚어보면서, 그 피해의 심각성을 확인하고 나아가 IT 시스템을 안전하게 보호하기 위해 필요한 보안 요소에 대해 알아보고자 한다. 그리고, 왜 웹 보안이 필요하고 중요한지, 또 안전한 웹 보안은 어떻게 달성할 수 있는지에 대해서도.

  ---「part 02 정보보안의 핵심, ‘웹 보안’과 ‘데이터 암호화」중에서


‘닌텐도 Wii’는 어떤가? 대부분의 전자오락은 이용자가 게임기를 손에 든 상태 또는 컴퓨터 앞에 앉아 있는 고정된 자세로 이루어진다. 게임 속의 주인공들이 운동장을 질주하고, 들판을 달리며, 우주를 비행하는 동안에도 정작 게임을 하는 사람들은 고정된 자세로, 스크린을 쳐다보면서 눈동자와 손가락만 바쁘게 움직일 뿐이다.
닌텐도 Wii로 할 수 있는 게임들은 기존의 것들과 전혀 달랐다. 탁구, 테니스, 야구 등 게임 소재 자체도 달랐지만, 가장 큰 차이점은 컨트롤러를 손에 쥔 이용자들이 게임의 주인공이 되어 자신들의 팔과 다리를 몸소 움직여야 한다는 것이었다.(...) ‘Wii’라는 단어는 두 사람이 짝을 이뤄 서 있는 모습을 이미지화한 것이다. 이와 같이 상대방의 움직임에 반응을 하는 리플렉스 운동의 특성은 이용자들을 더욱 깊게 매료시킨다.
---「08 오감의 법칙」중에서

기존 고객을 잘 유지하는 것은 신규 고객을 유치하는 것보다 8배나 비용 효율적이라고 한다. 기업이 교차 판매(Cross Sell)나 상승 판매(Up Sell)에 노력을 기울이는 이유이다. 이때 고객이 무엇을 필요로 하는가를 정확히 파악하면, 판매할 수 있는 제품이나 서비스가 획기적으로 늘어난다. 기존의 것과는 완전히 다른 새로운 제품이나 서비스를 발굴할 수 있기 때문이다. 이렇듯 고객 니즈는 모든 사업의 출발점이자 귀착점이다. ‘태초에 고객 니즈가 있었다’라고도 할 수 있겠다.
---「12 본질의 법칙」중에서

코웨이는 고객과의 접점을 비즈니스 플랫폼으로 삼은 예다. 코웨이에는 ‘코디’라 불리는 고객 서비스 요원들이 존재한다. 이들은 정수기를 판매한 후, 고객의 집이나 사무실을 정기적으로 방문해 정성 어린 서비스를 제공했다. 이는 자연스럽게 고객들과의 유대관계로 이어졌고, 코웨이만의 강력한 비즈니스 플랫폼이 됐다. 코디는 규모에서도 다른 경쟁사들의 방문판매 조직을 압도한다. 1998년, 80명이었던 코디는 2015년 기준 1만 3,000여 명으로 늘었다. 정수기 업계에서 2위 다툼을 벌이고 있는 청호나이스와 동양매직 등의 조직을 모두 합쳐도 코디의 숫자에 미치지 못할 정도이다.
이후, 회사가 계속적 성장을 위해 공기청정기 사업을 시작했을 때 코디들이 제품의 소개와 판매에 큰 역할을 했음은 물론이다.

 그렇게 털리고도 번번이 당하는 당신,
이제 달라질 때다

최근 대한민국은 여기저기서 빵빵 터지는 보안사고들로 이슈가 끊이지 않았다. 금융사 및 포털의 개인정보 대량 유출사고, 대통령도 언급했던 ActiveX, 정치 음모론으로 번졌던 메신저 감청 사건, 해커의 한국전력 협박 사건 등 종류도 규모도 참 다양한 보안사고들이 줄지어 발생했다.
‘IT 강국’이라는 타이틀은 인터넷 속도만 빠르다고 얻어지는 것이 아니다. 기술의 발전만큼 그 기술을 온전히 누릴 수 있는 시민의 문화와, 제도의 뒷받침이 따라야 한다. 하지만 대한민국은 지금 당장이라도 스마트폰만 해킹하면 모든 개인정보를 빼낼 수 있는 상황인데 IT 보안에는 너나 할 것 없이 ‘모르쇠’다. 사물이 모두 인터넷으로 연결되는 세상을 바라보는 지금, 보안은 선택이 아니라 필수다.

기업정보보안의 핵심 키워드
‘웹 애플리케이션 보안’과 ‘데이터 암호화’

ICT 기술의 발전에 따라 오늘날 대부분의 일상 활동이 인터넷을 통해 이루어지고 있다. 이미 금융, 의료, 민원 발급 등 다양한 서비스가 온라인화되었으며, 스마트폰이 널리 보급됨에 따라 때와 장소 제약 없이 자유롭게 인터넷을 이용할 수 있게 되었다. 우리가 일반적으로 인터넷이라 말하는 ‘웹’은 과거에는 PC를 통해서만 사용할 수 있었지만, 스마트폰이나 태블릿 PC 같은 모바일 기기의 등장에 따라 보다 다양한 방법으로 사용하게 된 것이다.

웹으로 제공되는 서비스가 다양해진 만큼 웹을 노리는 사이버 공격도 다양해졌고 그 발생률 또한 날이 갈수록 증가하고 있어 그에 따른 위험성 역시 커지고 있다. 하지만 이러한 상황임에도 불구하고 대부분의 기업들은 물리적 공간인 회사 사무실의 보안, 또는 네트워크 보안 등 눈에 보이는 곳만 지키려 들 뿐 정작 가장 큰 위험 요소를 지니고 있는 웹 보안에는 신경을 쓰지 않는 나쁜 버릇이 있다. 자사의 데이터 유출 문제가 언제 일어났는지, 어떤 취약점 때문에 정보 유출이 발생했는지조차 파악하지 못하고 있는 것이 기업들 대부분의 현실이다. 데이터 유출이 어디서 일어날까? 압도적으로 큰 구멍, 바로 웹에서 일어난다.

정보가 기업의 주요 자산이 된 오늘날, 이제 더 이상 물리적 보안과 네트워크 보안만으로는 자산을 지킬 수 없다. 웹이 우리 생활의 많은 부분을 차지하고 있고, 그 안에 개인과 기업 자산에 직접적인 영향을 줄 수 있는 정보들이 담겨 있기 때문에, 웹 위협에 대해 정확하게 인지하고 대응하는 작업은 꼭 필요한 일이며 너무도 당연한 일이다. 웹 보안이 선택이 아닌 필수인 시대가 온 것이다.
오늘날 IT 보안의 중심은 네트워크와 서버 등 IT 인프라를 보호하는 보안으로부터 데이터와 애플리케이션을 보호하는 보안으로 이동하고 있다. 이는 지켜야 할 진짜 가치가 무엇인지 깨닫는 과정이다. 정말 지켜야 할 가치는? 물론 데이터다. 그리고 데이터를 가장 안전하게 지키는 방법은 ‘암호화’다.

데이터는 애플리케이션을 통해 이동한다. 그리고 현재 애플리케이션의 주요 환경은 웹이다. 통신기술뿐 아니라 시스템 환경에서부터 사용자 인터페이스에 이르기까지, 모든 IT 기술이 웹으로 통합되고 있다. 앞으로는 모든 애플리케이션이 웹 환경에서 개발되고 운용될 것이다.

CEO가 알아야 할 기업정보보안의
기본 개념을 한 권에 담았다


웹 애플리케이션 보안을 강화하고, 데이터를 암호화하는 것은 결국 기업의 몫일 수밖에 없다. 그걸 개인이 할 수 있는 일이 아니라는 건 누가 봐도 안다. 하지만 기업 현장의 경영자들은 IT 시스템 관련 지식이 거의 전무한 상태. 기술 실무는 전문가에게 맡긴다 하더라도, 그들과 테이블에 앉았을 때 적어도 비용지출과 관련된 대화는 통해야 하지 않겠는가.

《IT 보안의 정석》은 바로 그런 경영자들을 대상으로 만들어졌다. 수준 높은 보안성을 확보하는 것은 개인과 기업의 미래 경쟁력이다. 무작정 어렵다며 손사레만 칠 것이 아니라 기본부터 차근차근 배워보자. 모르는 게 있다면 주변에 있는 IT기기들을 활용하라. 꼭꼭 씹어가며 천천히 따라 읽다보면, 적어도 세간에 떠도는 기사의 내용을 분별할 수 있을 만큼의 상식은 갖게 될 것이다.

현직 경영자와 임원을 꿈꾸는 직장인, 그밖에도 기업정보보안에 관심을 갖는 독자들에게 ‘보안 입문서’로 권한다

 


 

 


 

댓글