대부분의 엔드 유저들은 기업 시스템이나 데이터를 보호하기 위해
암호를 사용하는 것이 중요하다고 알고는 있지만,
튼튼한 암호를 만드는 방법은 모르고 있다.
때문에 회사가 튼튼한 암호 정책을 만드는 것이 중요하다.
암호의 안정성은 암호에 대한 정책에 달렸다.

기본적으로 윈도우는 GPO(Default Domain Group Policy Object)와
워크스테이션 및 서버의 로컬 보안 정책이 비활성화돼 있다.
각 기관들이 명문화된 암호 정책을 사용하고
이 정책을 강제하는 이유가 바로 그 때문이다.

예를 들어, 컴퓨터의 암호 정책이 대소문자, 숫자, 특수문자와 같은
다른 복잡한 조합을 정하지 않은 채 단지 최소 6자리 글자로만 돼 있다고 하면,
매우 약한 암호 정책을 취하고 있는 것이다.
즉, 대부분의 유저들이 무차별 대입법(brute force)이나
사회 공학(social engineering)적 공격에 의해 쉽게 크랙될 수 있는 암호를
사용하고 있다는 것을 뜻한다.

어떻게 하면 해커들이 쉽게 추측할 수 없는 튼튼한 암호를 만들 수 있을까?
먼저, 기본 그룹 정책 객체(GPO : Default Domain Group Policy Object)나
로컬 워크스테이션과 서버의 암호 필터를 활성화 시킨다.
암호 필터를 찾으려면, 기본 도메인 정책안의 그룹 정책 MMC에서
"컴퓨터 구성\Windows 설정\보안 설정\계정 정책\암호 정책"을 확인해 보면 된다.
이 암호 필터를 활성화하면, 암호 정책을 시작할 수 있다.

이제 효과적인 암호 정책의 예를 보자.
대부분의 조직은 최소 8자리 글자의 암호를 요구하며
대문자, 소문자, 숫자, 특수 문자 중 적어도 3가지는 꼭 포함하도록 하고 있다.
이전 최대 24건의 암호 변경 내용을 저장하도록 하는데,
이것은 실질적으로 유저들이 암호를 재사용할 수 없도록 한다.

또한 암호의 최소, 최대 사용 기간을 적당히 지정해야 하는데
최대 사용 기간은 180일, 최소 사용 기간은 90일로 설정하는 것을 추천한다.
이 방법은 유저들이 암호를 계속 바꿈으로써 이전 암호를 다시 사용하는 것을 막는다.

좋은 암호 정책을 세우는 것도 좋지만 더 중요한 것은 실제로 그것을 시행하는 것이다.
아무도 따르지 않으려고 하는 정책은
아무리 강해도 그저 아무 정책도 없는 것이나 같다.

게다가 암호가 너무 복잡해서 유저들이 암호를 적어놔야 한다면
좋은 암호 정책도 필요 없다는 것을 알아 두어야 한다.
이런 상황은 보안을 강화한다기보다는 단지 보안 위협을 다른 쪽으로 옮길 뿐이다.

그러면 어떻게 해커들을 막을 만큼 복잡하고 기억하기 쉬운 암호를 만들 수 있을까?
복잡하지만 기억하기 쉬운 암호를 만드는 요령은 다음과 같다.

1단계 : 기본 단어를 하나 생각하자.
애완동물의 이름과 같이 쉽게 기억할 수 있는 이름을 하나 생각하자.
예를 들어, 루이빌(Louisville)에 산다고 하면
이 단어를 토대로 튼튼한 암호를 만드는 세부 사항들을 채울 수 있다.
적어도 한 개의 대문자와 한 개의 숫자 혹은 특수 문자를
사용해야 한다는 것을 기억하자.
루이빌을 기본 단어로, i를 ! 혹은 1로 바꾸거나 s를 $로 바꾸면  
Lou1$ville이나 L0u!$ville 과 같은 단어를 만들 수 있다.

2단계 : 기본 단어에 몇 글자를 더 붙인다.
기본 단어에 아무 글자나 4글자를 붙이자.

3단계 : 만들어진 암호를 저장한다.
이제 기본단어를 실마리로 하여 4글자가 붙은 단어를 써보자.
위의 예를 이용하면, Lou1$ville이 1개의 1과 $를 가지고 있다는 뜻으로 city1을
그리고 여기에 4글자 xyza를 추가하면, city1xyza이란 단어를 만들어 낼 수 있다.
따라서 암호가 만들어진 후라도, 이 암호 생성 과정은 다른 사람들에게 들키지 않고
완성된 암호를 기억나도록 도와줄 것이다.

p.s 암호를 자기이름, 주소, 주민등록번호, 전화번호등 간단하게 설정하는 사람들이 많다. 요세처럼 자기의 신상이 인터넷상에 돌아다니고 있을때 그 신상만으로도 쉽게 유추가 가능하다. 이럴때 일수록 암호를 자신만이 아는 진정한 암호로 설정하여 쓰는 것이 보안의 첫번째가 아닌가 하는 생각이 든다.

[보안노하우] 튼튼한 암호 만들기 끝.

고객 데이터 유출로 피해를 입은 미국 기업 43곳을 대상으로 한 연구결과, 피해 금액이 해마다 증가하고 있는 것으로 나타났다.
  포네몬(Ponemon Institute)이 발표한 보고서에 따르면, 이들 기업의 피해 금액은 2006년 470만 달러에서 2007년 630만 달러, 2008년 660만 달러로 매해 증가했다. 고객 정보 하나당 비용은 전년 대비 2.5% 증가해 202달러에 달했다. 이러한 비용 증가는 사업상의 손실과 법적 비용 때문인 것으로 조사됐다.
  포네몬의 수장 래리 포네몬은 “각각의 기업이 하나의 케이스 스터디다”라며, 이들 기업이 자발적으로 조사에 참여했다고 밝혔다. 포네몬의 이번 조사는 보안업체인 PGP가 후원했다.
  이번 조사에서 이들 기업이 데이터 유출 사고와 후속 조처 과정에 대한 몇 가지 흥미로운 사실이 밝혀졌다.
  우선 대부분의 기업이 상습적인 데이터 유출 기업이라는 점. 포네몬은 “이번 조사에 참여한 기업의 대부분은 이번 사고가 처음이 아니다. 84%가 상습적으로 데이터 유출이 발생한 기업”이라고 설명했다.
  데이터 유출 사고를 처음 당한 기업의 경우 피해 금액이 더 큰 것으로 나타났다. 보고서에 따르면 사고가 처음 발생한 기업은 고객 정보 1건당 243달러가 소요된 반면, 여러 번 사고를 겪은 기업은 192달러가 든 것으로 나타났다.
  또 한 가지 흥미로운 것은 고객의 이탈률이다. 포네몬은 “일반적으로 고객들이 데이터 유출 사건에 대해 무관심할 것으로 생각하기 쉽지만, 사람들은 이 문제에 지속적으로 관심을 둔다”고 지적했다.
  데이터 유출 사건이 발생하면, 평균 3.6%의 고객이 해당 기업에 등을 돌리며, 헬스케어의 경우 6.5%, 금융서비스의 경우 5.5%로 더 높다. 피해 금액 역시 헬스케어의 경우 282달러로, 일반 유통업의 131달러보다 두 배 이상 높다.
  한편, 2008년 발생한 데이터 유출 사건의 88%는 내부자의 부주의 때문인 것으로 나타났다. 또한 협력업체가 가담한 외부 요인인 경우는 2006년 29%, 2007년 40%에서 2008년 44%로 지속적인 증가세를 보였다.
협력업체에 의한 데이터 유출의 경우 전문가 서비스나 아웃소싱 업체, 장비업체, 사업 파트너 등 데이터를 보존하고 관리하는 협력업체에 의한 것으로 나타났다.
  데이터 유출 사고를 겪은 기업이 취하는 대비책으로는 교육과 인식 프로그램, 수동 프로시저와 제어, 암호화 확대 적용, ID나 접근 관리 시스템 도입, 데이터 손실 방지 제품 도입 등으로 나타났다.

P.S - 데이터유출사고의 대부분은 역시 보안의 기본을 지키지 않은 점과 부주의에 의한것이다. 이런 점에 대해서 하루 빨리 자각하지않으면 보안에 무지한 기업들은 고객에게 소외받고 말것이다.

최근 비즈니스 환경에서는 기업 데이터 정보의 관리와 활용 못지 않게 데이터 보안이 중요한 이슈로 부각되고 있다.

기업들은 바이러스, 웜, 트로이목마 등의 다양한 보안 위협에 노출되어 있으며, 각종 데이터 손실 및 유출사고로 인한 피해 규모와 파장이 확산되면서 기업 데이터 보안의 중요성이 점차 강조되고 있는 실정이다.

기업의 데이터 보안을 위해서는 최고경영자를 비롯한 조직 구성원들의 의식 제고가 가장 큰 관건이지만 국내 기업의 보안의식은 매우 미흡한 실정이다.

정보통신부가 실시한 `기업 정보보호 실태조사'에 따르면 기업 10개 중 7개는 사내 규칙 등에 정보보호 언급조차 없으며, 약 40% 가량의 기업이 정보보호를 위한 예산이 없는 것으로 나타나 기업의 정보보호 대책 수립이 매우 시급한 것으로 드러난 바 있다. 기업의 데이터 유출이 브랜드 이미지와 신뢰도를 크게 하락시키며 곧 막대한 비즈니스 손실로 이어질 수 있다는 인식을 공유하는 것이 가장 급선무다.

특히, 데이터 보안에 더욱 소홀하기 쉬운 중견ㆍ중소기업(SMB)들은 보안사고 피해를 사전에 예방하기 위한 기업 내 철저한 대비책을 마련해야 한다. 중견ㆍ중소기업들은 대기업에 비해 체계적인 보안 시스템에 대한 투자 여건이 원활하지 못해 다운타임(시스템 장애)으로 인한 비용적 피해 및 데이터 손실의 위험에 더욱 노출되기 쉽다는 이유에서다.

각 기업 특성에 적합한 데이터 보호 솔루션을 채택해 체계적으로 사내 데이터를 보호하는 것을 시작으로 데이터 관리에 대한 효율적인 정책을 마련해 대비하는 것이 필요하다.

그렇다면 중견ㆍ중소기업은 사내 데이터 보호를 위해 어떤 점을 고려해야 하는가.

첫째, 저장할 수 있는 모든 정보는 확실하게 백업을 해둬야 한다. 백업은 데이터를 미리 복사하여 데이터 손실이 발생할 경우 원상태로 복구하는 것으로서, 기업이 비즈니스 연속성을 유지하는데 가장 중요하고 기본적인 요소이다. 백업에 있어 가장 중요한 것은 이미지화된 백업 파일이 동종의 하드웨어 또는 별도의 하드웨어에서 바로 복구가 될 수 있느냐 하는 점이다. 이 점을 고려한 정기적인 백업 작업이 가장 우선 시 되어야 한다.

둘째, 최근 이슈가 되고 있는 가상화 기술을 활용하면 IT 관리비용을 절감할 수 있다. 스토리지 가상화 제품을 사용하면 각 컴퓨터당 1개의 단일 운영 시스템을 적용하던 방식에서 벗어나, 1개의 서버에 가상 서버 기술을 적용하여 다양한 환경을 도입해 볼 수 있다.

새롭고 믿을만한 하드웨어 상에서 운영되는 가상 장치에 오래된 어플리케이션을 적용시킴으로써 기존 하드웨어에 대한 관리 및 업그레이드 비용을 절약할 수 있고, 단일 서버에 사용 빈도가 낮은 부분 서버를 통합함으로써 편리하게 서버를 관리할 수 있다.

마지막으로, 직원들의 개인용 데스크톱 및 노트북의 정보를 철저히 보호해야 한다. 많은 기업들이 데이터 보호 솔루션을 도입했다고 하나, 사내 데이터의 60%만이 워크스테이션 및 노트북에 저장, 보호되고 있는 상황이다. 노트북의 숨겨진 파티션(hidden partitions)과 같은 툴을 사용하면 바이러스 침입 및 사고와 같은 긴급상황이 발생할 경우, 회사 노트북의 데이터 및 프로그램을 보호할 수 있다.

데이터 보안은 중견ㆍ중소기업의 비즈니스 신뢰성과 안정성을 유지하는 가장 기본적인 요소이다. 위험요소가 산재한 기업의 IT 환경을 얼마나 안정적으로 운영하고 위험에 민첩하게 대응하느냐가 기업 경쟁력을 좌우하게 된다. 이제는 구체적으로 데이터 보안에 대한 철저한 대비책을 마련하고 재해복구 시스템을 구축함으로써 기업 핵심 역량과 경쟁력을 키워 나가야 할 때다.
                                                                                                                          출처 - 디지털타임즈

P.S . 아직까지 기업들의 보안의식이 약한거 같다. 데이터 보안의 중요성을 하루 빨리 자각할수있는 날이 왔으면 한다.