나날이 악화되는 사이버 위협 상황을 극복하는 방법

사이버보안 전문가들이 점점 더 위험해지는 사이버 위협 환경에서 비즈니스 자산과 평판을 보호하기 위한 조언을 제공했다.

사이버 위협 현황이 곧 안전하게 될 것이라는 기대는 버리는 게 좋다. 이는 최근 미국 보스턴에서 개최된 2개의 행사에서 연설한 인사의 메시지다. CNBC와 아스펜 연구소(Aspen Institute)가 주관한 캠브리지 사이버 서밋(Cambridge Cyber Summit)에서 연설한 백악관 사이버보안 조정관 롭 조이스는 "어떤 방법을 사용하더라도 추세는 잘못된 방향으로 나아가고 있다. 사이버 위협을 범죄 활동을 보든, 국가 주도의 활동으로 보든, 또는 목적과는 상관없이 위반 상황을 직시하고 걱정해야 한다"고 말했다.

이 발언은 비즈니스 전문가, 사이버보안 업계, 정부 정보 기관과 법 집행 기관에 반향을 일으켰다. 이들이 제시한 그림은 끔찍한 수준이었지만, 모든 연사들은 시간이 지나면 상황은 개선될 것이라는 낙관론을 펼쳤다. 다만 이런 개선의 속도는 조직이 사이버보안에 접근하는 방식을 전환하는 것에 달려 있다는 것이다.

프로세스와 태도가 바뀔 필요가 있다는 데에 전문가들은 모두 동의한다. 데이터와 자산을 좀 더 효율적으로 보호하는 수단이 대부분의 조직에 필요하다는 것 또한 그러하다. 이 전문가들의 조언은 다음과 같다.

사이버보안의 기본 사항을 잘 수행하라
조이스가 보기에는 많은 기업이 자체 패칭과 좋은 아키텍처, 첨단 위협을 이해하고 로그를 작성하고, 모니터링하고, 이들을 처리하는 등의 보안의 기본 업무이자 기술을 수행하는 데 일관성이 없다. 다른 연사들은 기업이 정책을 검토하고 시스템이 제대로 작동하는지 확인하는 프로세스를 마련할 것을 촉구했다.

적어도 조직은 미국 국립 표준 기술 연구소(NIST)의 사이버보안 프레임워크를 따라야 한다. 이를 따르는 것이 침해 방지를 모두 보장하는 것은 아니지만 침해가 발생할 경우, 책임을 줄일 수 있는 '주의 의무'를 입증한다.

CA 테크놀로지스 회장이자 CEO인 마이크 그레고어는 "NIST 프레임워크를 따르고 네트워크를 보호하기 위해 해야 할 모든 일을 하고서도 침해당하는 경우 벌칙을 받을 가능성이 적다"고 말했다.

조직은 프로세스를 수용하지 않으면 보안 기본을 제대로 수행할 수 없다. 캠브리지 사이버 서밋에서 IBM 시큐리티 총책임자 마크 반 자델호프는 "6시그마 접근방식을 보안에 적용하는 것처럼 보안과 관련한 문화적 변화가 필요하다"며, "조직들이 이런 접근 방식을 도입함으로써 해커의 고도화에 대처해야 한다"고 말했다.

해커가 노리는 것을 파악하라
인포시큐리티 북미(InfoSecurity North America) 행사에서 FBI(Federal Bureau of Investigation) 사이버 부문장인 제프리 트리콜리는 "사람들은 자사에 어떤 것이 가치가 있는지를 모른다"며, "해커들은 이런 가치를 더 잘 인식한다"고 말했다.

예를 들어, 기업은 고객 데이터에 대한 강력한 보호를 할 수 있지만 이런 고객과의 커뮤니케이션 채널에 대해서는 그렇지 못할 수 있다. 이런 채널은 공격자가 고객 시스템과 자사에 액세스하는 수단이 될 수 있다. 공격자들이 앞으로 어떻게 할 지를 알 수 있다면 자사의 보안 노력을 어디에 중점을 둬야 할 지를 파악할 수 있다.

침해에 대응하는 자사를 살펴보라 
대부분의 조직에서는 침해가 발생할 경우를 대비해 대응 계획을 갖고 있지만 모든 조직이 모의 공격을 수행하는 것은 아니다. 반 자델호프는 "만약 폭탄 사건이 발생할 경우, 단지 보안 팀만이 아니라 모든 이들이 어떻게 대응할 것인가"라고 반문했다.

반 자델호프는 최악의 시나리오가 발생하는 실제 공격에 대한 시뮬레이션을 실행하도록 권장했다. 이런 경험은 실제 침해가 발생했을 때 사건에 대응하는 데 도움이 될 뿐만 아니라 고객과 기타 영향을 받는 이해 관계자와의 커뮤니케이션 프로세스도 개선할 수 있다.

좋은 비밀번호를 연습하라
비밀번호 재사용이란 한 계정이 해킹을 당한 경우, 다른 곳에도 동일한 비밀번호를 사용하면 위험에 처하는 경우를 의미한다. 조이스는 "최선의 방법은 비밀번호를 다시 사용하지 않는 것이다. 어느 기업에서 침해 사고가 발생했다는 것은 곧 자신이 해킹당했다는 걸 의미한다. 그러나 공격자는 종종 사용자의 계정과 비밀번호를 사용한다. 만약 다른 사이트에서 계정이름과 비밀번호를 재사용하는 경우, 공격자는 다른 사이트에서도 액세스할 수 있다"고 설명했다.

키보드 패턴을 비밀번호로 사용하는 것도 좋지 않다. 이 방법을 사용하면 비밀번호를 더 쉽게 사용할 수 있지만, 해커들은 비밀번호 데이터베이스에 이 목록을 보관하고 있다. 즉, '비밀번호'를 비밀번호로 사용하는 것만큼 쉽게 부술 수 있다.

이중인증으로 이동하라
모든 연설자들이 합의한 것은 전통적인 사용자 이름/ 비밀번호 인증이 더 이상 효과적인 억제책이 아니라는 것이다. 이들은 기업이 이중인증(two-factor authentication, 2FA)을 사용하지 않을 경우 빨리 사용하도록 촉구했다. 예를 들어, 사용자의 휴대전화로 코드를 전송하는 경우, 자신이 소유한 물건, 자신이 알고있는 것은 실제 강력한 보호 도구가 된다. 조이스는 "2FA가 정부의 모범 사례가 되고 있다"고 덧붙였다.

2FA가 널리 사용되는 걸 방해하는 것은 소비자의 저항이다. 액세스를 얻기 위해 또 다른 단계가 추가되는 것은 사용자 경험을 떨어트린다. 그레고리는 "2FA는 최소한의 기준이다. 2FA는 사람들을 보호할 수 있는 방법임에도 불구하고 고객 경험이 떨어진다는 이유로 벗어나는 경향이 있다. 이는 수고스럽기 때문에 소비자 애플리케이션에서 종종 발생한다"고 말했다.

사회보장번호(주민등록번호)를 식별자로 사용하지 마라
에퀴팩스(Equifax) 사건은 사회보장번호(SSN) 유출로 인해 모든 사람의 신원이 취약해졌다는 인식을 높였다. 조이스는 "사회보장번호를 하나의 신원 정보 또는 액세스 제어로 생각하는 것은 정말 최악"이라며 "시간이 지남에 따라 그렇게 진화해왔고 이는 우리 모두를 위험에 처하게 했다"고 지적했다.

SSN를 사용자가 스스로 식별자로 사용한다면 자신의 재정 역량에 액세스할 수 있는 신원 정보를 훔친 사람으로 인해 실제로 더 큰 위험에 처하게 된다.

높은 보안 표준을 공급망/협력업체에게 요구하라 
부품이나 서비스 부문 협력 업체들을 이용한 공격은 점점 더 널리 사용되는 공격 경로다. 대다수는 대기업보다 방어력이 약한 중소기업이지만, 고객 시스템에 직접 액세스할 수 있는 경우가 많다. 문제는 공급망의 약점이 보안 팀의 레이더에 벗어나는 경우가 많기 때문이다.

시스코의 글로벌 공급망 CSO인 에드나 콘웨이는 시스코의 공급망 전반에 걸친 위협 현황에 대해 이해해야 한다. 이는 모든 선수가 누구인지 아는 것부터 시작한다. 인포시큐리티 북미 행사에서 콘웨이는 "자사의 공급망에 누가 있는 지 알지 못할 경우 격차가 발생한다"고 말했다.

모든 플레이어를 알고 있으면 가장 큰 위험이 있는 곳을 쉽게 식별할 수 있으며 공급망 침해가 발생한 경우 어느 공급업체인지 파악할 수 있다. 콘웨이는 "디지털, 가상 제품에서는 출처를 알아내기가 힘들다. 예를 들어 한 ASIC 제공업체일지라도 다른 곳의 파운드리 소스일 수 있다. 지도를 만드는 것은 그만큼 힘든 일이 될 수 있다"고 설명했다.

콘웨이는 기업이 타사 보안 기능에 대한 철저한 평가를 수행할 것을 권장했다. 위험에 대한 허용 수준과 관계의 가치 간의 균형을 유지해야 한다. 예를 들어, 특정 공급업체에 대한 대한이 거의 또는 전혀 없는 경우 더 높은 수준의 위험을 받아들일 수 있다.

더 많은 랜섬웨어 공격에 대비하라
랜섬웨어 공격은 공격자가 높은 수익을 올리기 때문에 숫자상으로나 지능적으로나 증가할 것이며, 이로 인해 기업은 비용이 증가할 것이다. 사이버 범죄자들은 이제 이를 사업처럼 행동한다.

전문가들은 궁극적으로 사이버 범죄에 대한 가장 큰 억제책은 그것을 더 비싸게 만드는 것이라는 것 동의했다. 조이스는 사이버 불법 행위에 대한 비용을 어떻게 바꿀 것인지는 국가별로 이해해야 한다고 말했다.

조직은 랜섬웨어 공격자의 비즈니스 수행 비용을 높일 수 있는 조치를 취할 수 있다. 랜섬웨어는 너무 많은 피해자가 몸값을 지불하기 때문에 사이버 범죄자를 위한 가장 큰 수익 창출원 가운데 하나가 되고 있다.

미국 정부의 지침은 인질이 된 자신의 데이터를 다시 얻지 못하더라도 몸값을 지불해서는 안된다는 것이다. 하지만 조이는 궁극적으로 상황에 따라 선택해야 하는 개인적인 결정이라고 인정했다.

직원 교육 또한 핵심이다. 직원들이 교육을 받았음에도 불구하고 링크를 클릭하는 경우가 종종 있다. 하지만 모든 강연자는 랜섬웨어 교육이 변화를 가져왔고 계속 진행되어야 한다는 데 동의했다.

안티 바이러스 소프트웨어는 대부분의 랜섬웨어 공격을 탐지하지 못하는 것으로 악명높지만, 탐지 및 예방을 위한 새로운 도구가 출시되고 있다. 인포시큐리티 북미 행사에서 사이버리즌(Cybereason) CISO 이스라엘 바락은 자체 무료 랜섬프리(Ransomfree) 툴을 다운로드하도록 참석자를 초대했다.

랜섬프리는 랜섬웨어가 공통으로 갖고 있는 한가지 특성에 초점을 맞춰 작동한다. 파일을 암호화한다는 것이다. 이 도구는 비정상적인 파일 암호화 프로세스를 찾고 99% 보호율과 파일리스 공격 또한 막을 수 있다고 주장한다. 이를 왜 무료로 공개하는가에 대해 사이버리즌은 랜섬프리를 사용하즌 사람이 시스템에서 탐지된 랜섬웨어 코드를 사이버리즌 서버로 보낼 수 있게 설정해야 한다. 즉 랜섬프리 사용자는 사이버리즌 연구 노력을 위한 데이터 수집자가 되는 셈이다.

자동화하라
캠브리지 사이버 서밋에서 팔로알토 네트웍스 CEO 마크 맥래플린은 "사이버범죄자들은 고도로 자동화된 기술을 사용해 저비용의 컴퓨팅 능력, 그리고 정교한 도구의 가용성을 적절히 활용하고 있다. 조직은 충분한 기술을 갖추고 있지만, 도구를 사용할 수 있는 사람은 충분치 않다고 덧붙였다.

맥래플린은 사이버범죄자들과 경쟁하기 위해서는 기업은 "자동화하라. 고도로 자동화하고 통합된 솔루션을 제공하라"고 주장했다.

맥래플린은 한 기업이 여러 공급업체로부터 제공받는 솔루션이 평균 64개라고 추정했다. 맥래플린은 앞으로 몇 년 안으로 더 많은 솔루션과 공급업체들이 출현할 것으로 예상했다. 그러나 이와 더불어 모든 것을 관리하고 자동화를 가능케하는 플랫폼이 도와줄 것이라고 예상했다. editor@itworld.co.kr