워킹 데드에서 얻을 수 있는 유용한 보안 교훈

19세기 초, 서아프리카에서 "좀비"라는 단어가 사람들의 마음에 공포심을 불러 일으키기 시작했다. 기술의 발전과 "워킹 데드(Walking Dead)"와 같은 드라마 덕분에 좀비가 큰 인기를 끌고 있지만 정작 드라마 세계에서 가장 무서운 것은 "워커(Walker)", 즉 좀비가 아니다.

바로 다른 사람들이다. 워커는 드라마에서도 언급되듯이 예측이 가능하다. 굶주려 있고 사람들의 뇌를 먹고 싶어한다. 그러나 인간은 많은 경우 예측 불가능하며 그래서 위험하다. 워킹 데드에서 얻을 수 있는 팁은 다음과 같다.


Credit: Flickr/Tom Frisch

예측 가능성은 예측 불가능만큼 위험
영세 소매점부터 대기업에 이르기까지 사이버 보안 규약을 유행에 따라 마련하는 것은 금물이다. 충분한 이해 없이 새로운 사이버 보안 방법, 기술, 절차를 구현하면 안 된다는 것은 말할 필요도 없다.

네트워크에 구현할 새로운 기술을 평가할 때 핵심은 가장 치명적인 약점을 찾는 것이다. 아주 잘 운영되는 네트워크와 기업이라 해도 그 견고함의 정도는 가장 약한 연결 고리에 따라 결정되기 때문이다. 

워킹 데드 세계의 "워커"는 심각한 위협이지만, 다른 사람에게 가장 큰 위협이 되는 존재는 "무슨 일이 있어도 생존하는 것"이 목표인 살아있는 사람들이다.

부서 직원 변경, 비밀번호 변경, 보안 규약 및 절차의 전면적인 개편에 이르기까지, 어떤 일에서든 오늘날 네트워크 보안에 대한 다양한 위협보다 앞서가려면 불확실성에 대한 확신(certainty of uncertainty)이 필요하다. 잠재적 공격자를 찾는 것보다 안티바이러스 소프트웨어, 하드웨어 및 스토리지에 대한 정확한 이해가 더 중요하다는 의미다.

신규 직원에 대한 심사 필요
워킹 데드의 주인공은 새로운 사람이 나타나면 자신의 그룹이 어렵게 획득한 자원에 접근하도록 허용하기 전에 세 가지 질문을 던진다.

"지금까지 워커를 몇 명 죽였는가?"
"지금까지 사람을 몇 명 죽였는가?"
"죽인 이유는?"

신규 직원에 대한 철저한 신원 확인과 심리 평가, 직원에 대한 설문 조사는 장기적으로 회사에 도움이 된다. 그러나 많은 기업이 비교적 새로운 직원에게도 고도로 민감한 정보에 대한 접근 권한을 부여한다. 사이버 보안에 대한 지식이 거의 없는 사람들에게 네트워크 비밀번호를 건네주면 회사 외부로부터의 피싱 위협에 노출될 수 있다.

더 좋지 않은 것은 불만을 가진 직원이 코딩을 할 줄 알거나 장난삼아 해킹을 하거나 심지어 숙련된 해커 수준이고, 이 직원이 네트워크 비밀번호와 절차적 규약, 기타 민감한 정보에 접근하는 경우다.

부실한 관리는 하급 직원의 문제로 이어지는 경우가 많다. 하급 직원들을 대상으로 익명 설문을 하면 이들은 조직 개편, 나아가 애초부터 적임자가 아니었던 관리자의 해고를 요구할 수도 있다. 그래서 다양한 분야의 직원들을 대상으로 한 정기적인 심리 평가와 무작위 심리 평가가 필요할 수 있다.

다만 심리 평가를 통한 직원 심사는 2005년 카라커 대 렌트-에이-센터(Rent-A-Center Inc) 사건에 대한 대법원 판결이 남긴 법적 선례에 따라야 한다. 이 사건에서 대법원은 사측이 관리자를 대상으로 한 시험 과정의 일부로 미네소타 다면적 인성검사(MMPI)를 사용한 것은 미국 장애인법(ADA) 위반이라고 판결했다.

연결 고리에서 발생하는 모든 위협을 차단하기 위해서는 신입 사원부터 고위 임원까지 모든 단계의 직급에 대해 견제와 균형이 필요하다. 보안 규약과 절차는 문제를 억제하는 데 도움이 될 수 있지만 처음부터 시작해야 한다.

벽은 도움이 되지만 충분하지는 않다 
애틀랜타 주 CDC, "웨스트 조지아 교도소", 애틀랜타 주 병원, 우드베리에서 알렉산드리아까지, 그리고 "구조자" 캠프를 누비는 워킹 데드의 백전노장이라면 한두 명 또는 십여 명의 워커 정도는 간단히 처리할 수 있지만 워커가 수천 단위로 모인다면 아무리 튼튼하게 보이는 안전 구역의 격벽이라도 허물 수 있다.

2016년 10월 21일 금요일, 계획적인 DDoS 공격이 뉴햄프셔 주 맨체스터에 소재한 딘 코퍼레이션(Dyn Corporation)을 통해 DNS 서버를 마비시켰다. 딘은 공격자의 신원에 대해 추정하지 않고 있지만 최근 보도 및 추가 분석 자료를 보면 '더 뉴 월드 해커(The New World Hackers)"를 자칭하는 아마추어 그룹이 미라이(Mirai) 봇넷 공격을 감행한 것으로 보인다.

이런 공격은 라우터, IP 카메라, DVR과 같은 소비자용 기기를 장악해서 딘의 네트워크 서버를 집중 공격했다. 앞서 언급했듯이 모든 기업의 보안의 견고함 수준은 가장 약한 연결 고리에 의해 결정된다. 워킹 데드와 마찬가지로 튼튼한 벽은 소규모 위협은 차단할 수 있다. 견고한 일련의 방화벽이 대규모로 악성코드를 퍼뜨릴 패킷이 포함된 한두 개 또는 10여 개의 드라이브-바이-다운로드(drive-by-download)를 차단할 수 있는 것과 마찬가지다.

한 명의 워커가 벽을 뚫고 침투해서 삽시간에 워커를 퍼뜨릴 수 있듯이 좀비 봇넷은 소수의 교묘한 피싱 이메일을 통해 대대적인 DDoS 공격을 일으킬 수 있다. 딘과 같은 주요 DNS 서비스 제공업체조차 이러한 패킷이 방화벽을 뚫고 들어와 네트워크를 어지럽히는 것을 차단할 수 없다는 사실이 입증됐다.

단순한 악성 이메일에 네트워크를 초토화시키고 DDoS를 실행할 수 있는 대규모 좀비 봇넷을 불러들이는 링크를 집어넣을 수 있는 상황에서는 네트워크에서 가장 사소한 시스템까지 철저히 보호해야 한다.

명확함
보안의 시작과 끝은 상황 인식이다. 당면한, 그리고 장기적 위협에 대한 인식은 절대적인 불확실성에 대한 확신을 통해야만 한다. 워킹 데드의 인류 종말 이후 세계에서는 상대가 살아있는 사람이든 죽지않는 좀비든 끈으로 엮은 깡통과 날카롭게 깎은 봉, 철조망, 폭발 장치, 부비 트랩은 등이 최초이자 마지막 방어선이다.

워킹 데드의 등장 인물들은 정찰도 하고, 자신들의 구역을 염탐하거나 침입하려는 사람들을 포획함으로써 미래의 위협에 대한 정보를 수집한다. 등장 인물들은 인간적으로 위장하거나, 산 채로 먹힐 위험에서 벗어나기 위해 워커의 피와 내장을 뒤집어써서 냄새를 가리기도 한다.

워킹 데드와 현실 세계 모두에서 기만은 위협에 대처하기 위한 유용한 도구다. "허니팟(Honeypots)"은 사이버 위협에 대처하는 데 있어 대단히 유용한 리소스로 부상했다. 해커들은 암호화 또는 IPv6 터널링을 사용해 네트워크 방어를 우회하는 경우가 많다.

허니팟은 수신하는 연결에 대해서만 보고하므로 인지된 모든 위협에 관한 데이터를 수집하지는 않는다. 그리고 허니팟이 수신하는 연결은 거의 모두 실제 공격이다.

허니팟은 교묘하게 제작된 기만과 스토리를 사용해 침입자를 함정으로 유인한 다음 침입원으로부터 은밀하게 데이터를 수집한다. 이 과정에서 툴킷, 키스트로크 및 통신을 포함한 침입자의 모든 행동을 포착할 수 있는 IPv6, SSH가 사용된다.

허니팟에는 유용한 데이터도 없고 회사에서 중요하게 취급되는 애플리케이션도 없지만 언뜻 흥미로운 것으로 보이는 데이터가 담겨 있다. 해커가 거짓 정보의 거미줄에 잡혀 시간을 허비하는 사이 허니팟은 데이터를 수집한다. 허니팟을 사용하면 공격 방법, 도구, 기법과 해커의 기술 수준을 분석할 수 있다.

갓 창업한 신생 기업이거나 유진 포터 박사처럼 위협에 대해 생소하다면 회사의 데이터를 보호하는 일은 워커의 미로를 헤매는 것만큼 복잡해 보일 것이고, 기반이 확고한 회사이거나 모건 존스, 릭 그라임스처럼 위협에 익숙하다면 공격에 맞서 회사 데이터를 보호하는 일은 몽둥이만 들고 있으면 되는 간단한 일처럼 보일 것이다. 워킹 데드를 통해 배웠듯이, 악마는 사소한 데 존재한다. editor@itworld.co.kr