2017.12.05

"우리는 항상 찾을 것이다" 사용자가 보안 대책을 회피하는 이유와 방식 5가지

Mary K. Pratt | CSO
직원들에게 지나치게 많은 보안 대책을 강요한다면 일반적으로 직원들은 '보안' 대신 '편리함'을 선택한다. 그러나 보안이 강화될 수 있도록, 보안과 편리함을 적절히 균형 잡는 방법이 있다.


Credit: Getty Images Bank

사이버보안 전문가인 리차드 화이트는 "나쁜 사람들의 수중에 들어가지 않도록 민감한 데이터를 잠그는 것이 중요하다. 하지만 한편으로는 기업들의 제약이 지나치다"고 말했다.

과도한 제한이 직원들이 효율적으로 업무를 처리할 수 없도록 만드는 등 방해를 하면, 오히려 문제가 커질 수 있기 때문이다. 이렇게 되면, 직원들은 보안을 회피할 '편법'을 찾는다. 또한 생산성이 저하되면서, 아이러니하게 데이터에 위험이 초래되는 상황이 전개되는 것이다.

화이트는 한 사무소에서 직접 관찰한 사례 하나를 소개했다. 한 직원이 컴퓨터 화면에 표시된 보안 정보를 스마트폰으로 사진을 찍었다. 집에 가서 해야 할 일을 끝내기 위해서였다.

옥스포드 솔루션스(Oxford Solutions) 상무이자 <사이버 범죄: 공격 기법 이면의 광기(Cybercrime: The Madness Behind the Method)>라는 책을 쓴 화이트는 "보안 대책이 지나치게 복잡할 때, 사용자가 가장 먼저 하는 일은 이를 우회할 방법을 찾는 것이다. 그러면 보안 대책이 무용지물이 되어버린다. 사이버보안 담당자는 실제 보안 위험을 토대로 정책과 절차, 기술을 고려해 맞춤화시켜야 한다. 즉 사용자 목적에 부합하도록 보안 대책을 합리적으로 균형을 맞춰야 한다"고 강조했다.

화이트를 비롯한 여러 보안 전문가에 따르면, 운영을 대대적으로 바꾸지 않고도 보안 대책과 유용성(편리함)을 더 균형있게 만들 수 있다. 직원들이 보안 대신 생산성을 선택하는 경향이 있는 일부분을 개선하는 것을 출발점으로 삼을 수 있다.

복잡한 비밀번호 요구
비밀번호는 아주 중요한 보안 도구다. 그런데 기업과 기관들이 지나치게 복잡한 비밀번호를 강요하면서, 비밀번호의 '보호력'이 약화되고, 오히려 취약점이 되어버리는 사례가 많다. 기업들이 특정 자릿수 이상의 대문자, 소문자, 숫자와 기호 병행과 함께 지나치게 긴 비밀번호를 요구하는 정책을 도입해 적용하는 경우가 많다. 또한 최소 몇 달에 1번 이상 비밀번호를 변경할 것을 요구한다.

이 경우, 직원들은 비밀번호를 기억하기 위해 종이에 적거나, 컴퓨터 파일로 만들어 저장한다. 화이트는 외부로부터 해킹 공격을 당한 회사를 조사했었다. 그리고 관리자 권한을 가진 직원 한 명이 비밀번호를 전자 파일로 보관하고 있다는 사실을 발견했다. 이 해킹 사고에서 전자 파일로 저장된 비밀번호가 어떤 역할을 했는지 불확실했지만, 문제점을 알려주는 부분이었다.

물론 화이트를 비롯한 보안 전문가들은 비밀번호가 아주 중요하다고 강조했다. 하지만 더 현명하게 비밀번호 정책을 수립하는 것이 좋다고 말했다. 복잡한 요구사항을 합리적인 수준으로 축소해야 한다.

비밀번호 공유
미국 텍사스 오스틴에 소재한 스폰 시큐리티 컨설팅(Spohn Security Consulting, Inc) 수석 보안 컨설턴트 팀 크로스비는 일부 직원들이 동료들과 비밀번호를 공유하는 것도 문제라고 지적했다. 크로스비는 보안 측면에서 현명한 행동이 아니지만, 직원들이 이런 행동을 하는 이유는 동료들과 파일에 대한 액세스 권한을 공유해야 할 필요성이 있기 때문이라고 말했다.

모든 직급에서 발생하는 문제다. 예를 들어, 경영진은 비서와 비밀번호를 공유하고, 평사원은 자신과 협력하는 동료와 비밀번호를 공유한다. 사이버보안 팀은 이런 문제를 막기 위해, 비즈니스 부서와 협력해 특정 파일에 액세스해야 하는 사용자를 더 정확히 파악하고, 이와 관련된 보안 태세를 높이는 정책을 수립해야 한다.

지나치게 많은 로그인
비밀번호가 지나치게 복잡한 것만 문제가 아니다. 직원들이 거쳐야 하는 로그인 횟수에도 문제가 있다. 매일 업무를 보기 위해, 여러차례 로그인과 사용자 인증을 해야만 하는 직원들이 아주 많다. 클라우드 기반 ID 및 액세스 관리 서비스 공급업체인 원로그인(OneLogin) CISO 알바로 호요스는 "직원들은 이것이 생산성을 떨어뜨린다고 믿는다"고 지적했다.

호요스를 비롯한 보안 전문가들은 이런 생산성 저하 때문에 로그인 관련 요구사항을 '우회'하기 시작한다고 설명했다. 예를 들어, 안전한 애플리케이션에 보관된 데이터를 쉽게 액세스할 수 있는 장소로 옮기는 것으로 예로 들 수 있다. 몇 분 정도 자리를 비웠을 때 번거롭게 다시 로그인을 하지 않기 위해서다.

IT 거버넌스에 초점을 맞추고 있는 글로벌 전문가 단체인 ISACA의 회장을 지낸 포레스터 리서치 수석 애널리스트 로브 스트루드는 이런 문제를 해결할 방법이 몇 가지 있다고 말했다.

ID 관리, SSO(Single Sign On) 솔루션, 토큰, 정상 업무 사용자의 패턴과 비정상 패턴을 구분해 차단해야 하는 위협을 알려주는 첨단 솔루션인 UEBA(User and Entity Behavior Analytics)를 사용하는 방법을 예로 들 수 있다. 또한 간편하고 빠른 액세스가 필요한 경우 생체인식 솔루션을 사용할 수도 있다. 호요스는 "보안과 편리성의 균형을 맞추는 방법을 찾아야 한다. 보안 담당자들은 '마찰'이 없는 보안을 추구해야 한다"고 강조했다.

지나친 데이터 보호
대부분의 기업과 기관에서 민감한 데이터 보호가 아주 중요해졌다. 그러나 사이버보안 분야의 리더들에 따르면, 불필요한 보호와 보안 계층이 너무 많아 생산성이 저하되고, 직원들이 안전하지 못한 행동을 하도록 내모는 사례가 너무 많다. 이와 관련된 직원들의 불만을 보여주는 사례와 증거가 아주 많다.

앞서 설명한 필요한 정보를 사진을 찍는 사례는 보안 분야 종사자들이 목격하는 여러 사례 가운데 단 하나의 사례에 불과하다. 파일을 복사하고, 문서를 전송하고, 무단으로 파일 공유 앱을 사용하는 사례들도 있다.

크로스비는 "아주 쉽게 데이터를 손에 넣을 수 있다는 점을 모르는 관리자들이 많다. 조직 보호 계층의 취약점을 악용하는 행동이다. 이는 위험을 증가시킨다"고 말했다. 그러면서 "하지만 이는 새로운 딜레마는 아니다. 보안 패러다임의 일부에 해당되는 문제다. 보안을 강화할수록, 사용자의 '편리성'이 훼손된다는 의미다. 사람들은 영리하다. '이유'를 이해하지 못할 때는 항상 보안을 우회할 방법을 찾을 것이다"고 덧붙였다.

화이트에 따르면, 모든 데이터를 동등하게 민감하게 처리할 경우 문제가 초래된다는 점을 인식해야 한다. 진짜 중요하고 민감한 정보를 보호할 수 있도록 사전에 데이터를 분류해야 한다. 여기에 더 많은 시간을 투자해야 한다. 또한 많은 직원이 업무에 사용하는 보통 정보의 경우 '장벽'을 낮추거나 없애야 한다. 화이트는 "힘들지만, 반드시 해야할 일이다"고 강조했다.

워크플로우와 충돌
보안과 생산성이 '충돌'하는 또 다른 지점은 워크플로우(업무 흐름)다. 프린트 관리 솔루션 업체인 와이 소프트(Y Soft) 스캐닝 사업 부문 수석 부사장 우터 콜레진은 직원들이 정상적인 업무의 일환으로 문서를 공유, 스캔, 이메일 전송, 인쇄한다고 말했다. 하지만 여기에 잠재된 보안 위험을 인식하지 못한다. 위험을 인식해도 업무를 마치기 위해 무시한다.

콜레진은 직원들의 잘못이 아니라고 말했다. 기존의 일상 업무 흐름을 쉽게 반영하지 못하도록 시스템을 설계한 것이 문제라고 설명했다. 콜레진은 "지나치게 많은 질문이나 요구를 하고, 지나치게 많이 문서를 분류하도록 요청하면 균형이 깨진다. 그러면 자신만의 해결책을 찾게 된다"고 지적했다.

기업은 직원들이 쉽게 규칙을 따를 수 있도록 기술과 시스템을 설계하는 데 투자해야 한다. 더 중요한 부분은 가능한 많은 부분을 자동화하는 것이다. 예를 들어, 요주의 문서는 자동으로 보안 스캔을 하도록 설계된 시스템을 구현해야 한다.

스트루드는 "사람의 워크플로우를 고려해야 한다. 보안이 이를 방해해서는 안 된다. 이런 프로세스 측면의 흐름을 생각하고, 여기에 위험을 토대로 적절히 보안을 구현해야 한다. '원 사이즈 핏 올'은 없다는 점도 명심해야 한다"고 강조했다. editor@itworld.co.kr
 

2017.12.05

"우리는 항상 찾을 것이다" 사용자가 보안 대책을 회피하는 이유와 방식 5가지

Mary K. Pratt | CSO
직원들에게 지나치게 많은 보안 대책을 강요한다면 일반적으로 직원들은 '보안' 대신 '편리함'을 선택한다. 그러나 보안이 강화될 수 있도록, 보안과 편리함을 적절히 균형 잡는 방법이 있다.


Credit: Getty Images Bank

사이버보안 전문가인 리차드 화이트는 "나쁜 사람들의 수중에 들어가지 않도록 민감한 데이터를 잠그는 것이 중요하다. 하지만 한편으로는 기업들의 제약이 지나치다"고 말했다.

과도한 제한이 직원들이 효율적으로 업무를 처리할 수 없도록 만드는 등 방해를 하면, 오히려 문제가 커질 수 있기 때문이다. 이렇게 되면, 직원들은 보안을 회피할 '편법'을 찾는다. 또한 생산성이 저하되면서, 아이러니하게 데이터에 위험이 초래되는 상황이 전개되는 것이다.

화이트는 한 사무소에서 직접 관찰한 사례 하나를 소개했다. 한 직원이 컴퓨터 화면에 표시된 보안 정보를 스마트폰으로 사진을 찍었다. 집에 가서 해야 할 일을 끝내기 위해서였다.

옥스포드 솔루션스(Oxford Solutions) 상무이자 <사이버 범죄: 공격 기법 이면의 광기(Cybercrime: The Madness Behind the Method)>라는 책을 쓴 화이트는 "보안 대책이 지나치게 복잡할 때, 사용자가 가장 먼저 하는 일은 이를 우회할 방법을 찾는 것이다. 그러면 보안 대책이 무용지물이 되어버린다. 사이버보안 담당자는 실제 보안 위험을 토대로 정책과 절차, 기술을 고려해 맞춤화시켜야 한다. 즉 사용자 목적에 부합하도록 보안 대책을 합리적으로 균형을 맞춰야 한다"고 강조했다.

화이트를 비롯한 여러 보안 전문가에 따르면, 운영을 대대적으로 바꾸지 않고도 보안 대책과 유용성(편리함)을 더 균형있게 만들 수 있다. 직원들이 보안 대신 생산성을 선택하는 경향이 있는 일부분을 개선하는 것을 출발점으로 삼을 수 있다.

복잡한 비밀번호 요구
비밀번호는 아주 중요한 보안 도구다. 그런데 기업과 기관들이 지나치게 복잡한 비밀번호를 강요하면서, 비밀번호의 '보호력'이 약화되고, 오히려 취약점이 되어버리는 사례가 많다. 기업들이 특정 자릿수 이상의 대문자, 소문자, 숫자와 기호 병행과 함께 지나치게 긴 비밀번호를 요구하는 정책을 도입해 적용하는 경우가 많다. 또한 최소 몇 달에 1번 이상 비밀번호를 변경할 것을 요구한다.

이 경우, 직원들은 비밀번호를 기억하기 위해 종이에 적거나, 컴퓨터 파일로 만들어 저장한다. 화이트는 외부로부터 해킹 공격을 당한 회사를 조사했었다. 그리고 관리자 권한을 가진 직원 한 명이 비밀번호를 전자 파일로 보관하고 있다는 사실을 발견했다. 이 해킹 사고에서 전자 파일로 저장된 비밀번호가 어떤 역할을 했는지 불확실했지만, 문제점을 알려주는 부분이었다.

물론 화이트를 비롯한 보안 전문가들은 비밀번호가 아주 중요하다고 강조했다. 하지만 더 현명하게 비밀번호 정책을 수립하는 것이 좋다고 말했다. 복잡한 요구사항을 합리적인 수준으로 축소해야 한다.

비밀번호 공유
미국 텍사스 오스틴에 소재한 스폰 시큐리티 컨설팅(Spohn Security Consulting, Inc) 수석 보안 컨설턴트 팀 크로스비는 일부 직원들이 동료들과 비밀번호를 공유하는 것도 문제라고 지적했다. 크로스비는 보안 측면에서 현명한 행동이 아니지만, 직원들이 이런 행동을 하는 이유는 동료들과 파일에 대한 액세스 권한을 공유해야 할 필요성이 있기 때문이라고 말했다.

모든 직급에서 발생하는 문제다. 예를 들어, 경영진은 비서와 비밀번호를 공유하고, 평사원은 자신과 협력하는 동료와 비밀번호를 공유한다. 사이버보안 팀은 이런 문제를 막기 위해, 비즈니스 부서와 협력해 특정 파일에 액세스해야 하는 사용자를 더 정확히 파악하고, 이와 관련된 보안 태세를 높이는 정책을 수립해야 한다.

지나치게 많은 로그인
비밀번호가 지나치게 복잡한 것만 문제가 아니다. 직원들이 거쳐야 하는 로그인 횟수에도 문제가 있다. 매일 업무를 보기 위해, 여러차례 로그인과 사용자 인증을 해야만 하는 직원들이 아주 많다. 클라우드 기반 ID 및 액세스 관리 서비스 공급업체인 원로그인(OneLogin) CISO 알바로 호요스는 "직원들은 이것이 생산성을 떨어뜨린다고 믿는다"고 지적했다.

호요스를 비롯한 보안 전문가들은 이런 생산성 저하 때문에 로그인 관련 요구사항을 '우회'하기 시작한다고 설명했다. 예를 들어, 안전한 애플리케이션에 보관된 데이터를 쉽게 액세스할 수 있는 장소로 옮기는 것으로 예로 들 수 있다. 몇 분 정도 자리를 비웠을 때 번거롭게 다시 로그인을 하지 않기 위해서다.

IT 거버넌스에 초점을 맞추고 있는 글로벌 전문가 단체인 ISACA의 회장을 지낸 포레스터 리서치 수석 애널리스트 로브 스트루드는 이런 문제를 해결할 방법이 몇 가지 있다고 말했다.

ID 관리, SSO(Single Sign On) 솔루션, 토큰, 정상 업무 사용자의 패턴과 비정상 패턴을 구분해 차단해야 하는 위협을 알려주는 첨단 솔루션인 UEBA(User and Entity Behavior Analytics)를 사용하는 방법을 예로 들 수 있다. 또한 간편하고 빠른 액세스가 필요한 경우 생체인식 솔루션을 사용할 수도 있다. 호요스는 "보안과 편리성의 균형을 맞추는 방법을 찾아야 한다. 보안 담당자들은 '마찰'이 없는 보안을 추구해야 한다"고 강조했다.

지나친 데이터 보호
대부분의 기업과 기관에서 민감한 데이터 보호가 아주 중요해졌다. 그러나 사이버보안 분야의 리더들에 따르면, 불필요한 보호와 보안 계층이 너무 많아 생산성이 저하되고, 직원들이 안전하지 못한 행동을 하도록 내모는 사례가 너무 많다. 이와 관련된 직원들의 불만을 보여주는 사례와 증거가 아주 많다.

앞서 설명한 필요한 정보를 사진을 찍는 사례는 보안 분야 종사자들이 목격하는 여러 사례 가운데 단 하나의 사례에 불과하다. 파일을 복사하고, 문서를 전송하고, 무단으로 파일 공유 앱을 사용하는 사례들도 있다.

크로스비는 "아주 쉽게 데이터를 손에 넣을 수 있다는 점을 모르는 관리자들이 많다. 조직 보호 계층의 취약점을 악용하는 행동이다. 이는 위험을 증가시킨다"고 말했다. 그러면서 "하지만 이는 새로운 딜레마는 아니다. 보안 패러다임의 일부에 해당되는 문제다. 보안을 강화할수록, 사용자의 '편리성'이 훼손된다는 의미다. 사람들은 영리하다. '이유'를 이해하지 못할 때는 항상 보안을 우회할 방법을 찾을 것이다"고 덧붙였다.

화이트에 따르면, 모든 데이터를 동등하게 민감하게 처리할 경우 문제가 초래된다는 점을 인식해야 한다. 진짜 중요하고 민감한 정보를 보호할 수 있도록 사전에 데이터를 분류해야 한다. 여기에 더 많은 시간을 투자해야 한다. 또한 많은 직원이 업무에 사용하는 보통 정보의 경우 '장벽'을 낮추거나 없애야 한다. 화이트는 "힘들지만, 반드시 해야할 일이다"고 강조했다.

워크플로우와 충돌
보안과 생산성이 '충돌'하는 또 다른 지점은 워크플로우(업무 흐름)다. 프린트 관리 솔루션 업체인 와이 소프트(Y Soft) 스캐닝 사업 부문 수석 부사장 우터 콜레진은 직원들이 정상적인 업무의 일환으로 문서를 공유, 스캔, 이메일 전송, 인쇄한다고 말했다. 하지만 여기에 잠재된 보안 위험을 인식하지 못한다. 위험을 인식해도 업무를 마치기 위해 무시한다.

콜레진은 직원들의 잘못이 아니라고 말했다. 기존의 일상 업무 흐름을 쉽게 반영하지 못하도록 시스템을 설계한 것이 문제라고 설명했다. 콜레진은 "지나치게 많은 질문이나 요구를 하고, 지나치게 많이 문서를 분류하도록 요청하면 균형이 깨진다. 그러면 자신만의 해결책을 찾게 된다"고 지적했다.

기업은 직원들이 쉽게 규칙을 따를 수 있도록 기술과 시스템을 설계하는 데 투자해야 한다. 더 중요한 부분은 가능한 많은 부분을 자동화하는 것이다. 예를 들어, 요주의 문서는 자동으로 보안 스캔을 하도록 설계된 시스템을 구현해야 한다.

스트루드는 "사람의 워크플로우를 고려해야 한다. 보안이 이를 방해해서는 안 된다. 이런 프로세스 측면의 흐름을 생각하고, 여기에 위험을 토대로 적절히 보안을 구현해야 한다. '원 사이즈 핏 올'은 없다는 점도 명심해야 한다"고 강조했다. editor@itworld.co.kr
 

X