2020.05.29

"뭐라도 해야 한다" 보여주기식 보안조치의 5가지 예시

J.M. Porup | CSO
보여주기식 보안조치(Security Theater), 카고 컬트(Cargo Cult) 보안. 둘의 의미는 같다. "지금 상황에서 뭐라도 해야 해." 이렇게 실행한 그 무엇은 보안을 향상시키지 못하고 엄청난 비용이 수반되며 모두의 시간과 에너지를 낭비한다. 
 
ⓒ Getty Images Bank

‘보여주기식 보안조치’라는 용어는 보안 전문가 브루스 슈나이어가 만들었다. 슈나이어는 어디에서 영감을 얻었을까? 바로 미국 연방 교통안전청(US Transportation Security Administration, TSA)이다. 9/11 이후에 무의미한 공항 심사에 연간 수십 억 달러를 낭비하면서 '무엇인가 해야 한다'는 정서적 욕구는 충족됐지만 실제로 더 안전해진 것은 아니었다.

마찬가지로 카고 컬트 보안은 생각보다 사이버보안 업계에서 더욱 보편적이다. 폴리네시아의 카고 컬트(화물 신앙)는 새롭게 발견된 남태평양 부족이며, 비행기와 해당 비행기가 운송해온 서양 음식을 너무 경외한 나머지 더 많은 음식을 가져다 주기를 기대하면서 나뭇가지로 실물 크기의 모델을 만들었다. 

우리는 이보다 훨씬 더 스마트한가? 그렇지 않을 수 있다. 오늘날 기술이 너무 발달한 나머지 우리 모두가 카고 컬트주의자일 수 있다. ‘이유’를 이해하지 못하고 움직이면 자신도 모르게 카고 컬트의 영역에 들어서게 된다.

기업에서 보여주기식 보안조치와 카고 컬트를 찾아 없애는 것은 비즈니스를 파괴하는 데이터 유출을 방지하는 것과 코로나19가 끝날 때까지 버티는 것 중간쯤에 있다. 보안 예산에서 주목할 요소들을 살펴보자.
 

잘못된 보안 인식 교육

제대로 된 보안 인식 교육은 조직의 보안을 강화하는 데 도움이 될 수 있다. 잘못하면 모두의 시간을 낭비하게 되어 직원이 보안 우려를 무시할 수 있다.

신입 직원의 경우는 어떠한가? 코끼리 진정제 수준인 장시간 의무적인 보안 인식 영상을 보려면 졸지 않도록 커피를 마시는 것이 좋다. 하지만 우리는 ‘보안 인식’을 함양해야 한다. 그래서 상당한 주의를 기울여 신입 직원의 보안 인식을 높이기 위한 요건을 준수했다.

보안(Security)과 컴플라이언스(Compliance)은 다르다. 완벽한 컴플라이언스를 내세우는 기업도 항상 침해를 겪는다. 그렇다. 비IT 직원의 보안 인식이 중요하다. 하지만 직원들의 주의를 환기시키는 보안 인식 교육에 자원을 투자하지 않으면 ROI가 0이 되거나 마이너스가 될 가능성도 있다. 완전한 낭비가 되는 것이다.


아무도 기억할 수 없는 복잡한 비밀번호

이제 비밀번호 카부키 극장을 끝낼 때가 됐다. 직원이 특수 문자가 포함된 복잡한 비밀번호를 사용하도록 강제하면 모두가 기존의 비밀번호 끝에 느낌표나 추가하게 될 것이다. 그래서 직원들은 모니터 언저리에 비밀번호가 적인 노란색 포스트잇을 붙여 놓는 것이다. 그들은 업무를 처리하고 싶을 뿐이며 보안 담당자는 보안은 향상시키지 못하면서 일만 어렵게 만들어 버렸다. 

비밀번호는 사람들이 기억하기 쉽고 컴퓨터가 추측하기 어려우면 그만이다. 심지어 NIST도 이에 동의한다. 

“매우 복잡하게 기억하는 비밀번호 때문에 새로운 잠재적인 취약점이 발생한다. 기억할 수 있는 가능성이 낮아지며 적어두거나 전자적으로 안전하지 못하게 보관하게 될 가능성이 높다. 이런 행동이 반드시 취약한 것은 아니지만 통계적으로 이런 비밀을 기록하는 방식 가운데 일부는 그러하다. 이것이 과도하게 길거나 기억하기에 복잡한 비밀을 요구하면 안 되는 추가적인 이유다.”

NIST도 최대 64글자 길이의 패스프레이즈(Passphrases)를 권고한다. 다이스웨어(Diceware)가 생성하는 것과 같은 패스프레이즈는 더 기억하기 쉽고 더 짧은 것만큼 예측하기가 어려울 수 있으면서도 “*%&*^%&yuiyiu*&%&*” 같은 비밀번호가 더 기억하기 어렵다. 또한 NIST는 비밀번호가 유출됐다는 증거가 없는 한 의무적인 90일 비밀번호 변경을 중단할 것을 촉구하고 있다.

부실한 비밀번호 요건은 '이유'를 제대로 이해하지 못한 전통적인 카고 컬트 보안의 전통적인 사례다. 모르는 것이 있을 때 직관이 필요할 때가 있지만 좋은 비밀번호 활동은 자연과학 기술의 영역이다. 비밀번호에 대해 무엇을 해야 하는지는 NIST가 알려줬다. 


서드파티 설문조사

기업과 공급업체 간에 보안 설문조사가 올림픽에서의 탁구 경기처럼 이뤄지고 있으며 사이버보안 보험업체들도 여기에 동참하고 있다. 설문조사는 앞으로 누군가 고소할 계획이라면 법적 책임을 제기하는 데 좋을 수 있지만 침해를 방지하는 효과는 거의 없을 것이다.

보안 설문조사는 실질적인 보안 노력보다는 “우리가 얼마나 작은 거짓말로 상황을 모면할 수 있는가”에 더 가깝다. 법률 부서에서 이를 요청하거나 보안 담당자 스스로는 안도감이 들 수는 있지만 해당 기업이 더 안전해지지는 않는다. 실질적인 보안을 위해서는 알려지고 입증된, 정량화된 조치에 집중해야 한다.


확인란 채우기  

컴플라이언스 때문에 보안 장비를 구매했다면, 확인란(Checkbox)을 채우는 데 급급할 지도 모른다. 적절히 구성했다면 유지보수에 시간을 소모할 필요는 없다. 어차피 보안을 향상시키기 위해 구매한 것이 아니며 귀찮아서 작동법도 제대로 익히지 않았을 것이다. 이는 마치 남극에 가기위해 벙어리 장갑을 구매했다가 한번도 착용하지 않는 것과 같다. 그런데 동상에 걸려 손가락이 떨어져 나간 이유는 절대로 알지 못할 수 있다. 

다시한번 말하지만 컴플라이언스는 보안이 아니다. 컴플라이언스에서 요구하는 최소한의 상당한 주의를 확보하면 기업은 법적 책임으로부터 벗어날 수 있지만, 그것만 한다면 기업은 상당한 침해 위험에 처하게 된다. 


과도한 안티바이러스 의존

사무실 워크스테이션에 안티바이러스가 설치되어 있다고 해서 모든 것이 안전하다거나 할 일을 다했다고 판단해선 안된다. 안티바이러스가 유용한 보안기능을 제공하던 시대는 이미 옛날 이야기가 됐다. 기업 내에서 안티바이러스에 전적으로 의존하는 것은 아닌지 의심해 봐야 하며 너무 신뢰하면 큰 화를 입을 수 있다.

특정 기업을 표적으로 삼은 똑똑한 공격자는 안티바이러스 제품을 피해갈 수 있다. 그렇다고 안티바이러스 사용을 중단해야 할까? 그렇지는 않다. 하지만 파리채로 F-16 비행기를 격추시킬 수 있다고 생각한다면 더 큰 문제가 있는 것이다. 분명 안티바이러스가 많은 일을 하던 때가 있었다. 지금 현재는 유용성이 감소하고 있기 때문에 더욱 능동적인 방어에 집중해야 한다.


보여주기식 보안조치를 위한 해독제

인간의 사고 능력은 10번 가운데 9번은 합리적이기보다는 정당화하는 데 사용한다. 이런 행태는 보안에서 치명적이다. 원하는 것만 보고 이유와 방식을 파악하지 못하면 더 많은 스팸을 가져다 줄 것이라는 희망에 나뭇가지로 비행기를 재현하는 것과 다를 바 없다. 시스템을 만든 사람보다 시스템을 더 잘 이해하지 못하면 보안을 무너뜨릴 수 없듯이 이런 시스템이 어떻게 동작하는지 제대로 파악하지 못하면 기업을 보호할 수 없다. editor@itworld.co.kr 


2020.05.29

"뭐라도 해야 한다" 보여주기식 보안조치의 5가지 예시

J.M. Porup | CSO
보여주기식 보안조치(Security Theater), 카고 컬트(Cargo Cult) 보안. 둘의 의미는 같다. "지금 상황에서 뭐라도 해야 해." 이렇게 실행한 그 무엇은 보안을 향상시키지 못하고 엄청난 비용이 수반되며 모두의 시간과 에너지를 낭비한다. 
 
ⓒ Getty Images Bank

‘보여주기식 보안조치’라는 용어는 보안 전문가 브루스 슈나이어가 만들었다. 슈나이어는 어디에서 영감을 얻었을까? 바로 미국 연방 교통안전청(US Transportation Security Administration, TSA)이다. 9/11 이후에 무의미한 공항 심사에 연간 수십 억 달러를 낭비하면서 '무엇인가 해야 한다'는 정서적 욕구는 충족됐지만 실제로 더 안전해진 것은 아니었다.

마찬가지로 카고 컬트 보안은 생각보다 사이버보안 업계에서 더욱 보편적이다. 폴리네시아의 카고 컬트(화물 신앙)는 새롭게 발견된 남태평양 부족이며, 비행기와 해당 비행기가 운송해온 서양 음식을 너무 경외한 나머지 더 많은 음식을 가져다 주기를 기대하면서 나뭇가지로 실물 크기의 모델을 만들었다. 

우리는 이보다 훨씬 더 스마트한가? 그렇지 않을 수 있다. 오늘날 기술이 너무 발달한 나머지 우리 모두가 카고 컬트주의자일 수 있다. ‘이유’를 이해하지 못하고 움직이면 자신도 모르게 카고 컬트의 영역에 들어서게 된다.

기업에서 보여주기식 보안조치와 카고 컬트를 찾아 없애는 것은 비즈니스를 파괴하는 데이터 유출을 방지하는 것과 코로나19가 끝날 때까지 버티는 것 중간쯤에 있다. 보안 예산에서 주목할 요소들을 살펴보자.
 

잘못된 보안 인식 교육

제대로 된 보안 인식 교육은 조직의 보안을 강화하는 데 도움이 될 수 있다. 잘못하면 모두의 시간을 낭비하게 되어 직원이 보안 우려를 무시할 수 있다.

신입 직원의 경우는 어떠한가? 코끼리 진정제 수준인 장시간 의무적인 보안 인식 영상을 보려면 졸지 않도록 커피를 마시는 것이 좋다. 하지만 우리는 ‘보안 인식’을 함양해야 한다. 그래서 상당한 주의를 기울여 신입 직원의 보안 인식을 높이기 위한 요건을 준수했다.

보안(Security)과 컴플라이언스(Compliance)은 다르다. 완벽한 컴플라이언스를 내세우는 기업도 항상 침해를 겪는다. 그렇다. 비IT 직원의 보안 인식이 중요하다. 하지만 직원들의 주의를 환기시키는 보안 인식 교육에 자원을 투자하지 않으면 ROI가 0이 되거나 마이너스가 될 가능성도 있다. 완전한 낭비가 되는 것이다.


아무도 기억할 수 없는 복잡한 비밀번호

이제 비밀번호 카부키 극장을 끝낼 때가 됐다. 직원이 특수 문자가 포함된 복잡한 비밀번호를 사용하도록 강제하면 모두가 기존의 비밀번호 끝에 느낌표나 추가하게 될 것이다. 그래서 직원들은 모니터 언저리에 비밀번호가 적인 노란색 포스트잇을 붙여 놓는 것이다. 그들은 업무를 처리하고 싶을 뿐이며 보안 담당자는 보안은 향상시키지 못하면서 일만 어렵게 만들어 버렸다. 

비밀번호는 사람들이 기억하기 쉽고 컴퓨터가 추측하기 어려우면 그만이다. 심지어 NIST도 이에 동의한다. 

“매우 복잡하게 기억하는 비밀번호 때문에 새로운 잠재적인 취약점이 발생한다. 기억할 수 있는 가능성이 낮아지며 적어두거나 전자적으로 안전하지 못하게 보관하게 될 가능성이 높다. 이런 행동이 반드시 취약한 것은 아니지만 통계적으로 이런 비밀을 기록하는 방식 가운데 일부는 그러하다. 이것이 과도하게 길거나 기억하기에 복잡한 비밀을 요구하면 안 되는 추가적인 이유다.”

NIST도 최대 64글자 길이의 패스프레이즈(Passphrases)를 권고한다. 다이스웨어(Diceware)가 생성하는 것과 같은 패스프레이즈는 더 기억하기 쉽고 더 짧은 것만큼 예측하기가 어려울 수 있으면서도 “*%&*^%&yuiyiu*&%&*” 같은 비밀번호가 더 기억하기 어렵다. 또한 NIST는 비밀번호가 유출됐다는 증거가 없는 한 의무적인 90일 비밀번호 변경을 중단할 것을 촉구하고 있다.

부실한 비밀번호 요건은 '이유'를 제대로 이해하지 못한 전통적인 카고 컬트 보안의 전통적인 사례다. 모르는 것이 있을 때 직관이 필요할 때가 있지만 좋은 비밀번호 활동은 자연과학 기술의 영역이다. 비밀번호에 대해 무엇을 해야 하는지는 NIST가 알려줬다. 


서드파티 설문조사

기업과 공급업체 간에 보안 설문조사가 올림픽에서의 탁구 경기처럼 이뤄지고 있으며 사이버보안 보험업체들도 여기에 동참하고 있다. 설문조사는 앞으로 누군가 고소할 계획이라면 법적 책임을 제기하는 데 좋을 수 있지만 침해를 방지하는 효과는 거의 없을 것이다.

보안 설문조사는 실질적인 보안 노력보다는 “우리가 얼마나 작은 거짓말로 상황을 모면할 수 있는가”에 더 가깝다. 법률 부서에서 이를 요청하거나 보안 담당자 스스로는 안도감이 들 수는 있지만 해당 기업이 더 안전해지지는 않는다. 실질적인 보안을 위해서는 알려지고 입증된, 정량화된 조치에 집중해야 한다.


확인란 채우기  

컴플라이언스 때문에 보안 장비를 구매했다면, 확인란(Checkbox)을 채우는 데 급급할 지도 모른다. 적절히 구성했다면 유지보수에 시간을 소모할 필요는 없다. 어차피 보안을 향상시키기 위해 구매한 것이 아니며 귀찮아서 작동법도 제대로 익히지 않았을 것이다. 이는 마치 남극에 가기위해 벙어리 장갑을 구매했다가 한번도 착용하지 않는 것과 같다. 그런데 동상에 걸려 손가락이 떨어져 나간 이유는 절대로 알지 못할 수 있다. 

다시한번 말하지만 컴플라이언스는 보안이 아니다. 컴플라이언스에서 요구하는 최소한의 상당한 주의를 확보하면 기업은 법적 책임으로부터 벗어날 수 있지만, 그것만 한다면 기업은 상당한 침해 위험에 처하게 된다. 


과도한 안티바이러스 의존

사무실 워크스테이션에 안티바이러스가 설치되어 있다고 해서 모든 것이 안전하다거나 할 일을 다했다고 판단해선 안된다. 안티바이러스가 유용한 보안기능을 제공하던 시대는 이미 옛날 이야기가 됐다. 기업 내에서 안티바이러스에 전적으로 의존하는 것은 아닌지 의심해 봐야 하며 너무 신뢰하면 큰 화를 입을 수 있다.

특정 기업을 표적으로 삼은 똑똑한 공격자는 안티바이러스 제품을 피해갈 수 있다. 그렇다고 안티바이러스 사용을 중단해야 할까? 그렇지는 않다. 하지만 파리채로 F-16 비행기를 격추시킬 수 있다고 생각한다면 더 큰 문제가 있는 것이다. 분명 안티바이러스가 많은 일을 하던 때가 있었다. 지금 현재는 유용성이 감소하고 있기 때문에 더욱 능동적인 방어에 집중해야 한다.


보여주기식 보안조치를 위한 해독제

인간의 사고 능력은 10번 가운데 9번은 합리적이기보다는 정당화하는 데 사용한다. 이런 행태는 보안에서 치명적이다. 원하는 것만 보고 이유와 방식을 파악하지 못하면 더 많은 스팸을 가져다 줄 것이라는 희망에 나뭇가지로 비행기를 재현하는 것과 다를 바 없다. 시스템을 만든 사람보다 시스템을 더 잘 이해하지 못하면 보안을 무너뜨릴 수 없듯이 이런 시스템이 어떻게 동작하는지 제대로 파악하지 못하면 기업을 보호할 수 없다. editor@itworld.co.kr 


X