보안

괴담스러운 사실, '보안 공포' 3가지

Eric Cole | CSO 2014.10.10
할로윈은 1년에 딱 한 번뿐이다. 그러나 정말 공포스러운 보안 사고는 매일같이 발생한다. 이런 사고 가운데 일부는 뉴스 헤드라인을 장식하지만, 너무 '공포'스러워 선뜻 이야기를 꺼내지도 못하는 사고도 있다.

할로윈을 앞두고, 유명한 사이버 보안 전문가이자 SANS의 특별 연구원(Faculty Fellow)인 에릭 콜 박사가 직접 관찰한 '공포'스러운 인간의 행동에서 비롯된 '보안 공포 괴담' 3가지를 들려준다. 경고하지만, 다음 내용은 '허구'가 아닌 '사실'이다.

'퇴사 직원'이라는 유령
깜짝 놀랄만한 사례가 있다. 한 기업을 대상으로 정기적인 보안 평가를 실시했는데, 해당 기업에서 퇴사한 직원 145여 명의 계정이 여전히 살아있었다. 이게 전부가 아니다. 이 가운데 17개 계정이 실제 이용되고 있다는 사실을 발견했다.

이 정도에 놀라지 말라. 더 끔찍한 문제가 있다.

HR 부서와 함께 해당 계정에 다른 특별한 문제가 있는지 조사했다. 그리고 그 결과, 최소 5개월 이전에 퇴사했음에도 계정을 이용하고 있던 17명 가운데 7명이 회사 정보를 빼내 경쟁사에 넘겨 줬다는 사실을 발견했다.

악몽 같은 사고다. 직원을 해고한 후, 신분증을 뺏었다. 그러나 온라인 계정에 접속하지 못하도록 차단하는 것을 깜박하고 말았다. 그리고 이들이 회사에서 정보를 도둑질한 이후에 이 사실을 발견한 것이다. 공포스러운 일이 아닌가?

글로벌 테러
아직 소름이 돋지 않았을지 모르겠다. 그러나 지금부터 이야기할 '글로벌 공포 괴담'은 머리카락을 곤두서게 만들 것이다.

첨단 산업 기술을 갖고 있는 미국의 제조업체 한 곳이 중국으로부터 지속적으로 공격을 받았었다. 몇 년에 걸쳐, 매년 4~6주 동안 공격이 끊이지 않았다. 다행히 이 기업의 보안 환경이 공격을 무력화시켜왔다.

중국 해커들이 부단히 애를 썼지만, 보유 기술을 비밀로 유지할 수 있었던 것이다. 그러나 이 회사의 경영진은 납득할 수 없는 이유로(비용 문제), 미국의 제조 및 생산 시설을 중국으로 이전하기로 결정했다.

보안팀은 최악의 공포가 현실로 다가오자 '비명'을 내질렀지만 소용없었다.

미국에서 3년동안 중국 해커들의 해킹 공격을 방어할 수 있었다. 그러나 중국으로 이전을 하고 2년이 지나지 않아, 중국 해커들이 해킹 공격을 성공시켰다.

이 공포 괴담은 여기에서 끝나지 않는다. 얼마 지나지 않아, 이 기업의 제품보다 더 많이 팔리는 경쟁 제품이 개발됐다.

이 회사는 중국에서의 기업 활동을 멈춰야 했다. 경쟁을 할 수 없었기 때문이다. 비록 회사는 파산하지 않았지만, 10억 달러의 제품군이 수백만 달러 정도의 제품군으로 전락했다. 무시무시한 이야기가 아닌가?

공포스러운 발견
아직 겁에 질리지 않았는가? 악몽을 꾸게 만들 사례가 하나있다. 특정 회사를 철저하게 보안 평가할 때는 시설과 데이터센터도 점검한다. 정책, 인력, 사이버 보안은 물론 물리적 보안도 점검한다는 의미다.

시설 보안을 점검하기 이상적인 시간은 밤 11시였다. 어둠을 뚫고, 출입문이 제대로 잠겼는지 확인하는 과정에 공포스러운 사실을 발견했다.

(데이터센터 옆에 위치한) 하역장 뒷문이 열려 있었다. 그 문 옆으로 벽을 따라, 모션 감지기의 사각지대에는 회사의 테이프 스토리지가 위치해 있었다. 누구든지 맘만 먹으면 PII(개인 식별 정보)와 PHI(개인 의료 정보)를 빼내 갈 수 있었던 것이다.

중대한 보안 사고였기 때문에, 그 즉시 해당 회사 직원에게 경고를 해야 했다. 문제점을 알고도 그 자리를 벗어나면 책임을 져야 할 수 있기 때문이다.

해당 장소에서 가장 가까이 살고 있던 사람은 CFO였다. CFO는 해당 시설의 열린 문들을 다시 잠그기 위해, 잠옷 차림으로 헐레벌떡 달려왔다.

이 보안 괴담들이 우리에게 제시하는 교훈은 뭘까?
첫째, 프로세스, 절차, 정책이 제대로 준수되고 있다고 가정하지 말아야 한다. 이런 부분들을 철저히 확인하고, 점검해야 한다.

둘째, '상식'이 적용되지 않는 상황이 많다. 사람들이 매번 올바른 결정을 내릴 것이라고 생각하면 곤란하다. 직원들이 적절히, 그리고 올바르게 결정을 내리는데 도움을 주는 데이터를 제공하고, 이를 갖고 있는지 확인한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.