2015.03.25

글로벌 칼럼 | 보안 문제를 해결하기 어려운 6가지 이유

Eric Knorr | InfoWorld
지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타겟(Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다.

그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다.

이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다.

위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자.

1.경영진의 확률 도박
보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임 기간인 몇 년 이내에 대규모 정보 유출 사건이 발생할 확률은 얼마나 될까? 몇 년 전보다는 높겠지만 펜실베니아 대학교의 아리짓 채터지와 도날드 햄브릭의 200년도 연구 주제인 “모든 문제는 나로부터 기인한다(It's all about me)”에서도 밝혔듯이, CEO들은 자기도취적 성향을 보이는 경우가 많아도, 이 같은 사람들은 위험을 기꺼이 감수하려고 한다.

2. 보안업체의 주장에 현혹되기
보안업체들의 비즈니스는 최신 위협을 과대 표장하고(심지어 로고까지 만든다), 이에 대항하는 '비장의 무기'를 판매하는 것이다. 기술적으로 이들이 말하는 위협은 실재한다. 그러나 최신으로 패치되지 않은 시스템 악용과 같은 뚜렷한 공격 벡터에 비하면 미미한 위험일 뿐이다. 보안업체들의 과대 포장에 넘어가게 되면 정작 필요한 곳에 투입되어야 할 자원이 엉뚱한 곳으로 분산되는 결과가 발생한다.

3. 차질없는 서비스 운영이 우선
경영진이 갑자기 깨어나 조직의 가장 큰 위험 요소, 즉 클라이언트 측 자바를 제거하기로 결심했다고 가정해 보자. 그러나 여러 LoB 관리자들이 일부 핵심 애플리케이션이 클라이언트 측 자바에 의존한다며 이 결정에 반대한다. 실제로 이 회사에는 유독 취약한 구 버전의 자바를 필요로 하는 핵심 애플리케이션들이 있다. 과연 이 회사는 운영을 중단하면서까지 더 안전한 기술로 문제의 애플리케이션을 다시 제작할까? 아니면 이 작업을 내년에 계획된 대대적인 기술 재정비 기간으로 미룰까?

4. 체계적인 보안 교육의 부재
관리자들은 바보들만 정체불명의 첨부 파일을 클릭하고 링크를 따라 악성코드 감염 사이트를 방문하거나 가짜 바이러스 경고에 속아 가짜 안티바이러스 소프트웨어(실제로는 악성코드)를 설치한다고 생각한다. 그러나 사실 피싱 이메일은 상당히 정교해졌다. 게다가 실제 악성코드 탐지 소프트웨어가 트로이 목마에 어떻게 반응하는지 한 번도 본 적이 없다면 가짜와 진짜를 어떻게 구분하겠는가? 사용자에게는 체계적인 보안 교육과 피싱 위험이 발생할 때마다 즉각적인 경고가 필요하다. 교육은 꼭 오랜 시간을 들일 필요는 없지만, 끊임없이 계속되어야 한다.

5. 100% 완벽하다는 호언장담
방화벽, 침입 탐지 시스템, 보안 이벤트 모니터링, 네트워크 모니터링, 2단계 인증, ID 관리…회사에 모두 구현되어 있다. 아무도 침입하지 못한다! 그러나 아직 해킹되지 않은 것은 훔칠 만한 것이 없었기 때문일 뿐이다. 그 사실을 깨닫는다면 올바른 마음가짐은 저절로 만들어진다. 즉, 보관 중인 중요한 정보를 암호화하고, 영구적인 관리자 권한 활성화를 지양하고, 악당이 경계를 넘어선 이후의 피해를 최소화하는 다른 수단을 마련하게 된다.

6. 운명론에 굴복
필자는 많은 기업들이 문제의 심각성이 어느 정도인지 잘 알고 있다고 생각한다. 하지만 그 기업들이 무엇을 할 수 있겠는가? APT 공격을 감행하는 전문가들을 멈추게 할 방법은 거의 없다. 금융 업계는 매년 사기와 사이버 절도로 인해 손실되는 수십억 달러를 그냥 비즈니스 비용으로 받아들인다. 우리는 그냥 기계적으로 반응할 뿐이다. 보안 전쟁에서 이미 악당들이 승리했다.

공격이 언제나 방어보다 한 걸음 앞서간다는 점을 감안하면 그 말은 진실이다. 공격을 피할 수는 없다. 그러나 공격 가능한 표면적을 크게 줄여주는 모범 사례가 있는 한 보안에 태만해야 할 이유가 되지는 못한다.

모든 절차적 변화는 사람들의 불만을 초래한다. 그러나 느슨한 보안 관행은 탐스러운 거대한 목표물이 되는 빠른 길이다. 어느 쪽을 택하겠는가? 끊임없는 두려움이 수반되는 관료주의적 관성? 위험을 대폭 줄이기 위해 오버헤드를 추가하면서 수반되는 불편함? 후자의 경우 그에 상응하는 보상은 없을 것이다. 그러나 필자 개인적으로는 밤에 두 다리 뻗고 자는 편을 선택하겠다. editor@itworld.co.kr 


2015.03.25

글로벌 칼럼 | 보안 문제를 해결하기 어려운 6가지 이유

Eric Knorr | InfoWorld
지난해 역사상 최대 규모의 카드 정보 도난 사건이 밝혀진 여파로 타겟(Target) CEO와 CIO가 사임할 당시, C레벨 인사들에게 일종의 경고문이 배달됐다는 인식이 퍼졌다. 기업 보안을 진지하게 고려하지 않을 경우에는 어떤 결과가 초래되는지 이미 명확하게 밝혀졌다.

그 이후에도 유명한 기업들의 데이터 유출 사건이 연이어 터졌다. 마이클스(Michaels), PF 챙(PF Chang’s), 커뮤니티 헬스 시스템(Community Health Systems), UPS, 데어리 퀸(Dairy Queen), 굿윌(Goodwill), 홈 디포(Home Depot), JP 모건 체이스(JP Morgan Chase), K마트(Kmart), 스테이플스(Staples), 그리고 최악의 오명을 뒤집어쓴 소니까지. 소니의 경우 소니 픽처스 임원 에이미 파스칼뿐만 아니라 소니라는 브랜드 자체도 치명타를 입었다.

이처럼 무차별 개인 정보 유출 사건이 난무하는데 어떻게 아무것도 바뀌지 않았을까? 인포월드(Inforwrold)의 기고자인 로저 그라임스가 반복해서 주장하는 바에 따르면 이러한 공격을 차단할 수 있는 모범 사례는 정말로 명확하다. 소니는 2014년 사태 이전에도 해킹 침해에 취약한 것으로도 유명했다. 로저는 “대부분 기업에서의 전반적인 컴퓨터 보안은 한심한 수준”이라며, 소니의 침해 사건을 계기로 다시 한 번 모두에게 상기했다.

위에 언급한 데이터 유출 사건들 덕에 보안에 대한 인식은 상당히 높아졌다. 그런데도 올해 역시 대형 사건이 거의 확실히 일어날 것으로 관측된다. 그 이유는 무엇일까? 지금부터 보안 사건이 끊임없이 발생하는 원인에 대해 살펴보자.

1.경영진의 확률 도박
보안은 비용을 유발하고, 일반적인 운영에 부가적인 단계를 추가함으로써 생산성에도 지장을 초래한다. 위험을 낮춘 업적으로 업계 찬사를 받는 경영진은 없지만, 단기적인 수익성에 따른 평판은 달콤한데다, 최고 경영진 자리는 자주 바뀐다. 이들의 재임 기간인 몇 년 이내에 대규모 정보 유출 사건이 발생할 확률은 얼마나 될까? 몇 년 전보다는 높겠지만 펜실베니아 대학교의 아리짓 채터지와 도날드 햄브릭의 200년도 연구 주제인 “모든 문제는 나로부터 기인한다(It's all about me)”에서도 밝혔듯이, CEO들은 자기도취적 성향을 보이는 경우가 많아도, 이 같은 사람들은 위험을 기꺼이 감수하려고 한다.

2. 보안업체의 주장에 현혹되기
보안업체들의 비즈니스는 최신 위협을 과대 표장하고(심지어 로고까지 만든다), 이에 대항하는 '비장의 무기'를 판매하는 것이다. 기술적으로 이들이 말하는 위협은 실재한다. 그러나 최신으로 패치되지 않은 시스템 악용과 같은 뚜렷한 공격 벡터에 비하면 미미한 위험일 뿐이다. 보안업체들의 과대 포장에 넘어가게 되면 정작 필요한 곳에 투입되어야 할 자원이 엉뚱한 곳으로 분산되는 결과가 발생한다.

3. 차질없는 서비스 운영이 우선
경영진이 갑자기 깨어나 조직의 가장 큰 위험 요소, 즉 클라이언트 측 자바를 제거하기로 결심했다고 가정해 보자. 그러나 여러 LoB 관리자들이 일부 핵심 애플리케이션이 클라이언트 측 자바에 의존한다며 이 결정에 반대한다. 실제로 이 회사에는 유독 취약한 구 버전의 자바를 필요로 하는 핵심 애플리케이션들이 있다. 과연 이 회사는 운영을 중단하면서까지 더 안전한 기술로 문제의 애플리케이션을 다시 제작할까? 아니면 이 작업을 내년에 계획된 대대적인 기술 재정비 기간으로 미룰까?

4. 체계적인 보안 교육의 부재
관리자들은 바보들만 정체불명의 첨부 파일을 클릭하고 링크를 따라 악성코드 감염 사이트를 방문하거나 가짜 바이러스 경고에 속아 가짜 안티바이러스 소프트웨어(실제로는 악성코드)를 설치한다고 생각한다. 그러나 사실 피싱 이메일은 상당히 정교해졌다. 게다가 실제 악성코드 탐지 소프트웨어가 트로이 목마에 어떻게 반응하는지 한 번도 본 적이 없다면 가짜와 진짜를 어떻게 구분하겠는가? 사용자에게는 체계적인 보안 교육과 피싱 위험이 발생할 때마다 즉각적인 경고가 필요하다. 교육은 꼭 오랜 시간을 들일 필요는 없지만, 끊임없이 계속되어야 한다.

5. 100% 완벽하다는 호언장담
방화벽, 침입 탐지 시스템, 보안 이벤트 모니터링, 네트워크 모니터링, 2단계 인증, ID 관리…회사에 모두 구현되어 있다. 아무도 침입하지 못한다! 그러나 아직 해킹되지 않은 것은 훔칠 만한 것이 없었기 때문일 뿐이다. 그 사실을 깨닫는다면 올바른 마음가짐은 저절로 만들어진다. 즉, 보관 중인 중요한 정보를 암호화하고, 영구적인 관리자 권한 활성화를 지양하고, 악당이 경계를 넘어선 이후의 피해를 최소화하는 다른 수단을 마련하게 된다.

6. 운명론에 굴복
필자는 많은 기업들이 문제의 심각성이 어느 정도인지 잘 알고 있다고 생각한다. 하지만 그 기업들이 무엇을 할 수 있겠는가? APT 공격을 감행하는 전문가들을 멈추게 할 방법은 거의 없다. 금융 업계는 매년 사기와 사이버 절도로 인해 손실되는 수십억 달러를 그냥 비즈니스 비용으로 받아들인다. 우리는 그냥 기계적으로 반응할 뿐이다. 보안 전쟁에서 이미 악당들이 승리했다.

공격이 언제나 방어보다 한 걸음 앞서간다는 점을 감안하면 그 말은 진실이다. 공격을 피할 수는 없다. 그러나 공격 가능한 표면적을 크게 줄여주는 모범 사례가 있는 한 보안에 태만해야 할 이유가 되지는 못한다.

모든 절차적 변화는 사람들의 불만을 초래한다. 그러나 느슨한 보안 관행은 탐스러운 거대한 목표물이 되는 빠른 길이다. 어느 쪽을 택하겠는가? 끊임없는 두려움이 수반되는 관료주의적 관성? 위험을 대폭 줄이기 위해 오버헤드를 추가하면서 수반되는 불편함? 후자의 경우 그에 상응하는 보상은 없을 것이다. 그러나 필자 개인적으로는 밤에 두 다리 뻗고 자는 편을 선택하겠다. editor@itworld.co.kr 


X