2018.04.17

"인간을 패치해야 할 때가 왔다"…소셜 엔지니어링 대응법

Steve Ragan | CSO
"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구는 "절대적으로 맞다"고 말했다.

데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다.

이는 허풍이 아니라 실존하는 위협이다. 스트리트와의 대화는 올해 그가 참석하는 컨퍼런스에 대해 묻는 간단한 질문에서 시작됐다. 실제로 스트리트는 에이프릴 C, 라이트와 함께 올해 라스베이거스의 블랙햇(Black Hat)에서 보안 팀에게 인간 침입 탐지 시스템을 개발하도록 가르치는 교육 강습을 하고 있다.

흥미로운 보안 위험 요소, 인간
필자가 본지에서 가장 재미있게 작성한 기사 가운데 하나는 스트리트가 은행의 침투 테스트를 시행했던 이야기다 2015년에 발행한 이 이야기는 다음에서 찾아볼 수 있다. 이 기사의 주제는 낙관적인 사고와 모든 사람을 최선을 추정하는 것은 실제로 위험하다는 것이다.

당시 스트리트는 단순히 은행에 들어갔다(미국이 아닌 다른 국가). 스트리트는 이 은행의 카운터 뒤쪽으로 가서 해킹된 시스템을 자유롭게 사용했다. 그는 은행에서 돈을 받고 물리적인 침투 테스트를 수행하는 임무를 받았다. 해당 은행에서 이 외국인이 좋은 사람이 아님을 파악한 사람은 아무도 없었다.

스트리트는 이 일에 대해 말하면서 "사람들은 자신에게 일어나는 부정적인 일에 대해서는 생각하길 싫어한다"고 말했다. 이는 인간 본성에 어긋난다. 스트리트는 "나는 그들에게 합리적인 설명을 해줄 수 있다면 그들은 나쁘게 보지 않고 오히려 낙관적으로 생각한다"고 말했다.

현재 스트리트는 여전히 보안을 위해 소셜 엔지니어링 훈련을 시행하고 있지만, 자신과 같은 조직을 방어하는 이들을 도와주는 사명도 맡고 있다.

인간 패치는 어렵지만 방법은 있다 
보안인식 훈련(Awareness training)은 쉬운 것처럼 보이지만 대부분의 사람은 자신이 보안 프로그램에 미치는 영향을 이해하지 못하기 때문에 어려워진다. 임직원들은 단지 월급을 받고 일을 하길 원한다. 이것이 직원들이 가장 약한 링크로 간주되는 이유이자 "소셜 엔지니어링, 인간의 어리석음은 패치가 없다"고 말하는 이유다.

스트리트는 이에 대한 해답을 갖고 있다.
스트리트는 "패치가 있지만 어렵기 때문에 아무도 이를 하려고 하지 않는다. 하지만 패치가 있다. 그리고 교육을 계속되고 있다. 이는 일회성 수업이 아니며, 직원들이 1년에 한번씩 하는 형식적인 테스트도 없다. 임직원은 나쁜 보안의 책임이나 결과가 아닌 실제 진지한 교훈을 만들기 위한 보안 프로세스의 일부가 되어야 한다. 직원들은 보안 프로세스의 일부로 넣어야 한다"고 말했다.

인간을 패치하지 않으면 기술이 아무리 좋아도 문제가 발생한다. 스트리트는 "사람들은 인간을 개선하고 교육시키는 대신, 인간을 가로막고 보호하는 기술을 구축하려고 한다. 이들은 부채가 아니라 자산이다. 인간은 자사가 얻을 수 있는 가장 큰 침입 탐지 시스템이다"고 설명했다.

일부 단체에서는 조직 내에서 지속적인 인식 교육을 시행하는 것은 너무 어렵다는 전제를 두고 있다. 범위에 따라 시간과 돈을 절약할 수 있다. 그러나 그들이 막을 수 있게 한다는 것은 소셜 기반의 공격으로부터 복구하는 만큼이나 어렵다.

가혹한 진실을 말하자면, 정보보안은 실제 일반 직원들의 업무가 아니며, 보안 요소가 있더라도 이는 핵심이 아니라 부수적인 평가일 뿐이다. 스트리트는 "정보보안을 직원의 업무에 포함시키지 않는다. 자신의 업무에 포함되지 않는다면 직원들은 걱정하지도, 관심도 없다"고 말했다.

기술만으로는 구할 수 없다
스트리트는 "기술이 모든 것을 해결할 것처럼 보안인식 교육을 바라보고 있는데, 이는 기술적인 문제다. 하지만 우리가 직면한 문제는 기술적인 게 아니라 인간의 문제다"고 덧붙였다.

보안인식 교육을 저해하는 또 다른 요소는 시스템은 인간임에도 불구하고 안전하게 작동해야 한다는 사고방식이다. 또는 보안 결정에 있어 인간이 최종 결정을 하는 시점에 이르면 이미 손실을 입은 것이다. 이런 사고 방식은 잘못됐다. 사람들이 이런 말을 한다는 것은 해당 시스템이 실패할 것이라는 증거가 된다.

경영진이 보안팀의 일원이어야 하며, 이런 일에 직면한 것처럼 적절하게 훈련하는 것이 가장 중요하다는 것을 이해하고 시스템을 구축해야 한다. 직원들은 조직의 첫번째 방어선이 되어야 한다. 그렇지 않으면 최후의 방어선이 된다. 그들은 능동적인 구성원이 되어야 한다.

보안 훈련이 필요하며 지속적이어야 한다
일부는 보안이 자신의 업무가 아니라고 주장하지만, 보안은 배달 운전자만이 지키는 것이 아니다. 자신이 배달 운전사가 아니라도 안전벨트를 착용하거나 속도 제한에 따라 교통 법규를 준수해야 한다. 이처럼 직원들도 안전한 컴퓨팅 관행을 따라야 한다.

스트리트는 "그러나 이런 사건이 일어나기 전에 직원들은 교육을 받아야 하며, 보안팀은 어떻게 해야 하는지 직원에게 가르쳐줘야 한다. 보안은 필수 사항이며, 보안 정책을 따르지 않으면 모든 직원이 염려하는 부정적인 사태가 발생할 수 있다는 사실을 알고 있어야 한다"고 말했다.

그러나 여기에는 균형이 필요하다. 기업 내에서 직원을 지나치게 압박하는 느낌을 주지 않으면서도 직원의 안전을 유지하는 인식 프로그램을 구축해야 한다. 이의 해답은 바로 게이미피케이션(gamification)과 열린 커뮤니케이션이다.

무해한 경우에도 의심스러운 것으로 보고하는 직원들을 격려한다. 직원들이 두려움없이 IT 팀이나 보안 팀과 협력해 좋은 사례와 나쁜 사례에 대한 설명을 제공하도록 교육한다. 그런 다음, 직원들이 참여할 수 있도록 보상한다.

그러나 이 프로그램의 핵심은 인간은 누구나 실수를 하는 것이기에 직원들이 피해자로 처벌받지 않도록 보장하는 것이다. 전체적인 목표는 탐지 및 인식을 높이는 동시에 대응력을 향상시키는 것이다.

스트리트는 "나는 거짓말하지 않고 쉬운 일이라고 말하고 구현하기가 쉽지 않다고 말하고 싶다. 나는 그것이 무엇이고 필요한 것이 무엇인지 말하고 있다. 이는 얼마나 쉬운 것인가에 대한 질문이 아니다"고 말했다.

또한 스트리트는 "이제 인간을 자산처럼 다루기 시작해야 한다. 정보보안 팀의 실제적인 부분처럼 말이다. 직원에게는 장기적인 목표를 위해 보안의 일부가 되는 것이 더 낫다는 것을 이해시켜야 한다"고 덧붙였다. editor@itworld.co.kr  


2018.04.17

"인간을 패치해야 할 때가 왔다"…소셜 엔지니어링 대응법

Steve Ragan | CSO
"소셜엔지니어링, 인간의 어리석음에 대해서는 패치가 없다"는 말을 알 것이다. 제이슨 스트리트는 이 문구는 "절대적으로 맞다"고 말했다.

데프콘(DEF CON) 그룹 글로벌 대사이자 스피어NY(SphereNY) 정보보안 부사장 제이슨 스트리트는 수년 동안 보안 분야에 종사하는 사람들조차도 일부는 소셜 엔지니어링에 대해 배운 것보다 많은 것을 잊어버렸다고 말했다.

이는 허풍이 아니라 실존하는 위협이다. 스트리트와의 대화는 올해 그가 참석하는 컨퍼런스에 대해 묻는 간단한 질문에서 시작됐다. 실제로 스트리트는 에이프릴 C, 라이트와 함께 올해 라스베이거스의 블랙햇(Black Hat)에서 보안 팀에게 인간 침입 탐지 시스템을 개발하도록 가르치는 교육 강습을 하고 있다.

흥미로운 보안 위험 요소, 인간
필자가 본지에서 가장 재미있게 작성한 기사 가운데 하나는 스트리트가 은행의 침투 테스트를 시행했던 이야기다 2015년에 발행한 이 이야기는 다음에서 찾아볼 수 있다. 이 기사의 주제는 낙관적인 사고와 모든 사람을 최선을 추정하는 것은 실제로 위험하다는 것이다.

당시 스트리트는 단순히 은행에 들어갔다(미국이 아닌 다른 국가). 스트리트는 이 은행의 카운터 뒤쪽으로 가서 해킹된 시스템을 자유롭게 사용했다. 그는 은행에서 돈을 받고 물리적인 침투 테스트를 수행하는 임무를 받았다. 해당 은행에서 이 외국인이 좋은 사람이 아님을 파악한 사람은 아무도 없었다.

스트리트는 이 일에 대해 말하면서 "사람들은 자신에게 일어나는 부정적인 일에 대해서는 생각하길 싫어한다"고 말했다. 이는 인간 본성에 어긋난다. 스트리트는 "나는 그들에게 합리적인 설명을 해줄 수 있다면 그들은 나쁘게 보지 않고 오히려 낙관적으로 생각한다"고 말했다.

현재 스트리트는 여전히 보안을 위해 소셜 엔지니어링 훈련을 시행하고 있지만, 자신과 같은 조직을 방어하는 이들을 도와주는 사명도 맡고 있다.

인간 패치는 어렵지만 방법은 있다 
보안인식 훈련(Awareness training)은 쉬운 것처럼 보이지만 대부분의 사람은 자신이 보안 프로그램에 미치는 영향을 이해하지 못하기 때문에 어려워진다. 임직원들은 단지 월급을 받고 일을 하길 원한다. 이것이 직원들이 가장 약한 링크로 간주되는 이유이자 "소셜 엔지니어링, 인간의 어리석음은 패치가 없다"고 말하는 이유다.

스트리트는 이에 대한 해답을 갖고 있다.
스트리트는 "패치가 있지만 어렵기 때문에 아무도 이를 하려고 하지 않는다. 하지만 패치가 있다. 그리고 교육을 계속되고 있다. 이는 일회성 수업이 아니며, 직원들이 1년에 한번씩 하는 형식적인 테스트도 없다. 임직원은 나쁜 보안의 책임이나 결과가 아닌 실제 진지한 교훈을 만들기 위한 보안 프로세스의 일부가 되어야 한다. 직원들은 보안 프로세스의 일부로 넣어야 한다"고 말했다.

인간을 패치하지 않으면 기술이 아무리 좋아도 문제가 발생한다. 스트리트는 "사람들은 인간을 개선하고 교육시키는 대신, 인간을 가로막고 보호하는 기술을 구축하려고 한다. 이들은 부채가 아니라 자산이다. 인간은 자사가 얻을 수 있는 가장 큰 침입 탐지 시스템이다"고 설명했다.

일부 단체에서는 조직 내에서 지속적인 인식 교육을 시행하는 것은 너무 어렵다는 전제를 두고 있다. 범위에 따라 시간과 돈을 절약할 수 있다. 그러나 그들이 막을 수 있게 한다는 것은 소셜 기반의 공격으로부터 복구하는 만큼이나 어렵다.

가혹한 진실을 말하자면, 정보보안은 실제 일반 직원들의 업무가 아니며, 보안 요소가 있더라도 이는 핵심이 아니라 부수적인 평가일 뿐이다. 스트리트는 "정보보안을 직원의 업무에 포함시키지 않는다. 자신의 업무에 포함되지 않는다면 직원들은 걱정하지도, 관심도 없다"고 말했다.

기술만으로는 구할 수 없다
스트리트는 "기술이 모든 것을 해결할 것처럼 보안인식 교육을 바라보고 있는데, 이는 기술적인 문제다. 하지만 우리가 직면한 문제는 기술적인 게 아니라 인간의 문제다"고 덧붙였다.

보안인식 교육을 저해하는 또 다른 요소는 시스템은 인간임에도 불구하고 안전하게 작동해야 한다는 사고방식이다. 또는 보안 결정에 있어 인간이 최종 결정을 하는 시점에 이르면 이미 손실을 입은 것이다. 이런 사고 방식은 잘못됐다. 사람들이 이런 말을 한다는 것은 해당 시스템이 실패할 것이라는 증거가 된다.

경영진이 보안팀의 일원이어야 하며, 이런 일에 직면한 것처럼 적절하게 훈련하는 것이 가장 중요하다는 것을 이해하고 시스템을 구축해야 한다. 직원들은 조직의 첫번째 방어선이 되어야 한다. 그렇지 않으면 최후의 방어선이 된다. 그들은 능동적인 구성원이 되어야 한다.

보안 훈련이 필요하며 지속적이어야 한다
일부는 보안이 자신의 업무가 아니라고 주장하지만, 보안은 배달 운전자만이 지키는 것이 아니다. 자신이 배달 운전사가 아니라도 안전벨트를 착용하거나 속도 제한에 따라 교통 법규를 준수해야 한다. 이처럼 직원들도 안전한 컴퓨팅 관행을 따라야 한다.

스트리트는 "그러나 이런 사건이 일어나기 전에 직원들은 교육을 받아야 하며, 보안팀은 어떻게 해야 하는지 직원에게 가르쳐줘야 한다. 보안은 필수 사항이며, 보안 정책을 따르지 않으면 모든 직원이 염려하는 부정적인 사태가 발생할 수 있다는 사실을 알고 있어야 한다"고 말했다.

그러나 여기에는 균형이 필요하다. 기업 내에서 직원을 지나치게 압박하는 느낌을 주지 않으면서도 직원의 안전을 유지하는 인식 프로그램을 구축해야 한다. 이의 해답은 바로 게이미피케이션(gamification)과 열린 커뮤니케이션이다.

무해한 경우에도 의심스러운 것으로 보고하는 직원들을 격려한다. 직원들이 두려움없이 IT 팀이나 보안 팀과 협력해 좋은 사례와 나쁜 사례에 대한 설명을 제공하도록 교육한다. 그런 다음, 직원들이 참여할 수 있도록 보상한다.

그러나 이 프로그램의 핵심은 인간은 누구나 실수를 하는 것이기에 직원들이 피해자로 처벌받지 않도록 보장하는 것이다. 전체적인 목표는 탐지 및 인식을 높이는 동시에 대응력을 향상시키는 것이다.

스트리트는 "나는 거짓말하지 않고 쉬운 일이라고 말하고 구현하기가 쉽지 않다고 말하고 싶다. 나는 그것이 무엇이고 필요한 것이 무엇인지 말하고 있다. 이는 얼마나 쉬운 것인가에 대한 질문이 아니다"고 말했다.

또한 스트리트는 "이제 인간을 자산처럼 다루기 시작해야 한다. 정보보안 팀의 실제적인 부분처럼 말이다. 직원에게는 장기적인 목표를 위해 보안의 일부가 되는 것이 더 낫다는 것을 이해시켜야 한다"고 덧붙였다. editor@itworld.co.kr  


X