2019.01.15

보안 규정과 프레임워크가 사이버보안을 약화시키는 2가지

Roger A. Grimes | CSO
필자는 규정과 프레임워크를 신뢰하는 사람이다. 초기에는 그렇지 않았다. 젊었을 때는 사이버 탐정을 시작하면서 세상을 다 가질 수 있을 것 같은 느낌이 들었다. 무엇이든 해킹할 수 있다. 어떤 해킹이든 방지할 수 있다. 규정(regulations)과 프레임워크는 유약한 패배자들을 위한 것이라고 생각했다.

그리고 컴퓨터는 보호할 수는 있어도 장치가 5개를 넘어가면 불가능하다는 사실을 깨달았다. 100대의 컴퓨터를 수동으로 장기간 완벽하게 보호하는 것은 불가능하다. 컴퓨터가 1,000대라면? 꿈도 꾸지 말자. 사람들과 장치가 따를 수 있는 문서에 자신이 아이디어와 활동을 담을 수 없다면 전 세계의 모든 똑똑한 사람들도 의미가 없다는 사실을 알게 됐다. 문서화된 정책(policies )과 절차가 없다면 진정한 장기 보안은 불가능하다는 것도 알았다.

이 개념은 하나의 기업 이상으로 규모가 커져도 계속된다. 단일 조직은 문서화된 정책과 절차로 보호할 수 있지만 산업 또는 정부 규정과 프레임워크가 있어야 모두를 보호할 수 있다. 대우주 전체의 장기 보안은 기업들이 강제적으로 준수해야 하는 규정과 프레임워크가 없다면 불가능할 것이다. 자발적인 참여도 컴퓨터 보안에는 소용없다.

어떤 규정과 프레임워크도 결함이 있기 때문에 컴퓨터 보안을 개선하는데 도움이 될 뿐이다. 필자는 성숙해지면서 과거에 불평하던 NIST, ISO, PCI-DSS, HIPAA, NERC, SOX, 기타 모든 법적 요건과 프레임워크를 좋아하게 됐다. 물론, 아직도 큰 문제들이 많으며 특히 실질적인 보안이 아니라 가장 기본적인 체크오프(Checkoff) 문서인 경우에는 더욱 그렇다. 결함이 많지만 더 나은 컴퓨터 보안을 위한 방법이 있다. 규정 및 프레임워크와 관련해 아직도 민첩성과 초점의 부재 등 2가지가 거슬린다.


사이버보안 규정과 프레임워크, 민첩성을 제한한다

규정과 프레임워크는 그 특성상 느리고 유연하지 못하다. 더 나은 아이디어가 생겨나거나 상황이 바뀌어 더 나은 솔루션이 있을 때에도 신속하게 업데이트해 더 나은 조언을 따르지 못한다. 예를 들어, NIST는 수년 동안 비밀번호가 과도하게 길거나 복잡하거나 빈번하게 변경할 필요가 없다고 말해왔다(특수 문건 800-63-3, 디지털 신원 지침(Digital Identity Guidelines)).

이런 강력한 연방 지침에도 불구하고 현재 모든 규정과 프레임워크는 길고 복잡하고 자주 변경되는 비밀번호를 요구하고 있다. 여러 규제 기관과 대화한 후, 필자는 그들이 요구하는 오래되고 약한 비밀번호 조언이 곧 바뀌지 않을 것이라는 사실을 깨달았다. 이런 경우 확실히 규제 요건은 실제로 컴퓨터 보안 전체를 약화시키고 있다. 

그럼에도 불구하고 많은 컴퓨터 보안 전문가들이 NIST의 새로운 비밀번호 정책 조언이 실제로 더 낫다고 생각하지 않는다. 대부분은 비밀번호 관리자를 사용해 사용하는 모든 웹사이트에서 긴 무작위 비밀번호를 생성한다. 하지만 대부분의 규정과 프레임워크는 비밀번호 관리자를 언급하지 않는다. 그렇다면 비밀번호에 대한 조언이 2가지가 된다. NIST를 믿고 따르는 쪽이 있고 비밀번호 관리자를 이용해 더 길고 복잡한 비밀번호를 만들어야 한다는 쪽이 있지만 현재의 그 어떤 규정과 프레임워크도 이를 적극적으로 뒷받침하지 않는다.

이것이 문서화된 정책, 규정, 프레임워크의 본성이다. 이것들은 느리다. 좋은 것일 수도 있다. 규정과 프레임워크가 문화처럼 바뀐다면 오락가락하느라 정신이 없을 것이다.

또 다른 문제는 준수하려는 보안 정책이 요건보다 더 낫고 강력함에도 불구하고 유연성이 없다는 점이다. 예를 들어, 20글자의 복잡하지 않은 비밀번호는 분명 6~8글자의 복잡한 비밀번호보다 깨기 어렵다. 모든 규제 프레임워크는 복잡성을 요구하기 때문에 (스스로 복잡성을 도입하지 않는 한) 더 길고 나은 비밀번호를 사용할 수 없다.

또 다른 예가 있다. 대부분의 규정은 비밀번호를 여러 번 잘못 입력한 사람의 계정이 잠기면 재설정하거나 일정 시간을 기다리도록 계정 잠금(Account lockout)을 요구한다. 충분히 길고 복잡한 비밀번호를 요구한다면 절대로 맞을리 없다.

매우 길고 복잡한 비밀번호를 요구하고 계정 잠금은 포기하는 것이 낫다. 왜냐하면 계정 잠금이 활성화되면 항상 DoS 공격의 위험에 노출되기 때문이다. 침입자는 모든 계정이 잠길 때까지 가능한 각각의 로그온 계정 이름을 이용해 무작위로 추측하기만 하면 된다. 실제로 많은 조직에서 이런 일이 발생했다. 계정 잠금은 양날의 검이 될 수 있다.

대부분의 조직은 이를 신경쓰지 않는다. 그들은 계정 잠금 활성화만 요구한다. 그들은 가능한 DoS 공격에 대해서는 신경쓰지 않는다. 필자가 이미 밝혔듯이 신경을 쓴다 하더라도 변화 속도가 느리고 앞으로 10년 이상 유연성이 커지지도 않을 것이다.


실질적인 보안 문제에 집중하지 않는 규정과 프레임워크 

대부분의 규정과 프레임워크에는 더 큰 문제가 있다. 집중력이 부족하다. 예를 들어, 성공한 모든 악의적인 데이터 유출의 90% 이상이 소프트웨어 패치 부재와 소셜 엔지니어링에 의해 발생했다. 즉, 모든 문제와 해결책을 합쳐도 조직이 직면한 사이버보안 위험의 10%가 채 되지 않는 것이다.

하지만 필자가 읽은 모든 규정과 프레임워크 문서에서는 이 2가지 거대한 사이버 위험에 대해 100페이지가 넘는 문서 중 몇 줄 밖에 되지 않았다. 조직은 문서의 모든 내용을 따라야 하며, 특히 해당 문서를 기준으로 감사를 받을 때는 더욱 그렇다. 하지만 대부분의 사이버보안 위험은 몇 줄로 다뤄지고 있을 뿐이다.

규제 문서와 프레임워크의 목적은 조직이 따라야 하는 것 가운데 가장 집중해야 하는 것을 알려주는 것이 아닐 수 있다. 그 특성상 준수자들은 확실하지 않은 경우 모든 것을 고르게 다룰 수밖에 없다. 

개인적으로 규정 또는 프레임워크 문서는 대부분의 문제를 유발하는 2가지에 대해 상당한 양의 공간과 세부사항, 권고사항으로 채워야 한다고 생각한다. 이 세션들은 굵은 글씨체로 그림자도 적용하고 가장 중요한 부분은 반짝이는 화살표로 표시해야 한다.

하지만 그렇지 않다.
대신에 가장 중요한 조언이 말 그대로 방대한 문서에 묻혀 중요한 부분에 덜 집중하게 된다. 정말 부끄러운 일이다. 감사자는 "소프트웨어를 패치하는가" 그리고 "보안 인식 교육을 제공하는가" 등을 질문하고 모두가 이 2가지를 제대로 수행하는 것이 얼마나 중요한지도 인식하지 못한 채 그저 수행했다고 고개를 끄덕일 때 체크 표시를 하면 그만이다.

필자는 아직도 규정과 프레임워크의 힘을 믿는다. 이들이 없다면 향상된 대규모의 장기적인 보안은 불가능하다. 단지 좀 더 민첩하고 중요한 것에 더욱 집중하기를 바랄 뿐이다. 왜냐하면 모든 요건을 불필요하게 동등하게 여기는 문서 작성과 감사 확인은 해결책이 아니라 문제이기 때문이다. editor@itworld.co.kr 


2019.01.15

보안 규정과 프레임워크가 사이버보안을 약화시키는 2가지

Roger A. Grimes | CSO
필자는 규정과 프레임워크를 신뢰하는 사람이다. 초기에는 그렇지 않았다. 젊었을 때는 사이버 탐정을 시작하면서 세상을 다 가질 수 있을 것 같은 느낌이 들었다. 무엇이든 해킹할 수 있다. 어떤 해킹이든 방지할 수 있다. 규정(regulations)과 프레임워크는 유약한 패배자들을 위한 것이라고 생각했다.

그리고 컴퓨터는 보호할 수는 있어도 장치가 5개를 넘어가면 불가능하다는 사실을 깨달았다. 100대의 컴퓨터를 수동으로 장기간 완벽하게 보호하는 것은 불가능하다. 컴퓨터가 1,000대라면? 꿈도 꾸지 말자. 사람들과 장치가 따를 수 있는 문서에 자신이 아이디어와 활동을 담을 수 없다면 전 세계의 모든 똑똑한 사람들도 의미가 없다는 사실을 알게 됐다. 문서화된 정책(policies )과 절차가 없다면 진정한 장기 보안은 불가능하다는 것도 알았다.

이 개념은 하나의 기업 이상으로 규모가 커져도 계속된다. 단일 조직은 문서화된 정책과 절차로 보호할 수 있지만 산업 또는 정부 규정과 프레임워크가 있어야 모두를 보호할 수 있다. 대우주 전체의 장기 보안은 기업들이 강제적으로 준수해야 하는 규정과 프레임워크가 없다면 불가능할 것이다. 자발적인 참여도 컴퓨터 보안에는 소용없다.

어떤 규정과 프레임워크도 결함이 있기 때문에 컴퓨터 보안을 개선하는데 도움이 될 뿐이다. 필자는 성숙해지면서 과거에 불평하던 NIST, ISO, PCI-DSS, HIPAA, NERC, SOX, 기타 모든 법적 요건과 프레임워크를 좋아하게 됐다. 물론, 아직도 큰 문제들이 많으며 특히 실질적인 보안이 아니라 가장 기본적인 체크오프(Checkoff) 문서인 경우에는 더욱 그렇다. 결함이 많지만 더 나은 컴퓨터 보안을 위한 방법이 있다. 규정 및 프레임워크와 관련해 아직도 민첩성과 초점의 부재 등 2가지가 거슬린다.


사이버보안 규정과 프레임워크, 민첩성을 제한한다

규정과 프레임워크는 그 특성상 느리고 유연하지 못하다. 더 나은 아이디어가 생겨나거나 상황이 바뀌어 더 나은 솔루션이 있을 때에도 신속하게 업데이트해 더 나은 조언을 따르지 못한다. 예를 들어, NIST는 수년 동안 비밀번호가 과도하게 길거나 복잡하거나 빈번하게 변경할 필요가 없다고 말해왔다(특수 문건 800-63-3, 디지털 신원 지침(Digital Identity Guidelines)).

이런 강력한 연방 지침에도 불구하고 현재 모든 규정과 프레임워크는 길고 복잡하고 자주 변경되는 비밀번호를 요구하고 있다. 여러 규제 기관과 대화한 후, 필자는 그들이 요구하는 오래되고 약한 비밀번호 조언이 곧 바뀌지 않을 것이라는 사실을 깨달았다. 이런 경우 확실히 규제 요건은 실제로 컴퓨터 보안 전체를 약화시키고 있다. 

그럼에도 불구하고 많은 컴퓨터 보안 전문가들이 NIST의 새로운 비밀번호 정책 조언이 실제로 더 낫다고 생각하지 않는다. 대부분은 비밀번호 관리자를 사용해 사용하는 모든 웹사이트에서 긴 무작위 비밀번호를 생성한다. 하지만 대부분의 규정과 프레임워크는 비밀번호 관리자를 언급하지 않는다. 그렇다면 비밀번호에 대한 조언이 2가지가 된다. NIST를 믿고 따르는 쪽이 있고 비밀번호 관리자를 이용해 더 길고 복잡한 비밀번호를 만들어야 한다는 쪽이 있지만 현재의 그 어떤 규정과 프레임워크도 이를 적극적으로 뒷받침하지 않는다.

이것이 문서화된 정책, 규정, 프레임워크의 본성이다. 이것들은 느리다. 좋은 것일 수도 있다. 규정과 프레임워크가 문화처럼 바뀐다면 오락가락하느라 정신이 없을 것이다.

또 다른 문제는 준수하려는 보안 정책이 요건보다 더 낫고 강력함에도 불구하고 유연성이 없다는 점이다. 예를 들어, 20글자의 복잡하지 않은 비밀번호는 분명 6~8글자의 복잡한 비밀번호보다 깨기 어렵다. 모든 규제 프레임워크는 복잡성을 요구하기 때문에 (스스로 복잡성을 도입하지 않는 한) 더 길고 나은 비밀번호를 사용할 수 없다.

또 다른 예가 있다. 대부분의 규정은 비밀번호를 여러 번 잘못 입력한 사람의 계정이 잠기면 재설정하거나 일정 시간을 기다리도록 계정 잠금(Account lockout)을 요구한다. 충분히 길고 복잡한 비밀번호를 요구한다면 절대로 맞을리 없다.

매우 길고 복잡한 비밀번호를 요구하고 계정 잠금은 포기하는 것이 낫다. 왜냐하면 계정 잠금이 활성화되면 항상 DoS 공격의 위험에 노출되기 때문이다. 침입자는 모든 계정이 잠길 때까지 가능한 각각의 로그온 계정 이름을 이용해 무작위로 추측하기만 하면 된다. 실제로 많은 조직에서 이런 일이 발생했다. 계정 잠금은 양날의 검이 될 수 있다.

대부분의 조직은 이를 신경쓰지 않는다. 그들은 계정 잠금 활성화만 요구한다. 그들은 가능한 DoS 공격에 대해서는 신경쓰지 않는다. 필자가 이미 밝혔듯이 신경을 쓴다 하더라도 변화 속도가 느리고 앞으로 10년 이상 유연성이 커지지도 않을 것이다.


실질적인 보안 문제에 집중하지 않는 규정과 프레임워크 

대부분의 규정과 프레임워크에는 더 큰 문제가 있다. 집중력이 부족하다. 예를 들어, 성공한 모든 악의적인 데이터 유출의 90% 이상이 소프트웨어 패치 부재와 소셜 엔지니어링에 의해 발생했다. 즉, 모든 문제와 해결책을 합쳐도 조직이 직면한 사이버보안 위험의 10%가 채 되지 않는 것이다.

하지만 필자가 읽은 모든 규정과 프레임워크 문서에서는 이 2가지 거대한 사이버 위험에 대해 100페이지가 넘는 문서 중 몇 줄 밖에 되지 않았다. 조직은 문서의 모든 내용을 따라야 하며, 특히 해당 문서를 기준으로 감사를 받을 때는 더욱 그렇다. 하지만 대부분의 사이버보안 위험은 몇 줄로 다뤄지고 있을 뿐이다.

규제 문서와 프레임워크의 목적은 조직이 따라야 하는 것 가운데 가장 집중해야 하는 것을 알려주는 것이 아닐 수 있다. 그 특성상 준수자들은 확실하지 않은 경우 모든 것을 고르게 다룰 수밖에 없다. 

개인적으로 규정 또는 프레임워크 문서는 대부분의 문제를 유발하는 2가지에 대해 상당한 양의 공간과 세부사항, 권고사항으로 채워야 한다고 생각한다. 이 세션들은 굵은 글씨체로 그림자도 적용하고 가장 중요한 부분은 반짝이는 화살표로 표시해야 한다.

하지만 그렇지 않다.
대신에 가장 중요한 조언이 말 그대로 방대한 문서에 묻혀 중요한 부분에 덜 집중하게 된다. 정말 부끄러운 일이다. 감사자는 "소프트웨어를 패치하는가" 그리고 "보안 인식 교육을 제공하는가" 등을 질문하고 모두가 이 2가지를 제대로 수행하는 것이 얼마나 중요한지도 인식하지 못한 채 그저 수행했다고 고개를 끄덕일 때 체크 표시를 하면 그만이다.

필자는 아직도 규정과 프레임워크의 힘을 믿는다. 이들이 없다면 향상된 대규모의 장기적인 보안은 불가능하다. 단지 좀 더 민첩하고 중요한 것에 더욱 집중하기를 바랄 뿐이다. 왜냐하면 모든 요건을 불필요하게 동등하게 여기는 문서 작성과 감사 확인은 해결책이 아니라 문제이기 때문이다. editor@itworld.co.kr 


X