2017.07.18

글로벌 칼럼 | 보안인식 프로그램에 워너크라이를 활용하는 4가지 방법

Ira Winkler | CSO
최근 보안 업계의 가장 뜨거운 감자라면 워너크라이(Wannacry)와 낫페트야(NotPetya)를 거론할 수 있다. 필자는 이번 기사를 통해 새삼스럽게 보안 경고를 전하려는 게 아니다. 전문가들은 이미 이전부터 이 랜섬웨어들에 대한 경고를 외쳐왔는데, 이 목소리에 귀 기울이지 않았을 뿐이다.

지금까지 하트블리드(Heartbleed), 체르노빌(Chernobyl), 아이 러브 유(I Love You) 등 이런저런 보안 사고를 경험해왔다. 이 익숙한 이름들을 들으면 누군가는 "이를 통해 사람들이 안티바이러스, 패치 시스템의 중요성을 알게 됐겠지"라고 생각할지도 모르겠다. 하지만 시장은 또다시 타깃(Target), OPM 사태와 같은 대규모 데이터 유출 사고로 몸살을 앓아야 했고, 보안 프로그램 전반에 대한 개선이 필요함을 상기시켜줬다.

그리고 최근의 워너크라이, 낫페트야 사태를 살펴보면, 앞선 사고들로부터 아무런 교훈을 얻지 못한 것이 아닐까 하는 씁쓸함이 밀려온다.

사고의 가장 큰 책임은 기업 IT 조직에 있지만, 위험 축소를 위한 보안 인식 프로그램의 역할이 부족했다는 점 역시 부인하기는 어렵다. 인식 프로그램이 적절히 구축, 작동되었다면 사고의 타격은 한층 축소될 수 있었을 것이다.

대규모 보안 사고가 발생하는 경우 보안 조직은 자사의 보안 프로그램에 이와 관련한 취약점이 존재하지는 않는지, 혹 이미 영향을 입은 부분은 없는 지를 확인하는 과정을 거쳐야 한다. 동시에(혹은 최대한 빠른 시일 내에) 사용자들이 접하게 되는 정보 수준을 파악하고, 그들이 우려하는 바를 포착해낼 수 있어야 한다.

이 점을 기억하며 진행해야 할 다음 단계는 다른 이들의 불행을 자사 사용자들의 행동양식 개선에 활용할 방안을 물색하는 것이다.

1. 뉴스에 오류는 없는가?
언론에 실린 보안 사고 소식에 대해 자신이 가장 먼저 해야 할 일은 그것의 정확도를 따져보는 것이다. 사고 뉴스는 사람들에게 보안에 대한 잘못된 인식이나 막연한 불안감을 심어줘 오히려 소극적인 태도를 취하게 만들 수도 있다. 사용자들이 뉴스를 어떻게 인식하는지를 파악하고, 거기에 잘못된, 혹은 부족한 보안 인식이 있을 경우 그것을 바로잡아줄 수 있도록 하자.

2. 사고가 사용자들에게 어떤 영향을 미칠까?
조치를 취하기에 앞서 사고가 사용자들에게 미친 영향을 정확히 파악하는 과정이 필요하다. 사용자들이 실제적인 위협에 노출돼 있는지, 사용자들의 차원에서 취해야 할 조치는 없는지, 사고를 통해 얻을 수 있는 교훈은 무엇인지, 사고의 영향이 사용자의 일상이나 업무 환경 중 어느 영역에 가해질 것인지, 영향이 피해자의 주변에까지 확산될 가능성이 있는지 등을 명확히 이해하자.

3. 사용자들이 사고를 자신과 상관없는 일로 받아들이고 있는가?
사고나 공격이 자사에는 영향을 미치지 않았더라도, 사용자들에겐 위험이 실제 하는 것으로 인지시킬 필요가 있다. 사고가 시장에 미친 영향이 아무리 크더라도 그것이 자신과 무관한 일이라고 받아들인다면 사용자들은 그 위협을 외면할 것이며, 따라서 향후 자신이 진행할 보안 인식 프로그램 역시 효과를 거둘 수 없을 것임을 기억하자.

4. 사용자들에게 공격과 관련한 어떤 정보를 전달할 것인가?
보안 사고는 그것이 IT 차원의 문제든, 혹은 순전히 사용자와 관련한 사고든, 언제나 그 안에 기억할만한 교훈을 담고 있다.

예를 들어 하트블리드의 경우 그 문제의 원인이 서버에 있었고, 사용자들은 상황 개선에 아무런 역할도 할 수 없는 경우였지만, 여기에서 정기적인 비밀번호 변경의 중요성을 배울 수 있었다. 비슷한 맥락에서 워너크라이의 경우에는 최신 패치가 적용되지 않은 가정, 업무용 컴퓨터가 야기할 수 있는 위협을 잘 보여준 사례일 것이다. 사고는 당사자와 외부 피해자 모두에게 일정한 교훈을 전달해 준다는 사실을 기억하자.

보안 인식 프로그램 실행하기
사용자들에게 강조해야 할 부분을 결정했다면, 그 부분을 강조할 최선의 방식을 고민하는 노력 역시 간과해선 안 된다. 사용자 행동 양식 교정은 세 단계로 나뉘어 진행될 수 있다.

가장 먼저 그들이 문제를 인식하도록 하고, 이어 그것에 대한 해결책을 이해하도록 해야 한다. 끝으로는 그들이 이해하게 된 해결책을 실제로 실천하도록 장려하는 과정이 필요하다. 이 과정에서 가장 중요한 것은 '동기'를 심어주는 것이다.

그리고 언론에 보도되는 보안 사고 소식은 그 어떤 것보다 효과적인 동기가 되어줄 수 있다. 미디어에 보도되는 해결책이란 매우 간단한 경우가 대부분이지만, 일단 일반 사용자들에게 문제 인식을 심어줘, 이후 당신이 전개하게 될 인식 프로그램의 효율을 높여준다는 측면에서 가치를 지닌다.

언론을 통해 사용자들에게 동기가 심어졌다면, 다음은 사용자들과 커뮤니케이션할 방식을 고려하고, 가능한 선택지 가운데 가장 효과적인 전략을 선택하는 과정이 필요하다. 뉴스 보도는 시의적이고 휘발성이 강하기 때문에, 그 시점에 최대한 빠른 대응을 하는 것이 중요하다. 인트라넷에 메시지를 전달할 페이지가 있는 경우라면, 이를 활용해 볼 것을 추천한다. 혹 뉴스레터가 활성화된 기업이나 이메일 커뮤니케이션 중심의 기업에서는 해당 채널을 활용할 수 있을 것이다.

핵심은 외부의 보안 관련 사고를 사용자들의 인식을 개선하고 그들의 행동 양식을 변화시킬 매개체로 삼는다는 것이다. 좋은 보안 인식 프로그램은 교육 기회에 대한 선제적 대응과 명확한 동기 부여를 통해 완성된다. 그리고 언론 보도는 이를 위한 가장 효과적인 도구가 되어줄 것이다. 시장이 전하는 경고의 메시지를 더 이상 무시하지 말고, 기업의 보안 역량 강화를 위한 기회로 삼을 수 있도록 하자. editor@itworld.co.kr
 


2017.07.18

글로벌 칼럼 | 보안인식 프로그램에 워너크라이를 활용하는 4가지 방법

Ira Winkler | CSO
최근 보안 업계의 가장 뜨거운 감자라면 워너크라이(Wannacry)와 낫페트야(NotPetya)를 거론할 수 있다. 필자는 이번 기사를 통해 새삼스럽게 보안 경고를 전하려는 게 아니다. 전문가들은 이미 이전부터 이 랜섬웨어들에 대한 경고를 외쳐왔는데, 이 목소리에 귀 기울이지 않았을 뿐이다.

지금까지 하트블리드(Heartbleed), 체르노빌(Chernobyl), 아이 러브 유(I Love You) 등 이런저런 보안 사고를 경험해왔다. 이 익숙한 이름들을 들으면 누군가는 "이를 통해 사람들이 안티바이러스, 패치 시스템의 중요성을 알게 됐겠지"라고 생각할지도 모르겠다. 하지만 시장은 또다시 타깃(Target), OPM 사태와 같은 대규모 데이터 유출 사고로 몸살을 앓아야 했고, 보안 프로그램 전반에 대한 개선이 필요함을 상기시켜줬다.

그리고 최근의 워너크라이, 낫페트야 사태를 살펴보면, 앞선 사고들로부터 아무런 교훈을 얻지 못한 것이 아닐까 하는 씁쓸함이 밀려온다.

사고의 가장 큰 책임은 기업 IT 조직에 있지만, 위험 축소를 위한 보안 인식 프로그램의 역할이 부족했다는 점 역시 부인하기는 어렵다. 인식 프로그램이 적절히 구축, 작동되었다면 사고의 타격은 한층 축소될 수 있었을 것이다.

대규모 보안 사고가 발생하는 경우 보안 조직은 자사의 보안 프로그램에 이와 관련한 취약점이 존재하지는 않는지, 혹 이미 영향을 입은 부분은 없는 지를 확인하는 과정을 거쳐야 한다. 동시에(혹은 최대한 빠른 시일 내에) 사용자들이 접하게 되는 정보 수준을 파악하고, 그들이 우려하는 바를 포착해낼 수 있어야 한다.

이 점을 기억하며 진행해야 할 다음 단계는 다른 이들의 불행을 자사 사용자들의 행동양식 개선에 활용할 방안을 물색하는 것이다.

1. 뉴스에 오류는 없는가?
언론에 실린 보안 사고 소식에 대해 자신이 가장 먼저 해야 할 일은 그것의 정확도를 따져보는 것이다. 사고 뉴스는 사람들에게 보안에 대한 잘못된 인식이나 막연한 불안감을 심어줘 오히려 소극적인 태도를 취하게 만들 수도 있다. 사용자들이 뉴스를 어떻게 인식하는지를 파악하고, 거기에 잘못된, 혹은 부족한 보안 인식이 있을 경우 그것을 바로잡아줄 수 있도록 하자.

2. 사고가 사용자들에게 어떤 영향을 미칠까?
조치를 취하기에 앞서 사고가 사용자들에게 미친 영향을 정확히 파악하는 과정이 필요하다. 사용자들이 실제적인 위협에 노출돼 있는지, 사용자들의 차원에서 취해야 할 조치는 없는지, 사고를 통해 얻을 수 있는 교훈은 무엇인지, 사고의 영향이 사용자의 일상이나 업무 환경 중 어느 영역에 가해질 것인지, 영향이 피해자의 주변에까지 확산될 가능성이 있는지 등을 명확히 이해하자.

3. 사용자들이 사고를 자신과 상관없는 일로 받아들이고 있는가?
사고나 공격이 자사에는 영향을 미치지 않았더라도, 사용자들에겐 위험이 실제 하는 것으로 인지시킬 필요가 있다. 사고가 시장에 미친 영향이 아무리 크더라도 그것이 자신과 무관한 일이라고 받아들인다면 사용자들은 그 위협을 외면할 것이며, 따라서 향후 자신이 진행할 보안 인식 프로그램 역시 효과를 거둘 수 없을 것임을 기억하자.

4. 사용자들에게 공격과 관련한 어떤 정보를 전달할 것인가?
보안 사고는 그것이 IT 차원의 문제든, 혹은 순전히 사용자와 관련한 사고든, 언제나 그 안에 기억할만한 교훈을 담고 있다.

예를 들어 하트블리드의 경우 그 문제의 원인이 서버에 있었고, 사용자들은 상황 개선에 아무런 역할도 할 수 없는 경우였지만, 여기에서 정기적인 비밀번호 변경의 중요성을 배울 수 있었다. 비슷한 맥락에서 워너크라이의 경우에는 최신 패치가 적용되지 않은 가정, 업무용 컴퓨터가 야기할 수 있는 위협을 잘 보여준 사례일 것이다. 사고는 당사자와 외부 피해자 모두에게 일정한 교훈을 전달해 준다는 사실을 기억하자.

보안 인식 프로그램 실행하기
사용자들에게 강조해야 할 부분을 결정했다면, 그 부분을 강조할 최선의 방식을 고민하는 노력 역시 간과해선 안 된다. 사용자 행동 양식 교정은 세 단계로 나뉘어 진행될 수 있다.

가장 먼저 그들이 문제를 인식하도록 하고, 이어 그것에 대한 해결책을 이해하도록 해야 한다. 끝으로는 그들이 이해하게 된 해결책을 실제로 실천하도록 장려하는 과정이 필요하다. 이 과정에서 가장 중요한 것은 '동기'를 심어주는 것이다.

그리고 언론에 보도되는 보안 사고 소식은 그 어떤 것보다 효과적인 동기가 되어줄 수 있다. 미디어에 보도되는 해결책이란 매우 간단한 경우가 대부분이지만, 일단 일반 사용자들에게 문제 인식을 심어줘, 이후 당신이 전개하게 될 인식 프로그램의 효율을 높여준다는 측면에서 가치를 지닌다.

언론을 통해 사용자들에게 동기가 심어졌다면, 다음은 사용자들과 커뮤니케이션할 방식을 고려하고, 가능한 선택지 가운데 가장 효과적인 전략을 선택하는 과정이 필요하다. 뉴스 보도는 시의적이고 휘발성이 강하기 때문에, 그 시점에 최대한 빠른 대응을 하는 것이 중요하다. 인트라넷에 메시지를 전달할 페이지가 있는 경우라면, 이를 활용해 볼 것을 추천한다. 혹 뉴스레터가 활성화된 기업이나 이메일 커뮤니케이션 중심의 기업에서는 해당 채널을 활용할 수 있을 것이다.

핵심은 외부의 보안 관련 사고를 사용자들의 인식을 개선하고 그들의 행동 양식을 변화시킬 매개체로 삼는다는 것이다. 좋은 보안 인식 프로그램은 교육 기회에 대한 선제적 대응과 명확한 동기 부여를 통해 완성된다. 그리고 언론 보도는 이를 위한 가장 효과적인 도구가 되어줄 것이다. 시장이 전하는 경고의 메시지를 더 이상 무시하지 말고, 기업의 보안 역량 강화를 위한 기회로 삼을 수 있도록 하자. editor@itworld.co.kr
 


X