2014.12.05

2014년의 암울한 보안 현황

Roger A. Grimes | InfoWorld
초대형 보안 재해를 피할 수 있을까? 오늘날 만연한 허술한 보안 정책과 그로 인한 사고를 계속 방치하는 한 피할 수 없을 것이다.

9/11 테러가 발생하기 얼마 전, 쉽게 무력화될 수 있는 공항 보안을 더 강화하고자 하는 시도가 있었다. 그러나 보안 대책을 더 확대할 필요가 없고 비용도 감당할 수 없을 만큼 증가하게 된다는 반대 의견에 부딪쳐 결국 이 시도는 좌절되고 말았다.

지금 상황이 그때와 비슷하다. 2014년 현재 컴퓨터 보안은 암울한 수준이다. 연이어 보안 사건이 터지지만 제안된 해결책은 부족하거나 그렇지 않으면 지나친 비용 상승과 불편함을 유발한다. 기업 조직은 그러한 해결책을 받아들이지 않는다.

파국적인 사건이 발생한 후 뒤늦게 대책 마련을 위한 행동에 나서는 것보다 지금 당장 더욱 안전한 인터넷을 구축해야 한다고 생각하지만 실제 그렇게 되리라고 기대는 하지 않는다. 30년 가까이 사이버 범죄와 싸워왔는데 매년 상황은 더 나빠지고 있다. 지금 우리의 현실이 얼마나 심각한지 한번 살펴보기로 하자.

마음껏 날뛰는 사이버 범죄
온라인 신원 및 금융 정보 도난은 이제 일상적인 일이다. 프라이버시 권리 정보센터(Privacy Rights Clearinghouse) 웹 사이트에 따르면 2013년에만 2억 5,800만 건의 기록이 유출됐다. 웬만한 기업에는 APT(지능적 지속 위협) 팀이 운영되지만 그 상황에서도 그렇다. 랜섬웨어(ransomware)는 하드 드라이브에서 가치 있는 개인 데이터를 잠근 다음 풀어주는 대가로 돈을 갈취한다 (비트코인 또는 기타 추적하기 어려운 전자 화폐 사용).

패치나 정확한 백업과 같은 기본적인 사항을 모두 수행하는 기업은 거의 없다. 솔직한 보안 담당자들은 자신이 속한 조직의 컴퓨터 보안이 종이로 만든 집처럼 불안정하다는 사실을 인정한다.

실패를 인정하고 몇 주 동안 사용자의 네트워크 접속을 아예 차단한 채로 문제를 수정하는 기업도 있지만 그런 경우는 극소수다. 더 많은 기업들이 그렇게 해야 한다. 또한 헛된 노력이 되지 않으려면 애초에 악의적인 사람에게 접근 권한을 내준 취약점을 수정해야 한다.

안티맬웨어 업체들의 거짓말
다 잡아낸다는 안티맬웨어 프로그램의 주장을 믿으면 안 된다. 모든 안티맬웨어 소프트웨어의 실상은 그 주장에 비해 훨씬 열악하다. 지금의 즉석 폴리모픽 맬웨어 프로그램이 등장하기 전에도 안티맬웨어 프로그램들은 결코 완벽하지 않았다.

지금 맬웨어 제작자들은 세계적으로 유명한 안티맬웨어 프로그램들을 대상으로 자신이 짠 프로그램을 테스트하고, 전반적으로 감지를 피해갈 수 있음을 확인한 이후에만 프로그램을 유포한다. 게다가 모든 맬웨어 시스템에는 안티바이러스 프로그램에 탐지될 위험에 처하면 스스로를 업데이트하는 코드가 포함되어 있다.

필자가 즐겨 찾는 사이트 중에 바이러스토털(VirusTotal)이 있다. 이 사이트는 55개의 안티맬웨어 프로그램을 통해 맬웨어 제작자들이 탐지 우회 능력을 테스트하는 데 사용하는 것과 동일한 수준의 테스트 엔진을 제공한다.

이 서비스로 시스템을 스캔하면 새로운 맬웨어가 발견되는 경우가 많다(프로세스 익스플로러의 새로운 바이러스토털 기능을 자주 사용함). 그러나 악성 프로그램을 올려서 검사를 해보면 이를 잡아내는 안티맬웨어 시스템은 많아 봐야 전체의 3분의 1 수준에 불과하다. 한 달 후에 다시 테스트해봐도 탐지율은 매우 낮다. 이런 현실에서 100% 탐지율을 광고하는 안티맬웨어 업체들의 뻔뻔함이 놀라울 뿐이다.

프라이버시는 죽었고, 아무도 신경 쓰지 않는다
많은 사람들이 자신의 일상 구석구석이 더 이상 사적이지 않다는 현실에 그저 순응하는 모습을 보면 놀라울 지경이다. 인기 있는 소셜 미디어 사이트는 하나같이 사용자의 웹 서핑 행동을 추적하는데, 그 정확도는 어느 국가의 첩보원들이라도 혀를 내두를 정도다.

블루투스, GPS, 또는 신원 정보 제공을 요구하는 기타 서비스를 통해 우리의 물리적 신분도 추적된다. 친절한 택시 서비스를 내세우는 우버에서 갓 뷰(God View)라는 도구를 사용하여 세계 어디에서든 우리를 추적할 수 있다는 사실도 이젠 놀랍지 않다.

온라인 서비스 업체들은 아무도 읽지 않는 법적 계약서 구석에 프라이버시가 보호되지 않는다는 사실을 숨겨놓지만, 설령 화면 전체에 큰 글씨로 ‘영구적인 프라이버시 침해’라고 써놓는다 해도 사용자들은 그냥 ‘확인’을 클릭할 것이다. 예를 들어 사용자의 연락처에 영구적으로 접근하고 심지어 사용자 대신 글을 게시할 수도 있다는 조항을 넣는 기업까지 있다. 이러한 유형의 프라이버시 침해는 비정상도 한참 비정상이다. 과거의 스팸 웜들은 아마 지금의 환경을 부러워할 것이다.

더 강력한 인증으로 해결되는 문제는 거의 없다
다중 인증이나 생체 인증과 같은 더 강력한 인증이 대부분의 온라인 문제를 해결해줄 것이라고 믿는 독자들의 의견을 자주 본다. 물론 더 강력한 인증은 인터넷 범죄에 맞서 싸우는 데 도움이 된다. 그러나 인터넷 범죄가 인증 문제에서 비롯되는 경우는 별로 없다. 일반적으로 악한은 컴퓨터에 침입해서, 로그인한 합법적 사용자의 권한을 획득한다. 이들은 사용자가 로그인 수단으로 홍채를 사용했는지, 스마트 카드나 암호를 사용했는지 따위에는 관심도 없다. 그저 사용자가 컴퓨터를 패치하지 않았거나 트로이 목마를 다운로드해 실행했다는 사실을 반길 뿐이다. 더 강력한 인증은 해결책의 일부분은 될 수 있겠지만 그 하나만으로는 큰 효과가 없다.

무엇이 필요한가?
취약한 공항 보안이 초래하는 끔직한 결과를 세계가 인지하는 데는 9/11이라는 사건이 필요했다. 이후 사람들은 조종석 문을 단단히 보강하고 공항 보안을 강화하고 국가 및 사법 기관들 사이의 커뮤니케이션을 개선했다. 공항 보안 검색대에서 불편함을 느낄지언정 항공 여행은 더 안전해졌다.

사이버 범죄는 심각하며 필자는 지금이 위기 상황이라고 생각하지만, 아직도 대부분의 사람들은 비즈니스에 수반되는 비용 정도로 치부한다. 막대한 사이버 보안 재앙을 겪고 뒤늦게 상황을 개선하는 지경에 이르기 전에, 현상 유지를 위한 비용과 불편함이 변화에 따르는 비용과 불편함을 넘어서는 시점이 오기를 진심으로 희망한다. 그래야 늦기 전에 변화가 촉발될 것이다. 어느 쪽이든, 머지 않은 미래에 인터넷을 훨씬 더 안전하게 만들 수 있는 사람들이 행동에 나서야 할 때가 올 것이다.  editor@itworld.co.kr


2014.12.05

2014년의 암울한 보안 현황

Roger A. Grimes | InfoWorld
초대형 보안 재해를 피할 수 있을까? 오늘날 만연한 허술한 보안 정책과 그로 인한 사고를 계속 방치하는 한 피할 수 없을 것이다.

9/11 테러가 발생하기 얼마 전, 쉽게 무력화될 수 있는 공항 보안을 더 강화하고자 하는 시도가 있었다. 그러나 보안 대책을 더 확대할 필요가 없고 비용도 감당할 수 없을 만큼 증가하게 된다는 반대 의견에 부딪쳐 결국 이 시도는 좌절되고 말았다.

지금 상황이 그때와 비슷하다. 2014년 현재 컴퓨터 보안은 암울한 수준이다. 연이어 보안 사건이 터지지만 제안된 해결책은 부족하거나 그렇지 않으면 지나친 비용 상승과 불편함을 유발한다. 기업 조직은 그러한 해결책을 받아들이지 않는다.

파국적인 사건이 발생한 후 뒤늦게 대책 마련을 위한 행동에 나서는 것보다 지금 당장 더욱 안전한 인터넷을 구축해야 한다고 생각하지만 실제 그렇게 되리라고 기대는 하지 않는다. 30년 가까이 사이버 범죄와 싸워왔는데 매년 상황은 더 나빠지고 있다. 지금 우리의 현실이 얼마나 심각한지 한번 살펴보기로 하자.

마음껏 날뛰는 사이버 범죄
온라인 신원 및 금융 정보 도난은 이제 일상적인 일이다. 프라이버시 권리 정보센터(Privacy Rights Clearinghouse) 웹 사이트에 따르면 2013년에만 2억 5,800만 건의 기록이 유출됐다. 웬만한 기업에는 APT(지능적 지속 위협) 팀이 운영되지만 그 상황에서도 그렇다. 랜섬웨어(ransomware)는 하드 드라이브에서 가치 있는 개인 데이터를 잠근 다음 풀어주는 대가로 돈을 갈취한다 (비트코인 또는 기타 추적하기 어려운 전자 화폐 사용).

패치나 정확한 백업과 같은 기본적인 사항을 모두 수행하는 기업은 거의 없다. 솔직한 보안 담당자들은 자신이 속한 조직의 컴퓨터 보안이 종이로 만든 집처럼 불안정하다는 사실을 인정한다.

실패를 인정하고 몇 주 동안 사용자의 네트워크 접속을 아예 차단한 채로 문제를 수정하는 기업도 있지만 그런 경우는 극소수다. 더 많은 기업들이 그렇게 해야 한다. 또한 헛된 노력이 되지 않으려면 애초에 악의적인 사람에게 접근 권한을 내준 취약점을 수정해야 한다.

안티맬웨어 업체들의 거짓말
다 잡아낸다는 안티맬웨어 프로그램의 주장을 믿으면 안 된다. 모든 안티맬웨어 소프트웨어의 실상은 그 주장에 비해 훨씬 열악하다. 지금의 즉석 폴리모픽 맬웨어 프로그램이 등장하기 전에도 안티맬웨어 프로그램들은 결코 완벽하지 않았다.

지금 맬웨어 제작자들은 세계적으로 유명한 안티맬웨어 프로그램들을 대상으로 자신이 짠 프로그램을 테스트하고, 전반적으로 감지를 피해갈 수 있음을 확인한 이후에만 프로그램을 유포한다. 게다가 모든 맬웨어 시스템에는 안티바이러스 프로그램에 탐지될 위험에 처하면 스스로를 업데이트하는 코드가 포함되어 있다.

필자가 즐겨 찾는 사이트 중에 바이러스토털(VirusTotal)이 있다. 이 사이트는 55개의 안티맬웨어 프로그램을 통해 맬웨어 제작자들이 탐지 우회 능력을 테스트하는 데 사용하는 것과 동일한 수준의 테스트 엔진을 제공한다.

이 서비스로 시스템을 스캔하면 새로운 맬웨어가 발견되는 경우가 많다(프로세스 익스플로러의 새로운 바이러스토털 기능을 자주 사용함). 그러나 악성 프로그램을 올려서 검사를 해보면 이를 잡아내는 안티맬웨어 시스템은 많아 봐야 전체의 3분의 1 수준에 불과하다. 한 달 후에 다시 테스트해봐도 탐지율은 매우 낮다. 이런 현실에서 100% 탐지율을 광고하는 안티맬웨어 업체들의 뻔뻔함이 놀라울 뿐이다.

프라이버시는 죽었고, 아무도 신경 쓰지 않는다
많은 사람들이 자신의 일상 구석구석이 더 이상 사적이지 않다는 현실에 그저 순응하는 모습을 보면 놀라울 지경이다. 인기 있는 소셜 미디어 사이트는 하나같이 사용자의 웹 서핑 행동을 추적하는데, 그 정확도는 어느 국가의 첩보원들이라도 혀를 내두를 정도다.

블루투스, GPS, 또는 신원 정보 제공을 요구하는 기타 서비스를 통해 우리의 물리적 신분도 추적된다. 친절한 택시 서비스를 내세우는 우버에서 갓 뷰(God View)라는 도구를 사용하여 세계 어디에서든 우리를 추적할 수 있다는 사실도 이젠 놀랍지 않다.

온라인 서비스 업체들은 아무도 읽지 않는 법적 계약서 구석에 프라이버시가 보호되지 않는다는 사실을 숨겨놓지만, 설령 화면 전체에 큰 글씨로 ‘영구적인 프라이버시 침해’라고 써놓는다 해도 사용자들은 그냥 ‘확인’을 클릭할 것이다. 예를 들어 사용자의 연락처에 영구적으로 접근하고 심지어 사용자 대신 글을 게시할 수도 있다는 조항을 넣는 기업까지 있다. 이러한 유형의 프라이버시 침해는 비정상도 한참 비정상이다. 과거의 스팸 웜들은 아마 지금의 환경을 부러워할 것이다.

더 강력한 인증으로 해결되는 문제는 거의 없다
다중 인증이나 생체 인증과 같은 더 강력한 인증이 대부분의 온라인 문제를 해결해줄 것이라고 믿는 독자들의 의견을 자주 본다. 물론 더 강력한 인증은 인터넷 범죄에 맞서 싸우는 데 도움이 된다. 그러나 인터넷 범죄가 인증 문제에서 비롯되는 경우는 별로 없다. 일반적으로 악한은 컴퓨터에 침입해서, 로그인한 합법적 사용자의 권한을 획득한다. 이들은 사용자가 로그인 수단으로 홍채를 사용했는지, 스마트 카드나 암호를 사용했는지 따위에는 관심도 없다. 그저 사용자가 컴퓨터를 패치하지 않았거나 트로이 목마를 다운로드해 실행했다는 사실을 반길 뿐이다. 더 강력한 인증은 해결책의 일부분은 될 수 있겠지만 그 하나만으로는 큰 효과가 없다.

무엇이 필요한가?
취약한 공항 보안이 초래하는 끔직한 결과를 세계가 인지하는 데는 9/11이라는 사건이 필요했다. 이후 사람들은 조종석 문을 단단히 보강하고 공항 보안을 강화하고 국가 및 사법 기관들 사이의 커뮤니케이션을 개선했다. 공항 보안 검색대에서 불편함을 느낄지언정 항공 여행은 더 안전해졌다.

사이버 범죄는 심각하며 필자는 지금이 위기 상황이라고 생각하지만, 아직도 대부분의 사람들은 비즈니스에 수반되는 비용 정도로 치부한다. 막대한 사이버 보안 재앙을 겪고 뒤늦게 상황을 개선하는 지경에 이르기 전에, 현상 유지를 위한 비용과 불편함이 변화에 따르는 비용과 불편함을 넘어서는 시점이 오기를 진심으로 희망한다. 그래야 늦기 전에 변화가 촉발될 것이다. 어느 쪽이든, 머지 않은 미래에 인터넷을 훨씬 더 안전하게 만들 수 있는 사람들이 행동에 나서야 할 때가 올 것이다.  editor@itworld.co.kr


X