보안

컴퓨터 보안과 관련된 불편한 진실

Roger A. Grimes | InfoWorld 2009.07.07

AP167A.JPG”어퓨굿맨(A Few Good Men)”에서 잭 니콜슨이 톰 크루즈에게 말하는 바로 그 장면, 좋아하는 사람들 많을 것이다. “넌 진실을 감당할 수 없어! 난 내가 제공해주는 자유의 담요 속에서 살면서 그 자유를 제공하는 나의 방법에 시비를 거는 자에게 내 자신을 설명할 시간도 의향도 없다네. 그저 ‘고맙다’는 말 한마디만 하고 꺼져버리면 좋겠네.”

 

필자는 CIO와 상급 보안 책임자를 상대로 강연을 할 때 이 장면을 연기하고 싶어질때가 있다. CIO들과 상급 보안 책임자들은 해커와 맬웨어를 방어하는 방법을 알려주길 원한다. 필자는 백엔드 데이터베이스 보호를 목적으로 한 다계층적 파이어월이나 프록시, 각종 보안 솔루션을 컨설팅하고 있다. 컨설팅의 중점적인 주제는 패킷 검사 파이어월, 침입방지, 이중 인증 및 다계층 보호 전략을 여러 계층에 추가하는 모든 종류의 최첨단 방어 솔루션에 관한 것이다.

 

그런 후 필자는 다음과 같이 말하곤 한다. “이 모든 게 다 좋긴 하지만, 효과는 없을 것이다”라고. 그리고는 다음과 같은 불편한 진실을 넌지시 내비친다.

 

- 일반적인 컴퓨터 환경에 존재하는 오늘날 대부분의 보안 위험은 “드라이브 바이 다운로드(drive-by downloads)”로부터 발생한다. 즉 믿을 수 있는 내부자가 속아 설치하게 된 트로이 소프트웨어에 의해 전염된다는 것이다.

- 만약 최종 사용자가 원하는 모든 소프트웨어를 설치하도록 허용하는 경우 그 때 보안의 위험성은 더 높아진다.

- 패치를 완벽하게 하고 실행하는 소프트웨어가 제로 버그를 포함하는 경우(이는 결코 사실은 아니다), 드라이브 바이 다운로드로 인한 위험은 거의 감소하지 않는다.

- 대부분의 맬웨어와 악성 해커의 동기는 범죄와 관련이 있으며, 이들은 금전적 이득을 추구한다.

- 최종 사용자의 교육 정도는 과대평가되어 있다.

- 파이어월, 안티멀웨어 소프트웨어 및 IDS는 취약하다.

 

진실에 대처하는 방법

심층 보안 전략 및 기타 모든 유효한 것을 하지 말자는 이야기는 아니다. 그러나 부주의하게 트로이목마를 실행하고 해당 소프트웨어를 설치하는 무모한 최종사용자가 야기한 위험이 너무 커서, 다른 침입 기법과 그에 대한 대책은 황무지에서 벌어지는 전체적 공격 중 적은 비율에 불과할 뿐이다.

 

침입자는 주변의 모든 방어태세에 대해 걱정하지 않고 로그온 기법을 선호하는데, 왜냐하면 신뢰 받는 최종 사용자가 해커를 끝까지 경호해주기 때문이다. 또, 익히 들은  바 있는 대규모 온라인 공격이 발생하는 것은 공격자가 인터넷의 웹 서버나 데이터베이스를 손상시켰기 때문이 아니다. 공격자는 단순히 내부의 승인된 액세스를 이용해 네트워크를 돌아다니며 만만한 표적을 찾고, 데이터를 다운로드하고 기타 맬웨어를 심어놓는다.

 

돈으로 살 수 있는 최상의 컴퓨터 보호 방법을 원한다면, 한 가지 문제를 고치는데 주력하는 것이 좋다.

 

최고의 해결책은 바로 최종 사용자가(종종 비밀스럽게 악의적인) 임의의 소프트웨어를 설치하지 않도록 방비하는 것이다. 많은 관리자들이 필자에게 그렇게 하는 것이 불가능하다고 말한다. 직원이 반발할 것이고, 회사의 생산성도 떨어질 것이라는 것이다. 이해한다. 그게 바로 많은 환경에서의 현실이다. 그러나 이 문제를 해결하지 않는다는 것은 다른 모든 것을 해야 한다는 것을, 그래서 아마도 결국은 실패하고 말 것이라는 것을 의미한다.

 

그렇다면 고위 경영진 중에서 이런 점을 이해하는 사람은 얼마나 될까? 이 피할 수 없는 진실을 알고 있는가? 만약 모든 다른 방어책에 소요했던 돈으로 전체적인 보안 위험의 극히 일부분만을 해결했다고 해도, 최종 사용자의 PC를 쉽게 변경하지 못하게 하는 것을 꺼려할 것인가?

 

만약 이 문제를 해결해야 한다는 데 동의한다면, 어떻게 해결할 것인가? 먼저 사용자가 일반 사용자보다 높은 권한의 관리자 또는 소프트웨어 설치를 허용하는 루트 계정에 접근하지 못하도록 하는 것이다. 이는 관리자가 모든 필수 소프트웨어를 설치하고, 중앙집중적인 소프트웨어 설치 기술을 사용해 업데이트를 관리해야 함을 의미한다.

 

둘째 사용자가 실행할 수 있는 애플리케이션의 종류를 제어하는데 화이트리스팅 소프트웨어를 사용하라. 화이트리스팅은 윈도우 7(앱로커)에서 구할 수 있고, Bit9, SignaCert, 및 맥아피 같은 업체로부터 구할 수 있다.

 

물론 이런 방어책을 철저히 그리고 정확하게만 시행한다면 그것의 구현에 해가 될 것은 없다. 패치를 할 때 반드시 모든 것을 그것도 적시에 패치하도록 한다. 필자는 “어느 모로 보나” 모든 운영체제 패치, 모든 애플리케이션, 모든 브라우저 애드온, 모든 네트워큰 디바이스, 모든 보안 어플라이언스를 말하는 것이다. 필자는 아직 시스코 라우터 상의 최신 코드가 있는 네트워크의 모의해킹을 실시해보지 않았다. 그리고 보안 어플라이언스가 종종 패치를 받지 않았다는 사실이 놀랍지도 한다. 어플라이언스란 소프트웨어를 실행시키는 컴퓨터에 불과하지만, 소프트웨어란 것은 보통 패치하는데 더 어렵다.

 

학습의 격차

 

필자는 최종 사용자의 지식정도는 새로운 종류의 트로이 위협에 반해 작용될 것이라는 입장이다. 그러나 지난 20년 동안 최종 사용자 교육을 통한 맬웨어 퇴치의 시행착오 끝에 크게 기대하지 않게 되었다. 필자는 최종 사용자에게 플로피에서 부팅하지 말아라부터 시작해, 그 매크로를 실행하지 말아라, 그 파일첨부를 열지 말아라, 가짜 안티바이러스 소프트웨어를 실행하지 말아라까지 줄줄이 읊어댔지만, 이제는 아니다. 마이크로소프트는 이메일을 통해 패치도, 업데이트도 전송하지 않는다.

 

특정 종류의 위협에 방비해 최종사용자 집단을 교육하는데 3년에서 5년이 결리고, 새로운 사회공학 벡터를 구성하는데 공격자들은 3주 내지 5주면 된다. 시간과 인간의 본성은 우리에게 반대로 작용하고 있다.

 

그러나 임의의 소프트웨어 설치를 차단할 수 없고, 당신이 그 다음으로 걸어볼 수 있는 희망이 최종사용자 교육이라면 어떻게 하겠는가. 그러나 당신의 회사가 지난 몇 년에 걸쳐 필자가 관여했던 그런 대부분의 경우와 비슷하다면, 아마 당신이 마지막으로 당신의 컴퓨터 교육 자료를 갱신한지가 5년 전 정도일 것이다. 직원들은 보통 몇 페이지짜리 자료를 구한다면, 그나마 운이 좋은 것이고, 거의 어떤 자료도 최신 내용, 가장 흔한 위협에 관한 정보는 포함하지 않고 있다. 우리는 그런 현실을 바꿔야 한다. 최근에 부상하고 있는 위협에 대해 직원을 교육해야 한다. 그래픽 가이드도 많다. 아니면, 오늘날 많이 볼 수 있는 다양한 트로이 위협을 편집해 사례를 작성해, 그것을 사용자가 점검해볼 수 있도록 전송한다.

 

필자는 아직도 재스퍼M. 요한슨의 “Anatomy of a malware scam”가 최종사용자에게 제안할 수 있는 최고라고 생각한다.

 

또 얼마나 많은 직원이 신용사기에 자신의 로그온 인증정보를 기꺼이 내어주는지를 알아보기 위해 외부의 이메일 주소로 당신의 직원에게 “스팸”을 날려본다고 큰 일 날 것도 없다.

 

“어퓨굿맨” 끝에, 군법무관을 분한 크루즈은 이렇게 말한다, “진실을 말하십시오!”. 그리고 승소한다. 오늘날 영화 속의 그 실제 변호사는 필자의 고향이기도 한 버지니아 주 버지니아 비치에서 잘 살고 있다. 아마 진실을 위해 싸운 것이 결국 그에게 득이 된 것 같다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.