보안

보안업계의 더러운 비밀 7가지

편집부 | PCWorld 2008.05.01
기업 IT 임원들은 자칫 비즈니스 네트워크의 지뢰가 될 수도 있는 보안업계의 숨겨진 비밀을 조심해야 할 것 같다.

IBM/ISS의 보안 전략 책임자인 조슈아 코먼은 “보안 업체들이 무슨 이야기를 하려는하려는 것 적당한 수준에서 의심하는 것이 최선이다”라고 밝혔다. 코먼의 강연 제목은 1960년대 랄프 네이더가 자동차의 안전성에 대해 쓴 책인 “Unsafe at Any Speed”를 인용한 "Unsafe at any speed: 7 Dirty Secrets of the Security Industry,"이었다. 랄프 네이더의 책은 자동차 업체들이 자동차의 안전성 향상에 좀더 신경을 쓰도록 만들었다.

코먼의 주장은 최근 보안업체들이 새로운 보안 기능보다는 관리 GUI에 더 많은 개발비를 투여하고 있으며, 새로운 기능은 고객이 요구해야만 추가하는 경향을 보인다는 것이다. 코먼은 “보안 업체의 목표는 안전이 아니라 돈을 버는 것”이라며, 이것이 자신이 알고 있는 보안업계 최대의 어두운 비밀이라고 강조했다.

코먼은 이외에 7가지 보안업계의 감춰진 비밀을 지적했다.

1. 안티바이러스 인증은 허점투성이다. 인증 표준이 확인해 주는 것은 해당 장비가 복제된 악성코드를 100% 차단한다는 것이다. 하지만 네트워크를 통해 들어오는 악성코드의 75%가 트로이목마 같은 비복제형이다. 표준이 세워졌을 당시 비복제형 악성코드는 전체의 5%에 불과했기 때문이다. 다시 말해 인증은 전체 악성 코드의 25% 만을 완벽하게 막아낸다.

2. 경계선이란 없다. 보안업체들은 네트워크 경계선은 반드시 방어해야 한다고 말한다. 하지만 대부분의 손실되는 데이터는 파이어월을 통해 빠져나가지 않는다. 절반 이상의 정보 유출은 읽어버린 노트북이나 USB 메모리 같은 휴대형 미디어를 통해 일어난다. 결국 기업들은 네트워크 경계선을 방어하는 만큼 자사의 비즈니스 프로세스를 꼼꼼하게 단속해야 한다는 것이다. 코먼은 “경계선 같은 걸 믿는다는 것은 산타 클로스가 있다고 믿는 것이나 다름없다”고 덧붙였다.

3. 위험 분석이 업체들을 위협하고 있다. 보안업체는 기업이 자신들이 팔고자 하는 물건을 사주기를 바라며, 그래서 특정 위협을 대비해 그에 맞는 제품을 살 것을 강권한다. 예를 들어 NAC가 실제 문제를 해결할 수 있다고 하자. 하지만 만약 문제가 기업의 주요 비즈니스에 큰 영향을 미치지 않는다면, 굳이 그 사실을 밝힐 필요가 없다. 위험평가는 비즈니스 프로세스 향상이나 기존 장비의 환경 설정 강화 등이 필요하다고 결정할 것이다. 따라서 사용자는 환경과 주요 우선순위에 대해 잘 이해하고 있어야 한다.

4. 취약한 소프트웨어보다 더 위험한 것들이 있다. 보안업체들은 소프트웨어의 취약점을 방어해야 한다고 주장하지만, 이들의 결점이 엄청나게 증가하고 있는 불법행위의 원인은 아니다. 빈약한 패스워드, 빈약한 장비의 환경 설정, 특히 기본값 그대로인 설정, 그리고 소셜 엔지니어링에 쉽게 당하는 어리숙한 사람들이 더 큰 문제이다. 만약 소프트웨어가 결점없이 완벽하다면, 바이러스나 트로이안 목마 같은 것들은 그런 소프트웨어의 결점 없이도 돌아가도록 만들어진다는 것이 코먼의 설명이다.

5. 컴플라이언스가 보안을 위협하고 있다. 컴플라이언스 자체는 나쁘지 않다. 하지만 정부에서 내세우는 HIPPA 같은 보안 표준이나 PCI같은 업계 표준을 적용하는 것은 네트워크를 보호하기에는 충분하지 못하다. 문제는 이런 규제로 인해 컴플라이언스가 요구하는 것과 네트워크 책임자가 정말로 필요하다고 생각하는 것 사이에 예산이나 자원의 충돌이 생긴다는 것이다. 또한 이런 표준을 적용한다는 것은 해커들에게 어떤 방어 시스템이 갖춰져 있는지 알려주는 효과도 있다. 만약 PCI를 적용했다면, 어디에 방어 시설이 있는지 알 수 있고, 해커는 다른 곳을 공격 목표로 정한다는 것이다.

6. 보안업체들이 챙기지 못하는 곳은 스톰웜의 발생지가 될 수 있다. 네트워크 장비의 행동을 점검하는 기업 방어선은 봇넷에 감염된 시스템을 발견할 수 있지만, 일반 사용자의 네트워크에는 이런 방어선이 없다. 엔드포인트용 행위 기반 안티바이러스 소프트웨어나 비정상 행위 탐지 시스템도 이들을 막을 수 있지만, 이들 소프트웨어를 갖추지 못한 사용자는 무방비로 노출된다. 코먼은 “스톰 웜은 안티바이러스 소프트웨어가 챙기지 못하는 곳을 인식해 공략하며, 특히 교묘한 소셜 엔지니어링 기술을 사용한다”고 강조했다.

7. 보안은 DIY를 넘어 성장해 왔다. 보안 업체들은 기업들에게 보안이란 매우 복잡한 것이고, 그래서 혼자서 이를 수행하기는 어렵다는 것을 확인시켜주려 한다. 하지만 기업에 필요한 보안은 굉장히 개별적이기 때문에 단지 제품을 선택하는 것만으로는 부족하다. 코먼은 “적합한 툴을 가지고 있는 걸로는 부족하다. 사용 환경에 맞춰 설치하고 환경 설정을 해줘야만 한다.”고 설명한다. 그리고 이를 가장 잘 할 수 있는 사람은 바로 기업의 IT 관리자이다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.