보안

앤섬 데이터 유출 사건과 '낮게 매달린 과일'이 되지 않는 세 가지 방법

Tony Bradley | CSO 2015.02.10
고객과 종업원은 기업이 자신들의 데이터를 보호해줄 것이라고 믿고 있으며, 기업들은 CSO와 CISO가 이 데이터들을 안전하게 지켜줄 것이라고 믿는다.

그러나 앤섬 사건으로 인해 네트워크를 보호하고 민감한 정보를 방어하는 관리자들이 보안을 보장할 수 없다는 것을 알게 됐다. 이는 간단한 리스크 관리 게임이다.

앤섬은 분명 리스크 관리 게임에서 졌다. 미국에서 두 번째로 큰 건강보험업체인 앤섬은 개인정보 8,000만 건 이상의 데이터 유출 사건의 제물이 됐다.

이에 딱 맞는 오래된 속담이 있다. "곰에게서 도망가려면 곰보다 더 빨리 달릴 필요는 없다. 다만 다른 사람보다 조금 더 빨리 달리면 된다."

이 속담이 적절한 이유는 절대적 보안이란 건 없기 때문이다. 우리는 항상 취약하다. 그러나 다른 회사보다 보안을 좀더 충분히 준비한다면 공격자들은 해당 기업을 무시하고 낮게 매달린 과일부터 따게 될 것이다.

여기에 기업들이 앤섬 사건에서 알아야 할 것들과 낮게 매달린 과일이 되지 않는 세 가지 방법이 있다.

1. 사기를 믿지 마라
이 사건처럼 대형 사건들이 시도때도 없이 발생하는데, 보안 개발업체에게 이런 사건들은 자사의 제품과 서비스 매출을 끌어올릴 좋은 기회가 된다. 하지만 만약 앤섬이 자사의 제품이나 서비스를 사용하고 있었다면 지금껏 경험하지 못한 끔찍한 일이 될 것이다.

물론 각각의 보안 제품과 서비스가 누군가에게는 필요하며 일부 가치를 제공할 것이라는 것은 분명하다. 그러나 이런 제품과 서비스가 자신의 기업을 구해주는 '은빛 탄환'이 될 것이라고 믿는 어리석은 실수를 하지 마라.

2. 암호화는 정답이 아니다
유출된 이 데이터가 암호화되어 있었다면 유출이나 노출로부터 안전할 것이라고 생각하기 쉽다.

그러나 대부분 사건에서 이는 사실이 아니다. 암호화는 데이터를 안전하게 전송하는데 좋으며 권한이 없는 사용자나 공격자가 이 데이터에 접속할 수 없어 안심할 수 있다. 대부분 암호화가 그렇다.

그러나 이는 권한있는 사용자에게는 끊김없이 자연스럽게 업무를 할 수 있도록 데이터를 자동적으로 복호화할 수 있게 디자인되어 있다.

대부분의 공격에서 해커들은 이미 권한있는 사용자 신원을 획득하거나 훔쳐 로그인하는데 사용한다.
한 마디로 이 데이터는 자동적으로 복호화될 것이며 공격자들은 권한있는 사용자가 데이터를 사용하는 것처럼 이 데이터에 쉽게 접근할 수 있다.

3. 우선 데이터를 모으지 마라
자사 고객의 사회보장번호를 갖고 있지 않다면 데이터 유출로 인한 걱정을 할 필요가 없다.

소포스 수석 보안 고문 체스터 위스니우스키는 "불필요한 민감한 정보를 수집하는 것을 중단하라. 사회보장번호는 단지 세금 부과를 위해서만 필요할 뿐이다. 만약 이것들을 식별번호나 다른 목적으로 사용한다면 이는 스스로 사고를 초대하는 셈이다"고 말했다.

위스니우스키는 기업들은 토큰화(tokenization)를 받아들이고 생일이나 사회보장번호와 같은 민감한 정보를 다른 곳에 저장할 것을 권고했다. 또한 저장할 때는 독특한 신원 확인을 사용한다면 공격자들은 이 데이터에 접속하는 것이 현저하게 어렵게 된다.

마지막 충고로 해킹을 당했다고 생각하고 행동하라. 모든 공격들을 막을 수 있다고 가정하고 자사의 네트워크를 강화하는 건 상당히 잘못된 생각이다.

대신 언제든 공격을 당할지 모른다는 가정 하에 운영해야 한다. 만약 이미 해킹을 당한 상태라고 생각한다면 공격자의 활동과 해킹 활동을 감시하기 위해 적재적소에 툴과 프로세스를 설치하고 이례적이거나 의심스러운 행동을 경계할 것이다.

안티바이러스 경고만 켜놓고 앉아서 공격을 기다리기만 한다면 다음 데이터 유출 사건 기사에는 자신의 회사가 오를지도 모른다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.