Credit: Getty Images Bank
이번 달 초, 미국 라스베이거스에서 열린 블랙햇 USA 2016 컨퍼런스에서 PAM(privileged account management) 솔루션 전문업체인 티코틱(Thycotic)은 자신을 해커(응답자는 익명)라고 밝힌 250명 이상의 참석자들을 대상으로 조사했다. 응답자의 84%는 자신을 '기업들이 취약점을 발견하고 고치는데 도움을 주는 화이트햇 해커'라고 밝혔다. 그리고 15%는 범죄 의도를 가지고 네트워크에 침투하는 '블랙햇 해커'라고 말했다.
CISSP(Certified Information Systems Security Professional)이자 티코틱의 글로벌 얼라이언스 총괄인 조셉 카슨은 "선택지에 '그레이햇 해커'도 넣어 달라는 요청이 올해 아주 많았는데 이번 조사에는 적용되지 않았다"고 전했다.
그레이햇 해커는 블랙햇 해커와 화이트햇 해커의 중간에 위치한다. 이들은 자신들이 발견한 제로데이 취약점을 정부기관, 법 집행기관, 정보기관, 군대 등에 공개하거나 판매한다.
궁극적으로 해커들은 5가지 핵심 조치들을 다음과 같이 순서를 매겼는데, 블랙햇 해커들은 한가지 핵심 분야에서만 차이를 보였다.
1. 시스템에 대한 운영자 접근을 제한하라
우선 무엇보다 네트워크를 안전하게 하려는 본격적인 시도는 특권 계정에서 시작해야 한다. 특권 계정은 네트워크 내 접근 권한을 탈취해 어디로든 이동하려는 공격자들의 최고 핵심 표적이다.
티코틱은 자체 <블랙햇 2016: 해커 조사 보고서>에서 다음과 같이 설명했다.
"우선 공격자들은 어떻게 해서든 네트워크에 발을 들이고자 종종 최종사용자 컴퓨터를 침투하는 방식을 사용하고 이후 특권 계정에 침투해 자신들의 접속 권한을 격상시킨다. 이는 공격자가 믿을 수 있는 IT 운영자처럼 네트워크에서 운영할 수 있게 해준다."
이런 공격에 대응하려면 기업은 특권 계정 수를 최소화하는 전략을 채택해야 한다. 특권을 요청해서 승인받을 때만 주어지도록 하면 공격자가 이 계정의 비밀번호나 해시를 표적화해 전체 네트워크에 침투하는 기회를 제한할 수 있다.
티코틱은 이 보고서에서 "최종 사용자를 표준 사용자 프로필에 설정하고 승인받고 믿을 수 있는 애플리케이션만 실행하도록 그들의 특권을 자동 승격시킴으로써 최종 사용자 워크스테이션 상에 특권 최소화를 강제하라"고 전했다.
또한 "IT 운영자 특권 계정에 대한 접근을 통제하고 윈도우와 유닉스 시스템용 고급사용자 권한 관리를 이행해 공격자가 악성 애플리케이션을 구동하고 원격으로 툴과 명령에 접속하는 것을 막는다"고 덧붙였다.
추가로 IT 운영자들은 필요할 때만 자신들의 특권 계정을 활용해야 한다. 권한이 필요하지 않을 때는 표준 계정을 사용해야 한다.
2. 특권 계정 비밀번호를 보호하라
특권 계정을 가진 사람을 사용자의 관점에서 생각하기 마련이다. 하지만 특권 계정은 기계나 시스템과도 커뮤니케이션 하도록 만든다.
기업에는 보통 직원 수보다 2~3배 많은 특권 계정이 있다. 카슨은 구축해 놓은 모든 시스템에는 기본설정 계정이 딸려 나오고 해당 시스템들은 유지관리를 위해 서비스 계정으로 연결된다고 설명했다.
구축된 각각의 가상 머신도 이들과 연결된 기기가 다운될 때 기간이 정해지지 않는 권한을 받는다. 그리고 만약 가상 머신이 복제되면 그 권한도 기계와 함께 복제된다. 그 결과 기업은 자사 네트워크 환경에 대한 접근 권한을 가진 수많은 불량 특권 계정을 남기게 된다.
티코틱은 보고서에 "그래서 특권 계정을 탈취하는 것은 공격자들에게 조직의 가장 민감한 데이터에 접속해 다운로드하고, 데이터를 오염시키며, 악성코드를 널리 퍼뜨리고, 기존 보안 통제를 우회하며, 자신들의 활동을 감추기 위해 침입 경로를 지우는 능력을 준다"고 전했다.
이 보고서에 따르면, 능동적으로 특권 계정 접속을 관리, 모니터링, 통제하는 것이 핵심이며, 이 계정에 대한 안전한 관리는 오늘날 IT 인프라에 필요하며 매우 중요하다.
게다가 기업들은 여전히 특권 계정 비밀번호를 관리하기 위해 스프레드시트 같은 수동 시스템을 자주 이용하고 있다. 카슨에 따르면, 이 방식은 비효율적일 뿐 아니라 이런 시스템 자체는 쉽게 해킹돼 전체 기업에 엄청난 보안 위험을 안긴다.
티코틱은 "특권 계정 비밀번호 보호는 자동으로 특권 계정을 발견해 저장하고 비밀번호 순환 일정을 잡아 개별 특권 세션 활동을 감사하고, 분석하며, 관리하고 악성 활동을 빠르게 감지하고 대응하기 위한 비밀번호 계정을 모니터링 하는 포괄적 솔루션을 제공한다"고 주장했다. "이는 네트워크 내부로부터 특권 계정을 보호하기 위해 새로운 보안 단계를 추가한다"고 덧붙였다.
3. IT 보안 인식 교육을 확대하라
대부분의 보안 종사자들은 기업 보안에서 가장 취약한 부분으로 '사람'을 지목했다.
티코틱은 "지난 몇 년 동안 더욱 정교해진 소셜 엔지니어링과 피싱 공격이 등장함에 따라 기업들은 자사의 IT 보안 인식 프로그램을 단순한 온라인 테스트나 정책의 인식을 넘어 더 크게 확대하는 것에 대해 진지하게 고민해 봐야 한다"고 전했다.
특히 개인 모바일 기기가 점차 업무용으로 쓰이는 경우가 늘어남에 따라 이제는 의무적으로 안전한 행동에 대해 직원들을 교육해야 하는 상황이 됐다. 보안 인식 교육은 가변적 결과의 역사가 있지만, ISF(Information Security Forum)의 전무인 스티브 더빈은 긍정적 인포섹 행동을 비즈니스 프로세스에 내장시키려 하는 프로그램이 직원들을 방어의 취약점에서 강점으로 바꿀 수 있다고 생각했다.
더빈은 "프로세스 자체가 문제가 될 수 있다"며, "어쩌면 자신에 특히 복잡한 시스템이나 까다로운 프로세스가 있을 수 있는데 그럴 필요는 없다. 자기 자신에게 만약 우리가 처음부터 시작한다면 어떻게 사람들이 순응하기 쉬운 특정 프로세스에 보안을 구축할 수 있을까?"라고 말했다.
하지만 화이트햇 해커들은 블랙햇 해커들보다 보안 인식 교육의 중요성에 더 공감했다는 점에 유의해야 한다. 카슨은 "흥미롭게도 블랙햇과 화이트햇 해커 모두 5가지 보안 조치들의 중요성을 거의 비슷한 순서로 매겼지만 블랙햇 해커는 IT 보안 인식 교육 중요성을 화이트햇 해커만큼 높이 평가하지 않았다"고 분석했다.
카슨은 "전체적으로 블랙햇 해커들은 IT 보안 인식 교육을 4번째로 중요하다고 평가해 알려지지 않은 애플리케이션의 구동을 제한하는 데 더 중요성을 두었다. 블랙햇 해커들이 위험한 행동을 제한하는 기술적 솔루션보다도 인간을 더 예측 불가능한 취약점으로 생각해서일 수 있다"고 추측했다.
4. 알려지지 않은 애플리케이션을 제한하라
어디 있는지 모르는 것을 보호할 수는 없다. 어떤 애플리케이션이 기업의 네트워크에서 구동해도 된다고 인증되었는지 파악하고 그 비밀번호를 보호해야 한다.
티코틱은 "애플리케이션 계정은 정리되고 비밀번호는 강도를 높여야 하고, 계정 접속과 비밀번호의 변경 주기 등 엄격한 정책 집행을 거쳐야 할 필요가 있다"고 전했다. 블랙햇 보고서에 따르면, 이러한 계정에 대한 중앙 집중화된 통제와 보고는 핵심 정보 자산을 보호하는 데 필수적이다.
5. 사용자 비밀번호를 보안 베스트 프랙티스로 보호하라
마지막으로 특권 계정만 중요한 게 아니다. 특권 계정이 공격자들에게 치명적 데이터 접근을 제공하지만, 최종사용자 계정은 여전히 공격 대상이 된다. 그런데도 조사 응답자의 77%는 어떤 비밀번호도 해커들로부터 안전하다고 생각하지 않았다.
카슨은 "사용자 비밀번호를 보호하는 게 마지막 중요 순위인데 어떤 이들은 이게 회사에 좋은 소식이라고 말할 수 있을 것이다. 왜냐하면 인간 행동을 바꾸는 일은 어려워 모든 직원들을 바꾸는 것보다 IT 팀의 프로세스를 바꾸는 일이 더 수월할 수 있기 때문"이라고 설명했다.
이어서 카슨은 "최종사용자 비밀번호의 보안을 강화하려 할 때 비밀번호 강도와 비밀번호 변경 주기에 대한 보안 정책을 실시하며 손쉽고 안전한 비밀번호 초기화를 제공하는 솔루션을 찾아야 한다. 직원들이 자신들의 워크스테이션 비밀번호를 정기적으로 바꾸도록 하는 것은 새로운 비밀번호를 잊었을 때 헬프데스크로 당연히 전화하게 됨을 의미한다"고 덧붙였다. ciokr@idg.co.kr