보안 기술이라고 해서 다 좋은 건 아니다. 효과도 없으면서 플라시보 효과만 일으켜 오히려 안 좋은 결과를 내기도 한다. 차라리 제거하는 게 더 안전할 수도 있다.

[보안뉴스 문정후 기자] 없는 것보다 낫다는 말이 일반적인 진리이긴 하지만 가끔은 없는 게 더 나은 경우도 있다. 사이버 보안에 있어서도 이런 경우들이 있는데, 이미 오랜 세월 효과가 없다는 것이 증명된 보안 도구나 방법들이 바로 그런 것들이다. 이런 비효과적인 것들을 기업이 도입할 때, 보안 전문가들의 입에서는 절로 ‘아, 없는 게 나은데’라는 탄식이 나온다. 탄식을 자아내는 대표적인 보안 도구 6개는 다음과 같다.


1. 캡챠(CAPTCHA)
보안 업체 카사다(Kasada)의 CEO 샘 크로서(Sam Crowther)는 “캡챠는 진작에 없어졌어야 할 물건”이라고 말한다. 물론 캡챠가 유용했던 때도 있었다. 지금은 그냥 방문자를 귀찮게 하는, 아무 의미 없는 관문일 뿐이다. 공격자들은 이미 캡챠를 다양한 방법으로 뚫어낼 수 있기 때문이다. 캡챠 문제를 전문적으로 풀어내는 프로그램, 인간 클릭 농장, 머신러닝과 인공지능 솔루션들로 캡챠는 간단히 뚫린다. 이런 도구들은 비싸지도 않다. 딱히 컴퓨터에 해박해야 되는 것도 아니다. “능동적이면서 유연하게 변하는 안티봇 솔루션을 도입하는 게 훨씬 효과적입니다. 캡챠를 대체할 서비스들은 이미 시장에 많습니다.”

2. 권한 낮은 계정의 크리덴셜 공유
벤더, 계약 업체, 리셉셔니스트, 캐시어, 프린터, 스캐너 등 사업과 관련되어 있긴 하지만 핵심적이지는 않은 다양한 인력 및 장비들에 같은 접근 크리덴셜을 공유하는 건 대단히 편리하겠지만, 대단히 위험하다. 다들 이렇게 생각한다. ‘이런 사람들이나 장비들에 제공되는 계정은 권한이 높지 않으니까 괜찮아. 이 계정이 침해되어도 공격에 사용할 수 없어.’

“하지만 큰 착각이죠.” 보안 업체 오픈텍스트 시큐리티 솔루션즈(OpenText Security Solutions)의 위협 분석 관리자인 크리스토퍼 케인(Christopher Cain)의 설명이다. “아무리 권한이 낮은 계정이라도 공격자가 접근하는 데 성공하면, 그것을 발판으로 삼아 할 수 있는 일이 수없이 많습니다. 권한을 스스로 상승시켜 관리자가 될 수도 있습니다. 그러니 조금 불편하더라도 각 사람과 각 장비마다 다른 크리덴셜을 적용하고, 주기적으로 바꿔주는 게 안전합니다.”

3. 모의 피싱 훈련
모의 피싱 훈련을 꾸준히 한다면 실수로 이상한 링크를 클릭하는 확률이 어느 정도 줄어들 수 있지만, 피싱의 위험이 완전히 사라지는 건 아니다. 사이버 보험 업체 앳베이(At-Bay)의 CEO인 로템 이람(Rotem Iram)은 “왜냐하면 공격자가 필요로 하는 건 딱 한 번의 클릭이기 때문”이라고 말한다.

“보안을 잘 모르는 일반 임직원들을 교육시킨다는 건 대단히 가치 있는 일이 분명합니다. 모의 피싱 훈련도 그런 점에서는 마찬가지죠. 게다가 모의 피싱 훈련에 들어가는 비용은 다른 종류의 보안 교육에 비해 저렴한 편이기도 합니다. 그렇기 때문에 이걸 기획하고 승인한 사람들 편에서는 매우 뿌듯할 수 있습니다. 그러나 반전이 있죠. 취리히대학에서 조사한 바에 의하면 모의 피싱 훈련이 오히려 역효과를 낸다고 합니다. 훈련을 했다는 것이 엉뚱한 자신감을 심어주어 오히려 더 해이해지게 만든다는 겁니다. 교육을 받은 사람이나 한 사람이나 마찬가지로요.”

4. 매핑과 대시보드
위협을 모니터링하기 위해 벽에다 매핑된 그래픽 자료나 대시보드를 커다랗게 붙여두는 경우들이 왕왕 있다. “하지만 그런 자료들을 제대로 해석해서 활용하지 않는다면, ‘우리 일하고 있다’라는 걸 누군가에게 보여주기 위한 기능뿐인 무가치한 노력이 될 뿐입니다. 그 누군가가 상사인지 고객인지 내부 직원들인지는 모르겠지만요.” 보안 업체 액센추어(Accenture)의 CTO인 데이브 돌링(Dave Dalling)의 설명이다.

모니터링 도구를 제대로 설정해서 활용하려면 시간과 노력을 들여야 한다고 돌링은 말한다. 가공되지 않은 데이터를 활용하는 데에도 남다른 전문성이 필요한데, 이 역시도 시간을 들여 키워야 하는 일이다. "위협 첩보를 상황과 맥락에 비추어 해석하고 분석하는 과정을 거치지 않는다면, 경보는 그냥 소음이 될 뿐입니다. 즉 모니터링을 통해 확보된 데이터는 반드시 큐레이션 작업을 거쳐야 의미를 갖는다는 겁니다. 큐레이션을 거친 경보가 진짜 경보가 되지, 그렇지 않으면 오탐으로 귀결될 확률이 높습니다. 맥락과 상황을 고려해 의미를 갖춘 정보를 가지고 있어야만 대처의 우선순위와 방법이 정해집니다.”

5. 감추고 숨기는 보안
보안에는 사람들이 아무도 모르는 곳에 있는 자산, 혹은 사람들이 그 존재에 대해서 알지 못하는 자산은 안전하다는 개념이 있다. 보안 업체 뉴스파이어(Nuspire)의 부회장 마이크 페드릭(Mike Pedrick)은 “이런 개념을 통해 발전한 것이 난독화 기술이며, 뭔가를 보호하는 데 있어 높은 효과를 보여준다”고 설명한다. “수많은 데이터센터들이 숨겨져 있는 데에도 이유가 있죠. 일반 사무실이나 전혀 엉뚱한 회사로 위장된 채 운영되는 데이터센터들도 있을 정도입니다.”

하지만 우연히, 혹은 실수로 이런 숨겨진 자산들을 찾아내는 사람들이 존재한다. 자산을 숨겨두고 안심하고 있다면, 오히려 예측 못할 우연과 변수들에 더 위험해진다는 게 페드릭의 설명이다. “민감한 직원 정보를 마스터 디렉토리로부터 5단계 밑에 숨겨두었다고 합시다. 폴더 안에 폴더 안에 폴더 안에 폴더를 만드는 식으로 말이죠. 그리고 최종 폴더 이름도 ‘물 속에서 바구니 만드는 법’으로 해뒀어요. 그 안의 데이터는 대부분의 경우 안전할 수 있을 겁니다. 하지만 단 한 사람이 자기 이름을 우연히 검색하기만 하면 그 정보가 어디에 있는지 단번에 나옵니다. 감추고 숨긴다고 해서 완벽하게 안전해지는 건 아니라는 걸 기억하여 다른 보안 장치를 추가로 적용하는 게 안전합니다.”

6. 비밀번호
인증 기술 개발 업체인 디스코프(Descope)의 창립자 리시 바르가바(Rishi Bhargava)는 “비밀번호야 말로 끝없이 보안 침해 사고가 발생하는 이유”라고 주장한다. “사이버 범죄자들이 피해자 네트워크와 시스템에 들락날락 할 때 가장 많이 사용하는 것이 비밀번호입니다. 회사들마다 보안을 강화하려고 여러 곳에 돈을 쓰고 시간과 노력을 들이지요. 하지만 비밀번호를 그대로 유지하는 한 밑 빠진 독에 물 붓기입니다. 특히 자동화 기술이 점점 발전하고 있어서 비밀번호는 더 빨리 썩어가고 있습니다.”

게다가 비밀번호는 사용자 경험을 훼손하는 주요 요인이기도 하다. 다만 익숙해져 있어서 잘 느끼지 못할 뿐이다. “그 어떤 사람도 열 여섯 자리 비밀번호를 외우고 싶어 하지 않습니다. 그런데 그걸 사이트마다 다르게 설정하고, 심지어 매번 바꿔서 외워야 한다면 어떨까요? 아무도 실천하지 못하는 보안 수칙이 됩니다. 비밀번호 관리자 프로그램을 사용하면 어느 정도 나아질 수 있습니다만, 그 프로그램들도 언제나 침해될 수 있죠.”

바르가바는 비밀번호를 대체할 방법들이 얼마든지 존재한다고 주장한다. “더 안전하고, 더 친절하고, 더 호환성이 좋은 기술들이 많습니다. FIDO2나 WebAuthn 등이죠. 이미 애플과 구글 등 대형 IT 기업들은 비밀번호 대신 패스키를 지원하기 시작했는데, 이 역시 WebAuthn을 기반으로 하고 있습니다. 결국 사용자들이 이런 기술들을 한 번 접하기만 하면 비밀번호는 서서히 자리를 잃을 것으로 봅니다.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>