• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

"암거래 시장서 상품화되고 있는 보안위협들" 2008.09.29

한국맥아피 김현수 기술이사 ‘보안 위한 최적 시스템 관리’ 제시


한국맥아피는 지난 9월 25일 ‘McAfee Executive Summit Korea 2008’를 개최한 바 있다. 이 자리에서 김현수 한국맥아피 기술이사는 ‘보안 위험 관리를 위한 최적의 시스템 관리’란 주제를 가지고 세션강연을 펼쳤다.


이 강연에서 김현수 기술이사는 보안과 관련해 최적의 시스템 관리에 대한 정보를 제공했다.


또한 비단 이러한 기업주최 세션강연이 지닌 맹점인 자사 솔루션 일변도의 홍보를 벗어나 기업 내부 프로세스의 필요성을 강하게 어필해 높은 호응도를 얻었다. 이에 세션강연을 마친 후 김 이사를 직접 만나 그가 담고 있는 보안 이야기를 좀 더 구체적으로 들어 봤다.


■ 기존 보안 시스템 관리의 맹점

보안 문제들을 보통 기술적으로 해결하려는 경향이 있으며 종종 근본적인 문제의 원인인 관리 및 운용상의 약점을 무시하게 된다. 위험 관리는 기본적인 비즈니스 직무로, 명시적이든 묵시적이든 반드시 조직 차원에서의 의도적으로 수행되어져야 한다. 그렇지 못한다면 보안 침해는 단적으로 비즈니스 실패로 야기하는 등 파멸적인 결과를 낳을 수 있음을 간과해서는 안 된다. 또한 기업은 컴퓨터가 비즈니스 핵심영역에 관여하게 된 시점부터 보안 침해에 따른 명백한 배상 책임 의무를 져야 한다.


■ 보안 제품 아닌 프로세스

악성웨어 감염은 2001년 코드레드 웜의 발생 이후 2002년부터 시스템에 있어 보안 관리가 강화됐다. 하지만 코드레드 이후 악성웨어는 트로이목마 등과 같이 진화해 왔다. 이러한 보안 취약점은 솔루션만으로는 막을 수 없다고 본다. 브루스 슈나이더(Bruce Schneier)가 ‘보안은 제품이 아닌 프로세스’라고 한 말은 이와 일맥 한다 하겠다. 보안 취약성은 암거래시장에서 상품처럼 거래되고 있는 실정이다. 또한 사용자의 파일을 임의로 암호화 시킨 후 복호화 대가로 현금을 요구하는 랜섬웨어도 쉽잖게 접하게 된다.


■ 암거래시장에서 암암리 거래되는 해킹툴

그렇게 암거래시장에서 공공연하게 거래되며, 사이버 범죄에 악용되는 툴들을 살펴 보면, ▲ SNATCH TROJAN : 패스워드를 탈취하거나 루트킷 기능 제공. 가격은 600달러 선 ▲ FTP 체커 : 도난당한 FTP 계정을 확인하기 위하여 사용되는 프로그램으로 FTP 계정 리스트를 로드하면 자동적으로 사용자와 패스워드를 검사, 불법적인 목적에 사용. 가격은 15달러 선 ▲ Dream Bot Builder : 서버를 대상으로 대량의 봇 생성. 가격은 500달러 이상에 업데이트 시 25달러 정도 ▲ Pinch : 트로이목마 생성기. 가격은 30달러에 업데이트 시 5달러 정도 ▲ Keylogger Teller 2.0 : 스텔스기법을 갖춘 키로거. 가격은 40달러 선 ▲ WebMoney Trojan : 웹머니 계정 탈취. 가격은 500달러 선 ▲ MPACK : 트로이목마를 다른 원격 시스템들에게 배포하기 위해 설치되는 어플리케이션. 가격은 700달러 선이다. 이들 중 하나인 MPACK은, ‘정상적인 웹서버 방문’, ‘사용자 모르게 리다이렉트’, ‘취약성 공격’, ‘머신 제어’, ‘HTML 감염’의 순서로 사용되는 등, 이러한 툴들이 얼마나 간단하게 사용되는 지를 알 수 있다.


■ 시스템 관리 최적화 위한 방안

보안 위험 관리를 위한 최적의 시스템 관리를 위해서는 우선 보안을 최적화하기 위한 위험 관리 방안이 필요하다. 이는 크게 잠재적 손실을 감수하는 ‘위험 수용’, 잠재적인 위험으로 인한 온라인 비즈니스를 철수하는 ‘위험 회피’, 위험을 회피하진 않지만 그에 따른 지불이 요구되는 ‘위험 할당’, 위험에 따른 영향을 최소화하기 위한 역할을 선택하는 ‘위험 완화’의 4가지 방안으로 구분할 수 있다. 그리고 무엇보다 중요한 것은 어떤 방안을 적용하든, 먼저 위험을 평가하기 위한 계량화가 필수라는 것이다.


■ 보안 위험 0% 만들기 프로젝트

헬렌 켈러는 “장기적으로 볼 때 위험을 피하는 것이 위험에 그대로 노출되는 것보다 안전한 것은 절대 아니다. 인생은 대담한 모험이거나 아무 것도 아니다”고 말한 바 있다. 이를 보안 측면으로 본다면, 보안 위험을 0%로 만드는 솔루션은 없다고 여긴다. 보안솔루션이 완벽한 대안일 수는 없다는 말이다. 핵심은 조직 내 정보보안 대처 성숙도, 즉 보안솔루션과 아울러 공조된 그러한 내부 프로세스 등과 함께 준비될 때 최적화된 관리 시스템을 갖추게 되는 것이다. 보안 위험 0%에 그나마 가깝게 도달하기 위해서는 거듭 언급하거니와 기술과 프로세스의 성숙도가 공조돼야 만이 도달할 수 있는 것이다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>