보안은 비싸다. 그렇다고 돈이 보안으로 가는 유일한 길인 것은 아니다. 스타트업이라면 활용해볼 만한 저렴한 방법들이 있다.

[보안뉴스=조니 피트라키스 CISO, Vega Cloud] 사이버 보안과 관련된 위험들을 관리한다는 건 어느 기업, 어느 기관에도 힘든 일이다. 대기업과 중요 정부 기관들에도 그러한데 이제 막 사무실을 열고 사업에 집중해야 할 스타트업이라면 어떨까? 게다가 아직 인력도 다 충원하지 못한 곳이라면? 투자금도 다 확보하지 못한 상태라면? 위험 관리라는 것 자체가 사치처럼 여겨지게 된다. 즉 보안이라는 개념 자체가 희박해지기 시작한다.


다행히 사이버 보안 예산을 늘릴 방법들이 존재한다. 아니, 좀 더 효율적으로 주어진 예산으로 최대한의 효과를 거둘 방법들이 있다고 표현해야 더 적절할 것이다. 그리 비싸지 않고, 그리 어렵지 않은 조치들을 취함으로써 보안이 의미 있게 강력해지는 방법들에 대하여 살펴보도록 하자. 비용 하나하나에 민감할 수밖에 없는 스타트업들로서 참고할 만한 자료가 되기를 기대한다.

기업이 보안에 어려움을 느끼는 이유
저렴한 가격으로 회사의 방어력을 높이는 방법을 본격적으로 탐구하기 전에 먼저 왜 스타트업들이 사이버 보안이라는 것 자체에 부담감을 느끼는지 짚고 넘어가고자 한다. 그 이유는 간단하다. 스타트업들이 집중해야 할 가치는 ‘성장’이며, ‘성장’에 집중한 상황에서는 보안과 관련된 것들이 거추장스럽게 느껴질 수밖에 없기 때문이다. 그리고 그 둘은 실제로 여러 지점에서 충돌하기도 한다.

거기에 더해 스타트업들 중 예산이 넉넉한 곳은 매우 드물다는 것도 이해해야 한다. 심지어 직원도 다 모집하지 못한 상황일 때가 많다. 경영진으로서 돈도 없고 사람도 없는데 성장을 일궈내야 할 때, 보안이 첫 머리에 생각날 리가 없다. 그렇게 하는 사람이 독특한 것이지, 그렇게 못하는 사람이 이상한 게 아니다.

적은 돈 큰 효과
안타깝지만 보안이라는 게 스타트업들에 있어 난제라는 게 이해는 가지만, 그게 면죄부가 되지는 않는 게 현실이다. 보안 사고가 터졌을 때 ‘아, 스타트업이셨군요. 그러면 용서해드릴게요’라고 아무도 말해주지 않는다. 따라서 없는 자원을 최대한 활용해 보안을 강화해야 한다. 자원에 한계가 분명할 때 취할 수 있는 조치들 중 가장 효과가 좋은 것들은 다음과 같다.

1. 보안 인식 제고 훈련
사이버 공격의 대부분은 피싱으로부터 시작한다. 2023년에는 기업들의 90% 이상이 피싱 공격에 당한 적이 있다는 집계도 있다. 즉 피싱 공격은 여전히 가장 유효한 공격 전략이라는 것이다. 그런데 그 피싱 공격에 대한 가장 효과적인 방어 대책은 바로 인지 제고 훈련이다. 보안 교육만큼 좋은 게 없다. 그리고 그 교육은 그리 비싸지 않다. 특히 직원의 수가 그리 많지 않은 작은 조직의 경우 더 그렇다. 현재 가장 시급히 방어해야 하는 유형의 공격을 아주 저렴하게 방어할 수 있는 것이다.

피싱 공격의 실제 사례들을 수집하여 알려주고, 이따금씩 모의 피싱 공격도 실시해 그 결과를 공유해가며 얼마든지 재미있게, 그리고 비싸지 않게 피싱 대응 수업을 진행할 수 있다. 이 수업을 자주 하면 할수록 기업은 피싱 공격으로부터 안전해지기도 한다. 악성 링크를 클릭하지 않고, 악성 파일을 열지 않는다는 목표를 가지고 꾸준히 교육을 진행하면 실제적으로 악성 링크를 클릭하거나 파일을 여는 행위가 줄어드는 걸 경험할 수 있을 것이다.

2. 무료 보안 애드온
많은 애플리케이션들과 웹 서비스들은 의외로 무료 보안 기능을 갖추고 있다. 다만 활성화가 되지 않거나, 처음부터 설치되어 있지 않았을 뿐이다. 기능을 상세히 살펴 활성화를 해주거나 최근 업데이트를 통해 보안 기능을 추가로 다운로드 받는 식으로 이런 편의를 누리는 게 가능하다. 예를 들어 클라우드 서비스의 경우 거의 대부분이 무료 다중 인증 기능을 지원한다. 전체 공개나 일부 공개와 같은 옵션도 사용자가 직접 설정할 경우 데이터나 앱 모두를 훨씬 안전하게 사용할 수 있다.

사용하고 있는 애플리케이션들에 이러한 애드온 옵션이 있는지 확인하는 작업은 일종의 발품 정도만 팔면 되는 일이라 비용적으로 부담이 크지 않다. 시간만 조금 들여서 보안 관련 설정을 완료하고 무료 애드온 기능을 추가 설치한다면 꽤나 큰 효과를 누릴 수 있을 것이다.

3. 패치, 패치, 패치
보안 사고의 절반 이상이 오래된 소프트웨어와 관련이 있다. 즉 패치가 안 된 소프트웨어나 펌웨어, OS 등을 통해 공격자들이 침투한 사례가 전체 사고의 절반 이상이라는 것이다. 무슨 말일까? 돈 안 드는 패치에만 조금만 신경을 써도 공격에 당할 가능성을 크게 낮출 수 있다는 뜻이다.

물론 스타트업의 IT 팀들이 얼마나 과중한 업무에 시달리는지 필자는 익히 알고 있다. 그래서 패치라는 게 말처럼 간단히 되지 않는다는 것도 잘 알고 있다. 하지만 앞서 말한 것처럼 바쁘다거나 자원이 없었다는 게 보안 사고의 면죄부가 되지 않는다. 패치처럼 간단하고 저렴한 ‘보안 실천’을 하지 않아 생긴 사고라면 시장이나 산업이 더욱 혹독하게 책임을 물을 수도 있다.

패치라는 건 일부 담당자들의 ‘열심’과 ‘열정’에 의존해서 진행한다면 한계가 분명해진다. 그리고 들어가는 비용이 높아지기 시작한다. 그렇기 때문에 한 번에 조금의 시간씩만 투자해 꾸준히 패치를 진행할 수 있도록 체계적인 관리 시스템을 마련하는 게 효과적이다. 한 번 시스템을 정착시키면 다음부터 조금의 시간만 들여도 패치 문제를 해결할 수 있게 된다.

4. 이름표 붙이기
자원들에 이름표를 하나하나 붙이는 것도 보안 향상에 큰 도움이 된다. 해당 자원이 무슨 기능이나 역할을 담당하는지, 누가 생성했는지, 어떤 목적으로 사용되고 있는지 등을 붙여서 정리해 둔다면 보안도 강화되지만 내부 자원에 대한 재고 파악도 되기 때문에 비용 절감이라는 측면에서도 예상 외의 효과를 거둘 수 있다. 우리는 의외로 불필요한 곳에 비용을 지불하고도 모르는데, 이 이름표 작업이 이런 문제를 해결하는 데 도움을 준다.

무엇보다 이름표 등 상세 내용을 자원들에 붙이는 것만으로 우리는 어떤 자원에서 어떤 문제가 발생했으며, 그러므로 누가 책임을 지거나 복구를 시켜야 하는지도 금새 알게 된다. 그러므로 대처가 빨라지고, 그만큼 피해가 줄어든다. 모든 자원들에 이름을 붙인다는 게 생각보다 귀찮은 일이긴 하지만 대단히 어렵거나 비용이 크게 들어가는 일도 아니다. 특히 스타트업에서는 더 그렇다.

5. RBAC 활성화
RBAC는 역할에 기반하여 접근을 제어한다는 개념을 뜻하는데, 의외로 많은 소프트웨어나 온라인 플랫폼들이 이 기능을 무료로 제공한다. 그런 애플리케이션과 플랫폼들이 점점 많아지는 추세이기도 하다. 이 기능을 활성화하는 건 그리 어렵지 않은데, 사실 이걸 유지하는 게 조금 귀찮을 수 있다. 많은 조직들이 RBAC를 활성화하다가도 시간이 지나면서 다시 비활성화시키거나 무시하곤 한다. 성장에 초점을 맞춘 스타트업이라면 빠른 업무 처리 등을 위해 모두에게 관리자 권한을 주기도 하는데, 스타트업일 때부터 이런 문화를 근절시키는 게 중요하다.

그 약간의 귀찮음을 제외하고 RBAC를 유지하는 데 들어가는 비용이나 노력은 그리 크다고 할 수 없다. 최소한의 권한을 유지하여 업무를 처리하는 것도 얼마든지 익숙해질 수 있다. 하지만 그러한 미니멀한 초기 비용을 지불하면 어마어마한 걸 얻어갈 수 있다. 값싸고 효율 높은 이것을 하지 않는 게 더 이상하다.

6. 비밀번호 관리
비밀번호는 개개인이 설정하고 사용하는 것이지만 의외로 조직 차원에서 관리할 수 있고, 그랬을 때 개개인에게 믿고 맡겼을 때보다 더 효과적일 수 있다. 이상적으로 봤을 때 한 번 로그인으로 모든 애플리케이션과 서비스에 접근할 수 있게 해 주는 싱글사인온 솔루션을 사용한다면 개개인을 겨냥한 크리덴셜 탈취 공격에서부터 임직원들을 보호할 수 있다. 다만 SSO 서비스는 가격이 좀 나가는 편이다. 또한 자체적으로 SSO에 익숙한 개발 인력이 필요할 수도 있다.

그렇다면 어떻게 해야 할까? SSO가 여의치 않다면 그 다음으로 생각해볼 수 있는 것이 비밀번호 관리 프로그램이다. 이 프로그램들은 개별 앱들에 대한 비밀번호를 자동으로 생성하여 활용하도록 하며, 따라서 개개인이 뭔가를 매번 새롭게 외울 필요도 없고, 어딘가로 누설될 가능성도 극히 낮다. 비밀번호 관리 프로그램도 비용 지불을 해야 되는데 SSO보다는 낮은 편이다. 그리고 SSO보다 이용 난이도도 낮다.

결론
모든 것을 완벽히 갖춘 세상에서라면 스타트업들도 아무런 걱정과 고민 없이 가장 보안성이 높은 방법을 채택할 수 있을 것이다. 보안 사고를 당하고 싶어서 당하는 사람은 아무도 없다. 하지만 우리는 그런 세상에 살고 있지 않다. 보안이라는 가치를 다른 것과 비교해보고 선택해야 한다. 그렇기 때문에 다른 가치에 비해 밀릴 수도 있고 앞세워질 수도 있다.

그렇다고 보안이 마냥 비싼 것만은 아니다. 저렴하고 쉬운 조치를 몇 가지 취함으로써 큰 효과를 보는 것도 가능하다. 찾아보면 방법들은 얼마든지 존재한다. 물론 완벽하다고 하기는 힘들다. 값싸고 저렴한 방법들로 보안 효과를 보고 있다고 해서 100% 안전하게 되는 것은 아니다. 항상 깨어 있어서 상황을 부지런히 살피는 감시의 눈이 있어야 한다. 그런데 이는 천문학적 금액의 보안 솔루션에도 해당되는 말이다. 아무리 비싸더라도 완벽하지는 않다.

세계 경제가 불안불안한 때다. 많은 기업들이 비용 절감을 최고의 가치로 내세우며 이 시기를 벗어나려 하고 있다. 보안이라고 해서 넉넉한 예산을 확보받을 수는 없다. 그러니 이런 때에 좀 더 값싸고 효과 좋은 방법을 찾아야 할 것이다. 어쩌면 완전히 새로운 보안의 방법론을 찾아낼 수도 있다.

글 : 조니 피트라키스(Johnny Fitrakis), CISO, Vega Cloud
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>