임채호 NHN 수석 연구원 “완벽한 보안은 없어”

국정원 국가사이버안전센터가 15일 개최한 ‘제5회 사이버안전의 날’ 행사에서 발표자로 참가한 임채호 NHN 수석 연구원은 사용자 인증은 인증 기술의 발전 보다는 범죄자에 기법에 의해 발전하고 이에 대처하기 위해서는 사용자들과 웹서비스 사업자들의 보안 의식 강화가 중요하다고 주장했다.

임 연구원은 우선 “사용자 인증 강화는 사용자들이 패스워드 관리에 좀 더 노력을 기울이는 것으로부터 시작된다”며 “또한 백신을 통한 PC보안 관리나 신뢰하지 못하는 사이트 접근, 이메일을 통한 감염 등의 보안 위협에 대비하는 노력을 사용자 스스로 해야한다”고 강조했다.

그는 가급적 개인정보가 포함되지 않은 단어나 글, 혹은 철자를 이용하며 숫자와 조합해 이용하는 것이 좀 더 노출되기 힘든 패스워드를 만들 수 있다고 조언한다. 또한 패스워드를 변경하는 것을 번거로워 하지 말아햐 하며, 쉬운 방법으로는 기존 패스워드의 부분 부분을 순차적으로나 역순차적으로 변화를 주는 방법이 좋다고 덧붙였다.

사용자 인증 강화에 있어서 웹 서비스 사업자들의 역할도 강조했다. 특히 사업자들은 웹 스캐너나 웹 방화벽 등을 도입해 웹 자체에서 안전한 상황을 유지하는 노력이 필요하다고 주장했다.

그는 “프로젝트 지연이나 번거로움을 이유로 웹 애플리케이션 개발과정에서 보안 과정을 생략하는 경우가 많은데 이런 과정에서 보안 취약점이 나타날 수 있다”면서 “최근 SQL 인젝션 공격이 크게 증가하는 것도 이런 부분을 생략했기 때문”이라고 지적했다. 따라서 SQL 파라미터를 지속적으로 점검하고 SDLC 보안을 도입하는 등 개발 과정에 있어 보안을 병행해야한다는 주장이다. 

또한 그는 보안 담당자에게 기술은 믿어도 제품을 믿지 말라고 주문했다. 제품보다 더 필요한 것은 어떻게 보안 관리를 진행하고 이용하느냐가 더 중요하다는 것. 또한 백신을 최소 2개 이상 실행토록 해서 특정 백신에서 검출되지 않는 악성코드에도 대비하는 것이 좋다고 덧붙였다.

보안의 심리적 관점에서 이해해야 하며 신뢰적 보안 체계를 이해한 후 이에 따른 보안 관리가 필요하다고 강조했다. 그리고 통계를 기반으로 비정상적인 부분을 찾아야 내는 노력이 필요하다고 설명했다. 또한 네트워크 관리에 있어서도 내부 네트워크를 분리해 외부 침입에 대비해야하며 내부용 방화벽도 필요하다는 주장도 펼쳤다.

 

마지막으로 그는 “사용자 인증에 대한 공격은 항상 보안 기술보다는 범죄자가 주도하고 이를 모방한 기술은 누구나 사용할 수 있기 때문에 완벽한 보안은 없다”고 “항상 새로운 악성코드가 출현하고 위협도 점차 늘어날 수밖에 없어 이를 완벽하게 방어한다기 보다는 통계학 기법을 이용해 비정상 적인 부분을 파악해 내는 것이 중요다”고 결언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>