방대해져가는 시스템과 네트워크, 공격 경로 예상도 머리 아파

[보안뉴스 문가용] 잘못 설정된 시스템 환경. 소프트웨어 제작 단계부터 생긴 취약점들. 이 모두 정보보안에 있어서 크나큰 골칫거리이다. 하지만 보안 전문가들을 가장 괴롭히는 건 최종 사용자인 것으로 드러났다. ‘사용자가 문제’라는 건 알게 모르게 퍼져 있던 소문 같은 것이었는데 이번에 브로미움(Bromium)에서 이런 주제로 설문조사를 실시해 그 실체가 드러났다. 무려 80%의 보안 전문가들이 최종 사용자가 가장 큰 문제라고 답한 것.

그렇다면 사용자의 어떤 행동들이 가장 큰 위협이 될까? 의심스러운 링크 혹은 악성 링크를 클릭하는 것, 의심스럽거나 악성 첨부파일을 열어보는 것, 보안 절차를 무시하거나 잊어버리는 것 등이라고 이번 조사에 참여한 전문가들은 답했다.

게다가 요즘 들어 공격 대상 및 목표를 구체적으로 정해서 공략하는 겨냥형 공격이 늘어남에 따라 이런 약점들은 더더욱 크게 부각될 수밖에 없다. 기업들의 약 3/4가 악성 이메일 공격에 여전히 취약하다는 보고서가 발간됨에 따라 이 역시 사실로 확인된 바 있다.

그렇다면 왜 최종 사용자들은 이렇게 안타까워하는 보안 전문가들의 마음을 무시하고 계속해서 조직 전체를 위험에 빠트리는 것일까? 주로 인식이 부족해서다. 악성 링크가 무엇인지, 이메일이 무엇인지, 실제로 맞닥트리면 알아보지를 못하는 것이다. 그러므로 보안 절차가 그저 귀찮게만 느껴지고, 의미를 찾을 수 없게 된다. 애버딘 그룹(Aberdeen Group)에서 연구한 바에 의하면 사용자 교육과 인식 향상 훈련만으로도 안전도를 60%나 높일 수 있다.

“최종 사용자라고 하지만 한 사람 한 사람의 행동 가짓수가 얼마나 많은지 살펴보면 이를 단순화시킬 수도 없습니다. 네트워크에 로그인, 로그아웃하고, 거기에 또 다양한 기기를 가지고 오죠. 파일은 수도 없이 생성하고 열어보고 지우며 또 전송합니다. 앱이며 소프트웨어도 자기 입맛대로 설치하고 수많은 링크들을 클릭합니다. 이메일 주고 받는 건 이미 제일 오래된 행동 중 하나고요. 그러니 사람을 교육시키면 이 많은 행동들을 제어할 수 있게 된다는 것입니다.”

그러나 사용자 교육이 만능열쇠는 아니다. “사용자 관리하는 것도 굉장히 어려운 일이긴 한데요, 그만큼 시스템 관리도 어려운 숙제이기는 마찬가지입니다.” 브로미움 전문가들의 설명이다. 사용자 하나하나가 취하는 행동이 많은 만큼 사용자 기기들에 설치된 솔루션과 관리 툴, 가능한 공격 경로 등을 모두 다 파악하고 이해한다는 것 역시 불가능에 가까운 방대한 분량이기 때문이다.

이번 조사에 참여한 전문가들 중 절반 가까이가 이것 저것 그냥 설치된 보안 프로그램 및 솔루션들이 시스템과 네트워크에 너무 많이 쌓여가는 게 경제적으로나 업무 능률적으로나 제일 큰 문제 중 하나라고 밝혔다. 일단 한 번 깔고 제대로 활용하지 않아서 돈이 낭비되니 경제적 문제이고, 그런 경우가 많다보니 보안 담당자로서 경보가 울려도 심드렁하게 반응하게 된다는 것이다. 약 60%의 응답자가 ‘전체 경보의 절반에도 반응하지 않는다’라고 답했다.

“보안에 구멍이 괜히 생기는 게 아닙니다.” 브로미엄 보고서의 설명이다. “그래서 지금은 보안 담당자가 정말 힘든 시기를 지나고 있다고 볼 수 있습니다. 이전의 보안 시스템은 하루가 멀다 하고 ‘낡은 것’이 되어가니 빨리 빨리 새로운 것을 익혀야 하는 것만도 버거운데, 이런 흐름을 나 몰라라 하는 사용자들까지도 지고 가야 하니 말입니다.”
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>