• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[톡톡 토크] 치킨집 수준의 둘러대기? 2015.04.09

해킹 사고는 다양한데 그후 대처는 뻔한 예의상 멘트로 고정
오히려 구태의연한 상황을 꼬집는 게 촌스럽게 느껴져


[보안뉴스 주소형] 살다보면 영혼 없는 둘러대기를 할 때도 있고 들을 때도 있다. 가장 흔한 예는 배달을 독촉하는 전화에 “방금 출발했습니다”라는 치킨집 아저씨의 말이다. 발신처가 어디인지 확인도 안하고 바로 무조건 이미 떠났다고 대응해주는 곳도 있다. 그 말에 이제 우리는 따지지도 않고 그게 사실이 아닌지 알면서도 ‘내가 기다리고 있소’라는 메시지를 전달한 것 자체에 만족감을 느끼고 통화를 마친다.

 


그런데 보안업계도 별반 다르지 않다. 보안업계에서도 치킨집 수준의 거짓말이 있다. 가장 통상적인 게 “다시는 이런 일이 없도록 보안을 강화 하겠다”라는 말이다. 사실 그러고 나서 또 같은 사건이 터지더라도 우리는 이해한다. 우리도 어쩔 수 없다는 걸 알기 때문이다. 그들은 그렇게 입장을 표명하는 것에 만족감을 느끼고, 피해자는 그 말을 들어낸 것에 대해 만족해하며 다음 사건을 맞이할 준비를 한다.  


그런데 그렇게 넘어가도 되는 게 있고 안 되는 게 있지 않을까. 우리가 이해할 수 있는 범위는 ‘어쩔 수 없이’라는 공감 안에서 이루어져야 하고, 그 공감은 ‘보안강화’라는 단어가 너무도 익숙해졌다는 이유로 우리의 관용이 너무 넓어져서도 안 된다는 생각이다. 적어도 하트블리드 같은 전 세계를 뒤흔드는 취약점을 겪었으면, 상전벽해가 되어도 모자를 판국에 하트블리드 취약점 해결 비중이 전년대비 고작 2% 달라져있다는 결과는 정말 어처구니가 없는 통계다. 그런데 이를 비난하는 것 자체가 촌스럽게 느껴지는 것은 ‘말뿐인 보안’을 독려하는 꼴이 아닌가라는 생각에 다시 한 번 꼬집어 보려한다.

 

1. 사상 최악의 취약점으로 꼽히는 하트블리드(Heartbleed) 사건 1년 후, 아직까지 기업들이 하트블리드 흔적을 완전히 없애지 못하는 이유에 대한 ‘몰라서’ 3종 세트 논리.

기업들이 하트블리드의 흔적을 완전히 없애지 못하는 이유는 세 가지다. 1)어떤 수순을 거쳐야 하는지 정확히 몰라서 2)인증서와 키가 어디 있는지 몰라서 3)한 번에 많은 양의 인증서와 키를 어떻게 빨리 교체하는지 몰라서

- 베나피 보안전략 총괄인 케빈 보섹(Kevin Bocek) 부사장


2. 미국 최대 의료보험정보 유출 사건인 앤섬(Anthem)사건 발생 후, HIPAA(미국 의료법 중 하나로 환자의 동의 없이 보호된 건강정보를 사용 및 공개하는 것을 금한다)와 HITRUST(건강정보신탁연합)를 등한시하는 실태 영향 탓이라고 전문가들이 지적했지만, 정작 아무 조치도 취하지 않았고 한 달 뒤 비슷한 사건 발생.

“아직 많은 업체에서 HIPAA와 HITRUST를 등한시한다. 현재 HIPAA를 시행하고 있는 미국 인권청(Office for Civil Rights)은 인력도 모자라고 저예산이다. 따라서 이들은 유출 조사 및 예방 활동보다는 사건을 수습하기에 정신없는 상황이며 의료보험업계는 미국 인권청을 무시하는 경우가 많은데 이를 사기업에 위탁하는 등의 방법으로 보다 엄격하게 관리할 필요가 있다

- IT 회사 콜파이어(Coalfire)의 앤드류 힉스(Andrew Hicks) 임원


3. 세계적인 차량 예약 서비스업체인 우버(Uber) 유출사건 후, 늦장 통보(사건 인지 후 통보까지 5개월 소요)

“서드파티에 의해 5만 명 이상의 자사 운전자들의 이름과 차량번호가 유출된 것이 파악됐습니다. 피해자 여러분께 신원 보호 서비스 1년 무료 서비스를 제공 하겠습니다”

- 우버(Uber)


4. “(2015년 3월 18일 기점으로) 보다 엄격한 앱 관리를 위해 오늘부터 구글 앱은 모두 ‘수동’으로 점검하기로 했다”

- 구글(Google)


5. 2011년도 어도비에서 발견된 취약점(CVE-2011-2461)에 대한 패치 완료했다고 발표했지만 사실은 4년이 지난 현재까지 여전히 취약.

“(2011년)취약점 CVE-20110-2461에 대한 패치를 완료했습니다

- 어도비(Adobe)


6. “신용카드 결제를 허용하는 업체들 중 20%만이 보안 표준 정책을 준수하는 것으로 드러났다. 또한 포춘 500에 등재될 정도로 큰 기업들 중 40%가 고객들용으로 제작하는 앱을 개발할 때 보안을 크게 염두에 두고 있지 않은 것으로 나타났다

- 버라이즌(Verizon)이 2015년 3월에 발표한 ‘2015 PCI Compliance’ 보고서

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>