모든 이용 능력 향상은 스스로의 의지에서 비롯되는 것

[보안뉴스 주소형] 사용자들에게는 프로그램 업데이트가 마치 계륵 같은 존재라고 한다. 개발자들이 서둘러 취약점들에 대한 패치를 내놓아도 정작 사용자들은 그 패치가 적용된 업데이트가 하자니 귀찮고 안 하자니 찝찝한 수준에 불과하다는 것이다. 실제로 최근 구글이 실시한 일반 사용자들의 소프트웨어 업데이트률은 2%도 채 되지 않았다.

그렇다고 해서 사용자들을 탓할 수도 없다. 기자 또한 하루하루 바쁘다는 핑계로 업데이트하는 시간조차 아깝게 느껴져 업데이트를 미루고 있는 것은 매한가지이니 말이다. 다만 영화 ‘이미테이션 게임’을 보면 아무 것도 아니라고 생각했던 사람이 결국 아무도 생각할 수 없던 일을 해낸다는 말이 나온다.

우리는 싫건 좋건 광활한 웹을 누벼야 하고 이를 위해서는 각종 소프트웨어들을 사용해야 하는 입장이다. 그러니 어느 정도의 책임감은 사용자가 갖고 스스로 이용 능력을 높여야 할 필요는 있지 않을까? 별 것 아니라고 무심코 넘겼던 업데이트 하나가 이미테이션 게임이라는 영화 속의 말처럼 엄청난 파국으로 연결될 수도 있기 때문이다.

그리고 그 이용 능력을 키우는 것은 스스로의 의지에서 시작될 수 있다. 지금은 비록 업데이트가 계륵 취급이지만 결국 우리 삶에 꼭 필요한 식사 같은 존재로 자리 잡게 하기 위한 보안업계의 꾸준한 잔소리들과 그 틈을 노리고 있는 공격들을 탐지해 예방하고 대처하려는 목소리를 들어보자.

1. “공격자들은 자동으로 트위터 핸들을 매일 순환시킨다. 감염시킨 기기들로 명령을 보내기 위해서다. 매일 트위터 핸들을 새롭게 바꿔가며 C&C처럼 사용한다는 것. 그리고 임베디드된 이미지에 암호화된 명령 정보를 삽입시켜서 훔친 정보를 클라우드 저장소 서비스에 업로드 하는 등의 활동을 한다.”

- 파이어아이(FireEye)의 조단 베리(Jordan Berry) 위협 첩보 분석가

2. “아무리 스마트 손목밴드가 위험하다고 강조해도 대부분의 사용자들은 별 고민 없이 계속해서 이런 제품들을 사용할 것이라고 생각한다. 고민이 귀찮기 때문이다. 그런 사람들에게 간단한 지표를 하나 제공하자면, 아직까지 스마트 밴드는 장점보다 단점이 많을 확률이 높다는 것이다.”

- ESET의 리사 마이어스(Lysa Myers) 보안분석가

3. “솔직히 DNS는 그냥 뚫린 구멍이었다. DNS는 우리의 관심 밖에 있었기 때문이다. 향후 DNS 남용이 이런 식으로 계속해서 늘어날 것인지는 정확히 장담할 수는 없다. 하지만 여러 가지 상황들을 종합해봤을 때 늘어날 것으로 보인다. 이제라도 그 구멍을 막아야 한다.”

- 인포블럭스의 크레이그 샌더슨(Craig Sanderson) 보안제품 시니어 책임자

4. “결국 신뢰할 것이 점점 줄어드는 세상에서 살아남으려면 최소한의 사람들에게만 권한을 주고, 조금이라도 불신할 부분이 있는 자들에 대해서는 가차 없이 권한을 잘라버리면 된다. 이런 문화가 퍼지면 잘못된 경보의 수가 확연히 줄어들고 실제 공격에 대한 정보를 분석가가 접할 가능성이 높아진다. 즉 우리 안의 양치기 소년도 없어지고 트로이 목마도 사라지게 할 수 있다는 것이다.”

- 브로미엄(Bromium)의 시몬 크로스비(Simon Crosby) CTO

5. “아무리 최첨단 시스템을 개발하면 뭐하나. 보안 구멍 하나에 그 비싼 자동차 하나가 통째로 벽돌이 되어 버리고 만다. 보안을 강조하는 건 보안담당자라서 그러는 게 아니다. 보안의 결점이 엄청난 손실로 이어지기 때문이다.”

- 트립와이어(Tripwire)의 켄 웨스틴(Ken Westin) 보안 분석가

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>