• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[톡톡 토크] 계기가 있어야만 보안이 강화되는 현실 2015.09.17

공격이나 해킹 당한 후에 개선되는 것도 중요
여전히 부족한 안전보안에 대한 절박함과 관심


[보안뉴스 주소형] 얼마 전 퇴근길에 보안뉴스 민세아 기자가 기자를 붙들어 세웠다. 대뜸 스마트폰 좀 보자던 그는 설정으로 가서 기자의 스마트폰 소프트웨어 버전을 확인했다. 당시 기자는 안드로이드 젤리빈 버전을 사용 중이었는데 이를 보고 기겁을 하며 위험하다고 ‘최신 버전 업데이트’ 버튼을 눌러버렸다. 그 때는 이 때문에 어떤 일이 초래될지 몰랐다.

 

 ▲ 이랬어야 했던 기자의 퇴근길


그렇게 기자의 스마트폰은 새로운 버전으로 업데이트되기 시작했는데 소요시간이 생각보다 너무 길었던 것이다. 결국 기자가 집으로 가는 약 한 시간의 시간동안 노래도 들을 수 없고, 뉴스나 관심정보를 검색할 수도 없고, 영화를 볼 수도 없고, 메신저 애플리케이션을 통한 채팅도 할 수 없었다. 게다가 마침 가방에는 책 한 권도 없었다.


이에 아직 업데이트에 대한 준비를 갖추지 않은 상태인 기자의 스마트폰을 강제 업데이트 시킨 민 기자를 원망하며 기자는 현대 문명에 단절된 듯한 시간을 보냈다. 그런데 업데이트 시간을 견디고 나니 마음은 한결 편했다. 기자의 사생활을 모두 알고 있는 스마트폰의 보안이 한층 강화되었다는 생각 때문이다.


사실 사생활 보호에 있어 스마트폰 보안은 굉장히 중요하다. 기자를 포함해서 스마트폰 의존도가 높은 이들이 갈수록 늘어나고 있으니 말이다. 따라서 만사를 제쳐두고 스마트폰 보안을 신경 써도 모자란 판국에 자체 보안의 가장 첫 번째 단계인 업데이트를 차일피일 미루고 오히려 업데이트되는 시간이 무료하고 짜증스럽게 느껴진데다가 그 시간을 돌이켜보아도 가치 있었다는 생각보다는 귀찮고 무료했다는 느낌이 먼저 드는 것이 사실이다.

 

그런데 이렇게 계기가 있어야만 보안이 강화되는 것은 글로벌 시장도 마찬가지다. 14년 전 미국은 9·11 테러 사건을 겪은 후에야 정부가 안전보안 법률은 제정하고 시스템을 강화했다. 뿐만 아니라 올해 하반기 글로벌 시장에서 핫이슈였던 전 세계 정부기관에 감청 프로그램을 제공하던 해킹팀(Hacking Team)조차 가장 선호하는 비밀번호가 말 그대로 ‘비밀번호(password)’였는가 하면, 지난 ISEC을 위해 방한한 아버네트웍스의 토니 테오(Tony Teo) 이사도 요즘에서야 디도스 공격이 이렇게 주목받고 있지만 디도스 공격이 처음 감지되었을 때 사람들이 이를 대하는 태도만 달리했어도 이렇게까지 성장하지는 않았을 것이라는 말도 했으니 말이다.


물론 공격이나 해킹을 당한 후 어떻게 달라지고 개선되는 것도 무척 중요하지만 안전보안에 대한 절박함과 관심은 여전히 부족하다는 생각이 들어 금주 글로벌 보안업계에서 나온 관련 목소리들을 모아봤다.

1. “미국 안보는 14년 전과 비교했을 때 완전히 달라졌다. 미국의 안보 관련 정책 및 법률은 물론 전반적인 안전 시스템 자체가 업그레이드 됐다. 특히 14년 전에는 미미했던 사이버상의 위협 또한 적극 대응하며, 사이버보안 강화에 주력할 것이다.”

- NSA의 마이클 로저스(Michael Rogers) 국장


2. “사고가 난 후에 그에 대한 대처를 하느라 드는 돈보다 평소 건강관리하듯 네트워크를 관리할 때 드는 비용이 훨씬 낮다. 사고 전 예방이냐, 사고 후 대처냐, 하는 논쟁이 꺼질 줄을 모르는데 이는 이상론이나 본질에서 접근할 수도 있지만 경제적 원리로 접근했을 때 더 큰 설득력을 갖고 있다. 당연히 사고가 안 나도록 평소에 네트워크를 튼튼하게 하는 게 경제적으로 유리하다. 게다가 평소에 건강한 몸이 회복이 빠르듯, 평소에 잘 관리된 네트워크가 사후대처 혹은 복구 능력도 더 좋다.”

- 테나블(Tenable)의 마케팅 수석 매니저인 테드 게리(Ted Gary)


3. “광고를 아예 블록 시키는 앱이나 솔루션을 사용하는 건 온라인의 중요한 생태계 하나를 파괴하는 거라고 생각한다. 사용자 각자가 시스템을 주기적으로 업데이트하고 보안 툴을 갖추면 멀버타이징도 전혀 위협적인 존재가 아니다.

- 멀웨어바이츠의 수석 보안 전문가인 제롬 세구라(Jerome Segura)


4. “디도스공격의 역사는 생각보다 그리 오래되지 않았다. 불과 몇 년 전까지만 해도 디도스공격은 이름도 없는 수상한 움직임에 불과했다. 처음 우리가 디도스공격을 발견한 건 2000년경이었는데 당시에는 네트워크 모니터링 관리(Network monitoring management)로 구분되어 처리됐다.

- 아버네트웍스의 토니 테오(Tony Teo) 이사


5. “보안은 한 번 뚫렸다고 해서 가치를 잃는 것이 아니다. 사실상 모두가 연결되어 있는 현대에서의 정보보안은 공격자가 더 머리를 굴리게 하고 고민하게 만드는 것만으로도 엄청난 가치를 가진다. 그건 방어자가 많은 경우의 수를 미리 그려놓고 그에 대한 대비를 함으로써 가능해진다. 그래서 모두가 해커들의 한 걸음 한 걸음을 늦추는 데 성공하면 언젠가 그들을 완전히 멈추게 할 수 있을 것이다.

- 산스(SANS)의 사이버보안 연구원인 브라이언 사이먼(Bryan Simon)


6. “가짜 인증서 문제와 그로 인해 야기되는 SSL 통신의 중간자 공격에 대한 우려가 깊어지고 있지만, 걱정은 걱정으로만 머무르는 것인지 일반 사용자나 전문가나 별다른 대처를 하고 있지 않은 모습이다.

- 베나피(Venafi) 보고서

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>