인턴 경험 위해 사무실 출입하는 대학생들, 보안엔 취약
VPN 및 네트워크 분리, 암호 시스템 변경 등 미리 준비해야

[보안뉴스 문가용] 방학 시즌이 다가오고 있다. 예전이야 방학은 캠퍼스 생활의 꽃이자 앙꼬였지만 요즘 대학생들에게는 조금이라도 인턴 경험을 쌓아보거나 토익 점수를 50점이라도 올려놓아야 하는 때다. 기성세대로서 그런 청춘들이 안타깝긴 하지만, 보안을 담당하는 사람들로서는 ‘그들이 몰려온다!’고 바짝 긴장을 해야 한다.


정보보안의 관점에서 대학생들은 어떤 부류의 사람들인가? 구글이 막 창립되었을 때 태어났고, 아이폰이 처음 등장했을 때 대략 9~10살 정도였던 세대로, 정보기술의 발전과 흐름에 매우 민감하며 능숙한 집단이다. 스마트라는 단어에 ‘오오!’하며 놀라본 적이 없으며 고속 인터넷망은 당연하게 전제된 삶의 조건 중 하나다. 앱도 이들 사이에선 재빨리 유행을 타고 흔적 없이 사라진다.

다만 보안의 습관처럼 훈련받아야 하는 부분은 이들 역시 미숙하기는 마찬가지다. 아니, 심지어 보안성에 있어서는 486 세대나 X세대보다 이런 젊은 세대가 더 뒤처진다는 통계자료도 여럿 존재할 정도다. 백신을 실제로 설치하는 비율, 공공 와이파이에 자동으로 연결하지 않는 비율 모두에서 대학생들이 현저히 낮은 모습을 보이고 있다. 즉 별 희한한 방법으로 모바일과 앱들을 사용할 줄은 아는데, 안전한 사용법에 있어서는 지식이 희박한 이들이 대거 기업 네트워크로 몰려오고 있는 것이다. 이런 때를 위한 안전조치를 몇 가지 나누고자 한다.

1. 네트워크는 최대한 유연하게, 모바일은 최대한 사용 가능하게
이참에 네트워크의 범위라는 개념에 대해 다시 생각해볼 필요가 있다. 이제 네트워크를 사무실이라는 네모난 공간 안에서 이해하려고 하면 안 된다. 요즘 대학생들은 모바일 환경에 매우 익숙하며 잘 쓰기도 한다. 또한 업무를 수행하는 데에 있어 모바일을 사용하는 것이 공기처럼 자연스럽다. 성장 과정 대부분과 학교에서도 그래왔으니, 사무실에 와서도 같은 환경을 기대하고 있을 것이다.

“이들에게 있어 사이버 공간에는 범위가 딱히 존재하지 않습니다.” 네트워크 전문업체인 어댑트(adAPT)의 CEO인 커스텐 베이(Kirsten Bay)의 설명이다. “스타벅스 가서 와이파이에 연결하지 말라고 아무리 설명해도 제대로 듣는 사람들은 몇 없을 겁니다. 강력한 VPN 시스템을 도입해서 ‘스타벅스에선 VPN을 이용하기만 하면 얼마든지 와이파이를 사용해도 된다’고 말하는 게 효과가 더 높죠.”

인증 기술 전문기업인 시큐어오스(SecureAuth)의 CSA인 스티븐 콕스(Stephen Cox)는 “문제는 그것만이 아니다”라며 “1인 1대라고 장담하기도 힘들지 않은가?”라며 모바일의 새로운 문제를 지적했다. “핸드폰은 물론이요, 아이패드 같은 태블릿도 하나씩 덤으로 들고 다니는 게 요즘 세대입니다. 누가 어떤 기기를 사용할지 예측이 사실상 불가능일 때는 네트워크를 잘게 나눠놓는 것이 최상의 선택입니다. 보통 이를 세그먼트(segment)라고 하지요. 모바일로 들어갈 수 있는 영역과 핵심 데이터가 있는 영역을 격리시키라는 말입니다.”

“사무실 내에서도 부서나 업무에 따라 방을 나눠 쓰지요? 그 방을 기준으로 네트워크를 쪼개놓는 게 의외로 굉장히 보안에 좋습니다. 이 방에서의 접근 권한과 저 방에서의 접근 권한을 다르게 해놓으라는 것이죠.” 베이의 권장사항이다.

2. 패스‘워드’는 실패한다. 패스‘프레이즈’로 가자
인증 및 아이덴티티 보안 전문업체인 원로그인(OneLogin)의 부회장인 데이비드 메이어(David Meyer)는 “암호는 이제 한물 간 인증 방식이므로 없애는 게 차라리 낫다”고 권장한다. 대학생들의 암호 사용 실태는 형편없는 축에 속한다. 얼마 전 발표된 한 통계자료에 의하면 강력한 암호를 사용하는 대학생은 33%도 되지 않은 것으로 나타났다. “암호를 잘 사용하지 못하는 사람에게 다가가는 방법은 두 가지죠. 강력하게 교육을 시키거나 암호를 아예 사용하지 않도록 환경을 만들거나.”

메이어는 이 중 어떤 것이 더 낫다고 말하기는 힘들다고 말하며 절충안을 권장한다. “단어로 되어 있는 암호는 뚫기가 매우 간단하고, 사용자들도 쉬운 단어를 선택하려는 경향이 있습니다. 차라리 암호를 단문으로 만들라고 하세요. 즉 패스‘워드’를 패스‘프레이즈(phrase)’로 바꾸도록 하는 것이죠. 문장은 해커들이 뚫기도 힘들고, 사용자가 기억하기도 편합니다. 그리고 회사 입장에서는 암호를 너무 여러 번 입력하지 않도록 시스템을 개편시킬 필요가 있습니다.”

3. 클라우드 적극 활용하기
여러 통계나 조사에서 젊은 세대들이 보안에 큰 점수를 잃는 분야 중 하나는 ‘기기 분실’이다. 보다 연령층이 높은 세대보다 대학생들의 모바일 기기 분실 확률이 네 배나 높은 것으로 나타나기 때문이다. 하드웨어 기기의 값도 값이지만 데이터가 훨씬 더 아까운 법이다. “그렇다면 기기 분실이 발생했을 때 손실액을 최소화하는 방법은 한 가지, 데이터를 살리는 겁니다. 클라우드가 해결책이죠. 데이터 백업만 클라우드에 잘 해두기만 한다면 기기 손실로 잃어버리는 금액은 하드웨어 값에서 그칠 수 있게 되죠.” 메이어의 설명이다.

하지만 이는 말처럼 쉽지가 않다. 아직은 클라우드에 항상 접속해 있을 정도로 무선 통신망이 보급되지 않았기 때문이다. 게다가 공공 무료 와이파이는 위험하니 접근하지 말라고 강조하는 기업이라면 ‘클라우드에 항상 최신 데이터를 백업해두라’고 말할 수 없지 않겠는가? “그러니까 클라우드를 적극 활용하라는 말 속에는 ‘회사가 엔드포인트 기기들을 하나 하나 살펴 인증을 해주거나 사용자들에게 클라우드 접근 권한을 등급별로 정해주는 등의 노력을 하라’는 의미가 포함되어 있습니다. 또한 ‘필요한 경우 기기의 데이터를 원격으로 삭제할 수 있는 솔루션을 설치하라’와 같은 의미도 들어있죠.”

4. 구체적이고 꼭 필요한 교육, 그리고 커스커마이징
사회에 막 진출하려는 대학생 새내기들은 살짝 흥분상태에 있다. 그건 선배 세대나 기성세대도 마찬가지다. ‘공부’라는 과정을 끝마치고 사회라는 새로운 세상에 들어서는 그들에게 우리가 매일 들락날락거리는 사무 공간은 새롭고 진귀한 곳이다. 사실 그래서 이들에게 있어 ‘교육’은 쉬이 식상해지는 주제이며, 그리 달갑지 않은 것이다.

“그래서 학교 공부와 똑같이 ‘묻지도 따지지도 말고 이렇게 하고 저렇게 해’라고 가르치면 효과가 거의 없습니다. 보안 교육을 시켰다고 해서 실제로 보안 사고가 일어났을 때 책임을 당사자에게 물을 수 없습니다. 물을 수 있다고 해도 결국 직접적인 손해는 누가 보나요? 회사죠. 그럼 교육 효과를 최대한 높여야 합니다. 그러려면 대학생들의 흥분상태를 이용해야 해요. 이는 새로운 ‘공부거리’가 아니라 ‘새로운 세상에서의 새로운 문화다’라고 말해줘야 합니다. 이게 어른들의 신문물이야, 라고 말이죠.” 메이어의 설명이다.

“또한 맞춤형이고 구체적이어야 합니다. 그저 보편적으로 누구나 알 법한 말만 해서는 하품만 나죠. 우리도 그렇지 않습니까? 새내기들에게 새로운 임무가 다양하게 맡겨질 텐데, 그러면 한 사람 한 사람에게 다가가서 그 사람 고유의 업무에 따른 고유한 보안 지침 사항들을 알려줘야죠. 그 사람 성향과 습관까지 고려해서 가르쳐줄 수 있으면 더 좋고요.”

베이도 이에 동의한다. “마치 전쟁 때 청장년들을 모집하는 것과 비슷하게 사기도 진작시켜야 하고 애사심도 고취시켜야 합니다. 이런 것에 참여하는 것이 얼마나 자랑스럽고 발전적인 일인지, 느끼게 해줘야죠. 사실 사이버전과 해킹 사고가 빈번하게 일어나는 요즘과 같은 시기는 전쟁에 비유해도 무방합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)