보안을 위한 기술들, 해커들의 공격 및 신분 숨기기에도 안성맞춤
모바일 및 클라우드로 특징되는 네트워크 환경에도 구멍 송송

[보안뉴스 문가용] 각종 보안 매체나 컨퍼런스에 등장하는 여러 보안 전문가들을 보고 있자면 고개가 갸웃거려진다. 이들은 어떻게 이렇게나 모든 해결책을 빠삭하게 알고 있는 거지? 공격이 어떤 식으로 파고들었는지 조차 파악이 힘든데, 그건 나만 그런 걸까?


사실 온갖 노이즈를 뚫고 진짜 취약점 하나를 짚어낸다는 건 무지 어려운 일이다. 이거 하나 잘못 짚어서 공격에 허무하게 당하는 조직이 넘쳐난다. 아예 시작점부터 잘못 되어버리니 보안 전략이라는 게 엉뚱해지는 것이다.

보안 전문가들에게 있어 수사나 전략 구축에 있어 시작점을 정확히 짚어내는 건 매우 중요한 일이다. 그러려면 가시성이 확보되어야 하고, ‘무엇을’ 찾으려고 하는지도 명확히 인지하고 있어야 한다. 또한, ‘무엇을 모르고 있는가’도 정확히 알아야 한다. 이 ‘모르는 것 파악하기’가 매우 중요한데, 이를 해결해감으로써 정확한 시작점을 짚어내는 것도 가능하기 때문이다. 최근 들어 ‘난 도저히 확신할 수 없다’고 생각하게 한 문제들은 다음과 같다.

양날의 검, 암호화
암호화에 대한 논쟁이 뜨겁게 불타오른 것은 비교적 최근의 일이다. FBI와 애플이 싸우기 시작하면서 불은 더 활활 타올랐다. 암호화는 보안에 있어 가장 중요한 툴 중 하나다. 정보에 대한 완벽한 통제를 미처 하고 있지 못할 경우 암호화는 더욱 중요해진다. 하지만 이런 유용성 때문인지 암호화의 치명적인 단점을 우리는 간과하고 있었다. 암호화 기술로 악성 트래픽도 덮을 수 있다는 것이다. 암호화로 보호받는 건 우리 데이터만이 아니다.

현재 보안 업계의 추세가 빠르게 암호화 쪽으로 기울어져 감으로써 이 문제는 확대되고 있다. 기존의 패킷 스니퍼들을 가지고는 안전하다거나 위험하다는 판단을 내리기 힘들어진다는 뜻이기 때문이다. 상황이 이러니 어떻게 보안 툴들을 믿을 수 있으며, 어떻게 다 알고 있다는 생각을 할 수 있겠는가?

지금 암호화로 얻는 이익과 손해는 아무도 정확히 알아낼 수가 없는 부분이다. 자, 그럼, 여기서부터 이야기를 해나가면 된다. 암호화된 데이터를 어떤 식으로 관리하고, 어떻게 가시성을 확보할 것인지 연구하면서 합의점을 찾아야 한다. 암호화를 적용했을 때 극대화될 수 있는 손해는 무엇인지 꼽아서 정리해야 한다. 올바른 기술을 올바른 지점에 적용해야 한다는 것이다. 암호화 기술을 도입했다고 해서 안전한 건 아니다.

보이지 않으면 지킬 수도 없다
데이터에 대한 가시성이 확보되지 않는 중요한 이유 중 하나가 암호화일 수도 있지만, 암호화가 다는 아니다. 암호화가 되어 있지 않아도 보안팀은 다른 직원의 트래픽에 접근할 수가 없다. 솔직히 요즘 기업이 직원들의 이메일 내용을 들여다보거나 하지 않지 않은가? 게다가 기업 전용 랩탑을 직원들에게 모두 나눠주고 “이것만 써”라고 하는 시대도 아니다. 다들 모바일 기기 하나는 휴대하고 있은 게 현실이며, 클라우드 계정 하나씩 가지고 있기도 하다.

이런 시대의 흐름 때문에라도 가시성은 보안팀들에게 잘 주어지지 않고 있다. 보안팀이 안전하다고 생각하는 곳으로만 트래픽이 흐른다고 볼 수도 없고, 직원들 모두가 개인 모바일 기기를 네트워크에 공식적인 절차를 통해 등록할 것이라고 기대할 수도 없다. 이래도 모두 다 안다고 할 수 있을까?

무엇을 찾아야 할지도 모른다언젠가부터 보안 업계의 전문가들이라는 사람들은 ‘무엇을 찾아내야 하는가’에 대한 답을 찾기 위해 철저한 조사보다는 ‘가정’을 더 일삼고 있는 것으로 보인다. 가정해야 할 부분이 무엇인가 알고 있는 것만으로 뭔가를 ‘알고 있다’고 착각하고 있기도 하다. 대단히 위험하다. 우리가 지금 가지고 있는 기존의 보안 툴들로는 충분치 않다.

해커들은 우리의 방어 체계를 샅샅이 알고 있다. 어떤 논리의 과정으로 수사를 하고 공격을 찾아내는지도 알고 있으며, 그것들을 어떻게 파훼하는지도 손금 보듯 안다. 기존 보안의 구조가 완벽히 무너졌다는 건 올해 초부터 광풍처럼 불어 닥치는 랜섬웨어 공격을 통해서도 증명이 되고 있다.

그렇다면, 무엇을 찾아내야 하는지 알 수만 있으면 문제는 해결되는가? 생각보다 간단치 않다. SSL 암호화는 시그니처 파악을 의미 없게 만든다. 모바일 기기의 발전과 생활화로 인해 사실상 조직이 트래픽을 통제할 수 있는 수단은 없어져 버렸다. 클라우드와 각종 프라이버시 보호법 등 때문에 문제는 더욱 복잡해져간다.

보안 전문가들이 해야 할 일은 자신들이 가지고 있는 보안 툴들과 그 툴들로 커버가 되지 않는 문제들을 파악해야 한다. 내가 가진 장비와 지식으로 모를 수 있는 사각지대를 찾아내야 한다는 것이다. 그리고 그에 대한 대처법을 마련해야 한다. 솔루션 구매를 하든 정책을 마련하든 말이다.

능동적인 방어가 필요하다
솔직히 말하자. 기존의 정보보안은 더 이상 통하지 않는다. 이 기술과 방법론을 고집해갔을 때 우리 앞에 놓일 것은 실패뿐이다. 다른 것이 필요하다. 새로운 것이 필요하다. 능동적인 것이 필요하다. 암호화 기술과는 별개의 가시성이 필요하고, 그 가시성을 바탕으로 경계가 자꾸만 변하는 요즘 시대의 네트워크를 지켜봐야 한다. 우린 지금 모르는 것이 너무 많다. 알고 있다고 전문가처럼 행세하는 것보다, 모르는 것이 무엇인지 아는 전문가가 되어야 한다.

글 : 마이클 서튼(Michael Sutton)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>