너무나 당연해 간과하고 있는 현실... “공격은 시간문제다!”
무엇을 어떻게 보호할 것인가? 끊임없는 변화 필요해

[보안뉴스 문가용] 세계반도핑기구(WADA)가 최근 해킹을 당해 일부 선수들의 개인정보가 유출되는 일이 있었다. 여기에는 세레나 윌리엄스(Serena Williams), 비너스 윌리엄스(Venus Williams), 시몬 바일스(Simone Biles), 엘레나 델레 도네(Elena Delle Donne) 등의 유명 미국 선수들은 물론 타국 선수들도 포함되어 있었다.


공격자가 누군지에 대한 추측이 난무하는 가운데 WADA는 이를 팬시 베어(Fancy Bear)의 소행이라고 공식적으로 발표했다. 이런 때 보안전문가들의 반응은 한결 같다. “확인은 못해. 증거가 없으니까. 심증만 있을 뿐.” 하지만 WADA가 정말 별 다른 근거 없이 팬시 베어라는 이름을 댔을까?

일단 WADA 해킹 사건은 금전적인 목적을 가진 범죄가 전혀 아니다. 신용카드 번호를 노린 것도, 사회보장번호를 훔치려 한 것도 아니었다. 해커들이 제일 먼저 미국 선수들의 정보만을 공개한 것은 “러시아 정부가 도핑을 후원했다”며 러시아 선수들을 대거 출전 금지시킨 국제올림픽위원회의 결정에 항의하는 의미로 미국 올림픽위원회에 의문을 제기하기 위함이었다.

이 사건이 흥미로운 건 공격을 받은 사람들이 우리가 흔히 생각하는 ‘사이버 범죄의 피해자’가 아니었기 때문이기도 하다. 개인정보와 건강정보가 도난당했다고 했을 때, 세계반도핑기구를 제일 먼저 떠올릴 사람이 얼마나 될까? 솔직히, 훔쳐내는 사람들 입장에서도 WADA가 제1선에 생각나지는 않는다. 운동선수도 마찬가지다. 그렇기에 WADA 측도 별다른 보안조치를 강구하지 않았을 가능성도 높다.

보호해야 할 것이 무엇인지 파악하기
나름 색다르다면 색다르다고 할 수 있는 WADA 해킹 사건에서 우리가 얻어가야 할 교훈은 무엇인가? 자기가 보관하고 있는 자산들 중 무엇을 보호해야 하는지 명확히 파악해야 한다는 게 제일 먼저 떠오른다. WADA의 경우는 선수들의 개인정보였다. 약물 검사 결과나 기타 건강 관련 정보도 당연히 여기에 포함된다.

What이 결정되었다면 How의 차례다. 어떻게 보호해야 하는가? 쉽지 않다. 그리고 조직과 환경에 따라 천차만별이다. 다만 해왔던 것을 관성에 젖어서 하고, 여태까지 통했던 방식을 그냥 그대로 적용해가는 조직들이 많다는 건 확실하다. WADA의 경우처럼, 공격의 대상마저도 계속해서 변화하는데, 예전 방식을 그대로 고수하는 건 방어를 하지 않는 것과 동일하다.

또 하나 흔히 보이는 실수는 ‘누가 날 공격하겠어?’라는 생각이다. 아무리 보안전문가들과 IT 업계에서 “해킹은 확률의 문제가 아니라 시간의 문제”라고 설명을 해도 믿지 않는다. 물론 공포 마케팅의 일환처럼 보이는 부분도 있고, 진짜 그렇게 악용하는 벤더들도 있지만, 큰 틀에서 봤을 때 누구나 공격에 노출되어 있는 건 사실이다. 안전한 사람은 단언컨대 한 사람도 존재하지 않는다. 그저 사회의 일원으로 살아간다는 것 하나만으로 당신에게는 돈이 되는 정보가 그득하니까.

그러니 이번 WADA 해킹 사건을 두고 러시아가 또 그랬냐는 둥 운동선수 개인정보를 훔치다니 굉장히 새롭다는 둥 말하기 전에 이 두 가지를 기억할 필요가 있다. 변하지 않는 방어체계란 존재하지 않는 것과 같고, 당신도 곧 공격당할 위기에 처해 있다는 것 말이다. 그것이 현대 사이버 환경의 현실이다.

글 : 개리 뉴(Gary Newe)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>