최근 사이버 공격의 시작점 대부분은 ‘피싱 공격’
해킹 범죄는 if의 문제가 아니라 when의 문제

[보안뉴스 문가용 기자] IT의 생태계가 반복해서 바뀌고 있다. 그래서 예전의 방식으로는 데이터든 네트워크든 기기든 제대로 지키기가 힘들다. 최근 버라이즌에서 발표한 데이터 유출사고 수사 보고서(Data Breach Investigations Report)에 의하면 데이터 유출 사고의 63%가 일반 사용자들의 로그인 정보 도난으로부터 시작된다고 한다. 모바일 기기의 확산에 따라 기업의 네트워크는 점점 더 통제 불능이 되어가고 있고, 사회의 역군이었던 일반 사용자들은 역적이 되고 있다.


얼마 전까지만 해도 APT라고 하면 ‘지능적 지속 위협(advanced persistent threat)’의 준말로, 사이버 공격의 대명사처럼 여겨졌다. 하지만 최근 사이버 생태계를 위협하는 APT라고 하면 ‘평범한 피싱 기술(average phishing technique)’이 더 먼저 꼽힌다. 요 근래 일어났던 대형 유출 사고들은 거의 전부 피싱 공격으로부터 시작됐고, 그에 따라 기술적으로 그다지 뛰어나지 않아도 얼마든지 해킹 범죄로 피해를 줄 수 있다는 사실이 부각되기 시작했다. 그러면서 사이버 범죄는 해마다 증가하게 되었다.

그러니 사용자들은 눈을 보안 업계로 돌릴 수밖에 없다? “어쩌면 보안 업계가 일을 제대로 하지 못하는 거 아닐까?”

이 답에 답하려면 먼저 많은 일반 사용자 및 일반 기업들의 가장 큰 오해를 하나 짚고 넘어가야 한다. 사이버 범죄는 ‘일어날까 말까’의 문제, 즉 ‘만약’의 문제가 아니라, 언제 일어날까의 문제라는 것이다. 즉, if가 아니라 when이 키 포인트다. 정보 보안을 if의 문제로 보기 시작하면 단 한 번 사고가 일어나도 보안 업계가 무능하게 보일 수밖에 없다. 100번을 방어해도 한 번 당한 것 때문에 업계 전체가 아무 것도 하지 못한 것처럼 매도당한다. 인터넷에 연결된 곳이라면, 반드시 어느 시점엔 해킹을 당하게 되어 있다.

‘when’의 시점으로 IT 업계를 보면 – 그리고 그것이 현실에 적합한 시각이다 – 그 확률을 최대한 낮추기 위해 해야 할 일이 명확하게 보인다. 바로 정보보안 위생을 평소부터 지키는 것이다. 그리고 이는 매일 같이 해야 하는 간단하고 단순한 일들이다. 억 단위 돈을 써서 초특급 보안 솔루션을 구매하고, 더 많은 돈을 들여 전문가들을 영입하기 전에 조직 전체에 이런 보안 위생 문화가 자리 잡도록 하는 것이 더 중요하다.

1. 암호에 대한 이야기가 많은데, 아무리 그래도 암호가 조만간 사라지지는 않을 것이다. 그러므로 암호를 세팅할 때 강력하게 만들고, 되도록 사용처마다 다른 암호들을 사용한다. 물론 이게 말처럼 쉬운 건 아니다. 암호 외우기 싫어서 직원들이 포스트잇에 적어서 모니터에 붙여 놓는 것에 대한 문제 제기도 얼마나 많이 되었던가. 조직 차원에서 ‘무조건 암호 어렵게 하라’고 강요할 때 이런 일이 발생한다. 대화나 수정을 통해 최대한 현실적인 선을 정해두는 편을 권장한다. 이 결정에는 직원들도 참여할 수 있어야 지켜질 확률도 높아진다.

2. 기업이 암호에 대해 할 수 있는 또 다른 현실적인 방안은, 암호 관리 프로그램을 구입하는 것이다. 이런 솔루션들을 사용하면 사용자들의 암호가 확실하게 강력해지고, 또 서비스마다 고유한 암호를 사용하게끔 유도할 수 있다. 게다가 암호를 포스트잇에 붙여 놓는 직원들의 수도 크게 줄어들 것이다. 요즘 나오는 프로그램들은 웹과 자동 연동되기 때문에 사용성도 매우 높다.

3. 2중 인증은 매우 권장할만한 사항이다. 어차피 일반 사용자들도 점차 2중 인증에 익숙해져야 할 것이다. 2중 인증은 암호가 다른 인증 기술에 완전히 밀려날 때까지 한동안 모든 사이버 생활의 기반이 될 것이기 때문이다. 2중 인증 시스템은 로그인 정보를 훔쳐내는 것에서부터 시작하는 각종 사이버 범죄를 크게 줄여준다. 또, 네트워크에 접속하는 데에 필요한 인증 절차와 네트워크 내의 자산에 접속하는 데에 필요한 인증 절차를 따로 마련하는 것도 좋은 방안이다.

4. 패치는 모조리 하고, 서둘러 한다. 솔직히 요즘 기업들 중 서버 관리 잘 못하는 기업들은 거의 없다. 특히 패치에 있어서는 서버나 네트워크에 연결된 직원들 PC 모두 잘 관리하고 있다. 하지만 시대가 바뀌었기 때문에 서버나 PC만으로 조직 전체의 사이버 환경을 잘 관리하고 있다고 말 하기는 힘들다. 이미 자기 노트북이나 태블릿을 가지고 와서 작업하는 직원들이 존재하고 있고, 이런 기기들은 거의 전부 직원 소유이기 때문에 회사에서 패치 여부를 관리할 수 없게 된다. 그렇기 때문에 민감한 회사 정보에 접근할 때 최신 버전 소프트웨어 및 운영 체제, 기기들로만 가능하도록 설정해두는 것이 요즘엔 대세다.

5. 백업도 이젠 사업 전략이다. 랜섬웨어가 기승을 부리는 건 왜인가? 범죄자들이 악랄하고 창의적으로 머리를 써서? 아니다. 우리가 할 일을 안 하고 있어서다. 그리고 그 할 일 중 하나가 백업이다. 랜섬웨어의 폭풍이 지나가고 있는 동안 백업을 제대로 하지 않았던 조직들은 늦가을 나뭇잎들처럼 우수수 떨어졌다. 제대로 했던 조직들은 버텨냈다. 서비스에 차질이 없도록 하면서 효율이 높은 백업을 하려면 클라우드 기술을 활용하는 게 아직까지는 제일 좋아 보인다.

6. 직원들이나 협력업체 직원들이 보안에 대해 매우 민감하도록 만들어야 한다. 모두다 스노우든처럼 만들라는 게 아니라, 적어도 이메일이나 첨부파일을 열어볼 때, SNS 메시지를 확인하고 클릭할 때 한두 번 의심해보도록 하라는 것이다. 이것만으로도 피싱 공격을 막기엔 충분하다. 교육을 목적으로 한 가짜 피싱 메일을 비정기적으로, 그러나 자주 발송해, 걸리는 사람에게 뼈아픈 벌칙을 부여하는 것으로 효과를 볼 수 있다. 이런 벌칙을 받기 싫어서라도 직원들은 ‘민감해’진다.

가장 현실적인 건 기본을 지키는 거다. 가장 보안을 걱정하는 사람은 기본부터 지키기 시작한다. 지갑에 돈이 있다고 해서 당장 내일 비싼 솔루션 회사들과 계약하지 말라. 먼저는 그 솔루션이 효과를 발휘할 만한 토양을 만드는 것부터 해야 한다. 기본적인 세수 및 목욕 습관이 없다면, 아무리 좋은 보양식과 비싼 약을 섭취하면 뭐하겠는가?

글 : 스티브 만주익(Steve Manzuik)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>