• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

낡은 기술과 습관 버릴 줄 알아야 ‘보안’이다 2017.05.12

최첨단 기술 동원해 공격하고 막는 건 일부 이야기
대다수는 낡은 방법으로 공격하고, 더 낡은 방법으로 막고

[보안뉴스 문가용 기자] 사람마다 학습의 과정과 효율이 다르다. 관찰만으로도 충분히 배우는 사람이 있는가 하면, 비싼 값을 치른 후에야 뭔가를 깨닫는 사람도 있다. 불행히도 사이버 보안이라는 과목을 학습하는 사업주 대부분은 후자에 속한다.

ⓒ iclickart


현대의 사이버 보안 위협들은 키로거가 고급 위협으로 분류되던 시대의 그것과는 차원이 다르다. 인터넷에 연결된 각종 기기들까지 공격자들은 활용하고 있다. 그 대표적인 사례가 지난 해 말에 발생한 딘(Dyn) 디도스 사태다. 기업 입장에서는 랩톱이나 모바일뿐만 아니라 각종 사물인터넷 기기들까지도 ‘위협’으로 받아들여야 하는 때가 되었다.

여기에다가 최근 위키리크스를 통해 공개된 볼트 7(Vault 7) 역시 기업들에게는 달가운 소식이 아니다. 볼트 7 속에 포함된 다양한 익스플로잇 방법들이 공개되면서, 해킹 공격자들이 대거 ‘상향 평준화’가 되었기 때문이다.

위협거리들이 갈수록 늘어가고 고급화 되어가는 분위기 속에서 기업 및 기관들은 ‘보안’에 대해 조금 달리 생각해봐야 한다. 사이버 보안은 누군가 하루 종일 시간을 투자해 방어벽을 매일 탄탄히 다져야 하는 성질의 업무가 되었다. 그저 사고 소식이나 첩보를 전파하면서 조심하라고 주의해주는 것 이상 해야 한다는 것이다.

낡은 기술은 과감히 버려야
사이버 보안은 보통 공격자들과 방어자들 간의 군비 경쟁이라고 여겨진다. 좀 더 앞선 무기를 들고 나온 쪽이 우위를 점하는 게 보통이고, 그렇기에 실제로 공격자나 방어자 모두 무기를 갈고 닦는다. 최고의 방어법은 언젠가 뚫리고, 최고의 공격법 역시 언젠가 막히고 만다.

그러나 이처럼 최선의 무기들만 횡행하는 건 아니다. 주로 기업들이 겪는 공격은 한두 세대 전의 구식 방식들인 것이 보통이다. ‘최신 무기가 없어서 졌다’는 말이 사실은 틀리다는 것이다. 이미 알려진 방어법들도 이행하지 않는, 실천력과 성실함의 문제가 된다. 그렇기에 ‘보안 위생’이나 습관이 중요하다고 전문가들이 강조하는 것이다.

예를 들어 다중 인증 방식을 차용해야 한다는 말은 이미 10년도 넘게 보안 업계가 외쳐온 것이다. 그러나 다중 인증을 실제로 도입한 기업은 얼마나 될까? 아직도 대다수는 비밀번호 하나에 기대 많은 사업을 벌이고 업무를 수행한다. 아직도 9%가 넘는 기기들이 윈도우 XP 운영 체제 하에서 인터넷에 연결되고 있다. 공격자들이 딱히 기술을 연마할 필요가 없을 정도다.

임원진들이 IT 팀 혹은 보안 팀의 조언을 새겨들을 필요가 있다. 어려운 일도 아닌, 주기적인 업데이트, 보안 감사, 침투 테스트 등에 조금만 더 시간과 자원을 투자하면 된다. 수익 올리는 데에만 모든 것을 쏟아 붓던 습관을 조금만 포기하면 되는 것이다.

보안 기술 강화 훈련에 더 투자할 것
직원들의 보안 의식이나 기술 강화가 중요치 않다고 여기는 기업들은 거의 없는 것이 사실이다. 하지만 이런 인식에도 불구하고 대부분 보안 담당자들의 말은 무시하고 만다. 보안이 중요한 것과 우리 회사 보안 담당자의 말에 따라주는 것은 별개의 일인 것처럼 여긴다.

공격자들에게 필요한 건 단 한 번의 실수나 무신경이라는 걸 전 사원과 모든 임직원이 기억해야 한다. 그 단 한 번의 실수가 모든 공든 탑을 무너트릴 수 있다. 최고 임원은 권한이 너무 높아서 실수를 저지르고, 어제 고용된 말단 직원은 잘 몰라서 실수를 저지르지만, 공격자에겐 둘 다 차별 없이 소중한 기회 제공자다.

보안에 대한 무관심
이상하게도 많은 기업들이 ‘우린 괜찮을 거야’라고 대단히 확고하게 믿고 있다. 여태까지 사이버 보안 때문에 큰 어려움을 겪었던 곳 대부분 이렇게 믿고 있다가 큰 코 다쳤다. 이런 마음가짐이다 보니 보안에 대한 강조가 귀찮게만 느껴지고, 대단히 과장되어 있다고 내심 생각하게 된다. 그렇게 느껴지는 순간 명성이나 신뢰, 심지어 금전적인 손해까지도 감수하겠다는 각오가 되어버린다는 걸 기억해야 한다.

중요한 걸 안다고 문제가 해결되지는 않는다. 보안이 중요한 걸 모르는 사람은 아무도 없다. 지난 몇 년 이 ‘앎’의 문제가 겨우 해결되었을 뿐이다. 이제는 행동을 취해야 할 때다. 꾸준한 자원의 투자를 감행해야 할 때다.

글 : 토드 티보도(Todd Thibodeaux)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>