생체인증이 심어주는 잘못된 보안 안도감...규정들은 공격 표면 넓히고
언제나 까다로운 내부자 위협, 빠른 변화와 경쟁 구도 때문에 더 만연해질 것

[보안뉴스 문가용 기자] 앞으로 수년 내에 오늘 날의 디지털 세상을 구성하고 있는 근간은 크게 흔들릴 것이다. 각종 기술을 개발해내고 있는 해커들의 공격 때문이기도 하지만 정상적인 기업들의 사업 행위가 완전히 바뀌게 되면서 우리가 알고 있는 것들에 적잖은 변화가 있을 예정이다.


최근 ‘위협 지평선 2020(Threat Horizon 2020)’이라는 보고서가 업계에 발표됐다. 일반 기업들에게 오늘날 등장하고 있는 각종 위협들의 최신 현황을 알려주기 위해 해마다 발표되는 것으로 올해 역시 향후 2년 동안 나타날 위협들에 대한 예측을 담고 있다. 이 중 몇 가지를 살펴보자.

1) 생체인증, 잘못된 보안 감각 심어준다
생체인증 기술이 공격적으로 도입될 것으로 보인다. 한 동안 소비자들의 거부감에 앞날이 불투명했던 분야지만 현재 여러 모바일 폰 등에 도입되면서, 그 장벽이 낮아졌다. 기업들도 데이터를 보호하는 데에 있어 편리하고 강력한 생체 인증을 선호하기 시작했다. 그러면서 생체 인증만 있으면 모든 데이터가 튼튼하게 보호될 것이라는 ‘기대감’들도 부풀어 올랐다. 생체 인증이 있으니 다른 것에 소홀해지기 시작한 건데, 이는 대단히 잘못된 생각이다. 생체 인증도 여러 보안의 층위 중 하나일 뿐이다.

기존의 보안 정책만으로는 생체인증에만 지나치게 기대는 문제를 제대로 다룰 수 없다. 그렇다면 조직 내 모든 사람들이 최고 임원부터 신입 직원까지 생체인증 기반 장비들을 마구 들여오기 시작할 때 문제가 커질 수 있다. 그러므로 앞으로 유행이 될 생체 인증에 대한 대비를 미리 하기 시작해야 한다. 한 번 뚫리기 시작하면 훨씬 더 위험할 수 있는 게 생체인증이라는 걸 기억하자.

2) 새로운 규정은 리스크와 컴플라이언스 부담감을 동시에 높인다
2020년까지 각 지역 사회와 국제 사회는 여러 가지 규정을 새롭게 마련할 전망이다. 그러나 기존 규정들이 삭제되는 사례는 그렇게 많지 않을 것이다. 얽히고설킨 규정의 굴레가 기업들을 꽤나 옭아 맬 상황이 펼쳐질 것인데, 이렇게 컴플라이언스에 대한 요구가 늘어날수록 공격의 면적은 늘어난다. 공격자들은 늘어난 공격의 면적을 활용하기 위해 끝없이 스캔하고 탐색하면서 기회를 노릴 것이다.

조직에 따라 규정 때문에 오히려 민감한 정보가 늘어날 수도 있다. 규정을 지키기 위해 더 많은 정보를 쌓고 지켜야 할 수도 있고, 민감한 정보의 범위가 규정으로 확대될 수도 있기 때문이다. 투명성 보고서 같은 걸 ‘반드시’ 작성해야만 한다고 했을 때, 조직에 따라 이것이 ‘외부로의 불필요한 정보 공개’가 될 수도 있다.

규정이 모든 기업에 똑같은 의미가 되지 않을 때, 그럼에도 기업 입장에서 지켜야 할 규정이 너무나 많아서 숨도 쉬기 힘들 때, 기업들은 주요 임직원들이 위험한 곳 근처에도 못 가게 하거나, 규정을 어길 시 어마어마한 벌칙을 받도록 조치를 취할 수밖에 없을 것이다. 결국 경영진들은 어느 시점에 대단히 어렵고도 중요한 결정을 내려야 하는데, 이 때 잘못된 판단을 하는 회사는 치명적인 손해를 보게 될 것이다. 특히 규정에 의거한 벌금(2020년 즈음에는 벌금의 규모가 상당할 것이다)과 시장에서의 신뢰를 잃는다는 게 크게 작용할 것이다.

3) 신뢰받는 전문가들이 기업의 약점을 누설한다
끝없는 이윤 추구와 근무지에서의 계속되는 변화 때문에 전문가들이라도 불안감에 노출될 수밖에 없다. 이는 소속감을 저하시키고, 조직에 대한 책임감도 낮춘다. 이는 사이버 공격자들에게 좋은 기회가 될 것이다. 사실 지금도 그러한 유혹이 없지 않다. 다크웹에서는 특정 조직이나 기업의 직원을 모으는 공고가 이따금씩 올라온다. 내부자를 심으면 모든 보안 장치를 물거품처럼 사라지게 만들 수 있기 때문이다.

대부분의 조직들은 중요한 정보 자원들로 접근하게 해주는 비밀번호와 키들을 신중하게 보관한다. 정말 필요한 사람, 정말로 믿을만한 직원들, 그중에서도 업무상 꼭 필요한 이들에게만 이런 치명적인 정보를 공유한다. 앞으로 이런 사람들은 더한 유혹에 시달리게 된다. 유혹만이라면 다행인데, 개인이나 가족에게 치명적일 수 있는 정보를 손에 쥐고 협박하며 기업의 중요한 정보를 넘기라고 요구할 수도 있다.

내부자 위협은 항상 까다로운 문제였다. 그런데 앞으로는 이 문제가 더더욱 심각해지고 만연할 것이라고 전문가들은 예상하고 있다. 버그바운티와 책임감 있는 공개 문제가 지난 몇 년 동안 기반을 쌓아오면서 해커들이나 내부자 모두 침투 테스트 결과나 취약점 정보 등 ‘비밀은 비싼 것’이라는 인식을 갖게 됐기 때문이다. 내부 직원 혹은 파트너사를 무조건 믿는 분위기만으로는 이러한 미래에 큰 코 다칠 확률이 높다.

글 : 스티브 더빈(Steve Durbin), Information Security Forum

3줄 요약
1. 향후 2~3년 동안 있을 사이버 위협을 예측해보자.
2. 생체인증 만연하면서, 오히려 보안에 해이하게 될 것이며, 규정 많아져 공격 표면 높아질 것.
3. 또한 잦은 변화와 심화되는 경쟁 구도 때문에 내부자 위협이 더 거세질 것.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>