집이나 카페에서 일하는 태도와 사무실에서 일하는 태도 다를 수밖에 없어
비상 연락망 구축하고, 장비 안전하게 설정하는 것부터 해야...서두르면 위험

[보안뉴스 문가용 기자] 코로나19 때문에 많은 기업들이 직원들의 건강을 지키기에 돌입했다. 동시에 그 동안 진행해 왔던 사업에도 차질이 없도록 하는 데에 전력을 기울이고 있다. 그러면서 가뜩이나 찬밥 신세였던 보안이 더더욱 차갑게 식어가고 있는 분위기다.


마이크로소프트, 알파벳, 페이스북, 애플 등 이른 바 거인들이라 불리는 기업들은 전부 ‘집에서 근무하라’고 직원들에게 지시를 내린 상태다. 구글과 시스코와 같은 기술 기업들은 협업을 원활하게 해주는 도구들을 무료로 공개해 전 세계의 ‘갑자기 재택근무자’들이 원활하게 업무를 볼 수 있도록 했다. 건강과 생산성에 초점이 맞춰진 움직임이다.

시스코(Cisco)의 CTO인 브렛 하트만(Bret Hartman)은 “코로나19 때문에 많은 근무자들이 집에서 근무하도록 강요받고 있는 상황”이라며 “이 새로운 체제에 대한 부담감은 IT 전문가들에게 오롯이 실리고 있다”고 짚었다. 시스코의 경우 전 세계 고객사들 중 30%가 원격 근무 체제를 위한 네트워크 규모 조정을 요청해 왔다고 한다. 또한 온라인 미팅 도구인 웹엑스(Webex)의 사용량이 일본, 싱가포르, 한국에서 급격히 증가하는 중이라는 점도 알렸다.

“그러면서 보안 책임자들의 애간장은 녹고 있다”고 옵티브 시큐리티(Optiv Security)의 서비스 국장 크레이그 라카바(Craig LaCava)는 말한다. “대부분의 CISO들은 지금 ‘최악의 경우’를 떠올리며 대비를 하고 있습니다. 그러나 재택 근무를 한다며 온 사방으로 흩어진 근무자들이 일일이 상상하기 힘든 변수들을 만들어 내고 있어서 문제입니다. 모두가 올바른 장비, 프로세스, 절차로 일을 하는 게 아니고, 이상적인 원격 근무 환경도 미처 다 만들어지지 않은 상태이기 때문이죠.”

원격 근무와 사내 근무는 업무의 ‘다이내믹’이라는 측면에서 완전히 다르다. 특히 매일 물리적으로 가까운 곳에 동료를 두고 의논해 가면서 일을 하는 직군의 경우라면 이 차이가 더 크게 느껴질 수밖에 없다. 차이가 크다는 건 생산성이 떨이지고 소통이 잘 되지 않으며, 이로 인한 다양한 장애를 경험할 수밖에 없다는 뜻이다. 그리고 이 장애로 인해 보안이 타격 받을 확률이 가장 높다.

급격히 커지는 공격 표면
깃랩(GitLab)의 원격 부문 수장인 다렌 머프(Darren Murph)는 “위기로 인해 강제된 원격 근무의 시대”라는 표현을 사용하는데, 이 역시 “자발적 원격 근무 체제와 다를 수밖에 없다”고 설명한다. “준비나 경고, 교육이나 지침 없이 갑자기 집으로 쫓겨나는 것이기 때문입니다. 재택 근무가 사람의 본능과 가까운 행위인 것도 아니고 말이죠.”

누구나 낯선 환경에서는 실수를 더 높은 확률로 저지르기 마련이고, 그러면서 보안 사고의 가능성도 높아진다. “거실이나 집 근처 카페에서, 개인 컴퓨터나 핸드폰 등을 마구 섞어가며 일을 하는 환경에 준비 없이 던져지고 있습니다. 집이나 카페의 네트워크가 안전한지 점검할 생각도 못하고, 생각을 한다고 해도 방법을 모르는 사람이 태반이고요. 그런 좀 편안한 분위기에서는 자연스럽게 장비를 켜둔 채로 잠깐 자리를 비우는 경우도 많아지죠. 위험 수위가 높아진다는 겁니다.”

보안 업체 아미스(Armis)의 CISO인 커티스 심슨(Curtis Simpson)은 “가정용 네트워크에 사물인터넷이 계속해서 누적되고 있다는 것도 위험천만한 요소”라고 지적한다. “전구, 냉장고, 도어락, 라우터 등 사물인터넷 장비의 수가 늘어나는 중이죠. 라우터는 대부분 디폴트 비밀번호 그대로고요. 사물인터넷 장비들은 하나하나가 침투 경로로서 작용할 수 있습니다. 장비 하나가 추가되는 건, 구멍 하나가 추가되는 것과 같아요. 그런 상황에서 업무용 데이터를 처리하고 주고받는다는 건, 눈에 보이지 않아서 그렇지, 대단히 위험한 일입니다.”

모바일 장비를 보호하는 게 어렵다는 것도 문제다. 시스코의 ‘2020 CISO 벤치마크 보고서(2020 CISO Benchmark Report)’에 의하면 “모바일 장비를 보호한다는 건 ‘매우’ 내지는 ‘극히’ 어려운 일”이라고 한다. 듀오 시큐리티(Duo Security)도 보고서를 통해 “비밀 앱 혹은 내부자 전용 앱에 대한 접근 요청의 45%가 외부에서 들어온다”고 공개했다. 모바일이라는 통로로 직접거리는 놈들이 많다는 뜻이다. 공격자들도 모바일 보호가 힘들다는 건 알기 때문이다.

그러면 회사가 점검하고 승인했으며, 보호 솔루션을 설치한 업무 전용 장비를 집으로 들고 가 작업하는 건 어떨까? 보안 측면에서 개인 장비보다 훨씬 낫지만, 그렇다고 100% 안전해지는 건 아니다. 특히 사이버 범죄자들이 코로나19와 관련된 피싱 공격을 세계 곳곳에서 실시하고 있기 때문에 사용자가 정신 차리지 않으면 언제나 공격에 당할 수 있기 때문이다. 이미 이모텟(Emotet)과 각종 RAT 멀웨어들이 코로나19를 테마로 삼고 퍼지고 있는 상황이다.

보안 팀이 예상해야 할 것들
시애틀아동병원의 CIO였던 드렉스 드포드(Drex DeFord)는 “재택 근무를 준비하는 조직의 보안 팀이 제일 먼저 해야 할 건 집으로 가져가야 하는 장비들을 보호하는 것”이라고 말한다. “먼저는 설정을 올바르게 해야 하고, 필요한 보안 솔루션들을 설치해야 합니다. 위기 상황에서 사람들은 급박함을 느끼고, 그 급박함은 본능적으로 지름길만을 찾으려는 성향을 수면 위로 드러냅니다. 보안 담당자들은 그런 본능을 조금 억눌러야 합니다. 같이 서두르다가는 모두가 지뢰밭에 떨어질 수 있거든요.”

깃랩의 수석 보안 엔지니어인 마크 러브레스(Mark Loveless)는 “직원들이 사무실에서 하던 그 태도 그대로 일을 하지 않을 때부터 보안의 걱정거리가 많아진다”고 지적한다. “자리를 비울 땐 화면 보호기를 사용한다든가, 비밀번호를 종이에 써두지 않는다든가, 회사 계정을 다른 사람과 공유하지 않는 등의 습관은 근무 환경에서는 지키기가 편합니다. 몸이 기억하고 있달까요. 하지만 집에 가면 풀어지죠. 재택 근무의 변수는 거기에서부터 나옵니다.”

러브레스는 “집에서의 태도가 근무처에서의 태도와 180도 다른 경우도 많다”며 “집에서마저 보안 수칙을 철저하게 지키는 사례는 찾기 힘들다”고 말한다. “재택 근무자가 늘어날 때 보안 담당자는 직원들이 집에서조차 풀어지지 않도록 독려하고 설득하는 역할을 가장 잘 수행해야 합니다. 물론 이게 말처럼 쉽지 않지만요. 어쩌면 C레벨 임원들과 함께 정책을 수립하는 것이 현실적인 방안일 수 있습니다.”

태도도 태도지만, 장비도 문제다. 집에 기업용 방화벽이나 침투 방지 도구를 설치하고 인터넷을 쓰는 사람은 정말로 희박하다. 솔루션이나 백신 역시 가장 저렴한 제품들이 가정용 컴퓨터 대부분을 차지하고 있다. “위험한 행동은 늘어나고, 안전 장치는 줄어들고... 이게 지금 재택 근무지로 직원들을 보내는 보안 담당자들이 직시해야 할 현실입니다.”

심슨은 “표적형 계정 탈취 공격 시도가 앞으로 더 늘어날 것도 자명한 일”이라고 말한다. “이제 공격자들도 압니다. 우리가 다 각자의 집으로 흩어졌다는 걸. 그러니 계정을 노린 표적 공격을 더 집요하게 할 겁니다. 즉, 재택 근무가 유행하기 전보다 크리덴셜을 도난당하는 직원들이 훨씬 많아질 거라는 뜻입니다. 그러나 보안 담당자가 이를 막기 위해 할 수 있는 일이 사실 거의 없다는 게 상황을 더 답답하게 만듭니다.”

그렇다면 지금 할 수 있는 일은?
깃랩의 머프와 러브레스는 “문서화가 가장 중요하다”고 꼽는다. “각자가 자기 자리로 흩어지는 때에, 단 하나의 기준(single source of truth)이 정해져야 합니다. 일단 보안 팀들도 여러 군데로 흩어져서 나름의 모니터링, 경보 분석, 사건 대응 등을 할 텐데, 이러한 모든 행위에 대한 기준을 정해줘야 합니다. 그렇지 않을 경우, 조직은 실질적으로 아무런 대응을 하지 않는 것과 다름 아닌 상태가 됩니다.”

드포드도 비슷한 조언을 한다. “일단 이런 저런 현상이 발견되면, 이런 저런 곳으로 연락하라는 지침을 간단 명료하게 내려주는 것이 좋습니다. 우려되는 현상들을 목록화 하고, 그에 상응하는 비상연락망이 필요하겠죠. 그래야 최소한 사건에 대한 대응을 할 수 있게 됩니다.”

심슨은 “이제는 정말로 다중 인증을 전사적으로 도입해야 할 때”라는 건 심슨의 의견이다. “계정 탈취와 불법 접근에 특히 주의해야 할 시기입니다. 다중 인증 옵션의 보편화를 생각하는 건 당연한 일이죠. 여태까지 많은 기업들이 이를 미뤄온 것으로 알고 있습니다. 이제는 더 미룰 수 없습니다.” 그 외에 “행동 분석 도구를 도입해 의심스러운 행위들을 파악해내는 시스템을 갖추는 것도 고려해야 한다”고 심슨은 의견을 제시했다.

원격 근무 체제에 익숙지 않은 조직이라면 소통의 방법부터 전략화 하는 것이 중요하다고 보안 컨설팅 업체인 옴디아(Omdia)의 수석 분석가 아담 홀트비(Adam Holtby)는 말한다. “단순히 업무 진행과 생산성만을 위해서가 아닙니다. 최대한 ‘같이 있는 것’같은 분위기를 각자의 집에서 형성하는 것이 도움이 됩니다. 멀리 있지만 같이 일하는 분위기가 있어야 조금이라도 덜 흐트러지거든요. 업무 집중력도 올라가고요. 그런 태도가 보안에도 도움이 됩니다.”

3줄 요약
1. 재택 근무 체계, 보안 담당자들에게는 골칫거리.
2. 준비 부족, 근무 태도의 격차, 보안 장비 성능 차이 등 보안의 측면에선 암울한 환경.
3. 명확한 기준이 되는 것들을 문서화 하고, 비상 연락망 체제 구축하는 것부터 시작.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>