보안 강화는 모든 기업들의 관심사이자 끝나지 않는 숙제이다. 정말로 보안은 끝나지 않는다. 어제 잘 한 것이 오늘의 방어를 굳건히 해주지 않으며, 오늘의 부지런함이 내일을 완벽히 보호하지도 않는다. 그래서 중요한 건 관리와 교육이다.
[보안뉴스 문정후 기자] 아무리 첨단 보안 도구들을 구입할 재력과 능력을 갖췄어도 기억해야 할 것이 하나 있다. 결국 보안은 사람 문제라는 것이다. 네트워크 보안 전문 업체 뉴스파이어(Nuspire)의 부회장인 마이크 멜러(Mike Mellor)는 “현재 데이터베이스 침해 사고의 원인 대부분이 사람의 실수라는 것이 명백한 증거”라고 말한다.
[이미지 = utoimage]
멜러는 랜섬웨어 공격에 대해서도 다음과 같이 주장한다. “매년 수억 달러의 피해를 일으키는 랜섬웨어 공격의 가장 효과적인 방어법이 뭔지 아세요? 사용자들을 훈련시키는 겁니다. 수상한 메일이나 메시지를 알아보는 법, 파일을 안전하게 열어보는 법, 상황이 발생했을 때 취해야 할 행동, 모바일 장비로 업무를 진행할 때 지켜야 할 내용 등을 숙지하고 있는 사용자가 100만불짜리 보안 솔루션보다 훨씬 낫습니다.”
결국 관리의 문제
보통 IT 환경을 위협으로부터 강화한다고 할 때 제일 먼저 하는 일은 ‘자산 관리’다. 내부에 뭐가 있는지부터 알아내야 한다는 것이다. 보안 업체 멘로시큐리티(Menlo Security)의 CISO인 데빈 에르텔(Devin Ertel)은 “일반적인 기업 환경에서 가장 큰 위협이 되는 건 네트워크에 연결되어 있는 미승인 장비들”이라고 말한다. “제어와 관리가 되지 않는 요소들이니 당연히 보호도 되지 않습니다. 그러니 그런 장비들에서 어떤 일이 일어나는지 알 도리가 없습니다.”
사실 에르텔이 지적한 내용은 예전부터 기업들 사이에서 알려져 있던 것이었다. 그래서 많은 조직들이 과거에는 미등록 혹은 미승인 장비를 아예 반입시키지 못하도록 했었다. 하지만 이제는 그런 방법이 통하지 않는 시대다. “개인이 모바일 장비를 여러 대 가지고 다니는 때입니다. 그리고 각종 장비를 동원해 언제 어디서나 생산적인 일을 할 수 있는 시대이고요. 기업이 미승인/미등록 장비를 파악하고 관리할 방법을 찾아내야만 한다는 뜻이죠. 보이지 않는 것을 보고, 알려지지 않은 것을 알아내야 하는 게 보안 팀들의 과제가 되었습니다.”
장비만이 아니라 앱들도 속을 썩이긴 마찬가지다. 장비를 누구나 자유롭게 가지고 오는 것처럼, 직원들이 아무 앱이나 설치해서 사용하기 시작하면 그 역시 상상을 초월하는 위협 요인이 될 수 있기 때문이다. “승인된 애플리케이션이더라도 임직원이 자유로이 쉬운 비밀번호를 설정한다면 문제가 되긴 마찬가지입니다. 더 이상 유지 보수가 되지 않는데도 특정 업무 때문에 사용해야만 하는 오래된 소프트웨어도 문제가 되고요.” 보안 업체 사이언스소프트(ScienceSoft)의 정보 보안 국장인 드미트리 쿠르스코프(Dmitry Kurskov)의 설명이다.
끝나지 않는 비밀번호 고민
비밀번호는 보안 사고라는 측면에서 보면 만악의 근원이라고 해도 과언이 아니다. 개인적으로 사용하는 비밀번호를 업무용 계정에도 똑같이 사용하고, 아니면 너무나 단순한 비밀번호를 고집스럽게 유지하는 것만큼 위험한 것도 드물다. 보안 업체 트러스티드섹(TrustedSec)의 수석 보안 컨설턴트인 저스틴 볼링어(Justin Bollinger)는 “그런 비밀번호들은 없는 것과 마찬가지”라며 “해커들 보기에는 회사 네트워크 안으로 들어오라고 레드카펫을 깔아주는 것과 같다”고 말한다. “요즘 해커들은 디폴트 비밀번호를 기본 상식으로 알고 있고, 그런 비밀번호로 보호된 계정을 기가 막히게 찾아냅니다.”
볼링어는 모의 해킹 서비스를 직접 수행하기도 하는데, 가장 많이 사용하는 방법이 액티브 디렉토리를 침해하는 것이라고 한다. “어느 고객사에서든 시작은 똑같아요. 액티브 디렉토리를 통해 권한을 상승시키는 것부터 시작하는 것이죠. 디폴트 계정이 있을 만한 곳을 찾아 유명 디폴트 크리덴셜을 대입하면 간단히 해결되죠. 혹은 설정 파일을 복사해서 덮어쓰기를 한다거나요. 그러면 민감한 정보들이나 계정에 쉽게 접근할 수 있게 됩니다.”
출구 필터링
위에서 필자가 문제들을 나열해서 그렇지 사실 많은 조직들이 보안을 향상시키고 있다. 많은 기업들이 차근차근 암호화 기술을 적용하고, 다중인증을 도입하며, 안티피싱 솔루션을 부지런히 설치해 운영하고, 보안 패치 관리도 꼼꼼하게 진행한다. 그런데 그런 기업들이라도 자주 잊어버리는 것이 있으니 바로 출구 필터링(egress filtering)이다. 출구를 제대로 막지 않으면 데이터가 걷잡을 수 없이 빠져나가도 모른다. 보안 자동화 업체 로직허브(LogicHub)의 라이언 토마스(Ryan Thomas)는 “내부 장비들이 모두 인터넷을 통해 외부의 요소와 직접 접속되도록 설정하고 유지하는 기업들이 많다”고 말한다. “공격자가 아무 내부 장비 하나만 침해해도 외부의 뭔가와 연결하기가 어렵지 않게 되는 것이죠.”
토마스는 “인터넷에 연결되어도 되는 장비와 그렇지 않은 장비를 철저히 구분하여 트래픽이 규정 내에서 오가도록 하는 게 중요하다”고 강조한다. “그런 설정이 잘 이뤄지고 지켜지는 상태에서 침해 사고가 발생하면 침투에 성공한 공격자도 네트워크 내에서 잘 이동할 수 없게 되고, 비정상적인 트래픽의 흐름을 보다 빨리 알아챌 수 있습니다. 그만큼 오탐도 줄어드는 효과가 있고요.”
훈련
서두에 말했듯 멜러는 이 모든 노력을 한 순간에 수포로 돌릴 수 있는 게 인간이라고 강하게 주장하는 입장이다. “허락되지 않은 장비를 가지고 들어오고, 아무 소프트웨어를 설치하고, 비밀번호를 허술하게 설정하는 거 모두 사람입니다. 아무리 단단하게 방어벽을 쌓아도 내부에서 계속 문을 열어두면 그 단단한 방어벽이나 두부나 다를 바가 없어지죠. 많은 조직들이 하는 보안 실수 중 가장 큰 건, 기술과 솔루션에 예산을 쏟아붓고 사람 훈련시키는 데에는 인색하다는 겁니다.”
그러면서 멜러는 “모든 교육이 그렇듯 중요한 메시지는 자꾸만 반복해 줘야 한다”고 설명을 이어간다. “교육을 아무리 해도 듣는 것 같지 않을 때 교육을 더 진행하기 싫어지는 마음은 충분히 이해합니다. 그런데 그건 모든 교육 과정에서 나타나는 현상입니다. 듣기 싫어해도 말해주고, 또 말해주고, 또 말해주어야 나중에 한 가지라도 실천할 수 있게 됩니다.”
에르텔도 여기에 동의하는 편이다. “결국 보안이라는 건 한두 번의 기회에, 한두 가지 방안으로 해결되는 문제가 아닙니다. 죽을 때까지 끝나지 않는 전투에 가깝습니다. 전 세계의 해커들을 전부 체포하거나 교화시킬 수 있다면 얘기가 달라질 수 있겠습니다만, 불가능하다는 게 너무나 당연합니다. 눈에 보이는 현상에 일희일비 하지 않고 꾸준히 할 일을 하는 게 제일 중요합니다.”
글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 아무리 첨단 보안 도구들을 구입할 재력과 능력을 갖췄어도 기억해야 할 것이 하나 있다. 결국 보안은 사람 문제라는 것이다. 네트워크 보안 전문 업체 뉴스파이어(Nuspire)의 부회장인 마이크 멜러(Mike Mellor)는 “현재 데이터베이스 침해 사고의 원인 대부분이 사람의 실수라는 것이 명백한 증거”라고 말한다.
[이미지 = utoimage]
멜러는 랜섬웨어 공격에 대해서도 다음과 같이 주장한다. “매년 수억 달러의 피해를 일으키는 랜섬웨어 공격의 가장 효과적인 방어법이 뭔지 아세요? 사용자들을 훈련시키는 겁니다. 수상한 메일이나 메시지를 알아보는 법, 파일을 안전하게 열어보는 법, 상황이 발생했을 때 취해야 할 행동, 모바일 장비로 업무를 진행할 때 지켜야 할 내용 등을 숙지하고 있는 사용자가 100만불짜리 보안 솔루션보다 훨씬 낫습니다.”
결국 관리의 문제
보통 IT 환경을 위협으로부터 강화한다고 할 때 제일 먼저 하는 일은 ‘자산 관리’다. 내부에 뭐가 있는지부터 알아내야 한다는 것이다. 보안 업체 멘로시큐리티(Menlo Security)의 CISO인 데빈 에르텔(Devin Ertel)은 “일반적인 기업 환경에서 가장 큰 위협이 되는 건 네트워크에 연결되어 있는 미승인 장비들”이라고 말한다. “제어와 관리가 되지 않는 요소들이니 당연히 보호도 되지 않습니다. 그러니 그런 장비들에서 어떤 일이 일어나는지 알 도리가 없습니다.”
사실 에르텔이 지적한 내용은 예전부터 기업들 사이에서 알려져 있던 것이었다. 그래서 많은 조직들이 과거에는 미등록 혹은 미승인 장비를 아예 반입시키지 못하도록 했었다. 하지만 이제는 그런 방법이 통하지 않는 시대다. “개인이 모바일 장비를 여러 대 가지고 다니는 때입니다. 그리고 각종 장비를 동원해 언제 어디서나 생산적인 일을 할 수 있는 시대이고요. 기업이 미승인/미등록 장비를 파악하고 관리할 방법을 찾아내야만 한다는 뜻이죠. 보이지 않는 것을 보고, 알려지지 않은 것을 알아내야 하는 게 보안 팀들의 과제가 되었습니다.”
장비만이 아니라 앱들도 속을 썩이긴 마찬가지다. 장비를 누구나 자유롭게 가지고 오는 것처럼, 직원들이 아무 앱이나 설치해서 사용하기 시작하면 그 역시 상상을 초월하는 위협 요인이 될 수 있기 때문이다. “승인된 애플리케이션이더라도 임직원이 자유로이 쉬운 비밀번호를 설정한다면 문제가 되긴 마찬가지입니다. 더 이상 유지 보수가 되지 않는데도 특정 업무 때문에 사용해야만 하는 오래된 소프트웨어도 문제가 되고요.” 보안 업체 사이언스소프트(ScienceSoft)의 정보 보안 국장인 드미트리 쿠르스코프(Dmitry Kurskov)의 설명이다.
끝나지 않는 비밀번호 고민
비밀번호는 보안 사고라는 측면에서 보면 만악의 근원이라고 해도 과언이 아니다. 개인적으로 사용하는 비밀번호를 업무용 계정에도 똑같이 사용하고, 아니면 너무나 단순한 비밀번호를 고집스럽게 유지하는 것만큼 위험한 것도 드물다. 보안 업체 트러스티드섹(TrustedSec)의 수석 보안 컨설턴트인 저스틴 볼링어(Justin Bollinger)는 “그런 비밀번호들은 없는 것과 마찬가지”라며 “해커들 보기에는 회사 네트워크 안으로 들어오라고 레드카펫을 깔아주는 것과 같다”고 말한다. “요즘 해커들은 디폴트 비밀번호를 기본 상식으로 알고 있고, 그런 비밀번호로 보호된 계정을 기가 막히게 찾아냅니다.”
볼링어는 모의 해킹 서비스를 직접 수행하기도 하는데, 가장 많이 사용하는 방법이 액티브 디렉토리를 침해하는 것이라고 한다. “어느 고객사에서든 시작은 똑같아요. 액티브 디렉토리를 통해 권한을 상승시키는 것부터 시작하는 것이죠. 디폴트 계정이 있을 만한 곳을 찾아 유명 디폴트 크리덴셜을 대입하면 간단히 해결되죠. 혹은 설정 파일을 복사해서 덮어쓰기를 한다거나요. 그러면 민감한 정보들이나 계정에 쉽게 접근할 수 있게 됩니다.”
출구 필터링
위에서 필자가 문제들을 나열해서 그렇지 사실 많은 조직들이 보안을 향상시키고 있다. 많은 기업들이 차근차근 암호화 기술을 적용하고, 다중인증을 도입하며, 안티피싱 솔루션을 부지런히 설치해 운영하고, 보안 패치 관리도 꼼꼼하게 진행한다. 그런데 그런 기업들이라도 자주 잊어버리는 것이 있으니 바로 출구 필터링(egress filtering)이다. 출구를 제대로 막지 않으면 데이터가 걷잡을 수 없이 빠져나가도 모른다. 보안 자동화 업체 로직허브(LogicHub)의 라이언 토마스(Ryan Thomas)는 “내부 장비들이 모두 인터넷을 통해 외부의 요소와 직접 접속되도록 설정하고 유지하는 기업들이 많다”고 말한다. “공격자가 아무 내부 장비 하나만 침해해도 외부의 뭔가와 연결하기가 어렵지 않게 되는 것이죠.”
토마스는 “인터넷에 연결되어도 되는 장비와 그렇지 않은 장비를 철저히 구분하여 트래픽이 규정 내에서 오가도록 하는 게 중요하다”고 강조한다. “그런 설정이 잘 이뤄지고 지켜지는 상태에서 침해 사고가 발생하면 침투에 성공한 공격자도 네트워크 내에서 잘 이동할 수 없게 되고, 비정상적인 트래픽의 흐름을 보다 빨리 알아챌 수 있습니다. 그만큼 오탐도 줄어드는 효과가 있고요.”
훈련
서두에 말했듯 멜러는 이 모든 노력을 한 순간에 수포로 돌릴 수 있는 게 인간이라고 강하게 주장하는 입장이다. “허락되지 않은 장비를 가지고 들어오고, 아무 소프트웨어를 설치하고, 비밀번호를 허술하게 설정하는 거 모두 사람입니다. 아무리 단단하게 방어벽을 쌓아도 내부에서 계속 문을 열어두면 그 단단한 방어벽이나 두부나 다를 바가 없어지죠. 많은 조직들이 하는 보안 실수 중 가장 큰 건, 기술과 솔루션에 예산을 쏟아붓고 사람 훈련시키는 데에는 인색하다는 겁니다.”
그러면서 멜러는 “모든 교육이 그렇듯 중요한 메시지는 자꾸만 반복해 줘야 한다”고 설명을 이어간다. “교육을 아무리 해도 듣는 것 같지 않을 때 교육을 더 진행하기 싫어지는 마음은 충분히 이해합니다. 그런데 그건 모든 교육 과정에서 나타나는 현상입니다. 듣기 싫어해도 말해주고, 또 말해주고, 또 말해주어야 나중에 한 가지라도 실천할 수 있게 됩니다.”
에르텔도 여기에 동의하는 편이다. “결국 보안이라는 건 한두 번의 기회에, 한두 가지 방안으로 해결되는 문제가 아닙니다. 죽을 때까지 끝나지 않는 전투에 가깝습니다. 전 세계의 해커들을 전부 체포하거나 교화시킬 수 있다면 얘기가 달라질 수 있겠습니다만, 불가능하다는 게 너무나 당연합니다. 눈에 보이는 현상에 일희일비 하지 않고 꾸준히 할 일을 하는 게 제일 중요합니다.”
글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
