사이버 보안 담당자들부터 바꿔야 할 것이 있다. 이제 사이버 보안 문제가 단순 소프트웨어 하나라든가 조직 하나의 문제가 아니라는 것이다. 어느 덧 보안 사고는 사회와 경제 전체에 영향을 주고 있고, 그러므로 보안은 더더욱 일상 구석구석 깊숙하게 뿌리를 내려야만 한다.
[보안뉴스= 아담 마루야마 CTO, Garrison Technology] 미국 사이버 보안 전담 기관인 CISA의 국장 젠 이스털리(Jen Easterly)는 최근 의회 공청회에서 중국의 사이버전 관련 행태들에 대해 설명하다가 “취약점을 사고 파는 시장이 점점 활성화 되고 있고, 이는 국가 전체의 위협이 되어가고 있다”고 말했다. 그러면서 그는 “그런 시장을 만들고 생명력을 불어넣은 건 사실 우리”라고 설명을 이어갔다. “소프트웨어 설계와 개발을 너무나 허술하게 했기 때문에 공격이 쉬워지고 사고팔 것들이 많아진다”는 게 그의 주장이었다. 사회 기반 시설, 더 나아가 사회 전체를 염두에 둔 고민이 없었기에 지금처럼 기능성에만 초점을 맞춰 허술하기 짝이 없는 결과물들이 나왔다는 것이다.
[이미지 = gettyimagesbank]
2023년, 보안 분야에서 나온 몇 가지 통계만 봐도 이스털리의 말 - “우리가 스스로 해킹 공격 난이도를 낮췄다” - 이 사실임을 알 수 있다. 예를 들어 크롬과 에지 브라우저의 근간이 되는 크로미움에서는 작년 한 해 동안 8개의 제로데이 취약점이 발견됐다. 브라우저는 인터넷의 수문장과 같은 소프트웨어로, 인터넷이라는 험악하고 위험한 공간을 사용자들이 안전하게 다닐 수 있도록 해주는 역할을 담당하기도 한다. 그런 소프트웨어에서 이렇게나 많은 제로데이 취약점이 나온다는 건 있을 수 없는 일이지만, 그 일은 일어났다. VPN이라는 일종의 보안 소프트웨어에서도 꾸준히 취약점들이 나오는 중이다. 이런 종류의 소프트웨어에서 나오는 취약점들은 활발히 거래되는 편이다.
이런 지금의 상황을 개선시키려면, 즉 해킹을 보다 어려운 일로 만들려면 어떻게 해야 할까? 개발사들이 제일 먼저 사용성도 좋고 보안성도 좋은 제품들을 적극 개발해서 시장에 내놓아야 한다. 개발을 위한 첫 기획 회의에서부터 사용성과 보안성 모두가 고루 고려되고 논의되어야 한다. 그리고 개발이 진행되는 시간 내내 둘의 균형을 유지해야 한다. 보안을 강조하다가 사용성을 훼손해서도 안 되고 반대로 가도 안 된다. CISA도 최근 이런 개발 방법론의 중요성을 깨닫고 ‘설계에 의한 보안’을 적극 전파하고 있다. 하지만 아직 제대로 도입하는 곳은 눈에 띄지 않고 있다. 아무래도 강제성이 없다보니 아무도 ‘설계에 의한 보안’을 굳이 고려하지 않는 것이다. 어쩌면 보안과 관련된 가장 큰 실수일 수 있다.
사이버 리스크 = 사업 리스크
‘설계에 의한 보안’이 제대로 도입되지 않는 건 소프트웨어의 취약점 때문에 발생하는 각종 보안 사고들이 경제 전반이나 사회 전체에 부정적인 영향을 미친다고 생각하지 않아서이다. ‘이 소프트웨어 하나 망가진다고 무슨 일 있겠어?’라는 마음이다보니 보안에 대한 긴장감을 쉽사리 놓는 것이다. 사이버 보안 위험이 곧 사업의 위험이고, 기업들이 겪는 사업적 위험이 곧 경제와 사회 전체의 위협이라는 걸 진지하게 생각해볼 필요가 있다. 그러므로 사회 전체를 바라볼 줄 아는 CISO를 영입하는 게 중요하다. 보안과 사업을 긴밀하게 결부시킬 수 있는 사람이어야 한다. 회사가 이런 사람을 굳이 찾지 않는다는 것부터 수정되어야 한다.
보안이 사회 전체의 문제라고 인식하기 시작한다면 또 뭐가 바뀔까? IT와 보안 부서 및 담당자들이 협조하기 시작한다. 원래 둘은 깊은 관계를 가진 분야이지만, 업무 상 충돌이 잦기 때문에 서로가 서로를 버거워한 게 사실이다. 전체를 볼 줄 모르고 ‘내가 하는 일’에만 비중을 두었기 때문에 이런 다툼이 생기고 충돌이 일어난다. 그러면서 IT가 개발한 서비스와 제품들에 보안 고려 사항들이 제대로 반영되지 않는다. 이런 상황이 개선되지 않는다면 기능성과 보안성 모두를 가진 제품이나 기술이 탄생하지 않는다. 그러므로 경제가 조금씩 위축되고, 사회적인 문제들로까지 사안이 발전할 수 있다.
이렇게 해서 IT와 보안이 서로 협력하기 시작했다면, 다음 단계로 넘어가야 한다. 사이버 보안을 개발의 모든 단계에 탑재시켰듯, 사용자들의 일상에 사이버 보안을 녹여내는 것이 바로 그것이다. 말이 거창하게 느껴질 수 있겠는데, ‘보안 교육’을 생각하면 조금 쉬워질 수 있겠다. 보안 교육을 통해 사람들의 사고방식을 바꾸고, 그러므로 언젠가 보안에 입각한 결정을 내릴 수 있도록 만드는 것이 바로 ‘사용자들의 일상에 녹아드는 보안’이다. 사이버 보안 담당자들이 일반 임직원들을 대상으로 교육 사업을 벌여야 하는 이유다. 그들은 회사에만 갇혀 사는 사람들이 아니다. 회사에 앉아서도 사회 구성원이고, 퇴근 시간 이후 사회 속으로 사라진다. 그러니 이들을 교육시켜 ‘보안의 씨앗’을 가지고 사회 속으로 사라지게 만드는 게 중요하다.
보안이 사회 전체의 문제라는 인식이 단단히 박혀 있다면 그 때부터 소홀히 할 수 없는 게 보안 교육이다. 또한 원수 같았던 IT가(혹은 보안이) 파트너로 보이기 시작한다. 보안이 사회 전체에 영향을 미칠 만큼의 위치로 올라섰다는 것을 인정하고 받아들이면, 좁은 시야라는 치명적인 실수가 줄어들기 시작한다.
글 : 아담 마루야마(Adam Maruyama), CTO, Garrison Technology
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 아담 마루야마 CTO, Garrison Technology] 미국 사이버 보안 전담 기관인 CISA의 국장 젠 이스털리(Jen Easterly)는 최근 의회 공청회에서 중국의 사이버전 관련 행태들에 대해 설명하다가 “취약점을 사고 파는 시장이 점점 활성화 되고 있고, 이는 국가 전체의 위협이 되어가고 있다”고 말했다. 그러면서 그는 “그런 시장을 만들고 생명력을 불어넣은 건 사실 우리”라고 설명을 이어갔다. “소프트웨어 설계와 개발을 너무나 허술하게 했기 때문에 공격이 쉬워지고 사고팔 것들이 많아진다”는 게 그의 주장이었다. 사회 기반 시설, 더 나아가 사회 전체를 염두에 둔 고민이 없었기에 지금처럼 기능성에만 초점을 맞춰 허술하기 짝이 없는 결과물들이 나왔다는 것이다.
[이미지 = gettyimagesbank]
2023년, 보안 분야에서 나온 몇 가지 통계만 봐도 이스털리의 말 - “우리가 스스로 해킹 공격 난이도를 낮췄다” - 이 사실임을 알 수 있다. 예를 들어 크롬과 에지 브라우저의 근간이 되는 크로미움에서는 작년 한 해 동안 8개의 제로데이 취약점이 발견됐다. 브라우저는 인터넷의 수문장과 같은 소프트웨어로, 인터넷이라는 험악하고 위험한 공간을 사용자들이 안전하게 다닐 수 있도록 해주는 역할을 담당하기도 한다. 그런 소프트웨어에서 이렇게나 많은 제로데이 취약점이 나온다는 건 있을 수 없는 일이지만, 그 일은 일어났다. VPN이라는 일종의 보안 소프트웨어에서도 꾸준히 취약점들이 나오는 중이다. 이런 종류의 소프트웨어에서 나오는 취약점들은 활발히 거래되는 편이다.
이런 지금의 상황을 개선시키려면, 즉 해킹을 보다 어려운 일로 만들려면 어떻게 해야 할까? 개발사들이 제일 먼저 사용성도 좋고 보안성도 좋은 제품들을 적극 개발해서 시장에 내놓아야 한다. 개발을 위한 첫 기획 회의에서부터 사용성과 보안성 모두가 고루 고려되고 논의되어야 한다. 그리고 개발이 진행되는 시간 내내 둘의 균형을 유지해야 한다. 보안을 강조하다가 사용성을 훼손해서도 안 되고 반대로 가도 안 된다. CISA도 최근 이런 개발 방법론의 중요성을 깨닫고 ‘설계에 의한 보안’을 적극 전파하고 있다. 하지만 아직 제대로 도입하는 곳은 눈에 띄지 않고 있다. 아무래도 강제성이 없다보니 아무도 ‘설계에 의한 보안’을 굳이 고려하지 않는 것이다. 어쩌면 보안과 관련된 가장 큰 실수일 수 있다.
사이버 리스크 = 사업 리스크
‘설계에 의한 보안’이 제대로 도입되지 않는 건 소프트웨어의 취약점 때문에 발생하는 각종 보안 사고들이 경제 전반이나 사회 전체에 부정적인 영향을 미친다고 생각하지 않아서이다. ‘이 소프트웨어 하나 망가진다고 무슨 일 있겠어?’라는 마음이다보니 보안에 대한 긴장감을 쉽사리 놓는 것이다. 사이버 보안 위험이 곧 사업의 위험이고, 기업들이 겪는 사업적 위험이 곧 경제와 사회 전체의 위협이라는 걸 진지하게 생각해볼 필요가 있다. 그러므로 사회 전체를 바라볼 줄 아는 CISO를 영입하는 게 중요하다. 보안과 사업을 긴밀하게 결부시킬 수 있는 사람이어야 한다. 회사가 이런 사람을 굳이 찾지 않는다는 것부터 수정되어야 한다.
보안이 사회 전체의 문제라고 인식하기 시작한다면 또 뭐가 바뀔까? IT와 보안 부서 및 담당자들이 협조하기 시작한다. 원래 둘은 깊은 관계를 가진 분야이지만, 업무 상 충돌이 잦기 때문에 서로가 서로를 버거워한 게 사실이다. 전체를 볼 줄 모르고 ‘내가 하는 일’에만 비중을 두었기 때문에 이런 다툼이 생기고 충돌이 일어난다. 그러면서 IT가 개발한 서비스와 제품들에 보안 고려 사항들이 제대로 반영되지 않는다. 이런 상황이 개선되지 않는다면 기능성과 보안성 모두를 가진 제품이나 기술이 탄생하지 않는다. 그러므로 경제가 조금씩 위축되고, 사회적인 문제들로까지 사안이 발전할 수 있다.
이렇게 해서 IT와 보안이 서로 협력하기 시작했다면, 다음 단계로 넘어가야 한다. 사이버 보안을 개발의 모든 단계에 탑재시켰듯, 사용자들의 일상에 사이버 보안을 녹여내는 것이 바로 그것이다. 말이 거창하게 느껴질 수 있겠는데, ‘보안 교육’을 생각하면 조금 쉬워질 수 있겠다. 보안 교육을 통해 사람들의 사고방식을 바꾸고, 그러므로 언젠가 보안에 입각한 결정을 내릴 수 있도록 만드는 것이 바로 ‘사용자들의 일상에 녹아드는 보안’이다. 사이버 보안 담당자들이 일반 임직원들을 대상으로 교육 사업을 벌여야 하는 이유다. 그들은 회사에만 갇혀 사는 사람들이 아니다. 회사에 앉아서도 사회 구성원이고, 퇴근 시간 이후 사회 속으로 사라진다. 그러니 이들을 교육시켜 ‘보안의 씨앗’을 가지고 사회 속으로 사라지게 만드는 게 중요하다.
보안이 사회 전체의 문제라는 인식이 단단히 박혀 있다면 그 때부터 소홀히 할 수 없는 게 보안 교육이다. 또한 원수 같았던 IT가(혹은 보안이) 파트너로 보이기 시작한다. 보안이 사회 전체에 영향을 미칠 만큼의 위치로 올라섰다는 것을 인정하고 받아들이면, 좁은 시야라는 치명적인 실수가 줄어들기 시작한다.
글 : 아담 마루야마(Adam Maruyama), CTO, Garrison Technology
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
