외주 인원의 암호 사용 전혀 관리하지 않은 탬파 공항
인증 받은 기기로만 접속 가능하도록 조치... 20년 전 방법
[보안뉴스 문가용] 난 공항 근처에 산다. 비행기 탈 일이 많아 이는 꽤나 큰 장점이다. 자연히 공항과 관련된 뉴스에 신경을 쓸 수밖에 없는데, 최근 미국 공항은 난리 법석이다. 각종 테러로 삼엄해진 보안 절차 때문에 승객들은 오랜 시간 줄을 서야 하고, 최근 탬파 국제공항에서는 정보 유출사건도 발생해 온갖 해명자료를 내놔야 했기 때문이다.
.jpg)
결론적으로, 탬파 공항이 내놓은 해명자료에 따르면, 탬파 사건은 관련자의 지나친 암호공유 때문에 발생했다. 오라클 관련 프로젝트로 잠깐 고용한 전문가가 VPN 로그인 ID와 암호를 원활한 작업을 목적으로 수십 명과 공유한 것. 아무리 업무를 목적으로 했다 하지만, 탬파 공항의 VPN에는 인도, UAE 등지에서부터의 로그인 시도가 하루에 수백 번까지 이어졌다.
이 짤막한 개요에만 정보보안의 고질병들이 퍼레이드처럼 늘어선다. 외부 인력(서드파티) 관리, 암호 관리, VPN의 한계, 비정상 접속 기록 관리... 그래서 그런지 이 사건 때문에 공항의 IT 책임자, 관리자 등 여러 명이 해고되기도 했다. 현재 탬파 공항 측은 항공관련 인증 기관에서 인증한 기기만으로 공항 네트워크에 접속이 가능하도록 조치를 취한 상태다. 사유 기기로는 이제 탬파 공항의 네트워크에 접속할 수가 없다. 아무리 업무와 관련된 것이라도.
하지만 이는 대단히 ‘불편한’ 해결책이 아닐 수 없다. 20년 전에나 적용했을 법한 정책으로 변화한 현대의 업무 환경을 고려하지 않은 것이다. 이에 탬파 공항 측뿐 아니라 외부 인력을 불가피하게 써야하는 업체들을 위해 보안 더 나은 해결책이 무엇인지 고민해보았다.
1. 믿지 않아야 한다. 외주인력이 내 정보를 잘 지켜 주리라는 기대 자체가 잘못되었다고 난 생각한다. 계약서에 ‘정보를 잘 지킨다’는 내용이 있더라도 말이다. 정보에 대해 잘 알고 있고, 정보보안의 최신 기술과 정보를 갖춘 사람이라고 해서 반드시 보안사항들을 꼼꼼하게 지키는 건 아니다. 그러므로 반드시 ‘관리’를 해야 한다. 외주 업체 직원들의 행보에 반드시 주의를 기울이고, 오랫동안 같이 일을 해야 하는 경우라면 교육과정을 마련하는 것도 좋은 방법이다.
2. 외주업체 직원이 우리 회사의 네트워크에 접속해야 한다면, VPN을 사용하거나 해당 외주업체 전용 네트워크를 따로 분리시키는 게 안전하다. 그런다고 일이 느려지가 하지 않는다. 충분히 성과를 낼 수 있는 정도의 불편함만이 초래된다고 봐도 무방하다. 처음 보는 사람 혹은 우리 가족이 아닌 사람에게 뭘 믿고 안방 금고 키 원본을 맡기겠는가?
3. 접근 권한을 허용할 때 좋은 게 좋은 거라고 다 퍼주지 말 것. 이런 업체들은 거의 반드시라도 해도 될 만큼 내부 직원들의 접근 권한 관리도 엉망이다. 그렇지 않다면 그건 그것대로 문제다. 내부 직원만 엄격히 다루는 건 무슨 경우란 말인가? 외주 업체들에게 네트워크 접근을 어디까지 허용하고 있는지 파악하고 필요한 만큼만 허용할 필요가 있다.
4. 위에서 나온 내용들과 비슷한데, 접근 권한을 조정했다면 거기서 안심할 게 아니라 실제로 제어해야 한다. 이는 외주 업체 직원들이 정말로 허용된 범위 내에서만 활동을 하는지를 모니터링 하는 것도 의미하지만, 보통의 경우 악의 없이 저지르는 실수가 많기 때문에 이 점을 놓치지 말아야 한다는 것이다. 탬파 공항 사건의 경우 ‘사건의 경위’는 파악했지만 누가 어떤 정보를 어느 만큼이나 활용했는지는 아직도 밝혀지지 않고 있고, 앞으로도 밝혀지지 않을 것이다. 탬파 공항에서 유출된 정보로 벌어질 2차, 3차 사고들을 막을 방법이 사실상 없다는 것이다.
당신 기업도 마찬가지다. 정책을 정하고 외주업체의 권리를 제한한다고 해서 반드시 관리가 성공적으로 이루어지는 건 아니다. 관리는 누가 어떤 식으로 어떤 데이터를 어디에 활용하고 있는지 규정을 정하는 걸 넘어 실제로 모니터링해 관리해야 한다.
5. 암호 역시 ‘관리’의 범주에 있어야 한다. 탬파 공항 사건에서 드러난 바처럼 커다란 조직에서도 암호를 전혀 관리하지 않고 있는 경우는 부지기수다. 다행히 암호 관리는 마음만 먹으면 당장에 실행이 가능하다. 시중에 좋은 암호 관리 솔루션이 다수 존재하기 때문이다. 또한 이는 정책으로 설정하기도 간단한 편에 속한다. 이렇게 쉬운 거라면 당장에 실행하는 실천력이 더 중요하다.
결국 모든 보안 사고는 추후에 일어날 사고에 대비한 ‘면역 체계’를 더 튼튼하게 만드는 데에 의의가 있다. 탬파 공항 사건 역시 마찬가지다. 모든 것을 걸어 잠그는 안전수칙은 게으르고 안이한 발상에서 벗어나지 못했으며 고로 면역 체계가 전혀 튼튼해지지 않았다는 것을 증명하는 것밖에 되지 않는다.
글 : 조 스코(Joe Schorr)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
인증 받은 기기로만 접속 가능하도록 조치... 20년 전 방법
[보안뉴스 문가용] 난 공항 근처에 산다. 비행기 탈 일이 많아 이는 꽤나 큰 장점이다. 자연히 공항과 관련된 뉴스에 신경을 쓸 수밖에 없는데, 최근 미국 공항은 난리 법석이다. 각종 테러로 삼엄해진 보안 절차 때문에 승객들은 오랜 시간 줄을 서야 하고, 최근 탬파 국제공항에서는 정보 유출사건도 발생해 온갖 해명자료를 내놔야 했기 때문이다.
결론적으로, 탬파 공항이 내놓은 해명자료에 따르면, 탬파 사건은 관련자의 지나친 암호공유 때문에 발생했다. 오라클 관련 프로젝트로 잠깐 고용한 전문가가 VPN 로그인 ID와 암호를 원활한 작업을 목적으로 수십 명과 공유한 것. 아무리 업무를 목적으로 했다 하지만, 탬파 공항의 VPN에는 인도, UAE 등지에서부터의 로그인 시도가 하루에 수백 번까지 이어졌다.
이 짤막한 개요에만 정보보안의 고질병들이 퍼레이드처럼 늘어선다. 외부 인력(서드파티) 관리, 암호 관리, VPN의 한계, 비정상 접속 기록 관리... 그래서 그런지 이 사건 때문에 공항의 IT 책임자, 관리자 등 여러 명이 해고되기도 했다. 현재 탬파 공항 측은 항공관련 인증 기관에서 인증한 기기만으로 공항 네트워크에 접속이 가능하도록 조치를 취한 상태다. 사유 기기로는 이제 탬파 공항의 네트워크에 접속할 수가 없다. 아무리 업무와 관련된 것이라도.
하지만 이는 대단히 ‘불편한’ 해결책이 아닐 수 없다. 20년 전에나 적용했을 법한 정책으로 변화한 현대의 업무 환경을 고려하지 않은 것이다. 이에 탬파 공항 측뿐 아니라 외부 인력을 불가피하게 써야하는 업체들을 위해 보안 더 나은 해결책이 무엇인지 고민해보았다.
1. 믿지 않아야 한다. 외주인력이 내 정보를 잘 지켜 주리라는 기대 자체가 잘못되었다고 난 생각한다. 계약서에 ‘정보를 잘 지킨다’는 내용이 있더라도 말이다. 정보에 대해 잘 알고 있고, 정보보안의 최신 기술과 정보를 갖춘 사람이라고 해서 반드시 보안사항들을 꼼꼼하게 지키는 건 아니다. 그러므로 반드시 ‘관리’를 해야 한다. 외주 업체 직원들의 행보에 반드시 주의를 기울이고, 오랫동안 같이 일을 해야 하는 경우라면 교육과정을 마련하는 것도 좋은 방법이다.
2. 외주업체 직원이 우리 회사의 네트워크에 접속해야 한다면, VPN을 사용하거나 해당 외주업체 전용 네트워크를 따로 분리시키는 게 안전하다. 그런다고 일이 느려지가 하지 않는다. 충분히 성과를 낼 수 있는 정도의 불편함만이 초래된다고 봐도 무방하다. 처음 보는 사람 혹은 우리 가족이 아닌 사람에게 뭘 믿고 안방 금고 키 원본을 맡기겠는가?
3. 접근 권한을 허용할 때 좋은 게 좋은 거라고 다 퍼주지 말 것. 이런 업체들은 거의 반드시라도 해도 될 만큼 내부 직원들의 접근 권한 관리도 엉망이다. 그렇지 않다면 그건 그것대로 문제다. 내부 직원만 엄격히 다루는 건 무슨 경우란 말인가? 외주 업체들에게 네트워크 접근을 어디까지 허용하고 있는지 파악하고 필요한 만큼만 허용할 필요가 있다.
4. 위에서 나온 내용들과 비슷한데, 접근 권한을 조정했다면 거기서 안심할 게 아니라 실제로 제어해야 한다. 이는 외주 업체 직원들이 정말로 허용된 범위 내에서만 활동을 하는지를 모니터링 하는 것도 의미하지만, 보통의 경우 악의 없이 저지르는 실수가 많기 때문에 이 점을 놓치지 말아야 한다는 것이다. 탬파 공항 사건의 경우 ‘사건의 경위’는 파악했지만 누가 어떤 정보를 어느 만큼이나 활용했는지는 아직도 밝혀지지 않고 있고, 앞으로도 밝혀지지 않을 것이다. 탬파 공항에서 유출된 정보로 벌어질 2차, 3차 사고들을 막을 방법이 사실상 없다는 것이다.
당신 기업도 마찬가지다. 정책을 정하고 외주업체의 권리를 제한한다고 해서 반드시 관리가 성공적으로 이루어지는 건 아니다. 관리는 누가 어떤 식으로 어떤 데이터를 어디에 활용하고 있는지 규정을 정하는 걸 넘어 실제로 모니터링해 관리해야 한다.
5. 암호 역시 ‘관리’의 범주에 있어야 한다. 탬파 공항 사건에서 드러난 바처럼 커다란 조직에서도 암호를 전혀 관리하지 않고 있는 경우는 부지기수다. 다행히 암호 관리는 마음만 먹으면 당장에 실행이 가능하다. 시중에 좋은 암호 관리 솔루션이 다수 존재하기 때문이다. 또한 이는 정책으로 설정하기도 간단한 편에 속한다. 이렇게 쉬운 거라면 당장에 실행하는 실천력이 더 중요하다.
결국 모든 보안 사고는 추후에 일어날 사고에 대비한 ‘면역 체계’를 더 튼튼하게 만드는 데에 의의가 있다. 탬파 공항 사건 역시 마찬가지다. 모든 것을 걸어 잠그는 안전수칙은 게으르고 안이한 발상에서 벗어나지 못했으며 고로 면역 체계가 전혀 튼튼해지지 않았다는 것을 증명하는 것밖에 되지 않는다.
글 : 조 스코(Joe Schorr)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
