평가 인증 없으면 100% 허술... 있어도 재차 확인 필요
설문 응답과 현실 달라... 대표적인 것이 암호 및 패칭 정책
[보안뉴스 문가용] 중소기업은 그 자체로도 공격자들의 괜찮은 표적이긴 하지만 대기업으로 해커들을 안내해주는 발판 역할을 할 때가 굉장히 많다. 또한 사이버 보안이라는 것에 대해 별 다른 신경을 쓰지도 않고 투자는 더더구나 하지 않을 때가 많아 쉬운 표적이 되기도 한다. 즉, 사이버 보안 담당자도 매우 적거나 아예 없는 경우가 대부분이며 이에 대한 지식도 부족하다. 공격을 탐지할 수 있는 방법 자체를 보유하고 있지 않거나 대응할 수도 없는 경우가 대부분이기도 하다.
이런 중소기업들 대부분 대기업들과 파트너십을 맺고 있다. 하지만 대기업들도 중소기업들의 이런 실상들에 큰 신경을 쓰지 않는다. 보안이 중요하다고는 하지만 설문조사에 그치는 경우가 대부분이다. 보안 전문업체인 데이텀섹(DatumSec)의 CEO인 조나단 니드나겔(Jonathan Niednagel)은 “당연히 설문조사만으로 보안의 실상을 입체적으로 파악할 수 없다”고 단언한다. “설문 등으로 파악할 수 있는 것보다 중소기업의 보안 상태는 훨씬 더 끔찍합니다.”
데이텀섹은 그 ‘끔찍하다’는 표현의 증거로 자신들이 14만 개 기업들을 대상으로 조사한 내용을 제시했다. 이는 다음과 같다.
1. 평가 인증
결과 : 여러 가지 인증제도가 있긴 하지만 그 인증들이 ‘보안성’을 보장해주지는 않는다.
분석 : 외부의 인증을 잘 갖추고 있는 중소기업이 3/4를 넘는다. 하지만 이들 중 1/4이 넘는 기업들이 특정 부분에서 공통적인 약점을 보였다. 열린 포트, 너무 오래된 애플리케이션 및 서비스 사용, DNS 환경설정 오류, 암호화되지 않은 로그인 포털 들이 바로 대표적인 것들이다.
2. 인증이라도 제대로 받지 않으면 100% 허술하다
결과 : 외부의 보안 평가나 인증을 제대로 받지도 않은 나머지 1/4의 경우, 100% 내부 보안이 허술했다.
분석 : 평가 인증을 받는다고 내부 보안이 다 완벽한 건 아니라고 했는데, 그런 평가 인증이라도 제대로 받지 않는 기업은 다 보안이 허술하기 짝이 없었다. 오래된 애플리케이션과 서비스, 암호화되지 않은 로그인 정보는 당연한 것처럼 존재하는데 이는 기본적인 패칭 정책 및 네트워크 보안에 대한 개념이 자리 잡히지 않았다는 뜻이다. 물론 이는 수많은 문제 중 일부에 불과할 뿐이다.
3. 설문과 인증, 확인이 반드시 필요
결과 : 중소기업들이 내세우는 ‘여러 평가 인증을 획득했다’는 타이틀은 결과적으로 안 믿는 편이 안전하다.
분석 : 유명한 국내외 보안 평가를 통과했다는 중소기업의 자랑스러운 이야기는 사실 아주 기본은 갖추고 있다는 뜻 외에는 별 의미가 없다. 이번 조사를 진행하면서 약 54%의 기업이 내부적인 보안 구멍들을 갖고 있었음을 발견할 수 있었다.
1) 설문에서는 패치를 주기적으로 한다고 답했으나 실제 점검 결과 그렇지 않았다.
2) 설문에서는 암호 관련 정책이 엄격하다고 답했으나 실제 점검 결과 그렇지 않았다.
4. 안티멀웨어 보호 장치를 갖춘 중소기업은 그리 많지 않다
결과 : 조사가 실시된 중소기업들 중 24%는 아주 기본적인 보안 정책 및 솔루션도 없었다. 다시 강조하지만 ‘기본적인’ 보안 대비책들이다.
분석 : 백신의 시대는 종말했다고 보는 보안 전문가들도 있긴 하지만 대부분은 그래도 백신으로 막을 수 있는 공격들이 많다는 의견이다. 그런데 보안에 대해 신경도 안 쓰는 것 같은 중소기업들 중 상당수가 ‘백신은 무용지물’이라는 이론을 알고 있으며 또 적극 받아들이고 있는 모습을 보였다. 백신조차 없는 기업이 꽤나 많았다는 것이다.
5. 사용자 계정 보호를 위한 모범 실무?
결과 : 이번 조사의 대상 중 59%가 적어도 1년 이상 사용하지 않은 유령 계정을 보유하고 있었다. 지난 1년 동안 암호를 바꾸지 않은 계정은 79%나 되었고 말이다.
분석 : 보안에서 사용자가 제일 취약한 구멍이라는 건 이제 상식과 같은 사실이다. 그중에서도 가장 취약한 사용자 부류가 있으니 바로 ‘유령 사용자’다. 오랫동안 사용된 적도 없고 암호는 바뀌지도 않는 계정의 주인들 말이다. 게다가 이런 사용자들은 이 고정된 암호를 다른 계정에도 사용 중인 경우가 거의 100%다. 암호는 평문 텍스트로 저장되어 있는 게 대부분이고 말이다.
6. 윈도우XP 아직도 살아있다
결과 : 윈도우XP가 수명을 다한 것이 벌써 2년 전이다. 그런데도 중소기업의 5%가 이 썩은 시체를 부둥켜안고 있었다.
분석 : 물론 5%가 대단히 높은 비율은 아니다. 하지만 사이버 범죄자들이 공격을 성공시키기 위해 필요한 것은 XP가 설치된 딱 한 대의 컴퓨터 뿐이다. 그걸 생각하면 5%가 적은 수가 결코 아니다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
설문 응답과 현실 달라... 대표적인 것이 암호 및 패칭 정책
[보안뉴스 문가용] 중소기업은 그 자체로도 공격자들의 괜찮은 표적이긴 하지만 대기업으로 해커들을 안내해주는 발판 역할을 할 때가 굉장히 많다. 또한 사이버 보안이라는 것에 대해 별 다른 신경을 쓰지도 않고 투자는 더더구나 하지 않을 때가 많아 쉬운 표적이 되기도 한다. 즉, 사이버 보안 담당자도 매우 적거나 아예 없는 경우가 대부분이며 이에 대한 지식도 부족하다. 공격을 탐지할 수 있는 방법 자체를 보유하고 있지 않거나 대응할 수도 없는 경우가 대부분이기도 하다.
이런 중소기업들 대부분 대기업들과 파트너십을 맺고 있다. 하지만 대기업들도 중소기업들의 이런 실상들에 큰 신경을 쓰지 않는다. 보안이 중요하다고는 하지만 설문조사에 그치는 경우가 대부분이다. 보안 전문업체인 데이텀섹(DatumSec)의 CEO인 조나단 니드나겔(Jonathan Niednagel)은 “당연히 설문조사만으로 보안의 실상을 입체적으로 파악할 수 없다”고 단언한다. “설문 등으로 파악할 수 있는 것보다 중소기업의 보안 상태는 훨씬 더 끔찍합니다.”
데이텀섹은 그 ‘끔찍하다’는 표현의 증거로 자신들이 14만 개 기업들을 대상으로 조사한 내용을 제시했다. 이는 다음과 같다.
1. 평가 인증
결과 : 여러 가지 인증제도가 있긴 하지만 그 인증들이 ‘보안성’을 보장해주지는 않는다.
분석 : 외부의 인증을 잘 갖추고 있는 중소기업이 3/4를 넘는다. 하지만 이들 중 1/4이 넘는 기업들이 특정 부분에서 공통적인 약점을 보였다. 열린 포트, 너무 오래된 애플리케이션 및 서비스 사용, DNS 환경설정 오류, 암호화되지 않은 로그인 포털 들이 바로 대표적인 것들이다.
2. 인증이라도 제대로 받지 않으면 100% 허술하다
결과 : 외부의 보안 평가나 인증을 제대로 받지도 않은 나머지 1/4의 경우, 100% 내부 보안이 허술했다.
분석 : 평가 인증을 받는다고 내부 보안이 다 완벽한 건 아니라고 했는데, 그런 평가 인증이라도 제대로 받지 않는 기업은 다 보안이 허술하기 짝이 없었다. 오래된 애플리케이션과 서비스, 암호화되지 않은 로그인 정보는 당연한 것처럼 존재하는데 이는 기본적인 패칭 정책 및 네트워크 보안에 대한 개념이 자리 잡히지 않았다는 뜻이다. 물론 이는 수많은 문제 중 일부에 불과할 뿐이다.
3. 설문과 인증, 확인이 반드시 필요
결과 : 중소기업들이 내세우는 ‘여러 평가 인증을 획득했다’는 타이틀은 결과적으로 안 믿는 편이 안전하다.
분석 : 유명한 국내외 보안 평가를 통과했다는 중소기업의 자랑스러운 이야기는 사실 아주 기본은 갖추고 있다는 뜻 외에는 별 의미가 없다. 이번 조사를 진행하면서 약 54%의 기업이 내부적인 보안 구멍들을 갖고 있었음을 발견할 수 있었다.
1) 설문에서는 패치를 주기적으로 한다고 답했으나 실제 점검 결과 그렇지 않았다.
2) 설문에서는 암호 관련 정책이 엄격하다고 답했으나 실제 점검 결과 그렇지 않았다.
4. 안티멀웨어 보호 장치를 갖춘 중소기업은 그리 많지 않다
결과 : 조사가 실시된 중소기업들 중 24%는 아주 기본적인 보안 정책 및 솔루션도 없었다. 다시 강조하지만 ‘기본적인’ 보안 대비책들이다.
분석 : 백신의 시대는 종말했다고 보는 보안 전문가들도 있긴 하지만 대부분은 그래도 백신으로 막을 수 있는 공격들이 많다는 의견이다. 그런데 보안에 대해 신경도 안 쓰는 것 같은 중소기업들 중 상당수가 ‘백신은 무용지물’이라는 이론을 알고 있으며 또 적극 받아들이고 있는 모습을 보였다. 백신조차 없는 기업이 꽤나 많았다는 것이다.
5. 사용자 계정 보호를 위한 모범 실무?
결과 : 이번 조사의 대상 중 59%가 적어도 1년 이상 사용하지 않은 유령 계정을 보유하고 있었다. 지난 1년 동안 암호를 바꾸지 않은 계정은 79%나 되었고 말이다.
분석 : 보안에서 사용자가 제일 취약한 구멍이라는 건 이제 상식과 같은 사실이다. 그중에서도 가장 취약한 사용자 부류가 있으니 바로 ‘유령 사용자’다. 오랫동안 사용된 적도 없고 암호는 바뀌지도 않는 계정의 주인들 말이다. 게다가 이런 사용자들은 이 고정된 암호를 다른 계정에도 사용 중인 경우가 거의 100%다. 암호는 평문 텍스트로 저장되어 있는 게 대부분이고 말이다.
6. 윈도우XP 아직도 살아있다
결과 : 윈도우XP가 수명을 다한 것이 벌써 2년 전이다. 그런데도 중소기업의 5%가 이 썩은 시체를 부둥켜안고 있었다.
분석 : 물론 5%가 대단히 높은 비율은 아니다. 하지만 사이버 범죄자들이 공격을 성공시키기 위해 필요한 것은 XP가 설치된 딱 한 대의 컴퓨터 뿐이다. 그걸 생각하면 5%가 적은 수가 결코 아니다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
