.gif)
공격이 자꾸만 늘어가는 것이 현실, 보안의 실패 인정해야
데이터의 인벤토리화 잘 하고 있는가? 보안, 출발부터 흔들거려
.jpg)
[보안뉴스 문가용] 많은 기업들이 정보 보호에 큰 투자를 하지만 보안 사고는 여전히 일어나고 있으며 그 파괴력 역시 여전하다. 보안이 이처럼 밑 빠진 독에 물 붓기인 것에는 여러 가지 이유가 있다. 정보를 수집하는 기술과 저장하는 기술이 빠르게 발전하고 있으며, 여러 산업 및 기술 혁신 역시 숨 가쁠 정도라 일일이 보안 점검을 거치기가 어렵고, 그에 따라 보안 기술 및 정책, 표준은 느리게 쫓아가고만 있다는 게 가장 보편적인 이유일 것이다.
여기에 사이버 공격자들의 실력이 날로 높아지고 있는데, 이를 후원하는 채널도 늘어나고 있으며 이에 따라 사이버 범죄 자체가 조직적으로 발전하고 있는 형국이기도 하다. 그렇기에 현재 우리는 우리의 힘과 능력에 보호받는 게 아니라 아직 사이버 공격자의 눈에 들지 않았기 때문에 운 좋게 안전한 것이거나, 공격받고 있는 걸 몰라서 안전한 줄로 착각하거나, 둘 중의 하나인 입장이다.
데이터 보호에 대해 우리가 알고 있는 방법들은 근원부터 잘못되었다. 아니, 이제는 통하지 않는다. 지난 수십 년 동안 쏟아 부은 시간, 돈, 자원으로 탄생한 여러 가지 데이터 제어 및 보호 기법인 아이덴티티 관리, 접근 관리, 취약점 관리, 애플리케이션 보안 등이 여기에 속한다. 무용지물이라는 것이 아니다. 불충분하다는 것이다. 여기에 더해 뭔가가 더 필요하다. 이걸 인정하지 않으면 공격자들은 계속해서 우리의 모든 노력을 헛수고로 만들 것이다.
노파심에서 다시 한 번 강조하지만 위에 언급한 모든 데이터 보호 방법론들을 갈아엎어야 한다는 게 아니다. 이런 기존 방법론들이 가진 효과를 극대화시킬 수 있는 방법을 찾아야 한다는 것이다. 아이덴티티 관리와 데이터 접근 관리는 여전히 제 기능을 발휘해야만 하며 기업들 역시 이런 방법들을 유지시켜야 한다. 기본은 매우 중요하다.
다만 이런 전통적이고 기본적인 방법들에 대한 무한 신뢰는 거둘 필요가 있다. 이런 방법들은 현재 사이버 공격의 트렌드에 비춰봤을 때 공격을 좀 더 까다롭게 만들고 시간을 끄는 용도에 가깝지 완벽한 해결책은 아니다. 상대가 미사일 폭격기를 대동하고 전투에 임하는데 나무 깎아 만든 방패로만 버틸 수는 없잖은가.
하지만 그럼에도 기본기가 중요한 건 공격자가 전부 미사일 폭격기를 대동하는 건 아니기 때문이다. 요즘 같은 세상에도 여전히 담을 기어올라 자물쇠를 펜치로 끊고 집을 터는 도둑들이 있다. 사이버 공간에도 ‘초보적인’ 해커들이 무수히 많다. 이들의 무심하고 ‘될 대로 되라’식 공격에도 당해준다면, 보다 고도화된 기술을 갈고 닦아온 이들을 어떻게 막을 것인가.
즉 지금의 기본을 유지하면서 동시에 당신을 털기 위해 시간을 들일 준비가 되어 있고 막대한 자금력까지도 갖춘 사람들에 대한 방비책을 새롭게 연구해야 한다. 사실 돈 있고 시간 있는 사람들을 혼자서 상대할 수는 없다. 그러므로 누군가와 힘을 합해야 한다. 또 공격자가 정확히 뭘 원하는지 알고, 그 소재를 파악해야 한다. 여유가 된다면 금고를 따로 마련해 거기에 귀중한 것들을 보관하는 것도 효과적이다. 기존 보안의 여러 방법들에 더해 필요한 건 바로 이 금고일지도 모른다.
민감한 데이터와 자산을 안전하게 저장하고 편리한 사용을 위해 목록화 작업을 하는 기술이 보안에 있어 중요하다는 건 꽤나 당연하게 들리지만, 너무 당연하게 들려서인지 심각하게 간과되고 있다. 인벤토리(inventory)라는 개념을 장착한 기업이 아직도 거의 없다는 게 그 증거다. 아니, 가지고 있다고 착각하고 있는 기업이 대다수인 게 현실이다. 그저 하드드라이브 한 곳에 중요한 정보를 저장해놓는다고 인벤토리를 인벤토리답게 관리하고 있다는 건 아니다.
이는 보안의 출발점에 대한 심각한 질문을 던지게 되는 부분이기도 하다. 인벤토리부터가 부실하다면, 도대체 뭘 지킨다고 보안에 투자하는 걸까? 뭘 지켜야 하는지 정확히 모른 채 뭘 한다는 걸까? 데이터들마다 특성이 다르고 적용해야 하는 보안 기술이 다른데, 기본적인 데이터 파악 및 관리가 제대로 되어 있지 않은 상태에서는 맹목적인 투자밖에 될 수 없지 않은가? 또 데이터 손실 방지 솔루션과 같은 경우 데이터 정리가 기본으로 되어 있지 않으면 효과가 크게 줄어드는데, 이는 인벤토리 개념 없이 어떻게 해결하고 있는가?
즉, ‘새로운 공격에 맞서는 새로운 보안 방책’이란 더 깊숙이 박혀있는 기본 중 기본 항목에서 찾아야 한다는 것이다. 데이터에 대한 올바른 정리와 인벤토리화는 보안의 출발과도 같은 것인데 제일 언급이 되지 않고 있는 부분이며, ‘누군가 하겠지’ 혹은 ‘되어 있겠지’라고 믿어 넘기는 분야이다.
또한 민감한 데이터라는 것의 가치를 낮추는 것도 나쁘지 않은 발상이다. 물론 ‘공격자 입장’에서의 가치를 말한다. 공격자 입장에서 가치가 낮은 데이터란, 암호화, 난독화, 토큰화 등을 통해 활용이 어렵게 되어버린 것을 말한다. 가치를 낮출 수 있는 또 다른 방법 중 하나는 일정 기간이 지났을 때 완전 삭제하는 것이다. 낮추다 못해 아예 0으로 만들어 버린다는 발상이다.
민감한 데이터를 보호한다는 건 말처럼 쉽고 간단한 일이 아니다. 해당 데이터만 싸고 돈다고 되는 것도 아니다. 보다 통합적이고 총체적인 전략을 필요로 한다. 그렇기에 먼저는 우리가 간과했던 기본 중 기본이 제대로 되어 있는지부터 돌아볼 필요가 있다. 우리가 가지고 있는 수십 가지의 방법들은, 이제 그것만으로는 큰 도움이 되지 않는다. 지금의 ‘기본’보다 더 깊은 곳에 우리가 놓치고 있는 것들이 있다.
글 : 댄 프랭크(Dan Frank)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
데이터의 인벤토리화 잘 하고 있는가? 보안, 출발부터 흔들거려
[보안뉴스 문가용] 많은 기업들이 정보 보호에 큰 투자를 하지만 보안 사고는 여전히 일어나고 있으며 그 파괴력 역시 여전하다. 보안이 이처럼 밑 빠진 독에 물 붓기인 것에는 여러 가지 이유가 있다. 정보를 수집하는 기술과 저장하는 기술이 빠르게 발전하고 있으며, 여러 산업 및 기술 혁신 역시 숨 가쁠 정도라 일일이 보안 점검을 거치기가 어렵고, 그에 따라 보안 기술 및 정책, 표준은 느리게 쫓아가고만 있다는 게 가장 보편적인 이유일 것이다.
여기에 사이버 공격자들의 실력이 날로 높아지고 있는데, 이를 후원하는 채널도 늘어나고 있으며 이에 따라 사이버 범죄 자체가 조직적으로 발전하고 있는 형국이기도 하다. 그렇기에 현재 우리는 우리의 힘과 능력에 보호받는 게 아니라 아직 사이버 공격자의 눈에 들지 않았기 때문에 운 좋게 안전한 것이거나, 공격받고 있는 걸 몰라서 안전한 줄로 착각하거나, 둘 중의 하나인 입장이다.
데이터 보호에 대해 우리가 알고 있는 방법들은 근원부터 잘못되었다. 아니, 이제는 통하지 않는다. 지난 수십 년 동안 쏟아 부은 시간, 돈, 자원으로 탄생한 여러 가지 데이터 제어 및 보호 기법인 아이덴티티 관리, 접근 관리, 취약점 관리, 애플리케이션 보안 등이 여기에 속한다. 무용지물이라는 것이 아니다. 불충분하다는 것이다. 여기에 더해 뭔가가 더 필요하다. 이걸 인정하지 않으면 공격자들은 계속해서 우리의 모든 노력을 헛수고로 만들 것이다.
노파심에서 다시 한 번 강조하지만 위에 언급한 모든 데이터 보호 방법론들을 갈아엎어야 한다는 게 아니다. 이런 기존 방법론들이 가진 효과를 극대화시킬 수 있는 방법을 찾아야 한다는 것이다. 아이덴티티 관리와 데이터 접근 관리는 여전히 제 기능을 발휘해야만 하며 기업들 역시 이런 방법들을 유지시켜야 한다. 기본은 매우 중요하다.
다만 이런 전통적이고 기본적인 방법들에 대한 무한 신뢰는 거둘 필요가 있다. 이런 방법들은 현재 사이버 공격의 트렌드에 비춰봤을 때 공격을 좀 더 까다롭게 만들고 시간을 끄는 용도에 가깝지 완벽한 해결책은 아니다. 상대가 미사일 폭격기를 대동하고 전투에 임하는데 나무 깎아 만든 방패로만 버틸 수는 없잖은가.
하지만 그럼에도 기본기가 중요한 건 공격자가 전부 미사일 폭격기를 대동하는 건 아니기 때문이다. 요즘 같은 세상에도 여전히 담을 기어올라 자물쇠를 펜치로 끊고 집을 터는 도둑들이 있다. 사이버 공간에도 ‘초보적인’ 해커들이 무수히 많다. 이들의 무심하고 ‘될 대로 되라’식 공격에도 당해준다면, 보다 고도화된 기술을 갈고 닦아온 이들을 어떻게 막을 것인가.
즉 지금의 기본을 유지하면서 동시에 당신을 털기 위해 시간을 들일 준비가 되어 있고 막대한 자금력까지도 갖춘 사람들에 대한 방비책을 새롭게 연구해야 한다. 사실 돈 있고 시간 있는 사람들을 혼자서 상대할 수는 없다. 그러므로 누군가와 힘을 합해야 한다. 또 공격자가 정확히 뭘 원하는지 알고, 그 소재를 파악해야 한다. 여유가 된다면 금고를 따로 마련해 거기에 귀중한 것들을 보관하는 것도 효과적이다. 기존 보안의 여러 방법들에 더해 필요한 건 바로 이 금고일지도 모른다.
민감한 데이터와 자산을 안전하게 저장하고 편리한 사용을 위해 목록화 작업을 하는 기술이 보안에 있어 중요하다는 건 꽤나 당연하게 들리지만, 너무 당연하게 들려서인지 심각하게 간과되고 있다. 인벤토리(inventory)라는 개념을 장착한 기업이 아직도 거의 없다는 게 그 증거다. 아니, 가지고 있다고 착각하고 있는 기업이 대다수인 게 현실이다. 그저 하드드라이브 한 곳에 중요한 정보를 저장해놓는다고 인벤토리를 인벤토리답게 관리하고 있다는 건 아니다.
이는 보안의 출발점에 대한 심각한 질문을 던지게 되는 부분이기도 하다. 인벤토리부터가 부실하다면, 도대체 뭘 지킨다고 보안에 투자하는 걸까? 뭘 지켜야 하는지 정확히 모른 채 뭘 한다는 걸까? 데이터들마다 특성이 다르고 적용해야 하는 보안 기술이 다른데, 기본적인 데이터 파악 및 관리가 제대로 되어 있지 않은 상태에서는 맹목적인 투자밖에 될 수 없지 않은가? 또 데이터 손실 방지 솔루션과 같은 경우 데이터 정리가 기본으로 되어 있지 않으면 효과가 크게 줄어드는데, 이는 인벤토리 개념 없이 어떻게 해결하고 있는가?
즉, ‘새로운 공격에 맞서는 새로운 보안 방책’이란 더 깊숙이 박혀있는 기본 중 기본 항목에서 찾아야 한다는 것이다. 데이터에 대한 올바른 정리와 인벤토리화는 보안의 출발과도 같은 것인데 제일 언급이 되지 않고 있는 부분이며, ‘누군가 하겠지’ 혹은 ‘되어 있겠지’라고 믿어 넘기는 분야이다.
또한 민감한 데이터라는 것의 가치를 낮추는 것도 나쁘지 않은 발상이다. 물론 ‘공격자 입장’에서의 가치를 말한다. 공격자 입장에서 가치가 낮은 데이터란, 암호화, 난독화, 토큰화 등을 통해 활용이 어렵게 되어버린 것을 말한다. 가치를 낮출 수 있는 또 다른 방법 중 하나는 일정 기간이 지났을 때 완전 삭제하는 것이다. 낮추다 못해 아예 0으로 만들어 버린다는 발상이다.
민감한 데이터를 보호한다는 건 말처럼 쉽고 간단한 일이 아니다. 해당 데이터만 싸고 돈다고 되는 것도 아니다. 보다 통합적이고 총체적인 전략을 필요로 한다. 그렇기에 먼저는 우리가 간과했던 기본 중 기본이 제대로 되어 있는지부터 돌아볼 필요가 있다. 우리가 가지고 있는 수십 가지의 방법들은, 이제 그것만으로는 큰 도움이 되지 않는다. 지금의 ‘기본’보다 더 깊은 곳에 우리가 놓치고 있는 것들이 있다.
글 : 댄 프랭크(Dan Frank)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
