‘사람’과 ‘평소의 보안 위생’이 공격의 활로를 열어준다
공격자가 잘 하는 것보다 방어자가 못하는 것일 수도
[보안뉴스 문가용 기자] 보안 사고는 기업의 특성이나 규모, 분야를 따지지 않는다. 사이버전이라고 해서 적국의 정부기관만 노리라는 법은 없다. 오히려 상대 국가 기업에 파고들어 지적재산을 노리는 예가 더 많다. 그런데 희한하게, 보안 사고를 겪는 기업들은 비슷한 실수를 저지른다. 적어도 2016년에 발생한 사이버 공격은 대부분 비슷한 경로나 실수로부터 비롯됐다.
.jpg)
IBM의 보안 고문인 다이애나 켈리(Diana Kelley) 역시 “보안 전문가들의 난관의 본질은 항상 같았다”고 말한다. 그러면서 이를 크게 두 개로 나눴는데, “하나는 사람이고 다른 하나는 평소의 보안 위생”이다.
이 중 ‘사람’이라 하면 보안과 상관이 없는 부서에서 일하는 일반 직원들의 행동이다. 특히 기업 시스템과 상호 작용을 하는 부분에서의 습관이나 행동방식을 말한다. ‘평소의 보안 위생’은 기업이 자사 네트워크나 시스템의 업데이트나 보안 점검 등을 어떤 식으로 하느냐를 말한다. 이 두 가지 문제를 좀 더 구체적으로 풀어 기업들이 당하고 당하고 또 당하는 이유를 꼽자면 다음과 같다.
1. 개발 전 단계에서 코드 점검을 하지 않는다
켈리는 “보안과 관련된 기업 내 문화나 정책을 바꾸지 않는 이상 다룰 수 없는 리스크가 있다”고 한다. “그래서 코드 주입과 같은 공격이 지난 15년 동안 계속해서 위협거리가 된 것이죠. 2017년도 우리는 ‘주입 취약점’에 계속해서 노출되어 있을 겁니다.” 켈리가 말하는 ‘주입 취약점’은 잘못된 코딩에서 나오는 것이기도 하지만 “개발자들이 입력값 혹은 입력자에 대한 인증에 대해 이해하고 있지 못해서” 발생한다.
“취약점이 무엇인지 이해하고, 발견된 특정 취약점에 대해서도 이해한 상태에서 코딩을 하고, 그 후에는 반드시 실험 과정을 거쳐야 합니다.” 소프트웨어 코드를 출시 전에 실험해봄으로써 취약점이 없는 앱을 시장에 내놓을 수 있게 된다. 보안 전문가들의 도움과 교육을 받으면 금상첨화다.
2. 소스코드가 그냥 노출되어 있기도 하다
보안 업체인 세이프브리치(SafeBreach)의 보안 연구원이자 부회장인 아밋 클레인(Amit Klein)은 “소스코드가 의외로 많이 노출되어 있어 공격의 통로로서 활용되기도 한다”고 설명한다. “2016년에 가장 큰 유출 사고를 기록한 야후의 경우가 바로 이런 것이죠. 그 중요한 소스코드를 누가 보호하지 않겠는가, 하고 생각하겠지만 야후같이 큰 기업도 안 했어요.”
소스코드를 제대로 보호하지 않았다는 건 야후의 세션 쿠키 생성 알고리즘이 매우 약했다는 뜻이다. 아밋은 “야후 알고리즘이 너무 약해서 공격자들이 쿠키 값을 예상할 수 있었다”며 “그러니 야후가 만든 것과 비슷한 쿠키를 공격자들도 만들어낼 수 있었다”고 설명한다. “그러니 암호 보호 장치를 그냥 통과해 마치 실제 사용자인 것처럼 시늉할 수 있었던 것이죠. 사고가 여기서부터 터진 겁니다.”
3. 디폴트 암호를 바꾸지 않는다
디폴트 암호 변경만큼 사람들의 고집스러움이 드러나는 예도 드물다. 바로 이 고집 때문에 최근 기록적인 디도스 공격들이 발생하고 있다고 켈리는 설명한다. “2016년 하반기의 주인공이었던 미라이(Mirai) 멀웨어의 경우, 대표적인 디폴트 암호 몇 개를 악용하는 것이 사실상 거의 전부였어요. 반대로 말하면 디폴트 암호를 한 글자만 바꿔도 무력해지는 것이 미라이였지요. 미라이가 기승을 부렸다는 건 공격자들이 대단한 게 아니라 우리가 너무 약하고 고집스러운 겁니다.”
기업들은 와이파이 접속 지점, 라우터, 모든 사물인터넷 기기에 디폴트 암호가 바뀌지 않은 채 적용되어 있는지 점검해야 한다. 이것만으로도 미라이 디도스 공격을 막을 수 있다. 또한 되도록 기기들마다 다른 암호와 사용자 이름을 설정하는 것이 좋다. 해커 입장에서 매우 귀찮고 지난한 과정을 거쳐야만 공격을 성공시킬 수 있게 된다. 암호가 복잡하면 복잡할수록 공격자의 비용이 올라간다.
4. 패치도 잘 하지 않는다
패치를 기업 전체적으로 관리하는 곳도 그리 많지 않다. 이는 직원들의 사무 공간에 위험한 구멍들이 막 뚫려 있는데 보수 공사를 하지 않고 누가 빠져서 발이 부러지든 말든 그냥 방치하는 것과 마찬가지다. 켈리는 “소프트웨어 제조업체가 배포하는 패치를 기업 차원에서 적용하지 않는다면, 공격자에게 길을 내주는 것과 다름이 없습니다.”
5. 인간이라 실수하고 오류를 만든다
그 오래된 피싱 공격이 여전히 큰 위협거리라는 것도 사실 부끄러운 일이다. 켈리는 “피싱 공격에 대한 대처가 되지 않아서 작년 한 해가 랜섬웨어 공격자들의 찬란한 성공의 시기로 기록된 것”이라고 단호하게 말한다. 이 피싱 공격은 사람의 부주의나 실수를 악용하는 것으로, 소셜 엔지니어링 기법도 그런 면에서는 같은 맥락에 놓여 있는 공격법이라고 볼 수 있다.
소셜 엔지니어링과 피싱 공격이 계속해서 증가하고 있는데, 이에 대한 대처법을 강구하는 게 중요하다. 왕도가 딱히 있는 건 아니다. 사용자들(일반 직원들)을 교육하고, 수상한 메일이나 메시지를 어떻게 구별하고, 어떤 식으로 대처해야 하는지 알려줘야 한다. 단순히 알리는 걸 넘어서 강압적인 제도를 병행시킬 필요가 있다.
6. 데이터의 흐름을 파악하지 못한다
인터넷과 완전히 단절된 업체가 아닌 이상 데이터는 항상 기업 밖으로 흘러나가고 또 안으로 흘러들어온다. 그런데 이에 대한 관리 및 감독이 제대로 이루어지고 있지 않다. 작년 미국 국토안보부와 FBI 등에서 직원들의 데이터를 200GB나 훔쳤다고 주장하는 해커가 있었는데, 길지 않은 시간 사이에 200GB가 그 두 조직으로부터 흘러나왔다는 것 자체가 논란이 되었다. 200GB의 트래픽 흐름을 눈치 채지 못했다는 것이 충격적이었던 것이다.
데이터가 바깥으로 나갈 때, 도착지가 안전한 곳이라는 걸 반드시 확인해야 한다고 켈리는 주장한다. “안으로 들어오는 트래픽에 대해서는 비교적 엄격하게 관리하는데, 그 반대는 소홀히 다룹니다. 유출 사고가 우리를 괴롭히고 있다는 것 자체가 이런 보편적인 태도를 나타내는 겁니다. 해커가 침투하는 게 겁나는 만큼, 정보가 알 수 없는 곳으로 빠져나가는 것도 경계해야 할 겁니다.”
7. 침투를 제대로 막는 것도 아니다
바깥으로 나가는 트래픽을 제대로 관리하지 못한다는 걸 지적했는데, 그렇다고 들어오는 트래픽에 철저한 것도 아니다. 침투에 성공한 외부인이 네트워크 안을 수평적으로 돌아다니고 있는데도 모를 때가 대부분이다. 그래서 공격자들은 멀웨어를 설치하기도 하고, 가만히 앉아서 관찰하기만 한다. 그러면서 스크린을 캡처하고 키로깅을 한다. 원하는 대상을 골라서 공격하는 것도 그리 어렵지 않다.
켈리는 “이미 공격이 들어와 있다고 가정하고 방어 시스템을 구축해야 한다”고 주장한다. 지금에 와서 침투를 방지하겠다고 나서는 건 위험한 전제라는 것이다. “또한 네트워크를 철저히 분리시켜서 관리, 보호하는 것도 중요합니다. 침투를 막는 것이 물 건너갔으니, 침투 후 활동 범위를 축소시키는 게 올해 보안의 핵심일 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
공격자가 잘 하는 것보다 방어자가 못하는 것일 수도
[보안뉴스 문가용 기자] 보안 사고는 기업의 특성이나 규모, 분야를 따지지 않는다. 사이버전이라고 해서 적국의 정부기관만 노리라는 법은 없다. 오히려 상대 국가 기업에 파고들어 지적재산을 노리는 예가 더 많다. 그런데 희한하게, 보안 사고를 겪는 기업들은 비슷한 실수를 저지른다. 적어도 2016년에 발생한 사이버 공격은 대부분 비슷한 경로나 실수로부터 비롯됐다.
IBM의 보안 고문인 다이애나 켈리(Diana Kelley) 역시 “보안 전문가들의 난관의 본질은 항상 같았다”고 말한다. 그러면서 이를 크게 두 개로 나눴는데, “하나는 사람이고 다른 하나는 평소의 보안 위생”이다.
이 중 ‘사람’이라 하면 보안과 상관이 없는 부서에서 일하는 일반 직원들의 행동이다. 특히 기업 시스템과 상호 작용을 하는 부분에서의 습관이나 행동방식을 말한다. ‘평소의 보안 위생’은 기업이 자사 네트워크나 시스템의 업데이트나 보안 점검 등을 어떤 식으로 하느냐를 말한다. 이 두 가지 문제를 좀 더 구체적으로 풀어 기업들이 당하고 당하고 또 당하는 이유를 꼽자면 다음과 같다.
1. 개발 전 단계에서 코드 점검을 하지 않는다
켈리는 “보안과 관련된 기업 내 문화나 정책을 바꾸지 않는 이상 다룰 수 없는 리스크가 있다”고 한다. “그래서 코드 주입과 같은 공격이 지난 15년 동안 계속해서 위협거리가 된 것이죠. 2017년도 우리는 ‘주입 취약점’에 계속해서 노출되어 있을 겁니다.” 켈리가 말하는 ‘주입 취약점’은 잘못된 코딩에서 나오는 것이기도 하지만 “개발자들이 입력값 혹은 입력자에 대한 인증에 대해 이해하고 있지 못해서” 발생한다.
“취약점이 무엇인지 이해하고, 발견된 특정 취약점에 대해서도 이해한 상태에서 코딩을 하고, 그 후에는 반드시 실험 과정을 거쳐야 합니다.” 소프트웨어 코드를 출시 전에 실험해봄으로써 취약점이 없는 앱을 시장에 내놓을 수 있게 된다. 보안 전문가들의 도움과 교육을 받으면 금상첨화다.
2. 소스코드가 그냥 노출되어 있기도 하다
보안 업체인 세이프브리치(SafeBreach)의 보안 연구원이자 부회장인 아밋 클레인(Amit Klein)은 “소스코드가 의외로 많이 노출되어 있어 공격의 통로로서 활용되기도 한다”고 설명한다. “2016년에 가장 큰 유출 사고를 기록한 야후의 경우가 바로 이런 것이죠. 그 중요한 소스코드를 누가 보호하지 않겠는가, 하고 생각하겠지만 야후같이 큰 기업도 안 했어요.”
소스코드를 제대로 보호하지 않았다는 건 야후의 세션 쿠키 생성 알고리즘이 매우 약했다는 뜻이다. 아밋은 “야후 알고리즘이 너무 약해서 공격자들이 쿠키 값을 예상할 수 있었다”며 “그러니 야후가 만든 것과 비슷한 쿠키를 공격자들도 만들어낼 수 있었다”고 설명한다. “그러니 암호 보호 장치를 그냥 통과해 마치 실제 사용자인 것처럼 시늉할 수 있었던 것이죠. 사고가 여기서부터 터진 겁니다.”
3. 디폴트 암호를 바꾸지 않는다
디폴트 암호 변경만큼 사람들의 고집스러움이 드러나는 예도 드물다. 바로 이 고집 때문에 최근 기록적인 디도스 공격들이 발생하고 있다고 켈리는 설명한다. “2016년 하반기의 주인공이었던 미라이(Mirai) 멀웨어의 경우, 대표적인 디폴트 암호 몇 개를 악용하는 것이 사실상 거의 전부였어요. 반대로 말하면 디폴트 암호를 한 글자만 바꿔도 무력해지는 것이 미라이였지요. 미라이가 기승을 부렸다는 건 공격자들이 대단한 게 아니라 우리가 너무 약하고 고집스러운 겁니다.”
기업들은 와이파이 접속 지점, 라우터, 모든 사물인터넷 기기에 디폴트 암호가 바뀌지 않은 채 적용되어 있는지 점검해야 한다. 이것만으로도 미라이 디도스 공격을 막을 수 있다. 또한 되도록 기기들마다 다른 암호와 사용자 이름을 설정하는 것이 좋다. 해커 입장에서 매우 귀찮고 지난한 과정을 거쳐야만 공격을 성공시킬 수 있게 된다. 암호가 복잡하면 복잡할수록 공격자의 비용이 올라간다.
4. 패치도 잘 하지 않는다
패치를 기업 전체적으로 관리하는 곳도 그리 많지 않다. 이는 직원들의 사무 공간에 위험한 구멍들이 막 뚫려 있는데 보수 공사를 하지 않고 누가 빠져서 발이 부러지든 말든 그냥 방치하는 것과 마찬가지다. 켈리는 “소프트웨어 제조업체가 배포하는 패치를 기업 차원에서 적용하지 않는다면, 공격자에게 길을 내주는 것과 다름이 없습니다.”
5. 인간이라 실수하고 오류를 만든다
그 오래된 피싱 공격이 여전히 큰 위협거리라는 것도 사실 부끄러운 일이다. 켈리는 “피싱 공격에 대한 대처가 되지 않아서 작년 한 해가 랜섬웨어 공격자들의 찬란한 성공의 시기로 기록된 것”이라고 단호하게 말한다. 이 피싱 공격은 사람의 부주의나 실수를 악용하는 것으로, 소셜 엔지니어링 기법도 그런 면에서는 같은 맥락에 놓여 있는 공격법이라고 볼 수 있다.
소셜 엔지니어링과 피싱 공격이 계속해서 증가하고 있는데, 이에 대한 대처법을 강구하는 게 중요하다. 왕도가 딱히 있는 건 아니다. 사용자들(일반 직원들)을 교육하고, 수상한 메일이나 메시지를 어떻게 구별하고, 어떤 식으로 대처해야 하는지 알려줘야 한다. 단순히 알리는 걸 넘어서 강압적인 제도를 병행시킬 필요가 있다.
6. 데이터의 흐름을 파악하지 못한다
인터넷과 완전히 단절된 업체가 아닌 이상 데이터는 항상 기업 밖으로 흘러나가고 또 안으로 흘러들어온다. 그런데 이에 대한 관리 및 감독이 제대로 이루어지고 있지 않다. 작년 미국 국토안보부와 FBI 등에서 직원들의 데이터를 200GB나 훔쳤다고 주장하는 해커가 있었는데, 길지 않은 시간 사이에 200GB가 그 두 조직으로부터 흘러나왔다는 것 자체가 논란이 되었다. 200GB의 트래픽 흐름을 눈치 채지 못했다는 것이 충격적이었던 것이다.
데이터가 바깥으로 나갈 때, 도착지가 안전한 곳이라는 걸 반드시 확인해야 한다고 켈리는 주장한다. “안으로 들어오는 트래픽에 대해서는 비교적 엄격하게 관리하는데, 그 반대는 소홀히 다룹니다. 유출 사고가 우리를 괴롭히고 있다는 것 자체가 이런 보편적인 태도를 나타내는 겁니다. 해커가 침투하는 게 겁나는 만큼, 정보가 알 수 없는 곳으로 빠져나가는 것도 경계해야 할 겁니다.”
7. 침투를 제대로 막는 것도 아니다
바깥으로 나가는 트래픽을 제대로 관리하지 못한다는 걸 지적했는데, 그렇다고 들어오는 트래픽에 철저한 것도 아니다. 침투에 성공한 외부인이 네트워크 안을 수평적으로 돌아다니고 있는데도 모를 때가 대부분이다. 그래서 공격자들은 멀웨어를 설치하기도 하고, 가만히 앉아서 관찰하기만 한다. 그러면서 스크린을 캡처하고 키로깅을 한다. 원하는 대상을 골라서 공격하는 것도 그리 어렵지 않다.
켈리는 “이미 공격이 들어와 있다고 가정하고 방어 시스템을 구축해야 한다”고 주장한다. 지금에 와서 침투를 방지하겠다고 나서는 건 위험한 전제라는 것이다. “또한 네트워크를 철저히 분리시켜서 관리, 보호하는 것도 중요합니다. 침투를 막는 것이 물 건너갔으니, 침투 후 활동 범위를 축소시키는 게 올해 보안의 핵심일 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
