보안, 멀웨어와만 싸우는 게 아니라 관습과 에티켓까지도 고려해야
USB 마니아나 USB 하찮게 여기는 자나 위험하긴 마찬가지
[보안뉴스 문가용 기자] 얼마 전 KT 건물에 화재가 나는 바람에 일부 통신이 마비된 사태가 발생했다. 이 때문에 소상공인들의 손해가 막심하고, 한 70대 노인은 구급차로 연락이 닿지 않아 사망하는 안타까운 일이 벌어지기도 했다. 디지털 혁신과 초연결 사회로 가는 문턱에서 고전적인 물리적 위협이 아직도 위력을 발휘할 수 있음이 드러난 사건이었다.
[이미지 = iclickart]
사이버 보안은 그 특성상 네트워크와 각종 메시지 속에 숨어있는 위험 요소들에 집중하는 것이 보통이다. 공격자들은 지구 반대편에 있을 때가 많기 때문에 범인보다 위험 그 자체에 신경을 쓰는 것도 이 분야의 특징이다. 하지만 그 범인이나 위협이 되는 주체가 정문을 통해 걸어 들어오거나 카페 옆 테이블에 앉아 있다면 어떨까? 이들이 회사 소유 랩톱을 그냥 들고 걸어 나간다면 방화벽 규칙을 아무리 엄격하게 세우고 지켜도 소용이 없을 것이다.
“우리의 소중한 컴퓨터 시스템을 방수 콘크리트로 단단히 싸서 대서양 한 가운데에 빠트린다면, 그것처럼 안전하게 데이터를 보호할 수는 없을 겁니다. 하지만 그 데이터는 아무도 사용할 수 없게 되니 아무런 의미가 없게 되죠.” 인증 전문 업체인 섹티고(Sectigo)의 팀 칼란(Tim Callan) 수석 연구원의 설명이다. “사람들이 컴퓨터나 모바일 장비를 정상적으로 사용하면서도 물리적으로 안전하도록 하는 게 보안의 핵심입니다.”
이미 지난 2016년 보안 업체 비트글래스(Bitglass)는 금융 서비스 부문에서 발생하는 유출 사고 네 건 중 하나가 ‘물리적 위협’으로 야기된다고 발표한 바 있다. 여기서 말하는 물리적 위협은 ‘도난당하거나 분실된 랩톱’이었다. 참고로 사건 다섯 건 중 하나만이 해킹으로 인한 것이었다. 악성 해커들과 치열한 두뇌 싸움을 벌이는 것처럼 멋져 보이지 않을 수도 있지만, 물리 보안이야말로 가장 실질적인 요소일 수 있다는 것이다. 그 어떤 데이터 보호 프로그램에 있어서 물리 보안은 빠질 수 없다.
그렇다면 데이터를 보호하기 위한 물리 보안 요소에는 뭐가 있을까? 아니, 정확히 어떤 것들을 물리적으로 보호해야 할까? 여러 가지가 있겠지만 대부분 조직의 물리적 자산과 연결되어 있다. 보안 전문가들과의 대화나 가까운 과거에 일어났던 각종 보안 사고를 통해 이를 좀 더 정확하게, 일곱 가지로 나눠 짚어보았다.
1. 에티켓
흔히 볼 수 있거나, 종종 직접 당하는 경우가 있다. 문을 열고 들어가면서, 뒷사람을 위한 에티켓으로 문을 좀 잡고 있었더니, 갑자기 그 뒤로 수십 명이 통과하면서 문 놓을 타이밍을 놓치고 잠시 동안 반쯤만 자발적인 도어맨 역할을 하게 되는 경우 말이다. 하지만 자발적으로 뒷사람의 출입 권한이나 사원증을 확인하는 경우는 매우 드물다. 그러한 직책을 갖고 있지 않은 이상 남의 권한을 확인하는 건 에티켓이 아니기 때문이다.
이 에티켓이란 것이 굉장히 큰 물리적 위협 요소가 된다. 영화에서도 흔히 볼 수 있듯이, 범죄자들이 건물이나 장소 안으로 들어가는 구멍을 찾는 게 그리 어려운 일이 아닌 것도 일정 부분 이 ‘에티켓’ 때문이다. 범죄자로서는 사람들이 어떤 패턴으로 장소에 들고 나는지를 관찰하다가 특정 상황에서 많은 인파가 몰릴 때 그 안으로 섞여 들어가면 된다. 에티켓을 믿으면 십중팔구 통과할 수 있다.
그렇다면 이걸 어떻게 막아야 할까? 그리 어려운 일이 아니다. 아무리 인파가 많아도 한 사람 한 사람이 배지나 신분증을 확인받고 통과할 수 있도록 해야 한다. 손님이면 손님용 패찰이 있어야만 출입이 허용되도록 해야 한다. 물론 이렇게 해도 통과하는 경우가 있을 수 있다. 그렇기 때문에 행동 확인 및 추적도 병행해야 한다. IT와 관련이 없는 신입 사원이 서버실에 마음대로 출입해서는 안 되도록 해야 한다는 것이다. 또한 사원증이나 패찰 없이 건물 안을 돌아다니는 사람은 수상한 사람이라는 걸 교육을 통해 인지시키는 것도 중요하다. 요는, 게이트 컨트롤과 함께 다양한 전략과 정책이 복합적으로 구성되어야 한다는 것이다.
2. 건망증이 심한 사용자
대부분에겐 상상도 못할 일이겠지만 카페나 식당, 택시, 비행기, 화장실에 스마트폰, 태블릿, 랩톱 등을 깜빡 잊고 두고나오는 경우가 정말 많다. 일부러 이렇게 하는 경우도 없지 않지만 절대 다수는 순수하게 잊어버린 것이다. 다른 일이 신경 쓰거나, 뭔가 깊은 고민을 하다가 장비 챙기는 걸 깜빡할 때가 많다. 이 생각 저 생각 하면서 주변 정리도 잘 하는 사람이 있는가하면, 하나에 골몰하면 모든 감각이 마비되는 것처럼 집중하는 사람도 있다. 그러니 이런 사람들의 성향도 보안 전략에 가미되어야 한다.
어떻게? 여러 가지 방법들이 있을 수 있다. 장비 잃어버리는 사람이 반드시 책임을 지고 구매하게 하는 ‘벌금형’ 제도가 많이 사용된다. 장비를 가방에 담는 순서까지 정해 이를 주기적으로 훈련시키는 곳도 있다. 즉 분실하지 않는 습관이 몸에 배도록 하는 것이다. 기술적으로는 분실 장비에 대한 원격 데이터 삭제 기능을 추가할 수도 있지만, 도리어 이 장치 때문에 사람이 헤이해지는 경우도 있었다고 한다.
모바일 기기 관리(MDM)의 일환으로 전체 디스크 암호화(full disk encryption)를 하는 것도 생각해봄직한 방법이다. 아예 장비를 켜는 것부터 비밀번호를 입력하게 하는 등 인증 과정을 통과하도록 만드는 것이다. 인증 과정이 까다로우면 사용자가 고민이나 생각에 빠져 있더라도 잠시 정신을 차리는 데 도움이 되기도 한다. 칼란은 “훈련과 교육을 통해 분실 가능성을 0으로 만든다고 해도, 강제 탈취나 도난까지도 염두에 두려면 인증 과정을 까다롭게 만들거나 원격 디스크 삭제 기능을 구축하는 게 도움이 된다”고 덧붙였다.
3. 도둑놈들
위 칼란의 말이 맞는 것이, 도둑놈들은 우리 주위에 항상 존재하기 때문이다. “모바일 장비들은 대부분 고가입니다. 데이터에는 관심이 하나도 없지만 랩톱, 휴대폰, 태블릿 등 하드웨어를 단순히 다른 데다 팔려고 훔치는 사람들이 많습니다. 그런 사람들 속에 데이터 도둑들이 숨어있다는 게 무섭죠. 이들은 중요한 인물이나 장비가 종종 나타나는 곳의 주차장이나 구석자리에 숨어서 때를 기다립니다.” 그렇다고 회사 컴퓨터를 펴기 전에 카페 안을 깨끗하게 비울 수도 없고, 주차장까지 검사할 수도 없는데, 어떻게 대처해야 할까?
가장 먼저는 물리적인 잠금장치를 같이 제공하는 것이 좋다. 회사의 모바일 기기를 담고 다니는 가방은 잠금장치가 있는 것으로 하던가, 자물쇠 같은 것을 같이 지급하는 것이다. “그러고 나서는 잠금장치를 반드시 사용하도록 하는 겁니다. 가방을 잠그는 것만 습관처럼 굳어져도 사람이 가진 취약 요소가 많이 단단해집니다.”
또한 전체 디스크 암호화가 여기에도 도움이 될 수 있다. 가방도 잠그고 디스크도 잠그는 것이다. 칼란은 “물리적 분실 확률을 0으로 만들 수는 없고, 그렇기에 피해 최소화라는 개념으로 접근해야 한다”고 충고한다. “그렇다면 잠금장치를 여러 겹으로 하는 게 당연한 귀결입니다. 장비 잃어버리면 200만원의 손해를 보는 거지만, 데이터를 잃어버리면 그 이상의 피해거든요.”
4. USB 트로이목마
까치나 바우어새 등 유난히 반짝거리는 걸 좋아하는 새들이 있다. 그런 것처럼 신기하게 생긴 USB에 끌리는 사람들이 있다. 이들은 예쁜 USB를 수집하기도 하고, 주변 친구가 그런 USB를 가지고 있으면 한 번씩 자기 컴퓨터에 꼽아보고 싶어 안달을 한다. 순수하게 신기한 휴대 장치를 좋아하는 사람들이지만, 이들이 USB를 꼽아보는 컴퓨터가 반드시 안전하다고 말할 수 없기에 이는 제한해야 할 행동이다. 반대로 USB를 정말 하찮게 여겨, 거의 소모품처럼 USB를 한 번 쓰고 잊어버리는(그리고 잃어버리는) 직원들도 비슷한 위험성을 가지고 있다.
물론 이러한 행동을 바꾸는 게 가장 좋은 방법이다. 필요한 USB를 잘 보관해가며, 적절하게 사용하게 하는 것 말이다. 이를 위한 교육 프로그램을 가동하거나 USB 사용 정책을 엄격하게 정하는 것이 한 방법일 수 있다. “그러나 분명 한 사람쯤은 교육 내용을 무시하거나 잊어버리고 사고를 치게 되어 있습니다. 예를 들어 어제 입사한 직원이라면 교육을 아예 받지도 못했겠지요. 회사 정책을 으레 무시하는 사람들도 있고요. USB를 하찮게 여기는 사람이면, USB 정책도 하찮게 여깁니다.”
그래서 칼란은 교육과 정책에 더해 두 가지를 보안 팀에서 더 해야 한다고 권장한다. “하나는 안티멀웨어 시스템을 공격적으로 실행시켜야 한다는 겁니다. 즉 안티멀웨어가 지켜보는 시스템 범위를 넓히고, 규칙을 엄격하게 정하며, 엔진을 항상 최신화시키는 것이죠. 그 다음은 조직 내 모든 사용자들이 따라야 하는 USB 관련 정책을 도입시키는 것입니다. 못 보던 USB를 발견했을 때 반드시 보안 팀에 먼저 제출하도록 한다거나, 주기적인 USB 포맷 시기를 결정하거나, USB 전담 부서를 지정하는 것 정도가 있습니다.”
5. 걸어 다니는 데이터
USB 이야기의 확장판이다. 요즘은 미니 SD카드니 썸네일 드라이브 등이 발전해 누구나 쉽게 주머니 깊숙이에 데이터를 가지고 다닐 수 있다. 특히 데이터를 훔쳐내고자 마음먹은 사람에게 이러한 기술의 발전은 큰 도움이 된다. 손톱만한 메모리 카드를 컴퓨터에 꽂고(눈에 잘 띄지도 않는다), 잠깐 데이터를 옮기면, 어디에나 이를 숨겨 자유롭게 돌아다닐 수 있게 된다. 스노든도 이런 식으로 데이터를 훔쳤다.
그래서 USB나 카드 삽입 포트를 전부 막아놓는 조직들도 있다. 하지만 이는 대서양에 컴퓨터를 빠트리는 것과 비슷하다. 여러 편리한 컴퓨터 부속장비들을 사용할 수 없게 만들고, 실제로 USB가 필요할 때도 사용이 불가능하게 된다. 따라서 시스템 점검이나 업데이트 때도 불편이 수반된다. USB를 보다 안전하게 제어하는 방법이 존재하니, 보안 팀들은 이 옵션들을 살필 필요가 있다.
먼저는 USB 드라이브의 사용을 정책적으로 전면 금지시키는 것이다. 그리고 사용이 가능한 예외 규정을 만든다. USB 사용을 전면적으로 열어두고 나면, 예외 조항으로 사용을 금지시키는 게 어려워진다. 즉 반대의 접근을 하라는 것이다. “바이오스 수정이나 펌웨어 업데이트 시 예외적으로 USB를 사용을 할 수 있게 하는 등 정말 필요한 경우에만 USB가 사용되도록 하는 게 안전합니다.”
그 다음 USB 사용 현황을 모니터링 할 수 있도록 보안 아키텍처를 구성해야 한다. 그래서 수상한 행위가 나타나면 경보가 울리도록 해야 한다. 이 경우 최초의 데이터 탈취 행위 자체는 막기 힘들 수 있다. 하지만 행위자가 건물 밖을 빠져나가거나 다른 곳으로 피해가 확산되는 것을 최대한 빨리 막을 수 있게 된다.
6. 뒷구멍 관리
굉장히 고전적인 물리 취약점 중 하나가 바로 뒷문이다. 각종 스파이 영화나 범죄 영화에 가장 많이 등장하는 것 중 하나도 바로 이 뒷문이다. 물리적으로 조금 늦게 잠기는 문이라든가, 위에서 언급한 에티켓 상황에서처럼 많은 사람이 한꺼번에 몰려드는 시간, CCTV의 사각지대나, 보안 장치가 하나도 없을 정도로 잊힌 출입 통로 등이 뒷문으로 활용될 가능성이 높다.
이 경우는 조직이 먼저 이런 뒷문의 존재 여부를 꼼꼼하게 파악해야 한다. 직원들로부터 제보를 받는 것도 도움이 된다. 그리고 직원 교육과 훈련을 통해 이러한 ‘뒷문’들은 사용할 수 없다는 걸 인지시켜야 한다. 정책적으로 엄중히 사용 금지시키는 것도 한 방법이 될 수 있다. 사이버 공간에서는 ‘남의 계정으로 로그인 하기’가 물리적인 뒷구멍 침입에 해당한다고 볼 수 있다.
“회사 동료들끼리 계정 비밀번호를 공유하는 건 흔한 일이죠. 또한 자동 로그인 옵션을 활성화시키면 연차를 낸 날에 아무나 내 컴퓨터에 접속해 로그인할 수 있게 되고요. 심지어 사람이 많은 조직에서는 출입문을 무사통과한 낯선 인물이 뒤에서 로그인 장면을 지켜보고 비밀번호를 훔쳐낼 수도 있습니다. 로그인과 로그아웃의 철저한 관리를 직원들에게 요구함으로써 뒷구멍을 방비할 수 있게 됩니다. 자동 로그인 옵션 사용을 금지시키고, 수분 후에는 자동 로그아웃을 시키며, 이중인증 옵션을 추가하는 것도 좋은 방법입니다.”
7. 추가 주문 취약점
카페나 식당에서 컴퓨터를 열고 작업을 하다가 커피 한 잔, 머핀 하나 더 주문하기 위해 잠깐 일어서는 경우가 있다. 화장실을 가려고 자리를 뜰 때도 있다. 즉, 사용자가 키보드에 24시간 밀착하는 일은 드물다는 것이다. 하지만 이는 사무실에서는 비교적 괜찮은 행동일지 모르지만, 공공장소에서는 다르다.
칼란은 “사무실에서는 저도 작업하던 화면 그대로 놔두고 탕비실에 가서 커피를 한 잔 타온다”고 말한다. “하지만 카페에서는 절대 그렇게 하지 않습니다. 일단 걸음도 훨씬 빨라지고, 랩톱 뚜껑도 매번 닫습니다. 다시 컴퓨터를 켤 때마다 로그인을 다시 해야 하지만, 제가 잠깐 사라진 사이에 누군가 재빨리 키보드 조작을 통해 정보를 훔쳐가는 것보다 낫습니다. 작은 행동 변화가 큰 차이를 만드는 법이죠. 안전이라는 부분에서는 더 그렇습니다.”
보안은 사이버 보안이나 물리 보안이나 모두 한 가지 철칙 아래서 작용한다. 생산성과 안전의 균형이 바로 그것이다. “이 균형을 맞춰야 하는 이상, 취약한 부분을 0으로 만들 수는 없습니다. 데이터가 끊임없이 사용되는 이상 침투의 구멍은 어디엔가 꼭 존재하기 마련이죠. 보안은 그 구멍이 있다는 걸 알리고, 최대한 좁게 만드는 것입니다.” 그러면서 칼란은 “멀웨어와 네트워크에 대한 이해는 물론 하드웨어와 인간에 대한 이해도 추구해야 하는 게 진정한 보안”이라고 강조했다.
3줄 요약
1. 사이버 보안, 사람과 하드웨어까지 아울러야 한다.
2. 일반적인 관습과 에티켓에서부터 건망증과 회사 내 분위기 모두 취약점으로 작용한다.
3. 키보드에서 멀어질 때마다 습관적으로 화면 잠그는 사소한 습관이 차이를 만든다.
[국제부 문가용 기자(globoan@boannews.com)]
USB 마니아나 USB 하찮게 여기는 자나 위험하긴 마찬가지
[보안뉴스 문가용 기자] 얼마 전 KT 건물에 화재가 나는 바람에 일부 통신이 마비된 사태가 발생했다. 이 때문에 소상공인들의 손해가 막심하고, 한 70대 노인은 구급차로 연락이 닿지 않아 사망하는 안타까운 일이 벌어지기도 했다. 디지털 혁신과 초연결 사회로 가는 문턱에서 고전적인 물리적 위협이 아직도 위력을 발휘할 수 있음이 드러난 사건이었다.
[이미지 = iclickart]
사이버 보안은 그 특성상 네트워크와 각종 메시지 속에 숨어있는 위험 요소들에 집중하는 것이 보통이다. 공격자들은 지구 반대편에 있을 때가 많기 때문에 범인보다 위험 그 자체에 신경을 쓰는 것도 이 분야의 특징이다. 하지만 그 범인이나 위협이 되는 주체가 정문을 통해 걸어 들어오거나 카페 옆 테이블에 앉아 있다면 어떨까? 이들이 회사 소유 랩톱을 그냥 들고 걸어 나간다면 방화벽 규칙을 아무리 엄격하게 세우고 지켜도 소용이 없을 것이다.
“우리의 소중한 컴퓨터 시스템을 방수 콘크리트로 단단히 싸서 대서양 한 가운데에 빠트린다면, 그것처럼 안전하게 데이터를 보호할 수는 없을 겁니다. 하지만 그 데이터는 아무도 사용할 수 없게 되니 아무런 의미가 없게 되죠.” 인증 전문 업체인 섹티고(Sectigo)의 팀 칼란(Tim Callan) 수석 연구원의 설명이다. “사람들이 컴퓨터나 모바일 장비를 정상적으로 사용하면서도 물리적으로 안전하도록 하는 게 보안의 핵심입니다.”
이미 지난 2016년 보안 업체 비트글래스(Bitglass)는 금융 서비스 부문에서 발생하는 유출 사고 네 건 중 하나가 ‘물리적 위협’으로 야기된다고 발표한 바 있다. 여기서 말하는 물리적 위협은 ‘도난당하거나 분실된 랩톱’이었다. 참고로 사건 다섯 건 중 하나만이 해킹으로 인한 것이었다. 악성 해커들과 치열한 두뇌 싸움을 벌이는 것처럼 멋져 보이지 않을 수도 있지만, 물리 보안이야말로 가장 실질적인 요소일 수 있다는 것이다. 그 어떤 데이터 보호 프로그램에 있어서 물리 보안은 빠질 수 없다.
그렇다면 데이터를 보호하기 위한 물리 보안 요소에는 뭐가 있을까? 아니, 정확히 어떤 것들을 물리적으로 보호해야 할까? 여러 가지가 있겠지만 대부분 조직의 물리적 자산과 연결되어 있다. 보안 전문가들과의 대화나 가까운 과거에 일어났던 각종 보안 사고를 통해 이를 좀 더 정확하게, 일곱 가지로 나눠 짚어보았다.
1. 에티켓
흔히 볼 수 있거나, 종종 직접 당하는 경우가 있다. 문을 열고 들어가면서, 뒷사람을 위한 에티켓으로 문을 좀 잡고 있었더니, 갑자기 그 뒤로 수십 명이 통과하면서 문 놓을 타이밍을 놓치고 잠시 동안 반쯤만 자발적인 도어맨 역할을 하게 되는 경우 말이다. 하지만 자발적으로 뒷사람의 출입 권한이나 사원증을 확인하는 경우는 매우 드물다. 그러한 직책을 갖고 있지 않은 이상 남의 권한을 확인하는 건 에티켓이 아니기 때문이다.
이 에티켓이란 것이 굉장히 큰 물리적 위협 요소가 된다. 영화에서도 흔히 볼 수 있듯이, 범죄자들이 건물이나 장소 안으로 들어가는 구멍을 찾는 게 그리 어려운 일이 아닌 것도 일정 부분 이 ‘에티켓’ 때문이다. 범죄자로서는 사람들이 어떤 패턴으로 장소에 들고 나는지를 관찰하다가 특정 상황에서 많은 인파가 몰릴 때 그 안으로 섞여 들어가면 된다. 에티켓을 믿으면 십중팔구 통과할 수 있다.
그렇다면 이걸 어떻게 막아야 할까? 그리 어려운 일이 아니다. 아무리 인파가 많아도 한 사람 한 사람이 배지나 신분증을 확인받고 통과할 수 있도록 해야 한다. 손님이면 손님용 패찰이 있어야만 출입이 허용되도록 해야 한다. 물론 이렇게 해도 통과하는 경우가 있을 수 있다. 그렇기 때문에 행동 확인 및 추적도 병행해야 한다. IT와 관련이 없는 신입 사원이 서버실에 마음대로 출입해서는 안 되도록 해야 한다는 것이다. 또한 사원증이나 패찰 없이 건물 안을 돌아다니는 사람은 수상한 사람이라는 걸 교육을 통해 인지시키는 것도 중요하다. 요는, 게이트 컨트롤과 함께 다양한 전략과 정책이 복합적으로 구성되어야 한다는 것이다.
2. 건망증이 심한 사용자
대부분에겐 상상도 못할 일이겠지만 카페나 식당, 택시, 비행기, 화장실에 스마트폰, 태블릿, 랩톱 등을 깜빡 잊고 두고나오는 경우가 정말 많다. 일부러 이렇게 하는 경우도 없지 않지만 절대 다수는 순수하게 잊어버린 것이다. 다른 일이 신경 쓰거나, 뭔가 깊은 고민을 하다가 장비 챙기는 걸 깜빡할 때가 많다. 이 생각 저 생각 하면서 주변 정리도 잘 하는 사람이 있는가하면, 하나에 골몰하면 모든 감각이 마비되는 것처럼 집중하는 사람도 있다. 그러니 이런 사람들의 성향도 보안 전략에 가미되어야 한다.
어떻게? 여러 가지 방법들이 있을 수 있다. 장비 잃어버리는 사람이 반드시 책임을 지고 구매하게 하는 ‘벌금형’ 제도가 많이 사용된다. 장비를 가방에 담는 순서까지 정해 이를 주기적으로 훈련시키는 곳도 있다. 즉 분실하지 않는 습관이 몸에 배도록 하는 것이다. 기술적으로는 분실 장비에 대한 원격 데이터 삭제 기능을 추가할 수도 있지만, 도리어 이 장치 때문에 사람이 헤이해지는 경우도 있었다고 한다.
모바일 기기 관리(MDM)의 일환으로 전체 디스크 암호화(full disk encryption)를 하는 것도 생각해봄직한 방법이다. 아예 장비를 켜는 것부터 비밀번호를 입력하게 하는 등 인증 과정을 통과하도록 만드는 것이다. 인증 과정이 까다로우면 사용자가 고민이나 생각에 빠져 있더라도 잠시 정신을 차리는 데 도움이 되기도 한다. 칼란은 “훈련과 교육을 통해 분실 가능성을 0으로 만든다고 해도, 강제 탈취나 도난까지도 염두에 두려면 인증 과정을 까다롭게 만들거나 원격 디스크 삭제 기능을 구축하는 게 도움이 된다”고 덧붙였다.
3. 도둑놈들
위 칼란의 말이 맞는 것이, 도둑놈들은 우리 주위에 항상 존재하기 때문이다. “모바일 장비들은 대부분 고가입니다. 데이터에는 관심이 하나도 없지만 랩톱, 휴대폰, 태블릿 등 하드웨어를 단순히 다른 데다 팔려고 훔치는 사람들이 많습니다. 그런 사람들 속에 데이터 도둑들이 숨어있다는 게 무섭죠. 이들은 중요한 인물이나 장비가 종종 나타나는 곳의 주차장이나 구석자리에 숨어서 때를 기다립니다.” 그렇다고 회사 컴퓨터를 펴기 전에 카페 안을 깨끗하게 비울 수도 없고, 주차장까지 검사할 수도 없는데, 어떻게 대처해야 할까?
가장 먼저는 물리적인 잠금장치를 같이 제공하는 것이 좋다. 회사의 모바일 기기를 담고 다니는 가방은 잠금장치가 있는 것으로 하던가, 자물쇠 같은 것을 같이 지급하는 것이다. “그러고 나서는 잠금장치를 반드시 사용하도록 하는 겁니다. 가방을 잠그는 것만 습관처럼 굳어져도 사람이 가진 취약 요소가 많이 단단해집니다.”
또한 전체 디스크 암호화가 여기에도 도움이 될 수 있다. 가방도 잠그고 디스크도 잠그는 것이다. 칼란은 “물리적 분실 확률을 0으로 만들 수는 없고, 그렇기에 피해 최소화라는 개념으로 접근해야 한다”고 충고한다. “그렇다면 잠금장치를 여러 겹으로 하는 게 당연한 귀결입니다. 장비 잃어버리면 200만원의 손해를 보는 거지만, 데이터를 잃어버리면 그 이상의 피해거든요.”
4. USB 트로이목마
까치나 바우어새 등 유난히 반짝거리는 걸 좋아하는 새들이 있다. 그런 것처럼 신기하게 생긴 USB에 끌리는 사람들이 있다. 이들은 예쁜 USB를 수집하기도 하고, 주변 친구가 그런 USB를 가지고 있으면 한 번씩 자기 컴퓨터에 꼽아보고 싶어 안달을 한다. 순수하게 신기한 휴대 장치를 좋아하는 사람들이지만, 이들이 USB를 꼽아보는 컴퓨터가 반드시 안전하다고 말할 수 없기에 이는 제한해야 할 행동이다. 반대로 USB를 정말 하찮게 여겨, 거의 소모품처럼 USB를 한 번 쓰고 잊어버리는(그리고 잃어버리는) 직원들도 비슷한 위험성을 가지고 있다.
물론 이러한 행동을 바꾸는 게 가장 좋은 방법이다. 필요한 USB를 잘 보관해가며, 적절하게 사용하게 하는 것 말이다. 이를 위한 교육 프로그램을 가동하거나 USB 사용 정책을 엄격하게 정하는 것이 한 방법일 수 있다. “그러나 분명 한 사람쯤은 교육 내용을 무시하거나 잊어버리고 사고를 치게 되어 있습니다. 예를 들어 어제 입사한 직원이라면 교육을 아예 받지도 못했겠지요. 회사 정책을 으레 무시하는 사람들도 있고요. USB를 하찮게 여기는 사람이면, USB 정책도 하찮게 여깁니다.”
그래서 칼란은 교육과 정책에 더해 두 가지를 보안 팀에서 더 해야 한다고 권장한다. “하나는 안티멀웨어 시스템을 공격적으로 실행시켜야 한다는 겁니다. 즉 안티멀웨어가 지켜보는 시스템 범위를 넓히고, 규칙을 엄격하게 정하며, 엔진을 항상 최신화시키는 것이죠. 그 다음은 조직 내 모든 사용자들이 따라야 하는 USB 관련 정책을 도입시키는 것입니다. 못 보던 USB를 발견했을 때 반드시 보안 팀에 먼저 제출하도록 한다거나, 주기적인 USB 포맷 시기를 결정하거나, USB 전담 부서를 지정하는 것 정도가 있습니다.”
5. 걸어 다니는 데이터
USB 이야기의 확장판이다. 요즘은 미니 SD카드니 썸네일 드라이브 등이 발전해 누구나 쉽게 주머니 깊숙이에 데이터를 가지고 다닐 수 있다. 특히 데이터를 훔쳐내고자 마음먹은 사람에게 이러한 기술의 발전은 큰 도움이 된다. 손톱만한 메모리 카드를 컴퓨터에 꽂고(눈에 잘 띄지도 않는다), 잠깐 데이터를 옮기면, 어디에나 이를 숨겨 자유롭게 돌아다닐 수 있게 된다. 스노든도 이런 식으로 데이터를 훔쳤다.
그래서 USB나 카드 삽입 포트를 전부 막아놓는 조직들도 있다. 하지만 이는 대서양에 컴퓨터를 빠트리는 것과 비슷하다. 여러 편리한 컴퓨터 부속장비들을 사용할 수 없게 만들고, 실제로 USB가 필요할 때도 사용이 불가능하게 된다. 따라서 시스템 점검이나 업데이트 때도 불편이 수반된다. USB를 보다 안전하게 제어하는 방법이 존재하니, 보안 팀들은 이 옵션들을 살필 필요가 있다.
먼저는 USB 드라이브의 사용을 정책적으로 전면 금지시키는 것이다. 그리고 사용이 가능한 예외 규정을 만든다. USB 사용을 전면적으로 열어두고 나면, 예외 조항으로 사용을 금지시키는 게 어려워진다. 즉 반대의 접근을 하라는 것이다. “바이오스 수정이나 펌웨어 업데이트 시 예외적으로 USB를 사용을 할 수 있게 하는 등 정말 필요한 경우에만 USB가 사용되도록 하는 게 안전합니다.”
그 다음 USB 사용 현황을 모니터링 할 수 있도록 보안 아키텍처를 구성해야 한다. 그래서 수상한 행위가 나타나면 경보가 울리도록 해야 한다. 이 경우 최초의 데이터 탈취 행위 자체는 막기 힘들 수 있다. 하지만 행위자가 건물 밖을 빠져나가거나 다른 곳으로 피해가 확산되는 것을 최대한 빨리 막을 수 있게 된다.
6. 뒷구멍 관리
굉장히 고전적인 물리 취약점 중 하나가 바로 뒷문이다. 각종 스파이 영화나 범죄 영화에 가장 많이 등장하는 것 중 하나도 바로 이 뒷문이다. 물리적으로 조금 늦게 잠기는 문이라든가, 위에서 언급한 에티켓 상황에서처럼 많은 사람이 한꺼번에 몰려드는 시간, CCTV의 사각지대나, 보안 장치가 하나도 없을 정도로 잊힌 출입 통로 등이 뒷문으로 활용될 가능성이 높다.
이 경우는 조직이 먼저 이런 뒷문의 존재 여부를 꼼꼼하게 파악해야 한다. 직원들로부터 제보를 받는 것도 도움이 된다. 그리고 직원 교육과 훈련을 통해 이러한 ‘뒷문’들은 사용할 수 없다는 걸 인지시켜야 한다. 정책적으로 엄중히 사용 금지시키는 것도 한 방법이 될 수 있다. 사이버 공간에서는 ‘남의 계정으로 로그인 하기’가 물리적인 뒷구멍 침입에 해당한다고 볼 수 있다.
“회사 동료들끼리 계정 비밀번호를 공유하는 건 흔한 일이죠. 또한 자동 로그인 옵션을 활성화시키면 연차를 낸 날에 아무나 내 컴퓨터에 접속해 로그인할 수 있게 되고요. 심지어 사람이 많은 조직에서는 출입문을 무사통과한 낯선 인물이 뒤에서 로그인 장면을 지켜보고 비밀번호를 훔쳐낼 수도 있습니다. 로그인과 로그아웃의 철저한 관리를 직원들에게 요구함으로써 뒷구멍을 방비할 수 있게 됩니다. 자동 로그인 옵션 사용을 금지시키고, 수분 후에는 자동 로그아웃을 시키며, 이중인증 옵션을 추가하는 것도 좋은 방법입니다.”
7. 추가 주문 취약점
카페나 식당에서 컴퓨터를 열고 작업을 하다가 커피 한 잔, 머핀 하나 더 주문하기 위해 잠깐 일어서는 경우가 있다. 화장실을 가려고 자리를 뜰 때도 있다. 즉, 사용자가 키보드에 24시간 밀착하는 일은 드물다는 것이다. 하지만 이는 사무실에서는 비교적 괜찮은 행동일지 모르지만, 공공장소에서는 다르다.
칼란은 “사무실에서는 저도 작업하던 화면 그대로 놔두고 탕비실에 가서 커피를 한 잔 타온다”고 말한다. “하지만 카페에서는 절대 그렇게 하지 않습니다. 일단 걸음도 훨씬 빨라지고, 랩톱 뚜껑도 매번 닫습니다. 다시 컴퓨터를 켤 때마다 로그인을 다시 해야 하지만, 제가 잠깐 사라진 사이에 누군가 재빨리 키보드 조작을 통해 정보를 훔쳐가는 것보다 낫습니다. 작은 행동 변화가 큰 차이를 만드는 법이죠. 안전이라는 부분에서는 더 그렇습니다.”
보안은 사이버 보안이나 물리 보안이나 모두 한 가지 철칙 아래서 작용한다. 생산성과 안전의 균형이 바로 그것이다. “이 균형을 맞춰야 하는 이상, 취약한 부분을 0으로 만들 수는 없습니다. 데이터가 끊임없이 사용되는 이상 침투의 구멍은 어디엔가 꼭 존재하기 마련이죠. 보안은 그 구멍이 있다는 걸 알리고, 최대한 좁게 만드는 것입니다.” 그러면서 칼란은 “멀웨어와 네트워크에 대한 이해는 물론 하드웨어와 인간에 대한 이해도 추구해야 하는 게 진정한 보안”이라고 강조했다.
3줄 요약
1. 사이버 보안, 사람과 하드웨어까지 아울러야 한다.
2. 일반적인 관습과 에티켓에서부터 건망증과 회사 내 분위기 모두 취약점으로 작용한다.
3. 키보드에서 멀어질 때마다 습관적으로 화면 잠그는 사소한 습관이 차이를 만든다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
