은퇴 선언한 해커, 사실상 번복...협상 없다고 선언한 시장들, 현실 속 번복
디지털 생활 공간 늘어날수록 필요한 덕목은 “꼼꼼함”...핸드폰 충전은 어디서?
[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 3째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.
[이미지 = iclickart]
‘전염병’같은 것들
“트릭부스터의 가장 큰 특징은 자신의 행위를 감추는 데 특화되어 있다는 겁니다. 자신이 만드는 흔적을 꼼꼼하게 삭제하죠. 그렇기 때문에 대분의 보안 제품으로서는 탐지가 어렵습니다. 스텔스 기능으로서는 꽤나 발전된 모습이고, 앞으로 공격자들 사이에서 유행할 것 같습니다.”
딥 인스팅트(Deep Instinct)의 사이버 첩보 전문가, 숄 빌코미르프레이스만(Shaul Vilkomir-Preisman)과 그의 동료 톰 니프라브스키(Tom Nipravski)
핵심은 마지막 줄에 있다. 사이버 범죄자들끼리는 좋은 걸 서로 잘 나누기 때문에 어떤 멀웨어 하나가 새로운 기능을 가지고 나타났을 때, 방어자들은 전염을 걱정해야 한다는 것이다. 수년 만에 에볼라가 등장하고, 백여 년 만에 콜레라가 다시 나타나고 있으며, 돼지열병이라는 것이 수많은 목숨을 앗아가고 있는 때에, 사이버 범죄자들 역시 아직 백신이 나타나지 않은 전염병처럼 창궐하고 있다. 반면 방어에 있어서의 공유는 아직 갈 길이 멀다.
“그렇게나 돈을 잘 벌고 있던 사람들이 갑자기 ‘충분히 벌었다’고 사라진다? 믿기 힘듭니다.”
보안 전문가 브라이언 크렙스(Brian Krebs)
나쁜 건 자기들끼리 잘도 전파하는 게 사이버 범죄자들의 특성 중 하나라면, 돈에 대해서는 절대 포기하지 않는 집요함을 보여주는 것 역시 이들이 보여주는 특징이다. 충분히 벌었다면서 은퇴를 선언했던 갠드크랩의 공격자들이 사실은 거짓말을 했을 가능성이 높다는 증거들이 이번 주 해외에서 모이기 시작했다. 하긴, 김정은이 평화 무드 조성하는 듯한 움직임을 보이니까 북한이 사실은 깨끗하고 청렴한 곳이라는 둥, 김정은은 멋지고 결단력 있는 리더라는 둥 기억력에 배분된 뇌 세포가 하나도 없는 것 같은 순진함 가득한 소리들을 하는 게 사람이긴 하다.
꼼꼼함이 필요할 때
“변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.”
우즈 로저스 PLC(Woods Rogers PLC)의 변호사, 베스 버긴 월러(Beth Burgin Waller)
생활이 디지털 공간으로 옮겨갈수록 ‘기본 사항’으로서 요구되는 항목들이 늘어나고 있는데, 그 중 하나가 꼼꼼함이다. 꼼꼼한 성격도 타고난 것이라고 믿는 경향이 있기도 한데, 평생 덜렁덜렁 구멍만 내고, 책임감 없는 삶을 살 것이 아니라면 설사 꼼꼼함을 타고나지 않았더라도 훈련으로 보충해야 한다. 사이버 공격자들이 천성적으로 덜렁거리는 사람이라고 봐주지 않으며, 그런 성격이라고 책임이 줄어들지 않는다.
“파트너십을 맺었다면, 그 때부터는 주기적인 보안 점검이 이뤄져야 합니다. 즉 ‘상대를 신뢰하긴 하지만, 그래도 확인은 해야 한다’ 혹은 ‘확인을 기반으로 한 신뢰’ 체제가 구축되어야 한다는 것이죠. 아직 ‘확인’ 부분은 정착되지 않았습니다. 서명을 하고 악수를 한 순간부터 서로를 ‘신뢰’하는 데에만 신경을 쓰죠.”,
보안 업체 놈실드(NormShield)의 CSO, 밥 말리(Bob Maley)
이건 사업적인 측면에서의 꼼꼼함을 지적하는 부분이다. 서드파티를 통한 보안 사고가 발생하는 걸 막으려면 계약서 상에 명시하는 것만으로는 모자라다는 것이다. 계약서로 할 수 있는 건 고작해야 사고 발생 시 책임을 묻는 것일 뿐이다. 계약서 작성만으로 안심하고 있다면, 보안을 ‘사고났을 때 책임만 지면 되는 것’ 정도로 인식한다는 뜻이다. 마치 대로변에 아이들이 뛰어 놀게 놔두고, 사고라도 나면 차주인을 경찰서로 끌고가면 되지, 라고 생각하는 것과 같다. 이건 ‘컴플라이언스’가 보안의 전부라고 보는 시각과도 일맥상통한다. 어쩌면 꼼꼼하지 못한 것 자체가 본질을 제대로 이해하지 못하거나 인정하지 않았을 때 발현하는 빈틈일 수도 있다.
결정적인 한 마디, 잔소리 같지 않게
“스마트폰 충전, 침대 옆에서 하지 마세요.”
사업가이자 작가, 아리아나 허핑턴(Arianna Huffington)
중독 산업에 대한 책, 이레지스터블(Irresistible)이라는 책에 나오는 인용구다. 허핑턴은 스마트폰과 태블릿 컴퓨터 등에서 나오는 파란색 불빛이 수면을 방해한다며, 제조사들이 주황색 백라이트가 나오도록 제품을 만들어야 한다고 촉구하면서도 다른 한 편으로는 소비자들에게 기발한 위험 완화 방법을 하나 내놓는다. 결국에는 스마트폰을 잠자기 직전에 사용하지 말라는 건데, 그걸 작가답게 “충전기를 침대 옆에다 두지 말라”고 표현한 것이다.
일반 소비자가 실천할 수 있는 보안의 기본 사항들도 이런 식으로 기발하게 표현할 수 없을까, 고민을 하게 된다. 잔소리처럼 느껴지지 않도록 하면서 비밀번호를 자주 바꾸게 하거나 이메일을 함부로 열지 않게 하려면 우린 어떤 표현을 동원할 수 있을까? 예를 들어 간편 결제 앱 토스(Toss)의 신용석 CISO는 직원들에게 “개인 이메일은 회사 네트워크나 와이파이가 아니라 이동 통신(LTE 등)으로 확인하라”고 권고한다고 한다. 뭔가 일상 속 습관과 맞닿아있는, 그러므로 피부로 느껴지는 권고가 더 필요하다.
말 따로 행동 따로
“랜섬웨어 범죄자들의 요구에 응하지 않겠다.”
약 1400명으로 구성된 미국 시장협의회(US Conference of Mayors)
요즘 미국의 정부 기관들은 랜섬웨어 때문에 만신창이다. 오죽했으면 미국 전국의 시장들끼리 모여서 “절대로 범인들과는 협상하지 않는다”는 멋진 성명까지 발표했을까. 그러나 말은 누구나 할 수 있다는 것만 증명됐을 뿐이었다. 이번 주 인디애나 주 라포트 카운티에 속해 있는 라포트와 미시간의 시장들은 성명서 발표에 잘 참여해놓고는, 정작 자신들이 랜섬웨어에 걸리자 범인들에게 3만 달러를 지급했다.
얼굴 팔리는 걸 정말로 걱정해야 할 때
“연예인 얼굴이 성인물에 합성되어 나가는 일이, 정말 연예인들만의 일일까요? 오바마가 한 번도 하지 않은 말이, 정말 오바마 자신이 한 것처럼 보도되는 게 정치인들만의 일일까요? 나 자신이 포르노 배우가 되고, 특정 사건의 위증인이 된다는 건 끔찍한 피해입니다.”
보안 업체 세이프가드 사이버(SafeGuard Cyber)의 CTO, 오타비오 프레이어(Otavio Freire)
‘얼굴로 먹고 산다’는 말을 할 수 있는 사람은 극히 제한적이었다. 이런 사람들은 얼굴의 상태를 특별하게(유난스럽게) 관리하더라도 용인이 됐다. 반면 기자 같은 사람이 얼굴로 먹고 산다고 말하면 백이면 백, 농담으로 알아듣는다. 팩 같은 걸 사기라도 한다면, 당연히 주변사람을 위한 선물용으로 이해한다. 더는 아니다. 얼굴 관리는 이제 누구나의 필수 생활 지침이 되고 있다. 얼굴 이미지만 있으면 가짜인지 진짜인지 판단하기가 불가능할 정도의 영상을 인공지능이 만들어내기 때문이다. 특히 정치적 공략과 성인물 제작에 활용되고 있어 엉뚱한 일에 휘말려들거나 큰 오해를 살 수 있다. 사진, 음성이 들어간 영상 등을 너무 온라인에 공개할 필요가 있을까 생각해봐야 한다.
신기술도 결국 ‘기술’일뿐
“맹목적인 유행과 잘못된 믿음 - 즉, 광기 - 에는 한계가 없죠.”
브로미움(Bromium)의 CEO, 그레고리 웹(Gregory Webb)
인공지능에 대한 그레고리 웹의 일침이다. 신기술은 분명 강력한 문제 해결책이긴 하지만, 만병통치약은 아니다. 시간이 지나면 그 새롭게 보였던 것도 촌스러운 옛것으로 변한다. 문제는 반드시 다시 나타나고 말이다. 신기술에 대한 맹목적인 믿음이 위험한 건, 신기술이 모습을 제대로 드러낼 때까지 문제는 계속해서 살아있는 상태이며, 그 문제를 해결하기 위해 응당 해야 할 기본적이고 필수적인 것들이 간과되기 때문이다. 기대감과 희망이 나쁜 건 아니다. 오늘 해야 할 일을 5년 후로 미루는 게 문제다.
[국제부 문가용 기자(globoan@boannews.com)]
디지털 생활 공간 늘어날수록 필요한 덕목은 “꼼꼼함”...핸드폰 충전은 어디서?
[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 3째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.
[이미지 = iclickart]
‘전염병’같은 것들
“트릭부스터의 가장 큰 특징은 자신의 행위를 감추는 데 특화되어 있다는 겁니다. 자신이 만드는 흔적을 꼼꼼하게 삭제하죠. 그렇기 때문에 대분의 보안 제품으로서는 탐지가 어렵습니다. 스텔스 기능으로서는 꽤나 발전된 모습이고, 앞으로 공격자들 사이에서 유행할 것 같습니다.”
딥 인스팅트(Deep Instinct)의 사이버 첩보 전문가, 숄 빌코미르프레이스만(Shaul Vilkomir-Preisman)과 그의 동료 톰 니프라브스키(Tom Nipravski)
핵심은 마지막 줄에 있다. 사이버 범죄자들끼리는 좋은 걸 서로 잘 나누기 때문에 어떤 멀웨어 하나가 새로운 기능을 가지고 나타났을 때, 방어자들은 전염을 걱정해야 한다는 것이다. 수년 만에 에볼라가 등장하고, 백여 년 만에 콜레라가 다시 나타나고 있으며, 돼지열병이라는 것이 수많은 목숨을 앗아가고 있는 때에, 사이버 범죄자들 역시 아직 백신이 나타나지 않은 전염병처럼 창궐하고 있다. 반면 방어에 있어서의 공유는 아직 갈 길이 멀다.
“그렇게나 돈을 잘 벌고 있던 사람들이 갑자기 ‘충분히 벌었다’고 사라진다? 믿기 힘듭니다.”
보안 전문가 브라이언 크렙스(Brian Krebs)
나쁜 건 자기들끼리 잘도 전파하는 게 사이버 범죄자들의 특성 중 하나라면, 돈에 대해서는 절대 포기하지 않는 집요함을 보여주는 것 역시 이들이 보여주는 특징이다. 충분히 벌었다면서 은퇴를 선언했던 갠드크랩의 공격자들이 사실은 거짓말을 했을 가능성이 높다는 증거들이 이번 주 해외에서 모이기 시작했다. 하긴, 김정은이 평화 무드 조성하는 듯한 움직임을 보이니까 북한이 사실은 깨끗하고 청렴한 곳이라는 둥, 김정은은 멋지고 결단력 있는 리더라는 둥 기억력에 배분된 뇌 세포가 하나도 없는 것 같은 순진함 가득한 소리들을 하는 게 사람이긴 하다.
꼼꼼함이 필요할 때
“변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.”
우즈 로저스 PLC(Woods Rogers PLC)의 변호사, 베스 버긴 월러(Beth Burgin Waller)
생활이 디지털 공간으로 옮겨갈수록 ‘기본 사항’으로서 요구되는 항목들이 늘어나고 있는데, 그 중 하나가 꼼꼼함이다. 꼼꼼한 성격도 타고난 것이라고 믿는 경향이 있기도 한데, 평생 덜렁덜렁 구멍만 내고, 책임감 없는 삶을 살 것이 아니라면 설사 꼼꼼함을 타고나지 않았더라도 훈련으로 보충해야 한다. 사이버 공격자들이 천성적으로 덜렁거리는 사람이라고 봐주지 않으며, 그런 성격이라고 책임이 줄어들지 않는다.
“파트너십을 맺었다면, 그 때부터는 주기적인 보안 점검이 이뤄져야 합니다. 즉 ‘상대를 신뢰하긴 하지만, 그래도 확인은 해야 한다’ 혹은 ‘확인을 기반으로 한 신뢰’ 체제가 구축되어야 한다는 것이죠. 아직 ‘확인’ 부분은 정착되지 않았습니다. 서명을 하고 악수를 한 순간부터 서로를 ‘신뢰’하는 데에만 신경을 쓰죠.”,
보안 업체 놈실드(NormShield)의 CSO, 밥 말리(Bob Maley)
이건 사업적인 측면에서의 꼼꼼함을 지적하는 부분이다. 서드파티를 통한 보안 사고가 발생하는 걸 막으려면 계약서 상에 명시하는 것만으로는 모자라다는 것이다. 계약서로 할 수 있는 건 고작해야 사고 발생 시 책임을 묻는 것일 뿐이다. 계약서 작성만으로 안심하고 있다면, 보안을 ‘사고났을 때 책임만 지면 되는 것’ 정도로 인식한다는 뜻이다. 마치 대로변에 아이들이 뛰어 놀게 놔두고, 사고라도 나면 차주인을 경찰서로 끌고가면 되지, 라고 생각하는 것과 같다. 이건 ‘컴플라이언스’가 보안의 전부라고 보는 시각과도 일맥상통한다. 어쩌면 꼼꼼하지 못한 것 자체가 본질을 제대로 이해하지 못하거나 인정하지 않았을 때 발현하는 빈틈일 수도 있다.
결정적인 한 마디, 잔소리 같지 않게
“스마트폰 충전, 침대 옆에서 하지 마세요.”
사업가이자 작가, 아리아나 허핑턴(Arianna Huffington)
중독 산업에 대한 책, 이레지스터블(Irresistible)이라는 책에 나오는 인용구다. 허핑턴은 스마트폰과 태블릿 컴퓨터 등에서 나오는 파란색 불빛이 수면을 방해한다며, 제조사들이 주황색 백라이트가 나오도록 제품을 만들어야 한다고 촉구하면서도 다른 한 편으로는 소비자들에게 기발한 위험 완화 방법을 하나 내놓는다. 결국에는 스마트폰을 잠자기 직전에 사용하지 말라는 건데, 그걸 작가답게 “충전기를 침대 옆에다 두지 말라”고 표현한 것이다.
일반 소비자가 실천할 수 있는 보안의 기본 사항들도 이런 식으로 기발하게 표현할 수 없을까, 고민을 하게 된다. 잔소리처럼 느껴지지 않도록 하면서 비밀번호를 자주 바꾸게 하거나 이메일을 함부로 열지 않게 하려면 우린 어떤 표현을 동원할 수 있을까? 예를 들어 간편 결제 앱 토스(Toss)의 신용석 CISO는 직원들에게 “개인 이메일은 회사 네트워크나 와이파이가 아니라 이동 통신(LTE 등)으로 확인하라”고 권고한다고 한다. 뭔가 일상 속 습관과 맞닿아있는, 그러므로 피부로 느껴지는 권고가 더 필요하다.
말 따로 행동 따로
“랜섬웨어 범죄자들의 요구에 응하지 않겠다.”
약 1400명으로 구성된 미국 시장협의회(US Conference of Mayors)
요즘 미국의 정부 기관들은 랜섬웨어 때문에 만신창이다. 오죽했으면 미국 전국의 시장들끼리 모여서 “절대로 범인들과는 협상하지 않는다”는 멋진 성명까지 발표했을까. 그러나 말은 누구나 할 수 있다는 것만 증명됐을 뿐이었다. 이번 주 인디애나 주 라포트 카운티에 속해 있는 라포트와 미시간의 시장들은 성명서 발표에 잘 참여해놓고는, 정작 자신들이 랜섬웨어에 걸리자 범인들에게 3만 달러를 지급했다.
얼굴 팔리는 걸 정말로 걱정해야 할 때
“연예인 얼굴이 성인물에 합성되어 나가는 일이, 정말 연예인들만의 일일까요? 오바마가 한 번도 하지 않은 말이, 정말 오바마 자신이 한 것처럼 보도되는 게 정치인들만의 일일까요? 나 자신이 포르노 배우가 되고, 특정 사건의 위증인이 된다는 건 끔찍한 피해입니다.”
보안 업체 세이프가드 사이버(SafeGuard Cyber)의 CTO, 오타비오 프레이어(Otavio Freire)
‘얼굴로 먹고 산다’는 말을 할 수 있는 사람은 극히 제한적이었다. 이런 사람들은 얼굴의 상태를 특별하게(유난스럽게) 관리하더라도 용인이 됐다. 반면 기자 같은 사람이 얼굴로 먹고 산다고 말하면 백이면 백, 농담으로 알아듣는다. 팩 같은 걸 사기라도 한다면, 당연히 주변사람을 위한 선물용으로 이해한다. 더는 아니다. 얼굴 관리는 이제 누구나의 필수 생활 지침이 되고 있다. 얼굴 이미지만 있으면 가짜인지 진짜인지 판단하기가 불가능할 정도의 영상을 인공지능이 만들어내기 때문이다. 특히 정치적 공략과 성인물 제작에 활용되고 있어 엉뚱한 일에 휘말려들거나 큰 오해를 살 수 있다. 사진, 음성이 들어간 영상 등을 너무 온라인에 공개할 필요가 있을까 생각해봐야 한다.
신기술도 결국 ‘기술’일뿐
“맹목적인 유행과 잘못된 믿음 - 즉, 광기 - 에는 한계가 없죠.”
브로미움(Bromium)의 CEO, 그레고리 웹(Gregory Webb)
인공지능에 대한 그레고리 웹의 일침이다. 신기술은 분명 강력한 문제 해결책이긴 하지만, 만병통치약은 아니다. 시간이 지나면 그 새롭게 보였던 것도 촌스러운 옛것으로 변한다. 문제는 반드시 다시 나타나고 말이다. 신기술에 대한 맹목적인 믿음이 위험한 건, 신기술이 모습을 제대로 드러낼 때까지 문제는 계속해서 살아있는 상태이며, 그 문제를 해결하기 위해 응당 해야 할 기본적이고 필수적인 것들이 간과되기 때문이다. 기대감과 희망이 나쁜 건 아니다. 오늘 해야 할 일을 5년 후로 미루는 게 문제다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
