.gif)
팽창하는 우주, 우리 컴퓨터 안에도 존재
기술은 발전하는데 사람은 변하지 않고 그대로
[보안뉴스 문가용] 44조 기가바이트. 2020년 즈음에 다다를 것이라고 예상하는 디지털 우주의 크기다. 이 디지털 우주를 구성하는 정보 대부분은 기업의 직원들이 만들고 사용하는데, 이상하게 이 정보들에 대한 손실이나 도난, 훼손이 발생하면 책임은 보안담당자들에게만 돌아온다.
▲ 으휴, 이 인간들...
그래서 보안담당자들은 각종 방어 시스템을 구축했다. 회사의 네트워크로 침입하려는 해커들의 갖가지 시도를 막을 수 있도록 계속해서 방비를 갖췄다. 암호를 걸고 방화벽을 세웠다. 감지 시스템을 들여놓고 그밖에 좋다는 방어책들은 다 그러모았다. 해커들이라고 가만히 있을 수가 없었다. 이 구멍이 막히면 저 구멍을 찾고 저 구멍이 막히면 또 다른 구멍을 찾았다. 그리고 최근에 도달한 구멍은 다름 아닌 사람이다.
사실 이는 대단한 발견이었다. 왜냐하면 사람의 실수 혹은 소위 말하는 휴먼 에러라는 것은 절대로 메울 수 없는 구멍이기 때문이다. 아니나 다를까, 포네몬 인스티튜트(Ponemon Institute)에서 최근 실시한 실험 결과 사람을 해킹하는 건 굉장히 쉬운 것으로 나타났다. 높은 기술력을 요하지도 않았다. 그저 사람 하나를 사서 파트타임 직원인 척 가장한 것만으로 사내 직원들의 개인정보, 고객정보, 회사 재무정보, 여러 로그인 정보 등을 쉽게 빼돌릴 수 있었던 것이다.
사실 이 실험 결과는 그저 웃고 넘어갈 성질의 것이 아니다. 성공률이 88%에 달했기 때문이다. 침투해서 대단한 해킹을 한 것도 아니었다. 그저 다른 직원들 컴퓨터 화면에서 눈으로 읽거나 문서를 복사하는 것으로 끝이었다. 이 실험이 실제 상황이었다고 생각해보면 아찔하다. 잠깐 우리 회사 사람인 척 하는 것만으로 사업 운영에 중요한 정보들이 죄다 넘어가는 것이기 때문이다.
게다가 아주 짧은 시간 안에 벌어진 일이었다. 회사 당 실험에 걸린 시간은 최대 30분이었다고 한다. 심지어 컴퓨터 화면을 사진으로 찍고 있어도 아무런 제지를 받지 않은 예도 있었다. 이런 식의 해킹의 장점은 흔적이 남지 않는다는 것도 있다. 그리고 이런 방식의 해킹은 사람을 해킹하는 수많은 방법 중 단 한 가지라는 사실이 더 소름끼치게 한다. 이러니 사람들이 스피어피싱이나 소셜 엔지니어링에 잘 걸려드는 것도 무리가 아니다.
자, 사람에 대한 성토는 이만하면 됐고, 그렇다면 어떻게 방어할 것인가? 이제까지 해왔던 것과는 전혀 다른 각도에서 접근해야 한다. 그리고 좀 더 사람 사람에 대한 깊이 있는 이해와 관심이 필요하다. 시스템 해킹에 방비한다는 것은 주로 수동적일 때가 많다. 그리고 실제 매일 서버가 해킹으로 터져나가는 게 아니기 때문에 늘 전쟁터와 같은 초긴장상태를 유지할 필요까지는 없다. 게다가 자동으로 해결할 수 있는 일도 많다. 하지만 사람이 해킹 대상이라면 이야기가 달라진다. 매일 꾸준하게 방대한 깊이와 넓이의 방어책을 펼쳐야 한다.
이를 현실적으로 해결할 수 있는 건, 데이터 프라이버시와 보안의 가치를 귀중하게 여기는 ‘문화’를 조성하는 것이다. 한 사람 한 사람이 ‘자료의 안전한 보호는 누구나 당연히 해야 할 책임이다’라고 받아들여야 한다. 보안담당자는 이런 문화 형성에 주도적인 역할을 해야 하고 필요하다면 작은 보안 실천 행위에 과장해서 칭찬도 하고 심지어 포상까지 할 수 있어야 한다. 호랑이 같은 보안담당자 한 사람보다 모두가 자연스럽게 보안을 지키는 문화가 훨씬 강력하다.
또한 회사는 보안에 필요한 툴들을 직원들에게 제공할 수 있어야 한다. 예를 들어 위에 언급한 실험 속 ‘사람 해킹’을 막으려면 어떤 장치가 필요할까? 화면 가리개나 문서 파쇄기를 예로 들 수 있다. 마지막으로 이런 문화 형성을 위해서는 어느 정도 강제성이 있는 정책이나 내부규정도 필요하다. 즉 잡을 땐 잡고 풀어줄 땐 풀어주는 묘미를 발휘해야 서서히 문화가 자리를 잡힌다는 것이다.
기술이 발전할수록 디지털 우주는 기하급수적으로 팽창할 것이다. 당연히 구멍도 늘어갈 것이다. 그러나 아무리 발전하고 커져도 사람만한 구멍은 나오기 힘들 것이다. 그러므로 정보보안은 사람에 대한 공부를 지금부터라도 시작해보기를 권한다. 정보보안은 의외로 인문학 요소가 많은 분야다.
글 : 래리 포네몬(Larry Ponemon)
@DARKReading
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
