나쁜 것들을 미리 알고 하는 보안, 한계에 부딪힌 지 이미 오래
무해함을 증명하도록 하고 확인하는 보안, 해킹 비용 높여
[보안뉴스 문가용 기자] 오늘날의 사이버 보안은 한 마디로 전환기를 맞이하고 있다고 볼 수 있다. 그러므로 사이버 보안의 관리라는 문제 또한 새로운 국면에 접어들었다. 아니, 그래야 한다. 이제 보안 ‘관리자’라면 철저한 보호가 필요한 정보가 무엇인지 파악하고, 그 정보들에 대한 위협에는 어떤 것들이 있는지 정의하고, 그런 위협들을 실제로 구현할 만한 세력이 누구인지도 이해해야 한다는 것이다.
사이버 보안 관리의 궁극적인 목표는 최악의 일이 발생하는 걸 최대의 효율로 방지하는 것이다. 제3자의 입장에서 클라이언트의 네트워크를 대신 모니터링 해주는 현재의 보안 관리 서비스 업체(이른 바 MSSP) 시스템으로는 이런 목표를 완수하면서 더 새롭고 고차원적으로 변하는 위협들에 대처할 수 없다. 특히 IoT 기기들이 늘어나면 제3자가 외부에서 할 수 있는 일은 크게 줄어들 것으로 보인다.
어떻게 하다가 여기까지 오게 되었을까? 갈수록 발전해가는 각종 위협들의 출현은 두 가지로 분류할 수 있는데, 바로 국가가 후원하거나 개입하는 공격과 조직화된 범죄자들의 소행이 바로 그것이다. 둘 다 똑같이 네트워크에 침투하여 필요한 정보를 탈취해 정해진 곳으로 빼돌린다. 이를 위한 기술적인 발전도 놀랍지만, 운영의 측면에서도 공격자들은 놀라운 성과를 이룩했다.
이들은 소셜 미디어를 활용해 원하는 정보가 어디에 위치하고 있는지도 파악한다. 표적이 되는 네트워크를 꼼꼼하고 자세히 스캐닝하여 정보를 한 번에 탈취하지 못하더라도 여러 단서들을 차곡차곡 쌓아가는 법을 익혔다. 그러면서 위치뿐 아니라 어떤 식으로 방어가 되고 있는지, 어떤 취약점들이 네트워크 내에 존재하는지 등도 같이 파악한다.
최근 6년 동안 우리는 수많은 정보유출 사고 기사들을 접하며 경악했다. JP모건 체이스라는 대형 은행도, 스테이플즈(Staples)와 카폰 웨어하우스(Carphone Warehouse)라는 기업들도 피해가지 못했다. 리빙소셜(Living Social), 어도비, 월그린즈(Walgreens)도 개인 및 기업정보가 유출되어 고통을 받았다. 최근엔 애리조나와 일리노이 주의 전자 투표 시스템도 공격이 있었다고 한다. 위협의 수단과 목적이 이처럼 다양하고 폭넓은 적이 없었다.
왜 이 사이버 범죄 문제는 계속해서 증가하기만 할까? 가장 근본적인 이유는 정보의 가치가 매일 커지고 있기 때문이다. 이 정보가 있기 때문에 사물인터넷이라는 산업도 떠오르고 있는 것이며, 사이버 보안은 더더욱 중요한 분야가 되어가고 있다. 여기에 더해 임베디드 기술의 발전과 활용이 가파른 상승곡선을 그리고 있는데, 이 역시 정보 없이는 성립이 안 되는 분야다.
그렇다면 어떤 조치를 취해야 하는가? 오늘날의 복잡하고 ‘똑똑한’ 기기를 설계하고 출시하는 데에 반드시 필요한 정보들을 보호해야 하는데, 기존의 MSSP 시스템으로는 이를 제대로 하기가 어렵다. 개인정보와 IT 기반구조를 보호하는 것도 어렵다. 왜냐하면 이 시스템의 기본 전제조건은 ‘무엇이 나쁜지(약한지)’를 알고 있다는 것이기 때문이다. 어려운 말로 시그니처(signature)에 기반을 둔 보안이라고 한다.
물론 나쁘다고 알려진 소프트웨어를 탐지해내는 건 중요한 일이다. 이 기술 자체를 폄훼하는 게 아니라, 이것으로는 충분치 않다는 거다. 지금처럼 광범위한 분야에서 각종 신기술로 무장한 위협이 도사리고 있을 때에는, 어디가 나쁘거나 취약하다고 알 수 없으며, 알고 있는 것도 매일 바뀐다.
또, 오늘날의 침입 탐지 및 방지 시스템의 기본 전제조건은 ‘첫 희생자가 어디엔가 있을 것이다’라는 가능성이다. 물론 타당한 가능성이다. 하지만 첫 희생자가 반드시 자기가 피해를 입었다는 사실을 세상에 널리 알리리라는 법은 없다. 그러므로 이는 ‘막연한 희망’ 위에 덧입혀진 시스템이라고도 볼 수 있다. 이 역시, 어느 정도는 효과적이나, 요즘과 같은 때에는 효율적이지 않다.
그러나 늘어만 가는 위협과 효율성이 떨어지는 보안 시스템 문제는 당분간 해결되지 않을 것이다. 2014~2015년 사이에 발견된 새로운 멀웨어가 약 14만 개라고 하는데, 2016년 초반~중반까지 발견된 것만 10만 개에 육박한다는 현실만 봐도 이를 알 수 있다. 도저히 줄어들 기미가 없다는 것과, 이렇게 새로운 것들이 더 많이 나오는데 ‘이미 알고 있다’는 전제로 작동되는 시스템의 효율이 떨어진다는 것이 한 번에 드러나는 통계 수치다.
이럴 땐 이미 알고 있는 것이 무엇인가,를 살짝 바꿔줌으로써 새로운 대안을 마련할 수 있게 된다. 즉, 이미 나쁘다고 알고 있는 것을 막는 게 아니라, 이미 좋다고 알고 있는 것만 접근을 허락해야 한다는 것이다. 이는 즉 범죄자든 합법적인 사용자든, 데이터에 접근하려면 자신이 ‘좋은 사람’이라는 걸 증명해야 한다는 뜻이 된다. 그리고 이런 방식이 디폴트가 되어야 한다.
그렇게 되면 범죄자들의 해킹 비용이 올라가며, 제로데이 취약점으로 인한 위협과 APT 공격은 거의 모두 막을 수 있게 된다. 블랙리스트도 좋지만 화이트리스트도 만들어 자꾸만 대조해보는 게 새로운 사이버 보안 관리의 접근법이 되어야 한다는 거다. 이래야 보안이 이상이 아니라 현실이 된다. 지금처럼 위험한 때가 없었다. 기존의 것들을 서둘러 수정하고 바꿔야 한다. 그래야 겨우 안전선을 유지할 수 있을 것이다.
글 : 사무엘 비스너(Samuel Visner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
무해함을 증명하도록 하고 확인하는 보안, 해킹 비용 높여
[보안뉴스 문가용 기자] 오늘날의 사이버 보안은 한 마디로 전환기를 맞이하고 있다고 볼 수 있다. 그러므로 사이버 보안의 관리라는 문제 또한 새로운 국면에 접어들었다. 아니, 그래야 한다. 이제 보안 ‘관리자’라면 철저한 보호가 필요한 정보가 무엇인지 파악하고, 그 정보들에 대한 위협에는 어떤 것들이 있는지 정의하고, 그런 위협들을 실제로 구현할 만한 세력이 누구인지도 이해해야 한다는 것이다.
사이버 보안 관리의 궁극적인 목표는 최악의 일이 발생하는 걸 최대의 효율로 방지하는 것이다. 제3자의 입장에서 클라이언트의 네트워크를 대신 모니터링 해주는 현재의 보안 관리 서비스 업체(이른 바 MSSP) 시스템으로는 이런 목표를 완수하면서 더 새롭고 고차원적으로 변하는 위협들에 대처할 수 없다. 특히 IoT 기기들이 늘어나면 제3자가 외부에서 할 수 있는 일은 크게 줄어들 것으로 보인다.
어떻게 하다가 여기까지 오게 되었을까? 갈수록 발전해가는 각종 위협들의 출현은 두 가지로 분류할 수 있는데, 바로 국가가 후원하거나 개입하는 공격과 조직화된 범죄자들의 소행이 바로 그것이다. 둘 다 똑같이 네트워크에 침투하여 필요한 정보를 탈취해 정해진 곳으로 빼돌린다. 이를 위한 기술적인 발전도 놀랍지만, 운영의 측면에서도 공격자들은 놀라운 성과를 이룩했다.
이들은 소셜 미디어를 활용해 원하는 정보가 어디에 위치하고 있는지도 파악한다. 표적이 되는 네트워크를 꼼꼼하고 자세히 스캐닝하여 정보를 한 번에 탈취하지 못하더라도 여러 단서들을 차곡차곡 쌓아가는 법을 익혔다. 그러면서 위치뿐 아니라 어떤 식으로 방어가 되고 있는지, 어떤 취약점들이 네트워크 내에 존재하는지 등도 같이 파악한다.
최근 6년 동안 우리는 수많은 정보유출 사고 기사들을 접하며 경악했다. JP모건 체이스라는 대형 은행도, 스테이플즈(Staples)와 카폰 웨어하우스(Carphone Warehouse)라는 기업들도 피해가지 못했다. 리빙소셜(Living Social), 어도비, 월그린즈(Walgreens)도 개인 및 기업정보가 유출되어 고통을 받았다. 최근엔 애리조나와 일리노이 주의 전자 투표 시스템도 공격이 있었다고 한다. 위협의 수단과 목적이 이처럼 다양하고 폭넓은 적이 없었다.
왜 이 사이버 범죄 문제는 계속해서 증가하기만 할까? 가장 근본적인 이유는 정보의 가치가 매일 커지고 있기 때문이다. 이 정보가 있기 때문에 사물인터넷이라는 산업도 떠오르고 있는 것이며, 사이버 보안은 더더욱 중요한 분야가 되어가고 있다. 여기에 더해 임베디드 기술의 발전과 활용이 가파른 상승곡선을 그리고 있는데, 이 역시 정보 없이는 성립이 안 되는 분야다.
그렇다면 어떤 조치를 취해야 하는가? 오늘날의 복잡하고 ‘똑똑한’ 기기를 설계하고 출시하는 데에 반드시 필요한 정보들을 보호해야 하는데, 기존의 MSSP 시스템으로는 이를 제대로 하기가 어렵다. 개인정보와 IT 기반구조를 보호하는 것도 어렵다. 왜냐하면 이 시스템의 기본 전제조건은 ‘무엇이 나쁜지(약한지)’를 알고 있다는 것이기 때문이다. 어려운 말로 시그니처(signature)에 기반을 둔 보안이라고 한다.
물론 나쁘다고 알려진 소프트웨어를 탐지해내는 건 중요한 일이다. 이 기술 자체를 폄훼하는 게 아니라, 이것으로는 충분치 않다는 거다. 지금처럼 광범위한 분야에서 각종 신기술로 무장한 위협이 도사리고 있을 때에는, 어디가 나쁘거나 취약하다고 알 수 없으며, 알고 있는 것도 매일 바뀐다.
또, 오늘날의 침입 탐지 및 방지 시스템의 기본 전제조건은 ‘첫 희생자가 어디엔가 있을 것이다’라는 가능성이다. 물론 타당한 가능성이다. 하지만 첫 희생자가 반드시 자기가 피해를 입었다는 사실을 세상에 널리 알리리라는 법은 없다. 그러므로 이는 ‘막연한 희망’ 위에 덧입혀진 시스템이라고도 볼 수 있다. 이 역시, 어느 정도는 효과적이나, 요즘과 같은 때에는 효율적이지 않다.
그러나 늘어만 가는 위협과 효율성이 떨어지는 보안 시스템 문제는 당분간 해결되지 않을 것이다. 2014~2015년 사이에 발견된 새로운 멀웨어가 약 14만 개라고 하는데, 2016년 초반~중반까지 발견된 것만 10만 개에 육박한다는 현실만 봐도 이를 알 수 있다. 도저히 줄어들 기미가 없다는 것과, 이렇게 새로운 것들이 더 많이 나오는데 ‘이미 알고 있다’는 전제로 작동되는 시스템의 효율이 떨어진다는 것이 한 번에 드러나는 통계 수치다.
이럴 땐 이미 알고 있는 것이 무엇인가,를 살짝 바꿔줌으로써 새로운 대안을 마련할 수 있게 된다. 즉, 이미 나쁘다고 알고 있는 것을 막는 게 아니라, 이미 좋다고 알고 있는 것만 접근을 허락해야 한다는 것이다. 이는 즉 범죄자든 합법적인 사용자든, 데이터에 접근하려면 자신이 ‘좋은 사람’이라는 걸 증명해야 한다는 뜻이 된다. 그리고 이런 방식이 디폴트가 되어야 한다.
그렇게 되면 범죄자들의 해킹 비용이 올라가며, 제로데이 취약점으로 인한 위협과 APT 공격은 거의 모두 막을 수 있게 된다. 블랙리스트도 좋지만 화이트리스트도 만들어 자꾸만 대조해보는 게 새로운 사이버 보안 관리의 접근법이 되어야 한다는 거다. 이래야 보안이 이상이 아니라 현실이 된다. 지금처럼 위험한 때가 없었다. 기존의 것들을 서둘러 수정하고 바꿔야 한다. 그래야 겨우 안전선을 유지할 수 있을 것이다.
글 : 사무엘 비스너(Samuel Visner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
