.gif)
개개인의 올바른 정보보안 습관, 얼마나 의미가 있을까?
정책과 표준 변하지 않으면 현재의 보안 상태 지속될 것
[보안뉴스 문가용 기자] 이제 클린턴 캠프 측의 크고 작은 사이버 보안 문제에 대해서 알 사람들은 다 아는 지경에 왔다. 특히 의장인 존 포데스타(John Podesta)는 아이클라우드 암호를 평문 텍스트로 전송하라고 요구하고, 특수문자는커녕 아무런 고민의 흔적도 없는 쉬운 패스워드를 사용하는 사실이 드러나는 등 보안에 대한 감각이 전혀 없음을 여러 차례 증명한 바 있다. 앞으로도 이 캠프에서 무슨 일이 발생한다 하더라도 놀랍지 않을 정도에까지 왔다. 현재 미국의 보안 전문가들 사이에서 포데스타는 나쁜 정보보안의 대명사로 불린다고 한다.
▲ 세상이 망하는데 한 그루 나무를 심는 게 무슨 의미인가
하지만 사이버 보안 전문가들에게 있어 이는 표면상의 문제일 뿐이다. 물론 포데스타가 더 어려운 암호를 사용하고 아이클라우드 암호를 이메일로 보내라고 아랫사람들에게 요구하지 않으면 그의 이메일함은 보다 더 안전할 것이다. 그러나 이게 정말 의미가 있는 ‘안전함’일까? 정부의 후원을 등에 입은 ‘국가대표급’ 해커들이라면 얼마든지 고급화된 APT 공격을 통해 네트워크에 침투해 고급 데이터를 탈취할 수 있는데, 어려운 암호가 할 수 있는 건 그런 공격을 조금 지연시키는 것일뿐 완전히 멈출 수는 없는데 말이다.
간략히 말해서 APT 공격은 피싱 공격이나 그밖에 다양한 방법들을 통해 네트워크로 침투를 성공한 후에 이루어진다. 외주 기업들을 통해서 스리슬쩍 방화벽을 통과하는 기법 역시 ATP 그룹이 즐겨 사용하는 전략 중 하나다. 이렇게 한 번 침투에 성공하면 원격 접근 툴(RAT)을 설치해서 주기적으로 네트워크에 드나들며 네트워크에 저장되어 있는 데이터를 검색해 훔쳐낸다.
이 방법이 매우 잘 통하는 건 현대 기업들의 복잡한 네트워크 구조를 방화벽 하나로 관리하는 게 효과를 발휘하지 못하기 때문이다. 그렇다고 외부와의 소통 없이 사업을 존속시킬 수 없다는 게 현대 기업들의 딜레마다. 이런 딜레마 속에 거의 모든 조직들이 취하고 있는 방법은 집으로 치면 문이나 창문을 닫아만 놓고 걸어 잠그지 않은 것에 비유가 가능하다.
그렇다면 방화벽을 개선하거나 뭔가 더 좋은 것으로 대체하면 될 일 아닌가, 하고 물을 수 있다. 그러나 문제는 의외로 더 깊은 곳에 있다. 바로 컴플라이언스다. 많은 규정과 표준이 방화벽의 사용을 ‘강제시키고’ 있기 때문에 조직들 입장에서는 울며 겨자 먹기로 이 비효율적인 방법을 갖출 수밖에 없는 것이다. 마치 조난자가 수 미터 아래 있는 그물로 떨어지기가 무서워서 벼랑 위 나뭇가지를 계속해서 한 팔로 붙잡고 있는 것과 같다. 이때 조난자는 표준 및 정책을 만드는 사람들이다.
정책 제안자들이나 입법자들이 방화벽을 고집하는 이유는 딱 하나, 익숙한 것을 버리기가 쉽지 않기 때문이다. 새로운 보안 아키텍처인 ‘가상화’나 ‘클라우드 네트워크’, ‘하이브리드 기반구조’ 등을 도입하는 것이 아직은 그들에겐 무섭고 떨리는 모험인 것이다. 그리고는 하나 같이 말한다. 새로운 기술은 항상 위험하니 더 증명할 시간이 필요하다고.
포데스타의 경우처럼 개개인이 보안의 기본을 지키지 않을 때 갖가지 비판이 쏟아지는 것도 당연하지만, 현재의 커다란 시스템 안에서 그의 철저한 보안 관념이 무슨 소용일까 싶기도 하다. 아무리 갖가지 창의적인 아이디어를 가지고 교육 및 홍보자료를 꾸미고, 그래서 기업 내 직원들의 보안 인식을 한없이 드높였다고 해도, 그게 다 무슨 소용일까 싶은 것이다.
지금 우리가 들볶아야 할 것은 암호를 아무렇게나 짓는 사용자일까? 정말 사용자가 결정적이고 치명적인 보안의 구멍일까? 보안과 관련된 정책을 만들고 시행하고 감사하는 사람들이 시스템 전체를 설계하고 있으며, 그들이 비효율적인 방법을 고수하고 있는데 말이다. 윗물이 맑아야 아랫물이 맑은 게 지금처럼 체감될 때가 없다. 지금 허술한 건 커다란 시스템이지 한 사람 한 사람의 보안 개념이 아니다.
글 : 에드 아모로소(Ed Amoroso)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[문가용 기자(globoan@boannews.com)]
정책과 표준 변하지 않으면 현재의 보안 상태 지속될 것
[보안뉴스 문가용 기자] 이제 클린턴 캠프 측의 크고 작은 사이버 보안 문제에 대해서 알 사람들은 다 아는 지경에 왔다. 특히 의장인 존 포데스타(John Podesta)는 아이클라우드 암호를 평문 텍스트로 전송하라고 요구하고, 특수문자는커녕 아무런 고민의 흔적도 없는 쉬운 패스워드를 사용하는 사실이 드러나는 등 보안에 대한 감각이 전혀 없음을 여러 차례 증명한 바 있다. 앞으로도 이 캠프에서 무슨 일이 발생한다 하더라도 놀랍지 않을 정도에까지 왔다. 현재 미국의 보안 전문가들 사이에서 포데스타는 나쁜 정보보안의 대명사로 불린다고 한다.
▲ 세상이 망하는데 한 그루 나무를 심는 게 무슨 의미인가
하지만 사이버 보안 전문가들에게 있어 이는 표면상의 문제일 뿐이다. 물론 포데스타가 더 어려운 암호를 사용하고 아이클라우드 암호를 이메일로 보내라고 아랫사람들에게 요구하지 않으면 그의 이메일함은 보다 더 안전할 것이다. 그러나 이게 정말 의미가 있는 ‘안전함’일까? 정부의 후원을 등에 입은 ‘국가대표급’ 해커들이라면 얼마든지 고급화된 APT 공격을 통해 네트워크에 침투해 고급 데이터를 탈취할 수 있는데, 어려운 암호가 할 수 있는 건 그런 공격을 조금 지연시키는 것일뿐 완전히 멈출 수는 없는데 말이다.
간략히 말해서 APT 공격은 피싱 공격이나 그밖에 다양한 방법들을 통해 네트워크로 침투를 성공한 후에 이루어진다. 외주 기업들을 통해서 스리슬쩍 방화벽을 통과하는 기법 역시 ATP 그룹이 즐겨 사용하는 전략 중 하나다. 이렇게 한 번 침투에 성공하면 원격 접근 툴(RAT)을 설치해서 주기적으로 네트워크에 드나들며 네트워크에 저장되어 있는 데이터를 검색해 훔쳐낸다.
이 방법이 매우 잘 통하는 건 현대 기업들의 복잡한 네트워크 구조를 방화벽 하나로 관리하는 게 효과를 발휘하지 못하기 때문이다. 그렇다고 외부와의 소통 없이 사업을 존속시킬 수 없다는 게 현대 기업들의 딜레마다. 이런 딜레마 속에 거의 모든 조직들이 취하고 있는 방법은 집으로 치면 문이나 창문을 닫아만 놓고 걸어 잠그지 않은 것에 비유가 가능하다.
그렇다면 방화벽을 개선하거나 뭔가 더 좋은 것으로 대체하면 될 일 아닌가, 하고 물을 수 있다. 그러나 문제는 의외로 더 깊은 곳에 있다. 바로 컴플라이언스다. 많은 규정과 표준이 방화벽의 사용을 ‘강제시키고’ 있기 때문에 조직들 입장에서는 울며 겨자 먹기로 이 비효율적인 방법을 갖출 수밖에 없는 것이다. 마치 조난자가 수 미터 아래 있는 그물로 떨어지기가 무서워서 벼랑 위 나뭇가지를 계속해서 한 팔로 붙잡고 있는 것과 같다. 이때 조난자는 표준 및 정책을 만드는 사람들이다.
정책 제안자들이나 입법자들이 방화벽을 고집하는 이유는 딱 하나, 익숙한 것을 버리기가 쉽지 않기 때문이다. 새로운 보안 아키텍처인 ‘가상화’나 ‘클라우드 네트워크’, ‘하이브리드 기반구조’ 등을 도입하는 것이 아직은 그들에겐 무섭고 떨리는 모험인 것이다. 그리고는 하나 같이 말한다. 새로운 기술은 항상 위험하니 더 증명할 시간이 필요하다고.
포데스타의 경우처럼 개개인이 보안의 기본을 지키지 않을 때 갖가지 비판이 쏟아지는 것도 당연하지만, 현재의 커다란 시스템 안에서 그의 철저한 보안 관념이 무슨 소용일까 싶기도 하다. 아무리 갖가지 창의적인 아이디어를 가지고 교육 및 홍보자료를 꾸미고, 그래서 기업 내 직원들의 보안 인식을 한없이 드높였다고 해도, 그게 다 무슨 소용일까 싶은 것이다.
지금 우리가 들볶아야 할 것은 암호를 아무렇게나 짓는 사용자일까? 정말 사용자가 결정적이고 치명적인 보안의 구멍일까? 보안과 관련된 정책을 만들고 시행하고 감사하는 사람들이 시스템 전체를 설계하고 있으며, 그들이 비효율적인 방법을 고수하고 있는데 말이다. 윗물이 맑아야 아랫물이 맑은 게 지금처럼 체감될 때가 없다. 지금 허술한 건 커다란 시스템이지 한 사람 한 사람의 보안 개념이 아니다.
글 : 에드 아모로소(Ed Amoroso)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
