리스크 관리, 사용자 행동 바꾸고 진화된 공격 예측까지
“무조건 지켜라” 윽박지르면 소용 없어...너무 상세히 설명해도 불안전
[보안뉴스 문가용 기자] 사이버 보안이란 사이버 영역에서 발생하는 리스크를 알아채고 줄여나가는 일이다. 보안의 측면에서 리스크라는 걸 최대한 정량적으로 측정하는 것은 현명한 일이다. 보안 담당 부서에서 뭘 하는지 이해하기가 쉬워지며, 보안 담당 부서는 자신들이 해야 할 일을 더 정확하게 파악하고, 해결 능력이 어느 정도나 되는지도 객관적으로 분석할 수 있기 때문이다. 이는 올바른 결정으로 이어진다.
예를 들어 방화벽을 업그레이드 해야 하는지 조직 전체에 이중인증 시스템을 도입해야 하는지 선택해야 할 때, 더 싸거나 더 좋아보이는 걸 고르는 게 아니라 조직에게 가장 큰 위협이 되는 리스크를 기준 삼아야 한다. 굉장히 당연한 소리로 들린다고? 보안을 기본으로 깔고 얘기를 해서 그렇지, 실제 상황에선 리스크가 이렇게 존중받는 경우는 거의 없다. 그 증거가 바로 연일 발생하는 각종 보안 사고다. 리스크를 측정해서 이해시킬 수 있다면 설득 과정이 한결 수월해진다.
그러나 리스크라는 걸 어떻게든 이해시켰다고 해도, 사람들의 행동을 바꾸지 못하면 소용이 없다. 게다가 이상하게 보안과 관련된 행동지침을 설명해주면 오히려 반대로 움직이는 사람들이 있다. 차 조심 하라고 아침마다 당부해도 무단횡단을 하고, 아이들 손이 닿지 않는 곳에 약병을 놔두라고 해도 식탁 위에 아무렇게나 올려둔다. 운전하면서 핸드폰 사용하지 말라고 공익 광고를 해도 할 사람은 한다. 귀찮아서, 편해서, 그냥 반대로 하고 싶어서 등 별별 심리적인 이유가 이런 행동을 유발한다.
정작 여러 보안 정책을 도입하고 솔루션을 마련했을 때 즉시 행동을 바꾸는 사람들은 범죄자들이다. 이들은 공격을 하기 위해 각종 방어수단에 따라 유연하게 방식을 바꾸고 적응한다. 그래서 한 번 사이버 공격에 당한 조직들은 2차, 3차 공격까지도 받는다. 그러므로 리스크 관리란 것은 1차 보안 솔루션을 도입한 후 변화될 공격 패턴까지도 계산에 넣어야 한다. 청개구리 같은 사용자들과 2차, 3차 공격까지도 감행할 공격자들까지 아우를 수 있는 리스크 관리의 기본 사항 다섯 가지를 소개한다.
1. 사용자들의 행동에 관한 데이터와 위협 첩보를 수집한다. 위협 첩보란 연속된 공격들에 대한 내용을 담고 있어, 다음 공격을 예측하는 데에 도움이 될 만한 정보를 말한다. 사용자 행동에 관한 데이터란 로그 분석, 설문지 작성, 직접 면담 등을 통해 모을 수 있다.
2. 가능하다면 사이버 범죄자들을 발견한 방법 혹은 과정에 대해서는 함구하라. 당연한 말이지만 당신의 탐지 방법은 그들에게 중요한 힌트가 된다. ‘우리가 어떻게 발견되었을까? 도대체 무슨 방법을 썼을까?’를 최대한 오랫동안 고민하게 해야 한다. 만약 그 공격자가 내부자로 의심된다면 최대한 극소수의 사람들과만 정보를 공유하는 게 중요하다.
3. 리스크 관리 정책이나 방법을 사내에 공지할 때도 전략이 필요하다. 리스크 관리의 전체적인 계획이나 전략을 꽁꽁 숨기고 행동지침만 알려주면 ‘그냥 시키는 대로만 해’라는 식으로 메시지가 전달되어 사용자 행동이 바뀌지 않는다. 그렇다고 너무 다 공개하면 혹여 있을지 모르는 내부자가 더 원활히 날뛰게 된다. 리스크 자체에 대한 설명을 해주고 그런 종류의 리스크는 어떻게 다루는 게 맞는 건지 보편적인 관점에서 설명해주는 게 안전하다.
4. 리스크 관리 정책을 외부에 알려야 할 때는 더욱 조심하라. 이유는 위와 같다. 그러므로 정말 필요한 소수의 사람들과만 제한된 정보를 일부 공유하는 게 좋다. 또한 공유에서 그치는 게 아니라 어떤 식으로 그 정보를 다뤄야 하는지, 실수든 고의적이든 정보를 누설했을 경우 어떤 일이 발생하는지(예 : 계약 중지) 알려줘야 한다. ‘당신은 이 정보를 접할 수 있는 소수의 선택받은 자’라는 느낌을 심는 것도 중요하다.
5. 공포와 불확실성, 의심의 3형제를 퍼트리면 안 된다. 이 셋은 전부 ‘그럴싸한 감정’일뿐 정확한 정보는 아니다. 그런데도 우리의 결정을 좌지우지 하는 요소들이다. 보안 의식을 높이겠다고 해킹 사례를 잔뜩 알려줘 공포심만 줄 경우, 그들의 변하는 행동 때문에 오히려 예상 밖의 리스크가 생길 수 있다. 최대한 객관적이고 정확한 ‘정보’를 활용해야 한다.
글 : 다니엘 고든(Daniel Gordon)
[국제부 문가용 기자(globoan@boannews.com)]
“무조건 지켜라” 윽박지르면 소용 없어...너무 상세히 설명해도 불안전
[보안뉴스 문가용 기자] 사이버 보안이란 사이버 영역에서 발생하는 리스크를 알아채고 줄여나가는 일이다. 보안의 측면에서 리스크라는 걸 최대한 정량적으로 측정하는 것은 현명한 일이다. 보안 담당 부서에서 뭘 하는지 이해하기가 쉬워지며, 보안 담당 부서는 자신들이 해야 할 일을 더 정확하게 파악하고, 해결 능력이 어느 정도나 되는지도 객관적으로 분석할 수 있기 때문이다. 이는 올바른 결정으로 이어진다.
예를 들어 방화벽을 업그레이드 해야 하는지 조직 전체에 이중인증 시스템을 도입해야 하는지 선택해야 할 때, 더 싸거나 더 좋아보이는 걸 고르는 게 아니라 조직에게 가장 큰 위협이 되는 리스크를 기준 삼아야 한다. 굉장히 당연한 소리로 들린다고? 보안을 기본으로 깔고 얘기를 해서 그렇지, 실제 상황에선 리스크가 이렇게 존중받는 경우는 거의 없다. 그 증거가 바로 연일 발생하는 각종 보안 사고다. 리스크를 측정해서 이해시킬 수 있다면 설득 과정이 한결 수월해진다.
그러나 리스크라는 걸 어떻게든 이해시켰다고 해도, 사람들의 행동을 바꾸지 못하면 소용이 없다. 게다가 이상하게 보안과 관련된 행동지침을 설명해주면 오히려 반대로 움직이는 사람들이 있다. 차 조심 하라고 아침마다 당부해도 무단횡단을 하고, 아이들 손이 닿지 않는 곳에 약병을 놔두라고 해도 식탁 위에 아무렇게나 올려둔다. 운전하면서 핸드폰 사용하지 말라고 공익 광고를 해도 할 사람은 한다. 귀찮아서, 편해서, 그냥 반대로 하고 싶어서 등 별별 심리적인 이유가 이런 행동을 유발한다.
정작 여러 보안 정책을 도입하고 솔루션을 마련했을 때 즉시 행동을 바꾸는 사람들은 범죄자들이다. 이들은 공격을 하기 위해 각종 방어수단에 따라 유연하게 방식을 바꾸고 적응한다. 그래서 한 번 사이버 공격에 당한 조직들은 2차, 3차 공격까지도 받는다. 그러므로 리스크 관리란 것은 1차 보안 솔루션을 도입한 후 변화될 공격 패턴까지도 계산에 넣어야 한다. 청개구리 같은 사용자들과 2차, 3차 공격까지도 감행할 공격자들까지 아우를 수 있는 리스크 관리의 기본 사항 다섯 가지를 소개한다.
1. 사용자들의 행동에 관한 데이터와 위협 첩보를 수집한다. 위협 첩보란 연속된 공격들에 대한 내용을 담고 있어, 다음 공격을 예측하는 데에 도움이 될 만한 정보를 말한다. 사용자 행동에 관한 데이터란 로그 분석, 설문지 작성, 직접 면담 등을 통해 모을 수 있다.
2. 가능하다면 사이버 범죄자들을 발견한 방법 혹은 과정에 대해서는 함구하라. 당연한 말이지만 당신의 탐지 방법은 그들에게 중요한 힌트가 된다. ‘우리가 어떻게 발견되었을까? 도대체 무슨 방법을 썼을까?’를 최대한 오랫동안 고민하게 해야 한다. 만약 그 공격자가 내부자로 의심된다면 최대한 극소수의 사람들과만 정보를 공유하는 게 중요하다.
3. 리스크 관리 정책이나 방법을 사내에 공지할 때도 전략이 필요하다. 리스크 관리의 전체적인 계획이나 전략을 꽁꽁 숨기고 행동지침만 알려주면 ‘그냥 시키는 대로만 해’라는 식으로 메시지가 전달되어 사용자 행동이 바뀌지 않는다. 그렇다고 너무 다 공개하면 혹여 있을지 모르는 내부자가 더 원활히 날뛰게 된다. 리스크 자체에 대한 설명을 해주고 그런 종류의 리스크는 어떻게 다루는 게 맞는 건지 보편적인 관점에서 설명해주는 게 안전하다.
4. 리스크 관리 정책을 외부에 알려야 할 때는 더욱 조심하라. 이유는 위와 같다. 그러므로 정말 필요한 소수의 사람들과만 제한된 정보를 일부 공유하는 게 좋다. 또한 공유에서 그치는 게 아니라 어떤 식으로 그 정보를 다뤄야 하는지, 실수든 고의적이든 정보를 누설했을 경우 어떤 일이 발생하는지(예 : 계약 중지) 알려줘야 한다. ‘당신은 이 정보를 접할 수 있는 소수의 선택받은 자’라는 느낌을 심는 것도 중요하다.
5. 공포와 불확실성, 의심의 3형제를 퍼트리면 안 된다. 이 셋은 전부 ‘그럴싸한 감정’일뿐 정확한 정보는 아니다. 그런데도 우리의 결정을 좌지우지 하는 요소들이다. 보안 의식을 높이겠다고 해킹 사례를 잔뜩 알려줘 공포심만 줄 경우, 그들의 변하는 행동 때문에 오히려 예상 밖의 리스크가 생길 수 있다. 최대한 객관적이고 정확한 ‘정보’를 활용해야 한다.
글 : 다니엘 고든(Daniel Gordon)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
