악마의 로프라 불리던 철조망...둘러치는 자 vs. 끊어대는 자
관련 법 도입으로 순식간에 해결...사이버 상에서는 불가능한 일
[보안뉴스 문가용 기자] 1862년 제정된 미국 자영 농지법 혹은 공유지 불하법은 개척시대에 딱 맞는 법이었다. 누구나 공유지에 정착해 5년 동안 농사를 지으면 그 땅을 가질 수 있게 해주는 법이 있으니 이민자들은 ‘아메리칸 드림’을 보장받게 되었고, 국가는 영토 확장을 효과적으로 진행할 수 있게 되었다. 그런데 이러한 이민자들에게 반드시 필요했지만 구하기 어려웠던 것이 있으니 바로 제대로 된 울타리였다. 그 과정에서 철조망이란 것이 개발되기도 했다.
[이미지 = iclickart]
비교적 저렴한 값에 어지간한 도둑들은 물론 동물들로부터 농작물을 지켜주는 이 철조망의 인기는 폭발적으로 높아졌다. 이 때문에 그 광활한 대륙은 빠르게 작은 구획으로 분해됐다. 그리고 자유롭게 뛰놀며 풀을 뜯어야 할 소와 양들의 공간도 없어지기 시작했다. 갈 수 있는 곳이 이 철조망으로 인해 딱딱하고 날카롭게 정해진 것이다. 그래서 초기 미국인들은 이 철조망을 악마의 로프(Devil’s Rope)라고 부르기 시작했다.
그러더니 이른바 철조망 끊기 전쟁(Fence Cutting War)이 발발했다. 거대한 목장의 소유주나 지역 정부 기관 등이 뒤를 대주는 불한당 무리들이 민간인들이 쳐놓은 철조망 울타리를 마구 끊어대고 농경지에 들어가 작물을 죄다 망가트리기 시작한 것이다. 사유지가 되거나 사유지가 되는 과정에 있는 공유지를 주인 없는 땅으로 되돌려놓기 위해서였다.
눈에 보이지 않지만 이 철조망 끊기 전쟁이 최근 다시 시작되었다. 지난 날의 불한당들은 해커라는 이름을 가지고 다시 나타났고, 철조망과 같은 방화벽 등의 네트워크 장비들을 자유롭게 넘나들고 있다. 작물과 같은 주요 인프라나 데이터를 가져가거나 조작하거나 삭제시키며, 다양한 출처로부터 후원을 받는다. 그 후원이란 암시장에서의 경제활동인 경우도 있고, 정부일 때도 있고, 대규모 범죄 조직일 때도 있다. 이런 때 공장이나 발전소, 교통 시스템과 같은 주요 산업 인프라가 무엇보다 큰 혼란을 야기할 가능성이 높아진다. 우린 어떻게 이 전쟁에서 살아남을 수 있을까?
보유한 자원을 파악해야
사이버 보안 담당자 중 자기가 책임져야 할 조직 내에서 사용되고 있는 사이버 자산을 제대로 파악하고 있는 사람은 의외로 거의 없다. 평균 80%의 사이버 자산이 보안 담당자의 인지 바깥에 있다는 통계도 있을 정도다. 자산 조사를 하지 않는 보안 담당자도 있지만, 한다고 해도 엑셀을 주로 쓰기 때문에 이런 사태가 벌어진다. 엑셀을 사용한다는 건 ‘수동으로’ 혹은 ‘발품을 팔아’ 재고 파악을 한다는 것이다. 자산이 한두 가지인 초소형 조직이 아닌 이상, 이는 오류가 날 수밖에 없는 방법이다.
자산이 파악되지 않거나 목록에 오류가 많기 때문에 ‘기본’이라고 하는 보안 실천사항들을 지킬 수도 없게 된다. 금융 기관이나 거래 시스템 서버의 환경설정 파일(이것도 사이버 자산이다)을 놓쳤다고 해보자. 그렇다면 환경설정 데이터와 관련된 보안 조치 사항들을 취할 수 없게 된다. 금융 거래를 담당하는 서버의 환경설정을 놓친 보안이라니, ‘무슨 코메디 같은 예인가?’라고 생각할 수 있지만, 현장에서는 실제로 비일비재한 일이다.
사이버 자산과 ICS 관련 정보는 수집 및 관리를 자동으로 해주는 솔루션으로 하는 편이 훨씬 효율이 좋고 결과도 좋다. 여기서 중요한 건 ‘비싼 제품을 사라’는 게 아니라, 어떤 솔루션이든 여러 번 반복적으로 활용해 최대한 정확한 ‘가시성’을 확보해야 한다는 것이다. 가시성이란 건 ‘일부분만’ 충족해서는 의미가 없는 개념이다.
어떤 분야의 산업 시스템이든 변화는 항상 일어나는 일이다. 눈에 보이는 건 작은 변화라도 그걸 떠받치고 있는 수많은 요소들의 변화를 야기하거나, 그 변화를 바탕으로 야기된다. 그리고 이 ‘수많은 요소들’의 상당 부분은 보안 담당자가 관리해야 하는 사이버 자산이다. 자산을 파악한다는 건 이러한 자산 간의 관계에 대한 이해도를 높이는 것도 포함된다. 그래야 변화가 생겼을 때 그 원인을 추적할 수도 있고, 변화가 필요할 때 가장 안정적이고 효율적이고 지속 가능한 변화를 꾀할 수 있게 된다.
취약점 관리를 통해 공격 표면적 줄이기
지금은 취약점에 대한 발표, 취약점 데이터의 보관, 그에 따른 업데이트가 유기적으로 이뤄지고 있는 편이다. 물론 더 보완해야 할 점들이 없지 않지만, 체계가 잡혀가고 있는 건 분명하다. 그런 것처럼 조직 내 존재하는 여러 취약점들도 파악, 수집, 관리해야 한다. 빚도 자산이라고 말하는 사람이 있는데, 취약점 역사 보안 담당자의 자산이다. 취약점만 관리해도 공격의 경로를 크게 좁힐 수 있고, 공격의 길목이 좁아지면 방어하기가 편해진다.
CVE 시스템 등 대중적으로 알려진 취약점 정보를 활용하는 것도 중요하고, 자체 내부 테스트 등을 통해 알려지지 않은 취약점들까지 파악하는 것도 중요하다. 취약점 관리와 자연스럽게 붙는 건 패치 관리다. 물론 이는 CEO 등 보다 높은 권한을 가진 사람들의 의사도 반영되어야만 하는데, 보안 담당자라면 적어도 현황 보고는 늘 할 수 있어야 하고, 그에 따른 제언도 할 수 있어야 한다.
비정상 현상이 발생했을 때의 수사
여기까지가 사전 작업이었다면, 후속 수사 및 대처 능력 역시 보안 담당자에게 필요한 것이다. 물론 외부 해커들의 모든 공격을 일일이 다 막는다는 건 불가능하다. 마찬가지로 내부자의 실수나 공격 역시 다 막을 수 없다. 아무리 물 샐 틈 없이 수비를 해도 비정상 행위든 반드시 일어난다. 그럴 때 자산을 제대로 파악하고 있었다면, 그리고 자산 간 관계성에 대한 이해도가 충분히 예비되어 있었다면, 원인 파악과 추적이 보다 수월해진다.
보안 담당자가 경찰이나 포렌식 전문가가 되어 범인을 끝까지 추적할 필요는 없다. 그렇게 해야만 하는 것도 아니다. 평소에 해오던 것을 바탕으로 수사 기관이나 외부 포렌식 전문가를 돕는 것이 보안 담당자가 할 일이다. 그렇지만 조직의 보안 담당자로서 지켜왔던 가시성을 객관적으로 외부 전문가에게 즉시 제공해줄 수 있는 것도 쉬운 일은 아니다.
전쟁의 끝
다시 옛날 미국으로 돌아가 보자. 철조망 끊기 전쟁은 어떻게 끝이 났을까? 국가가 법을 제정했다. 철조망을 의도적으로 끊는 자와 철조망을 과도하게 둘러 타인의 이동도 불편하게 하는 자 모두에게 벌금형을 내리거나 투옥시킬 수도 있게 된 것이다. 그 법이 통과되자마다 철조망 끊기 전쟁은 종식됐다. 다만 이러한 방법은 현대판 철조망 끊기 전쟁에는 통용되지 않을 것이다. 해커들은 보통 피해자와 다른 법 체계와 관할 구역에서 살고 있기 때문이다. 그래서 사실 이 전쟁은 지금도 계속해서 진행되는 중이다.
누군가는 전쟁을 종식시키는 걸 고민해야 하겠지만, 일단 지금 당장 보안을 책임져야 하는 보통의 보안 담당자들에게는 하루하루 살아남는 것이 더 중요한 문제다. 그렇기에 위의 몇 가지 방법들을 제시한 것이다. 그 모든 것들을 요약하면 한 가지로 정리가 된다. “지금 전쟁이 벌어지고 있고, 당신은 그 전쟁터 한복판에 있다는 것”을 인지해야 한다. 우리는 지금 전쟁 중이다. 평화를 누리는 건 시대착오적인 발상이다.
글 : 데이비드 잔(David Zhan), PAS
[국제부 문가용 기자(globoan@boannews.com)]
관련 법 도입으로 순식간에 해결...사이버 상에서는 불가능한 일
[보안뉴스 문가용 기자] 1862년 제정된 미국 자영 농지법 혹은 공유지 불하법은 개척시대에 딱 맞는 법이었다. 누구나 공유지에 정착해 5년 동안 농사를 지으면 그 땅을 가질 수 있게 해주는 법이 있으니 이민자들은 ‘아메리칸 드림’을 보장받게 되었고, 국가는 영토 확장을 효과적으로 진행할 수 있게 되었다. 그런데 이러한 이민자들에게 반드시 필요했지만 구하기 어려웠던 것이 있으니 바로 제대로 된 울타리였다. 그 과정에서 철조망이란 것이 개발되기도 했다.
[이미지 = iclickart]
비교적 저렴한 값에 어지간한 도둑들은 물론 동물들로부터 농작물을 지켜주는 이 철조망의 인기는 폭발적으로 높아졌다. 이 때문에 그 광활한 대륙은 빠르게 작은 구획으로 분해됐다. 그리고 자유롭게 뛰놀며 풀을 뜯어야 할 소와 양들의 공간도 없어지기 시작했다. 갈 수 있는 곳이 이 철조망으로 인해 딱딱하고 날카롭게 정해진 것이다. 그래서 초기 미국인들은 이 철조망을 악마의 로프(Devil’s Rope)라고 부르기 시작했다.
그러더니 이른바 철조망 끊기 전쟁(Fence Cutting War)이 발발했다. 거대한 목장의 소유주나 지역 정부 기관 등이 뒤를 대주는 불한당 무리들이 민간인들이 쳐놓은 철조망 울타리를 마구 끊어대고 농경지에 들어가 작물을 죄다 망가트리기 시작한 것이다. 사유지가 되거나 사유지가 되는 과정에 있는 공유지를 주인 없는 땅으로 되돌려놓기 위해서였다.
눈에 보이지 않지만 이 철조망 끊기 전쟁이 최근 다시 시작되었다. 지난 날의 불한당들은 해커라는 이름을 가지고 다시 나타났고, 철조망과 같은 방화벽 등의 네트워크 장비들을 자유롭게 넘나들고 있다. 작물과 같은 주요 인프라나 데이터를 가져가거나 조작하거나 삭제시키며, 다양한 출처로부터 후원을 받는다. 그 후원이란 암시장에서의 경제활동인 경우도 있고, 정부일 때도 있고, 대규모 범죄 조직일 때도 있다. 이런 때 공장이나 발전소, 교통 시스템과 같은 주요 산업 인프라가 무엇보다 큰 혼란을 야기할 가능성이 높아진다. 우린 어떻게 이 전쟁에서 살아남을 수 있을까?
보유한 자원을 파악해야
사이버 보안 담당자 중 자기가 책임져야 할 조직 내에서 사용되고 있는 사이버 자산을 제대로 파악하고 있는 사람은 의외로 거의 없다. 평균 80%의 사이버 자산이 보안 담당자의 인지 바깥에 있다는 통계도 있을 정도다. 자산 조사를 하지 않는 보안 담당자도 있지만, 한다고 해도 엑셀을 주로 쓰기 때문에 이런 사태가 벌어진다. 엑셀을 사용한다는 건 ‘수동으로’ 혹은 ‘발품을 팔아’ 재고 파악을 한다는 것이다. 자산이 한두 가지인 초소형 조직이 아닌 이상, 이는 오류가 날 수밖에 없는 방법이다.
자산이 파악되지 않거나 목록에 오류가 많기 때문에 ‘기본’이라고 하는 보안 실천사항들을 지킬 수도 없게 된다. 금융 기관이나 거래 시스템 서버의 환경설정 파일(이것도 사이버 자산이다)을 놓쳤다고 해보자. 그렇다면 환경설정 데이터와 관련된 보안 조치 사항들을 취할 수 없게 된다. 금융 거래를 담당하는 서버의 환경설정을 놓친 보안이라니, ‘무슨 코메디 같은 예인가?’라고 생각할 수 있지만, 현장에서는 실제로 비일비재한 일이다.
사이버 자산과 ICS 관련 정보는 수집 및 관리를 자동으로 해주는 솔루션으로 하는 편이 훨씬 효율이 좋고 결과도 좋다. 여기서 중요한 건 ‘비싼 제품을 사라’는 게 아니라, 어떤 솔루션이든 여러 번 반복적으로 활용해 최대한 정확한 ‘가시성’을 확보해야 한다는 것이다. 가시성이란 건 ‘일부분만’ 충족해서는 의미가 없는 개념이다.
어떤 분야의 산업 시스템이든 변화는 항상 일어나는 일이다. 눈에 보이는 건 작은 변화라도 그걸 떠받치고 있는 수많은 요소들의 변화를 야기하거나, 그 변화를 바탕으로 야기된다. 그리고 이 ‘수많은 요소들’의 상당 부분은 보안 담당자가 관리해야 하는 사이버 자산이다. 자산을 파악한다는 건 이러한 자산 간의 관계에 대한 이해도를 높이는 것도 포함된다. 그래야 변화가 생겼을 때 그 원인을 추적할 수도 있고, 변화가 필요할 때 가장 안정적이고 효율적이고 지속 가능한 변화를 꾀할 수 있게 된다.
취약점 관리를 통해 공격 표면적 줄이기
지금은 취약점에 대한 발표, 취약점 데이터의 보관, 그에 따른 업데이트가 유기적으로 이뤄지고 있는 편이다. 물론 더 보완해야 할 점들이 없지 않지만, 체계가 잡혀가고 있는 건 분명하다. 그런 것처럼 조직 내 존재하는 여러 취약점들도 파악, 수집, 관리해야 한다. 빚도 자산이라고 말하는 사람이 있는데, 취약점 역사 보안 담당자의 자산이다. 취약점만 관리해도 공격의 경로를 크게 좁힐 수 있고, 공격의 길목이 좁아지면 방어하기가 편해진다.
CVE 시스템 등 대중적으로 알려진 취약점 정보를 활용하는 것도 중요하고, 자체 내부 테스트 등을 통해 알려지지 않은 취약점들까지 파악하는 것도 중요하다. 취약점 관리와 자연스럽게 붙는 건 패치 관리다. 물론 이는 CEO 등 보다 높은 권한을 가진 사람들의 의사도 반영되어야만 하는데, 보안 담당자라면 적어도 현황 보고는 늘 할 수 있어야 하고, 그에 따른 제언도 할 수 있어야 한다.
비정상 현상이 발생했을 때의 수사
여기까지가 사전 작업이었다면, 후속 수사 및 대처 능력 역시 보안 담당자에게 필요한 것이다. 물론 외부 해커들의 모든 공격을 일일이 다 막는다는 건 불가능하다. 마찬가지로 내부자의 실수나 공격 역시 다 막을 수 없다. 아무리 물 샐 틈 없이 수비를 해도 비정상 행위든 반드시 일어난다. 그럴 때 자산을 제대로 파악하고 있었다면, 그리고 자산 간 관계성에 대한 이해도가 충분히 예비되어 있었다면, 원인 파악과 추적이 보다 수월해진다.
보안 담당자가 경찰이나 포렌식 전문가가 되어 범인을 끝까지 추적할 필요는 없다. 그렇게 해야만 하는 것도 아니다. 평소에 해오던 것을 바탕으로 수사 기관이나 외부 포렌식 전문가를 돕는 것이 보안 담당자가 할 일이다. 그렇지만 조직의 보안 담당자로서 지켜왔던 가시성을 객관적으로 외부 전문가에게 즉시 제공해줄 수 있는 것도 쉬운 일은 아니다.
전쟁의 끝
다시 옛날 미국으로 돌아가 보자. 철조망 끊기 전쟁은 어떻게 끝이 났을까? 국가가 법을 제정했다. 철조망을 의도적으로 끊는 자와 철조망을 과도하게 둘러 타인의 이동도 불편하게 하는 자 모두에게 벌금형을 내리거나 투옥시킬 수도 있게 된 것이다. 그 법이 통과되자마다 철조망 끊기 전쟁은 종식됐다. 다만 이러한 방법은 현대판 철조망 끊기 전쟁에는 통용되지 않을 것이다. 해커들은 보통 피해자와 다른 법 체계와 관할 구역에서 살고 있기 때문이다. 그래서 사실 이 전쟁은 지금도 계속해서 진행되는 중이다.
누군가는 전쟁을 종식시키는 걸 고민해야 하겠지만, 일단 지금 당장 보안을 책임져야 하는 보통의 보안 담당자들에게는 하루하루 살아남는 것이 더 중요한 문제다. 그렇기에 위의 몇 가지 방법들을 제시한 것이다. 그 모든 것들을 요약하면 한 가지로 정리가 된다. “지금 전쟁이 벌어지고 있고, 당신은 그 전쟁터 한복판에 있다는 것”을 인지해야 한다. 우리는 지금 전쟁 중이다. 평화를 누리는 건 시대착오적인 발상이다.
글 : 데이비드 잔(David Zhan), PAS
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
