랜섬웨어가 큰 유행이다. 하지만 이건 겉모습으로 나타나는 현상일 뿐 문제의 뿌리는 따로 있다. 뿌리를 해결해야 현상도 해결된다.
[보안뉴스 문가용 기자] 랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 이 위험한 것을 어떻게 처리해야 하고, 어떻게 막아야 하는지 너도 나도 아이디어를 쏟아놓고 있다. 그런데 이런 조언들이야 말로 대단히 위험하다. 왜냐하면 문제의 핵심은 랜섬웨어가 아니기 때문이다.
[이미지 = utoimage]
지금 랜섬웨어와의 싸움 방법을 논하는 건, 마치 팬데믹 사태에서 코로나 바이러스나 백신이 아니라 마스크에만 집중하는 것과 같다. 마스크 착용은 감염율을 낮추는 데 있어 대단히 중요한 요소이긴 하지만, 그 외에도 사회적으로 거리를 둔다거나 접촉자를 추적하고, 격리하고, 종국에는 백신을 접종하는 것도 마찬가지로 중요하다. 마스크만 강조하고 또 강조한다고 해서 팬데믹이 해결되는 건 아니라는 것이다.
그렇다면 이 ‘랜섬웨어 팬데믹’에 있어서 진짜 문제는 무엇일까? 그건 사용자 혹은 사용자 조직들이 테크놀로지 발전의 속도를 제대로 따라가고 있지 못하다는 것이다. 그래서 기술의 발전을 잘 쫓아가고 있는 자들에 의해 농락을 당하고 있는 것이 문제의 핵심이다. 좀 더 이해도가 높은 자들이 낮은 자들의 컴퓨터에 임의의 파일을 심고, 임의의 프로그램을 설치하는 것은 이러한 이해도 차이에서 나오는 증상일 뿐이다. 증상만 다뤄서야 근본적인 치료가 되지 않는다.
기술 발전에 대한 이해도가 낮다는 건 무슨 뜻일까? 자신들이 사용하고 있는 소프트웨어를 제대로 제어할 수 없다는 뜻이다. 여러 요소들로 조적하듯이 혹은 조립하듯이 만들어져 복잡한 구성을 가진 소프트웨어에서 문제가 자꾸만 생겨나도 어쩌지 못하고 있다. 또한 어떻게 조립해야 효과적인지에 대한 합의도 이뤄지지 않아 모두가 제각각의 방법을 고수하고 있다. 이름이 잘 알려진 기업들의 방법론이 여기 저기 채용되고는 있지만, 그런 것들이라고 완벽한 건 아니다. 그 틈에 랜섬웨어와 같은 악성 공격이 파고 든다.
윈도와 맥OS와 같은 ‘전통적인’ 데스크톱 소프트웨어의 경우, 애플리케이션들의 권한이 대체적으로 높았다. 사용자가 원하는 건 거의 모든 것이 가능하다는 뜻이다. 당연히 무작위의 소프트웨어를 실행시키는 것도 가능하다. 비교적 새로 나온 OS들은 그렇지 않다. 크롬북이나 아이패드의 경우, 임의의 소프트웨어를 사용자가 마구 설치해 실행시킬 수 없다. 이런 각도에서 보자면 문제는 랜섬웨어가 아니라 특정 OS들에서 무작위 소프트웨어 설치가 가능하다는 것이다.
클라우드 시스템에 파일이 보관되어 있는 경우는 어떨까? 클라우드 서비스 제공 업체들은 다양한 방식으로 고객들의 파일들을 보호한다. 그 중에는 고객의 파일을 자동으로 암호화시켜 보관하는 것도 존재한다. 하지만 클라우드 내 파일이 암호화 된다고 해서 모두 서비스 업체에서 하는 건 아니다. 랜섬웨어 공격자들도 파일을 암호화 한다. 아니면 로그인 한 임직원 중 누군가 하는 일일 수도 있다. 랜섬웨어가 문제가 아니라, 수상한 암호화 기능이 발휘될 때를 식별할 수 없다는 게 문제다. 클라우드 서비스 업체나, 고객사나, 제대로 기술을 제어하지 못하고 있다는 것이고, 그러한 문제 때문에 랜섬웨어라는 증상이 나타나는 것일 뿐이다.
기술에 대한 이해도가 아직 온전히 갖춰지지 않은 상태에서 우리는 지나치게 자주 ‘유연성’을 추구해 왔다. 누구나 손쉽게 더 많은 자원에 접근할 수 있도록 했고, 누구나 접근 후 복사와 삭제와 편집을 할 수 있게 했다. 그래야 비용이 아껴지고, 생산성이 높아지기 때문이다. 그러한 ‘문화’ 혹은 ‘일반적 인식’이 해결되지 않은 채 기술은 빠르게 발전하고 있다.
그래서 어떤 현상이 나타나는가? 이 요소 저 요소 출처도 확인하지 않고 조립하는 것이 소프트웨어 개발 방법 중 최고의 효율을 자랑하고 있고 따라서 취약한 소프트웨어들이 시장에 나오고 있다. 설정 내용도 여기 저기서 본따오는 게 전부다. 이런 습관이 컨테이너에도, 클라우드에도 벌써부터 만연하다. 이해도는 뒷전이고 유연성만 높이는 것이 이 랜섬웨어 팬데믹의 근본 이유다.
모든 사람이 IT 전문가가 되어야 하는 건 아니다. 그러나 개발자면 개발자, 관리자면 관리자, 사용자면 사용자 모두가 자기 자리에서 만큼은 IT 기술과 소프트웨어에 대한 통제 능력을 갖추고 있어야 한다. 즉 조직 차원의 IT 이해도 높이기 작업이 필요하다는 것이다. 랜섬웨어에 대한 걱정만 한다면, 조직 차원의 IT 이해도 업그레이드는 뒷전으로 밀려난다. ‘지금 우리 조직은, 조직 내에서 사용되고 있는 IT 요소들을 제대로 이해하고 있는가? 그 이해도를 바탕으로 제대로 제어하고 있는가?’를 좀 더 치열하게 파고들어야 한다. 랜섬웨어는 그 과정에서 저절로 해결될 것이다.
글 : 아담 쇼스택(Adam Shostack), Shostack & Associates
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 랜섬웨어 소식이 끝없이 나오고 있는 요즘이다. 이 위험한 것을 어떻게 처리해야 하고, 어떻게 막아야 하는지 너도 나도 아이디어를 쏟아놓고 있다. 그런데 이런 조언들이야 말로 대단히 위험하다. 왜냐하면 문제의 핵심은 랜섬웨어가 아니기 때문이다.
[이미지 = utoimage]
지금 랜섬웨어와의 싸움 방법을 논하는 건, 마치 팬데믹 사태에서 코로나 바이러스나 백신이 아니라 마스크에만 집중하는 것과 같다. 마스크 착용은 감염율을 낮추는 데 있어 대단히 중요한 요소이긴 하지만, 그 외에도 사회적으로 거리를 둔다거나 접촉자를 추적하고, 격리하고, 종국에는 백신을 접종하는 것도 마찬가지로 중요하다. 마스크만 강조하고 또 강조한다고 해서 팬데믹이 해결되는 건 아니라는 것이다.
그렇다면 이 ‘랜섬웨어 팬데믹’에 있어서 진짜 문제는 무엇일까? 그건 사용자 혹은 사용자 조직들이 테크놀로지 발전의 속도를 제대로 따라가고 있지 못하다는 것이다. 그래서 기술의 발전을 잘 쫓아가고 있는 자들에 의해 농락을 당하고 있는 것이 문제의 핵심이다. 좀 더 이해도가 높은 자들이 낮은 자들의 컴퓨터에 임의의 파일을 심고, 임의의 프로그램을 설치하는 것은 이러한 이해도 차이에서 나오는 증상일 뿐이다. 증상만 다뤄서야 근본적인 치료가 되지 않는다.
기술 발전에 대한 이해도가 낮다는 건 무슨 뜻일까? 자신들이 사용하고 있는 소프트웨어를 제대로 제어할 수 없다는 뜻이다. 여러 요소들로 조적하듯이 혹은 조립하듯이 만들어져 복잡한 구성을 가진 소프트웨어에서 문제가 자꾸만 생겨나도 어쩌지 못하고 있다. 또한 어떻게 조립해야 효과적인지에 대한 합의도 이뤄지지 않아 모두가 제각각의 방법을 고수하고 있다. 이름이 잘 알려진 기업들의 방법론이 여기 저기 채용되고는 있지만, 그런 것들이라고 완벽한 건 아니다. 그 틈에 랜섬웨어와 같은 악성 공격이 파고 든다.
윈도와 맥OS와 같은 ‘전통적인’ 데스크톱 소프트웨어의 경우, 애플리케이션들의 권한이 대체적으로 높았다. 사용자가 원하는 건 거의 모든 것이 가능하다는 뜻이다. 당연히 무작위의 소프트웨어를 실행시키는 것도 가능하다. 비교적 새로 나온 OS들은 그렇지 않다. 크롬북이나 아이패드의 경우, 임의의 소프트웨어를 사용자가 마구 설치해 실행시킬 수 없다. 이런 각도에서 보자면 문제는 랜섬웨어가 아니라 특정 OS들에서 무작위 소프트웨어 설치가 가능하다는 것이다.
클라우드 시스템에 파일이 보관되어 있는 경우는 어떨까? 클라우드 서비스 제공 업체들은 다양한 방식으로 고객들의 파일들을 보호한다. 그 중에는 고객의 파일을 자동으로 암호화시켜 보관하는 것도 존재한다. 하지만 클라우드 내 파일이 암호화 된다고 해서 모두 서비스 업체에서 하는 건 아니다. 랜섬웨어 공격자들도 파일을 암호화 한다. 아니면 로그인 한 임직원 중 누군가 하는 일일 수도 있다. 랜섬웨어가 문제가 아니라, 수상한 암호화 기능이 발휘될 때를 식별할 수 없다는 게 문제다. 클라우드 서비스 업체나, 고객사나, 제대로 기술을 제어하지 못하고 있다는 것이고, 그러한 문제 때문에 랜섬웨어라는 증상이 나타나는 것일 뿐이다.
기술에 대한 이해도가 아직 온전히 갖춰지지 않은 상태에서 우리는 지나치게 자주 ‘유연성’을 추구해 왔다. 누구나 손쉽게 더 많은 자원에 접근할 수 있도록 했고, 누구나 접근 후 복사와 삭제와 편집을 할 수 있게 했다. 그래야 비용이 아껴지고, 생산성이 높아지기 때문이다. 그러한 ‘문화’ 혹은 ‘일반적 인식’이 해결되지 않은 채 기술은 빠르게 발전하고 있다.
그래서 어떤 현상이 나타나는가? 이 요소 저 요소 출처도 확인하지 않고 조립하는 것이 소프트웨어 개발 방법 중 최고의 효율을 자랑하고 있고 따라서 취약한 소프트웨어들이 시장에 나오고 있다. 설정 내용도 여기 저기서 본따오는 게 전부다. 이런 습관이 컨테이너에도, 클라우드에도 벌써부터 만연하다. 이해도는 뒷전이고 유연성만 높이는 것이 이 랜섬웨어 팬데믹의 근본 이유다.
모든 사람이 IT 전문가가 되어야 하는 건 아니다. 그러나 개발자면 개발자, 관리자면 관리자, 사용자면 사용자 모두가 자기 자리에서 만큼은 IT 기술과 소프트웨어에 대한 통제 능력을 갖추고 있어야 한다. 즉 조직 차원의 IT 이해도 높이기 작업이 필요하다는 것이다. 랜섬웨어에 대한 걱정만 한다면, 조직 차원의 IT 이해도 업그레이드는 뒷전으로 밀려난다. ‘지금 우리 조직은, 조직 내에서 사용되고 있는 IT 요소들을 제대로 이해하고 있는가? 그 이해도를 바탕으로 제대로 제어하고 있는가?’를 좀 더 치열하게 파고들어야 한다. 랜섬웨어는 그 과정에서 저절로 해결될 것이다.
글 : 아담 쇼스택(Adam Shostack), Shostack & Associates
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
