다크웹을 살피면 얻어갈 수 있는 것이 많다. 특히 기업의 미래를 강화시킬 수 있는 베스트 프랙티스가 풍성하다. 다만 그것은 숨겨져 있는 것이라 남다른 시야가 있어야 발견할 수 있다.
[보안뉴스 = 이트직 알바스 CEO, Entro Security] 오늘 날 사이버 보안 전문가들이 자주 하는 일 중 하나는 다크웹을 확인하는 것이다. 여기서 온갖 악행들이 모의되고 진행되니, 이곳을 정찰하는 것은 보안을 한다하는 사람 입장에서 당연한 일이다. 직접적인 공격의 단서를 발견하지 못한다 하더라도 현재 공격자들 사이에 형성된 유행을 파악하는 것만으로도 다크웹 순찰은 충분한 가치를 갖는 일이 된다.
[이미지 = gettyimagesbank]
다크웹에서 자신이 속한 기업이나 기관의 기밀을 발견했을 때 CISO들이나 보안 담당자들은 보통 ‘어맛, 우리 회사 뚫렸나봐!’라고 반응한다. 이가 딱딱 부딪히기 시작하고, 무릎이 덜덜 떨린다. 앞으로 몇 달 간 자신을 덮쳐올 운명들이 벌써부터 주마등이 되어 스쳐지나간다. 물론 정말 어딘가 뚫려 공격을 허용했을 가능성이 0은 아니다. 하지만 그 가능성 외에도 다른 수많은 가능성이 존재한다. 기업이 이용하는 클라우드 업체가 당했을 수도 있고, 벤더사의 책임일 수도 있으며, 임직원 누군가가 엄청난 실수를 저질렀을 수도 있다. USB가 어디선가 분실된 것일 수도 있다. 여튼, 경우의 수는 수백 가지다.
그러므로 다크웹에서 어디서 많이 본 듯한 데이터를 발견하자마자 패닉에 빠지는 건 그리 추천할 만한 반응이 아니다. 오히려 반가워해야 한다. 데이터가 새나갔다는 사실을 아는 것과 모르는 것은 보안 강화라는 측면에 있어 너무나 다른 효과를 내기 때문이다. 차라리 박수를 치는 게 옳다. 다만 여기에는 한 가지 조건이 붙는다. 데이터 침해 혹은 유출의 원인을 명확히 파악하는 것이다. 사고의 원인만 알게 된다면 다크웹에서 데이터를 발견했다는 건 오히려 호재가 된다.
다크웹에서 뭔가가 발견됐다면 제일 먼저는 각종 로그를 검토하는 게 순서일 것이다. 특히 다크웹에 돌아다니고 있는 바로 그 데이터와 관련된 기록들을 확보해 검사하는 게 중요하다. 그랬을 때 그 정보가 이미 유출될 것을 예상해 암호화 처리가 잘 되어 있었다는 걸 알게 된다면 어떨까? 그 다음 행동을 따로 취할 필요가 없다. 공격자의 주머니에서 빼앗아올 수도 없을 뿐더러, 암호화 때문에 공격자가 그것을 활용하지도 못하기 때문이다. 그렇기에 다크웹에서도 그 데이터는 별 주목을 못 받을 가능성이 높고, 시간에 따라 서서히 묻히게 된다.
디테일이 관건
결국 무슨 뜻인가? 디테일이 중요하다는 것이다. 다크웹이 우리 회사 데이터가 떴다? 당연히 침해가 어디선가 일어났다는 뜻이다. 이것을 모르는 사람은 없다. 어떤 데이터가 어떻게, 어떤 경로로, 언제, 얼마나 유출되었고, 그것이 어떤 영향을 미칠 수 있는지를 상세하게 파악해야 한다. 그래야 제대로 된 대응을 효율적으로 할 수 있게 된다. ‘침해가 일어났다! 비상!’이라고만 외치면 모두가 우왕좌왕 하면서 사실은 아무런 일도 하지 못하게 된다.
어떤 데이터가 유출되었는지 알아야 어떤 기관에 신고해야 하는지 알 수 있다. 금융 정보가 문제인데 GDPR 감독 기구에 신고했다가 불필요한 행정 소요를 자초하게 된다. GDPR 관련 기구와 설왕설래 하고 있다는 사실이 매체를 통해 보도라도 되면 주가에 타격이 갈 수도 있다. 그러면서 정작 진짜 신고했어야 할 곳을 놓치고 있어 불필요한 벌금이 가중되는 시나리오도 가능하다. 실질적인 대처를 하려면 구체적이고 상세한 정보가 있어야 한다는 뜻이다. 다크웹에 데이터가 떴다는 그 간단한 사실 하나만으로 할 수 있는 건 아무 것도 없다.
디테일을 파악하는 과정 중에 CISO들이 기억해야 할 것이 하나 있는데, 바로 다크웹에서 유통되는 정보들에도 유통기한이 존재한다는 것이다. 정보의 가치나 활용도는 시간이 지나면서 바뀌는데, 이러한 것을 파악해야 정확한 대처를 할 수 있게 된다. 어떤 데이터가 다크웹에서 유통되고 있는지 파악하면서 그 데이터의 생애주기를 이해한다면 시급히 조치를 취해야 할 데이터가 무엇인지 결정할 수 있다는 것이다. 예를 들어 가벼운 시험 가동을 위한 임시 프로젝트의 데이터가 새나갔다면, 그 가치가 빠르게 증발될 가능성이 높다. 공격자의 협박에 비교적 여유롭게 응할 수 있게 된다.
반면 민감한 데이터가 다크웹에서 발견됐다면 어떻게 해야 할까? 규제의 대상이 되는 데이터가 새나갔다면 어떨까? 당장 수사를 시작해야 한다. 이런 정보의 가치는 시간이 지난다고 저절로 줄어들지 않는다. 물론 긴 시간이 흐르면 그렇게 될 수 있지만 어지간해서는 가치가 유지된다. 이런 시급한 조치도 어떤 데이터가 유출됐는지 상세히 알아야 할 수 있게 된다.
유출된 데이터의 양은 얼마나 되는가? 혹시 비슷한 데이터를 다른 회사가 가지고 있었을 가능성은 얼마나 되는가? 서드파티나 벤더사들 중에 비슷한 데이터를 가지고 있는 곳이 있었을까? 이런 질문을 가지고 조사를 이어갈 수 있는 것도 어떤 데이터가 유출되었는지를 파악한 후에 가능한 것이고, 이런 질문들 역시 디테일을 파악하는 과정에서 자연스럽게 나오는 것이라 할 수 있다. 빠짐없이 답을 찾아내는 게 중요하다.
베스트 프랙티스 마련하기
정보 침해 사건에 대한 세부 내용을 파악하다 보면 평소에 뭘 했었어야 했는지을 알 수 있게 된다. 로그를 어떤 식으로 남겼어야 했는지, 어떤 정보를 암호화 했어야 했는지, 해싱 기술을 어디에 적용했어야 했는지, 모니터링과 추적을 어느 수위로 진행했어야 했는지, 저장소를 어디에 마련했어야 했는지 등 아쉬운 점들이 나타나기 마련이다. 여기까지 생각이 이르지 않았다면, 어쩌면 디테일을 충분히 파고들지 못한 것일 수도 있다.
이런 아쉬움들이 모이고 모이면 그것이 바로 보안 실천 사항, 즉 베스트 프랙티스가 된다. 모든 베스트 프랙티스가 미리부터 마련되었다면 가장 좋겠지만, 그러기란 쉽지 않다. 어차피 그 아쉬운 빈틈을 파고드는 게 해커들의 장기다. 이왕 다크웹에 정보가 유출되고 사고가 터졌다면, 그것을 바탕으로 베스트 프랙티스를 더 꼼꼼하게 마련하는 것이 그 시점에서 거둘 수 있는 가장 큰 이득이다. 이 베스트 프랙티스가 수립되고 실천되면서 기업이 이전보다 더 단단한 조직으로 거듭난다면 그 이득은 결코 작다고 할 수 없을 것이다.
그러므로 다크웹과 CISO들은 친해져야 한다. 다크웹을 꼼꼼하게 살피고 파악하는 건 CISO들이 꼭 해야 하는 일 중 하나라고 필자는 생각한다. 다만 살피는 것만으로는 큰 의미를 갖지 못한다. 살핀 것을 가지고 베스트 프랙티스 수립까지 도달해야 한다. 그럴 능력이 있는 CISO라면 위기와 역경을 기회로 역전시킬 수 있는 귀한 인재라는 걸 입증할 수 있을 것이다.
글 : 이트직 알바스(Itzik Alvas), CEO, Entro Security
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 이트직 알바스 CEO, Entro Security] 오늘 날 사이버 보안 전문가들이 자주 하는 일 중 하나는 다크웹을 확인하는 것이다. 여기서 온갖 악행들이 모의되고 진행되니, 이곳을 정찰하는 것은 보안을 한다하는 사람 입장에서 당연한 일이다. 직접적인 공격의 단서를 발견하지 못한다 하더라도 현재 공격자들 사이에 형성된 유행을 파악하는 것만으로도 다크웹 순찰은 충분한 가치를 갖는 일이 된다.
[이미지 = gettyimagesbank]
다크웹에서 자신이 속한 기업이나 기관의 기밀을 발견했을 때 CISO들이나 보안 담당자들은 보통 ‘어맛, 우리 회사 뚫렸나봐!’라고 반응한다. 이가 딱딱 부딪히기 시작하고, 무릎이 덜덜 떨린다. 앞으로 몇 달 간 자신을 덮쳐올 운명들이 벌써부터 주마등이 되어 스쳐지나간다. 물론 정말 어딘가 뚫려 공격을 허용했을 가능성이 0은 아니다. 하지만 그 가능성 외에도 다른 수많은 가능성이 존재한다. 기업이 이용하는 클라우드 업체가 당했을 수도 있고, 벤더사의 책임일 수도 있으며, 임직원 누군가가 엄청난 실수를 저질렀을 수도 있다. USB가 어디선가 분실된 것일 수도 있다. 여튼, 경우의 수는 수백 가지다.
그러므로 다크웹에서 어디서 많이 본 듯한 데이터를 발견하자마자 패닉에 빠지는 건 그리 추천할 만한 반응이 아니다. 오히려 반가워해야 한다. 데이터가 새나갔다는 사실을 아는 것과 모르는 것은 보안 강화라는 측면에 있어 너무나 다른 효과를 내기 때문이다. 차라리 박수를 치는 게 옳다. 다만 여기에는 한 가지 조건이 붙는다. 데이터 침해 혹은 유출의 원인을 명확히 파악하는 것이다. 사고의 원인만 알게 된다면 다크웹에서 데이터를 발견했다는 건 오히려 호재가 된다.
다크웹에서 뭔가가 발견됐다면 제일 먼저는 각종 로그를 검토하는 게 순서일 것이다. 특히 다크웹에 돌아다니고 있는 바로 그 데이터와 관련된 기록들을 확보해 검사하는 게 중요하다. 그랬을 때 그 정보가 이미 유출될 것을 예상해 암호화 처리가 잘 되어 있었다는 걸 알게 된다면 어떨까? 그 다음 행동을 따로 취할 필요가 없다. 공격자의 주머니에서 빼앗아올 수도 없을 뿐더러, 암호화 때문에 공격자가 그것을 활용하지도 못하기 때문이다. 그렇기에 다크웹에서도 그 데이터는 별 주목을 못 받을 가능성이 높고, 시간에 따라 서서히 묻히게 된다.
디테일이 관건
결국 무슨 뜻인가? 디테일이 중요하다는 것이다. 다크웹이 우리 회사 데이터가 떴다? 당연히 침해가 어디선가 일어났다는 뜻이다. 이것을 모르는 사람은 없다. 어떤 데이터가 어떻게, 어떤 경로로, 언제, 얼마나 유출되었고, 그것이 어떤 영향을 미칠 수 있는지를 상세하게 파악해야 한다. 그래야 제대로 된 대응을 효율적으로 할 수 있게 된다. ‘침해가 일어났다! 비상!’이라고만 외치면 모두가 우왕좌왕 하면서 사실은 아무런 일도 하지 못하게 된다.
어떤 데이터가 유출되었는지 알아야 어떤 기관에 신고해야 하는지 알 수 있다. 금융 정보가 문제인데 GDPR 감독 기구에 신고했다가 불필요한 행정 소요를 자초하게 된다. GDPR 관련 기구와 설왕설래 하고 있다는 사실이 매체를 통해 보도라도 되면 주가에 타격이 갈 수도 있다. 그러면서 정작 진짜 신고했어야 할 곳을 놓치고 있어 불필요한 벌금이 가중되는 시나리오도 가능하다. 실질적인 대처를 하려면 구체적이고 상세한 정보가 있어야 한다는 뜻이다. 다크웹에 데이터가 떴다는 그 간단한 사실 하나만으로 할 수 있는 건 아무 것도 없다.
디테일을 파악하는 과정 중에 CISO들이 기억해야 할 것이 하나 있는데, 바로 다크웹에서 유통되는 정보들에도 유통기한이 존재한다는 것이다. 정보의 가치나 활용도는 시간이 지나면서 바뀌는데, 이러한 것을 파악해야 정확한 대처를 할 수 있게 된다. 어떤 데이터가 다크웹에서 유통되고 있는지 파악하면서 그 데이터의 생애주기를 이해한다면 시급히 조치를 취해야 할 데이터가 무엇인지 결정할 수 있다는 것이다. 예를 들어 가벼운 시험 가동을 위한 임시 프로젝트의 데이터가 새나갔다면, 그 가치가 빠르게 증발될 가능성이 높다. 공격자의 협박에 비교적 여유롭게 응할 수 있게 된다.
반면 민감한 데이터가 다크웹에서 발견됐다면 어떻게 해야 할까? 규제의 대상이 되는 데이터가 새나갔다면 어떨까? 당장 수사를 시작해야 한다. 이런 정보의 가치는 시간이 지난다고 저절로 줄어들지 않는다. 물론 긴 시간이 흐르면 그렇게 될 수 있지만 어지간해서는 가치가 유지된다. 이런 시급한 조치도 어떤 데이터가 유출됐는지 상세히 알아야 할 수 있게 된다.
유출된 데이터의 양은 얼마나 되는가? 혹시 비슷한 데이터를 다른 회사가 가지고 있었을 가능성은 얼마나 되는가? 서드파티나 벤더사들 중에 비슷한 데이터를 가지고 있는 곳이 있었을까? 이런 질문을 가지고 조사를 이어갈 수 있는 것도 어떤 데이터가 유출되었는지를 파악한 후에 가능한 것이고, 이런 질문들 역시 디테일을 파악하는 과정에서 자연스럽게 나오는 것이라 할 수 있다. 빠짐없이 답을 찾아내는 게 중요하다.
베스트 프랙티스 마련하기
정보 침해 사건에 대한 세부 내용을 파악하다 보면 평소에 뭘 했었어야 했는지을 알 수 있게 된다. 로그를 어떤 식으로 남겼어야 했는지, 어떤 정보를 암호화 했어야 했는지, 해싱 기술을 어디에 적용했어야 했는지, 모니터링과 추적을 어느 수위로 진행했어야 했는지, 저장소를 어디에 마련했어야 했는지 등 아쉬운 점들이 나타나기 마련이다. 여기까지 생각이 이르지 않았다면, 어쩌면 디테일을 충분히 파고들지 못한 것일 수도 있다.
이런 아쉬움들이 모이고 모이면 그것이 바로 보안 실천 사항, 즉 베스트 프랙티스가 된다. 모든 베스트 프랙티스가 미리부터 마련되었다면 가장 좋겠지만, 그러기란 쉽지 않다. 어차피 그 아쉬운 빈틈을 파고드는 게 해커들의 장기다. 이왕 다크웹에 정보가 유출되고 사고가 터졌다면, 그것을 바탕으로 베스트 프랙티스를 더 꼼꼼하게 마련하는 것이 그 시점에서 거둘 수 있는 가장 큰 이득이다. 이 베스트 프랙티스가 수립되고 실천되면서 기업이 이전보다 더 단단한 조직으로 거듭난다면 그 이득은 결코 작다고 할 수 없을 것이다.
그러므로 다크웹과 CISO들은 친해져야 한다. 다크웹을 꼼꼼하게 살피고 파악하는 건 CISO들이 꼭 해야 하는 일 중 하나라고 필자는 생각한다. 다만 살피는 것만으로는 큰 의미를 갖지 못한다. 살핀 것을 가지고 베스트 프랙티스 수립까지 도달해야 한다. 그럴 능력이 있는 CISO라면 위기와 역경을 기회로 역전시킬 수 있는 귀한 인재라는 걸 입증할 수 있을 것이다.
글 : 이트직 알바스(Itzik Alvas), CEO, Entro Security
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
