방어 기술과 함께 사람들의 보안인식 개선도 필요해
<보안뉴스>에서는 한국정보공학기술사회 소속 기술사들이 다양한 관점에서 고민해온 주요 보안 이슈에 대한 의견들을 들어보고자 합니다. 10회 연재로 진행되는 [한국정보공학기술사 보안을 論하다] 시리즈에 많은 관심 부탁드립니다. [편집자주]
[연재 목차]
1. 클라우드 보안의 허와 실
2. LLM 위협과 대응방안
3. 개인정보 보호의 중심에서 활용을 외치다
4. 블록체인의 쓸모와 보안
5. 공공시스템의 보안이슈
6. 신뢰할 수 있는 소프트웨어를 위하여
7. 데이터 거래와 보안
8. 비대면 개통의 편리성과 보안 문제점
9. 기술적 보안 효과를 극대화하려면
10. 모바일 신분증의 보안위협과 대응방안
[이미지=gettyimagesbank]
[보안뉴스= 이아람 기술사/한국정보공학기술사회] 사이버 공간에서 창과 방패의 싸움은 무척이나 치열하다. IT 기술의 발전 속도는 예측 불가능할 정도로 빠르며, 사이버 공격 기법도 최신 기술을 활용하면서 나날히 치밀해지고 또 정교해졌다. 다행히 이러한 공격을 막기 위한 대응 기술도 바짝 추격하고 있다.
다만, 이러한 방어가 기술적인 대응에만 초점이 맞춰진 것이 우려된다. 기술적으로 아무리 튼튼하게 쌓은 장벽이라 하더라도 가장 약한 고리가 보안의 전체 수준을 결정하며, 가장 취약한 지점은 높은 확률로 ‘사람이’ 될 것이기 때문이다. 글로벌 보안 회사인 포티넷에서 발간한 ‘2023 Security Awareness Report’에 따르면 1,855명의 IT·보안 의사결정자를 대상으로 한 설문에서 사이버 공격의 81%가 피싱, 패스워드, 악성코드 등 ‘사람’과 관련된 공격이었다고 답했다.
지난해 별이 된 유명 해커인 케빈 미트닉(Kevin Mitnick)은 사람 사이의 신뢰 관계를 이용해 정상적인 보안 절차를 무너뜨리는 사회공학적(Social Engineering) 공격의 대가로 알려졌다. IT 부서의 직원인 것처럼 전화를 걸어 비밀번호를 물어본다거나 하는 고전적인 방식도 여전히 유효하고 기술의 발전만큼 사회공학적 해킹 수법도 교묘해져서 새로운 공격 시도가 나타나기 때문에 주의가 필요하다.
예를 들면, 바코드보다 많은 정보 저장이 가능해 널리 사용되는 QR코드를 사람들이 별다른 의심 없이 촬영하고 스캔하기에 이를 악용해 공유 자전거나 킥보드 등에 악성 QR코드를 붙여놓거나 악성 앱이 설치되도록 유도하는 큐싱(Qshing) 기법이 대표적이다.
최근엔 소프트웨어 공급망 공격도 사회공학적인 방법이 쓰인다. 이러한 공격은 소프트웨어의 개발·배포 과정에서 악의적인 의도로 침입해 사이버 공격을 하는 방법을 말한다. 많은 기업이나 개인이 사용하는 소프트웨어 개발사를 공격해 악성코드를 배포하는 것인데, 오픈소스 소프트웨어의 기여자인 것처럼 행동하다가 커뮤니티 중요 권한을 획득해 악성코드를 배포하는 사례도 있다. 이러한 공급망 공격은 해당 소프트웨어를 사용하는 사용자를 대상으로 해 공격에 대한 파급력이 큰 것이 특징이다.
다양한 영역에서 여러 방법으로 시도되는 사회공학적 공격에 대비하기 위해 기술적인 통제가 선행과제지만, 기술적인 통제만으로 제어하기 어려운 부분에 대해서는 사람들의 보안 인식 개선에 대한 정책적 지원이 필요하다.
정보보안 인식 개선은 사람들의 말과 행동 변화를 유도해 사회공학적 공격을 예방하거나 대응하기 위한 목적으로, 온오프라인 정보보안 교육이나 영상·이미지와 같은 방식으로 진행된다. 한두 차례의 교육만으로 변화의 흐름을 만들어내기는 어려운데, 국내 개인정보보호법이나 국제 정보보호 관리체계 표준인 ISO 27001, 정보보호 관리체계 인증(ISMS) 등 제도적으로는 임직원을 대상으로 정보보안 교육을 연 1회 이상 실시하도록 하고 있다.
일부 기업에서는 연간 보안 교육을 이수하지 않은 임직원에게 벌점을 부여하거나 내부 시스템 접근 권한을 제한하기도 한다. 이는 교육 이수율을 높일 수 있는 좋은 방법이다. 하지만 필수 교육이라 교육 대상자가 영상을 재생하기만 하고 다른 업무를 하는 등 교육에 집중하지 않아 버튼을 눌러야만 다음으로 넘어가거나 문제를 내는 등 교육 효과를 높이려는 다양한 시도가 이어지고 있다.
형식적인 교육이 되지 않으려는 여러 노력이 있지만, 근본적으로 교육 대상자가 필요성에 공감하는 것이 가장 중요하다. 이 교육은 필요한 교육으로 업무에 도움이 된다는 공감대를 형성한다면 적극적이며 자발적으로 교육을 수료하게 될 것이기 때문이다. 따라서 효과적인 교육 콘텐츠를 위해서는 교육의 목적을 명확히 해 전달해야 할 메시지에 집중해야 한다. 필수 지식과 행동 요령으로 나눠서 지식은 사례를 제시해 쉽고 구체적으로 설명하고 행동 요령은 상황별 대처법에 대해 간결한 메시지로 전달해야 한다.
정책은 기관에서 임직원이 준수해야 할 사항을 기록한 문서다. 정해진 형식은 없지만, 크게 원칙을 정의하는 정책과 이를 실제로 구현하기 위한 지침이 2~3개 정도 따라오는 것으로 구성된다. 정책을 수립하고 운영하는 과정에서 바람직하지 못한 경우는 정책이 정책으로만 존재하는 경우다.
임직원들이 업무와 관련한 정책을 인식조차 못하고 이를 알더라도 현실과 동떨어져 구현이 어려운 상황도 있다. 정책은 만들어지고도 환경의 변화에 따라 업데이트가 필요해 살아있는 문서로 불린다. 지속적인 개정을 통해 현실과 정책의 차이를 줄이고 이러한 차이가 적은 정책이라면, 임직원들이 정책을 보다 잘 이해하고 자연스럽게 적용할 수 있다.
아울러 정책을 효과적으로 구현하려면 프로세스를 구축해야 한다. 프로세스가 잘 구축되면 임직원들이 의식하지 않아도 자연스럽게 프로세스에 녹아든 정보보안 정책을 준수할 수 있다. 대표적으로 SSDLC(Secure Software Development Life Cycle)을 적용한 기업의 사례를 들 수 있다. 과거에는 소프트웨어 개발의 보안 측면에서 소스코드 상의 취약성에 중점을 뒀다면, 최근엔 소프트웨어를 설계하고 구현하기까지 모든 과정을 포괄한다.
마이크로소프트는 SSDLC를 적용해 프로젝트를 수행했다면 적용하지 않은 것보다 취약점이 대폭 감소하고 유지보수 비용을 절감할 수 있다고 설명한다. 이는 개발 프로젝트 매니저가 보안성 검토가 필요하다는 것을 모르거나 주관적인 판단으로 보안성 검토를 요청할 수 있는데, 이러한 경우엔 보안성 검토 범위에서 빠질 수 있다. 하지만 SSDLC를 활용하면 개발 과정에서 자연스럽게 프로세스를 따라가기만 해도 구성원들이 따로 인식할 필요가 없을 만큼 자연스럽게 보안이 적용된다. 프로세스를 통해 보안 정책을 조직의 문화로 받아들일 수 있다는 것이다.
나날이 고도화되는 사이버 공격에 대한 대응으로 사람에 대한 보안 인식 개선만이 중요하다는 것이 아니다. 하지만 기업이 보유한 개인정보와 기밀 데이터를 노리는 다양한 공격에 대한 기업의 대응이 너무 기술적인 영역에만 초점을 두고 이외에는 안일한 경우가 많다는 것이 문제다. 아무리 뛰어난 방어 기술도 공격자는 틈을 찾으려 할 것이고, 그 틈은 ‘사람’이 될 가능성이 높기에 이에 대한 보안도 놓치지 말아야 한다.
그렇다면 기술과 사람만으로 정보보안을 구현했다고 할 수 있을까? 기술과 사람을 통제하고 이를 이어가기 위해 정보보안 관리체계라는 개념이 필요하다. 일반적으로 정보보호 관리체계는 사람에 대한 통제와 관리적 보안으로 여겨진다. 하지만 이 관리체계는 기술적인 통제를 구현하는 기준까지 제시한다. 기술적 통제가 먼저 구현되고 이후 관리체계를 수립하면서 기술적인 현황에 맞추는 일이 흔하지만, 본래 관리체계는 기술적인 통제가 중복되거나 빠지지 않도록 어디에 어떻게 적용해야 할 지도 보여준다.
따라서 기술적 보안의 효과를 극대화하기 위해서라도 사람에 대한 보안까지 기술과 사람을 모두 아우르는 정보보호 관리체계가 구현돼야 한다.
[글_ 이아람 기술사/한국정보공학기술사회]
필자소개_
- 정보보안과 법을 전공했고, 보안 컨설팅으로 보안 업계에 입문했으며, 인하우스 보안 담당자로서 게임, 유통, 이커머스를 거쳐 가상화폐 거래소까지 다양한 산업군에서의 보안을 경험했다. 보안기술과 관리가 적절한 균형으로 최고의 효과를 낼 수 있도록 보안을 디자인할 수 있는 역량을 갖추기 위해 다양한 기술과 글로벌 법규제, 거버넌스에 관심이 많다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>