2019.11.28

칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

Roger A. Grimes | CSO
전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다.

사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까? 

모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.
 
ⓒGetty images


1. '발생할지도 모르는' 위험과 싸우기
모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다. 

항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다. 

나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위해 모든 액체류를 버리고 전신 스캔을 해야 한다고 했다면 대중이 취했을 격렬한 항의를 상상해보라. 분명 대중을 분노하게 했을 것이고 항공사는 그러한 보안 조치를 없애고자 적극적으로 시도했을 것이다.

9.11 테러 이후 사람들은 자발적으로 신발을 벗고, 액체류를 버리고, 전신 스캔에 응한다. 발생할 수 있는 위험에 대비해 돈을 쓰는 것은 피해가 발생한 후 돈을 쓰는 것보다 훨씬 어렵다. 위기관리자가 발생한 적 없는 문제에 대해 경고할 때마다 용기가 필요하다. 그들은 이름 없는 영웅이다.

2. 보안 관리자가 권력에서 소외된다는 위험
선제적인 위험관리는 다음의 숨겨진 위험 요소로 이어진다. 바로 정치적 위험이다. 능동적인 보안관리자가 일어나지 않을 일을 주장할 때마다 정치적 발언권을 잃는다. 보안 관리자가 인정받는 경우는 선제적으로 대비한 일이 실제로 일어났을 때다. 그러나 만약 보안 관리자가 회사를 설득하여 제어와 완화 조치를 성공적으로 수행한다면 나쁜 일은 일어나지 않는다. 

그러 면에서 선제적인 대응은 자기 파괴적 예언이다. 보안 관리자가 맞았다고 해도 제어를 성공적으로 입증했기 때문에 정작 아무도 모른다. 그래서 매번 그들이 일어나지 않은 일을 걱정할 때마다 양치기 소년으로 보일 수 있다. 정치적인 힘을 잃는 것이다. 

위험관리 논쟁에서 싸워본 적이 있는 사람이라면, 너무 많은 위험관리 책임을 맡길 원치 않는다고 말할 것이다. 이는 명성을 깎아 먹기만 할 뿐이다. 능동적인 보안 관리자는 싸울만한 전투를 계산하기 시작한다. 시간이 지날수록 노련한 관리자는 싸움을 하지 않는다. 아니 그래야만 한다. 그것은 적자생존이다. 대다수의 보안 관리자는 조직의 피해를 막고자 싸우지 않고 정말 나쁜 일이 일어날 때까지 기다린다. 그리고 결국 사고의 희생양이 되는 것을 감수한다. 

3. 백업과 패치를 완료했다고 하지만, 실제로는 그렇지 않은 위험
우리가 완료됐다고 말하는 많은 통제와 완화는 사실 이뤄지지 않았다. 적어도 100%는 아니다. 그 과정을 겪어본 사람이라면 그것들이 실제로 행해지지 않았다는 것을 안다.

가장 흔한 사례가 바로 패치 설치와 백업이다. 내가 아는 대부분 기업은 99~100%의 수준으로 패치 설치를 완료했다고 말하곤 한다. 30년 동안 수백만의 기기에서 패치 규정 준수 여부를 확인해온 그간의 커리어에서, 나는 완벽하게 패치 설치를 완료한 기기를 본 적이 없었다. 그러나 내가 감사한 모든 회사가 자신들이 패치 설치를 완료했거나 거의 다 했다고 말하곤 했다. 

백업 또한 그러하다. 현재의 만연한 랜섬웨어 사고는 대부분 조직이 확실한 백업을 하고 있지 않다는 사실을 만천하에 드러냈다. 중요한 백업과 복구 테스트 작업을 수년간 점검했다고 해도 그것이 진짜 됐는지는 큰 랜섬웨어 공격을 한번 당해봐야 알 수 있는 게 진실이다. 

모든 위험관리 분야 종사자는 이를 알고 있다. 하지만 충분한 시간과 자원이 없는 상태에서 어떻게 백업 담당자가 모든 것을 테스트할 수 있을까? 백업과 복구가 잘 작동되는지 확인하려면 그것이 복구해야 하는 분리된 환경에서 서로 다른 많은 시스템을 한 번에 테스트해야 한다. 이는 엄청난 인력, 시간, 기타 리소스가 필요로 하지만, 대부분 조직이 보안 관리자에게 충분한 자원을 주지 않는다.

4. 일상화된 위험: "항상 그런 방식으로 해왔다."
"그것이 우리가 항상 해오던 방식입니다"라는 말에 반대 의견을 주장하기는 어렵다. 특히, 취약점에 대한 공격이 수십 년 동안 발생하지 않았던 경우에는 더 힘들다.

예를 들면, 나는 6자리 비밀번호를 허용하고, 자주 변경하지도 않는 조직을 만날 때가 종종 있다. 심지어 PC 네트워크 암호가 '빅 아이언(big iron)', 즉 기업용 서버에 연결하는 암호와 같아야 하므로 그런 경우도 있었다. 6자리 비밀번호에, 이를 변경하지 않는 것이 좋지 않다는 건 누구나 알지만 이러한 행태가 문제를 일으키는 경우는 사실 드물다.

길고 복잡한 비밀번호를 지원해야 하며, 이를 위해 아마도 수백만 달러를 써서 모든 것을 업그레이드할 필요가 있다는 주장하는 사람들에게 행운을 빈다. 항상 그런 방식으로 해왔으며 이제껏 문제없었다는, 조직에 오래 있었던 사람들의 경험치가 당신에게 저항할 것이다. 

5. 운영 중단의 위험
당신이 실행하는 모든 제어와 완화는 운영 문제를 야기할 수 있다. 심지어 운영을 중단시킬 수 있다. 이론적인 위험을 예방하지 못하는 것보다 실수로 운영을 중단시킬 경우 해고당할 가능성이 훨씬 높다. 당신이 추진하는 모든 제어와 완화에 대해 운영 중단이 발생할 수도 있다는 것을 우려해야 한다.

극단적인 제어 방안을 추진할수록 위험 문제를 완화할 가능성이 높다. 그러나 운영 중단 가능성 또한 더욱 커진다. 만약 운영 문제를 일으키지 않고 위험을 완화하기가 쉬웠다면 모두가 그렇게 할 것이다.




2019.11.28

칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

Roger A. Grimes | CSO
전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다.

사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까? 

모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.
 
ⓒGetty images


1. '발생할지도 모르는' 위험과 싸우기
모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다. 

항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다. 

나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위해 모든 액체류를 버리고 전신 스캔을 해야 한다고 했다면 대중이 취했을 격렬한 항의를 상상해보라. 분명 대중을 분노하게 했을 것이고 항공사는 그러한 보안 조치를 없애고자 적극적으로 시도했을 것이다.

9.11 테러 이후 사람들은 자발적으로 신발을 벗고, 액체류를 버리고, 전신 스캔에 응한다. 발생할 수 있는 위험에 대비해 돈을 쓰는 것은 피해가 발생한 후 돈을 쓰는 것보다 훨씬 어렵다. 위기관리자가 발생한 적 없는 문제에 대해 경고할 때마다 용기가 필요하다. 그들은 이름 없는 영웅이다.

2. 보안 관리자가 권력에서 소외된다는 위험
선제적인 위험관리는 다음의 숨겨진 위험 요소로 이어진다. 바로 정치적 위험이다. 능동적인 보안관리자가 일어나지 않을 일을 주장할 때마다 정치적 발언권을 잃는다. 보안 관리자가 인정받는 경우는 선제적으로 대비한 일이 실제로 일어났을 때다. 그러나 만약 보안 관리자가 회사를 설득하여 제어와 완화 조치를 성공적으로 수행한다면 나쁜 일은 일어나지 않는다. 

그러 면에서 선제적인 대응은 자기 파괴적 예언이다. 보안 관리자가 맞았다고 해도 제어를 성공적으로 입증했기 때문에 정작 아무도 모른다. 그래서 매번 그들이 일어나지 않은 일을 걱정할 때마다 양치기 소년으로 보일 수 있다. 정치적인 힘을 잃는 것이다. 

위험관리 논쟁에서 싸워본 적이 있는 사람이라면, 너무 많은 위험관리 책임을 맡길 원치 않는다고 말할 것이다. 이는 명성을 깎아 먹기만 할 뿐이다. 능동적인 보안 관리자는 싸울만한 전투를 계산하기 시작한다. 시간이 지날수록 노련한 관리자는 싸움을 하지 않는다. 아니 그래야만 한다. 그것은 적자생존이다. 대다수의 보안 관리자는 조직의 피해를 막고자 싸우지 않고 정말 나쁜 일이 일어날 때까지 기다린다. 그리고 결국 사고의 희생양이 되는 것을 감수한다. 

3. 백업과 패치를 완료했다고 하지만, 실제로는 그렇지 않은 위험
우리가 완료됐다고 말하는 많은 통제와 완화는 사실 이뤄지지 않았다. 적어도 100%는 아니다. 그 과정을 겪어본 사람이라면 그것들이 실제로 행해지지 않았다는 것을 안다.

가장 흔한 사례가 바로 패치 설치와 백업이다. 내가 아는 대부분 기업은 99~100%의 수준으로 패치 설치를 완료했다고 말하곤 한다. 30년 동안 수백만의 기기에서 패치 규정 준수 여부를 확인해온 그간의 커리어에서, 나는 완벽하게 패치 설치를 완료한 기기를 본 적이 없었다. 그러나 내가 감사한 모든 회사가 자신들이 패치 설치를 완료했거나 거의 다 했다고 말하곤 했다. 

백업 또한 그러하다. 현재의 만연한 랜섬웨어 사고는 대부분 조직이 확실한 백업을 하고 있지 않다는 사실을 만천하에 드러냈다. 중요한 백업과 복구 테스트 작업을 수년간 점검했다고 해도 그것이 진짜 됐는지는 큰 랜섬웨어 공격을 한번 당해봐야 알 수 있는 게 진실이다. 

모든 위험관리 분야 종사자는 이를 알고 있다. 하지만 충분한 시간과 자원이 없는 상태에서 어떻게 백업 담당자가 모든 것을 테스트할 수 있을까? 백업과 복구가 잘 작동되는지 확인하려면 그것이 복구해야 하는 분리된 환경에서 서로 다른 많은 시스템을 한 번에 테스트해야 한다. 이는 엄청난 인력, 시간, 기타 리소스가 필요로 하지만, 대부분 조직이 보안 관리자에게 충분한 자원을 주지 않는다.

4. 일상화된 위험: "항상 그런 방식으로 해왔다."
"그것이 우리가 항상 해오던 방식입니다"라는 말에 반대 의견을 주장하기는 어렵다. 특히, 취약점에 대한 공격이 수십 년 동안 발생하지 않았던 경우에는 더 힘들다.

예를 들면, 나는 6자리 비밀번호를 허용하고, 자주 변경하지도 않는 조직을 만날 때가 종종 있다. 심지어 PC 네트워크 암호가 '빅 아이언(big iron)', 즉 기업용 서버에 연결하는 암호와 같아야 하므로 그런 경우도 있었다. 6자리 비밀번호에, 이를 변경하지 않는 것이 좋지 않다는 건 누구나 알지만 이러한 행태가 문제를 일으키는 경우는 사실 드물다.

길고 복잡한 비밀번호를 지원해야 하며, 이를 위해 아마도 수백만 달러를 써서 모든 것을 업그레이드할 필요가 있다는 주장하는 사람들에게 행운을 빈다. 항상 그런 방식으로 해왔으며 이제껏 문제없었다는, 조직에 오래 있었던 사람들의 경험치가 당신에게 저항할 것이다. 

5. 운영 중단의 위험
당신이 실행하는 모든 제어와 완화는 운영 문제를 야기할 수 있다. 심지어 운영을 중단시킬 수 있다. 이론적인 위험을 예방하지 못하는 것보다 실수로 운영을 중단시킬 경우 해고당할 가능성이 훨씬 높다. 당신이 추진하는 모든 제어와 완화에 대해 운영 중단이 발생할 수도 있다는 것을 우려해야 한다.

극단적인 제어 방안을 추진할수록 위험 문제를 완화할 가능성이 높다. 그러나 운영 중단 가능성 또한 더욱 커진다. 만약 운영 문제를 일으키지 않고 위험을 완화하기가 쉬웠다면 모두가 그렇게 할 것이다.


X