2018.03.28

'해커는 죄다 천재?' 보안 모르는 CEO의 6가지 오해

Roger A. Grimes | CSO

좀더 효과적인 IT보안 전략을 원하나? 그렇다면, 사이버보안에 관해 만연해 있는 CEO와 고위 경영진의 오해를 먼저 풀어야 한다. 



CEO는 회사에서 모든 전략적인 계획을 수립하고 운영을 주도하는 사람이다. 한마디로 책임이 무거운 자리다. 그래서 사실은 많은 IT보안 예산을 실제로 하지도 않을 일에 낭비하고 있을 때도 명석하고 능력 있는 사람들이 위협에 적절하게 대응하고 있을 거라고 CEO가 착각해도 그럴 수 있다고 묵인해 준다.

왜 그럴까?

CEO는 사실이 아니더라도 IT보안 오해를 그냥 믿으라고 배웠기 때문이다. 잘못된 것을 믿으면 옳은 일을 제대로 할 수 없다. CEO가 컴퓨터 보안에 대해 갖는 일반적인 오해는 다음과 같다.

1. 공격자를 멈출 수 없다
대부분 컴퓨터 방어는 너무 약하고 무분별하기 때문에 해커와 악성코드는 원하는 대로 침투할 수 있으며, 이는 악의적인 침투자가 이미 수년 동안 환경 전체를 통제하고 침투하지 않았을 경우에만 그런 것이다. 컴퓨터 방어는 너무 형편없고 구멍이 많아서 CEO는 해커와 악성코드를 막는 것이 불가능하다는 이야기를 들었다. 그들이 할 수 있는 최선은 ‘해킹을 가정’하고 조기에 감지하며 공격자가 환경에 침투한 후에는 속도를 늦추려고 노력하는 것뿐이다.

공격을 받고 있는 장군이 부하와 병사들에게 “무슨 짓을 해도 그리고 절대로 승리할 수 없다”고 말하는 상황을 생각할 수 있나? 방어를 위해 더 많은 병사와 무기를 적재적소에 제공한다 해도? 필자도 그렇게 생각하지 않지만, 요즈음의 컴퓨터 보안 세계에서는 CEO가 그렇게 믿고 싶어 하는 것 같다.

민족 국가로부터 지원을 받는 해커 그룹을 쉽게 막을 수 없다는 점은 어느 정도 사실일 수 있다. 그러나 대부분 해커와 악성코드는 기업이 이미 하고 있지만, 규모와 장소가 부적절한 것들을 더욱 잘 함으로써 침투(초기 기저 원인 취약점 공격)를 막을 수 있다. 집중적인 IT보안 전략과 일련의 주요 방어책으로 해커 또는 악성코드가 환경에 침투하는 위험 대부분을 크게 낮출 수 있다.

2. 해커는 똑똑하다
해커와 악성코드는 절대로 막을 수 없다는 허무주의적으로 단정 짓는 이유는 해커가 모두 똑똑하며 멈출 수 없는 천재라고 생각하기 때문이다. 해커가 주어진 시스템의 암호를 손쉽게 추측하여 전 세계의 컴퓨터를 장악하는 모습을 자주 보여주는 할리우드 영화에서 이런 낭만주의적인 생각이 시작됐다. 영화 속 해커들은 몇 개의 키만 누르면 그 누구보다 똑똑하고 핵미사일을 발사하며 사람들의 디지털 신원을 삭제할 수 있다.

해킹을 당하거나 악성코드에 감염되는 대부분 사람들은 프로그래머나 IT 보안 종사자가 아니기 때문에 이런 오해를 믿고 있다. 그들에게는 이것이 DC 캐릭터 중 하나인 ‘렉스 루터(Lex Luthor)’ 정도의 능력이 필요한 일종의 마법 같은 이벤트다.
 


대부분 해커는 보통 수준의 지능을 가진 일반인이며 아인슈타인보다는 배관공과 전기 기술자에 더 가깝다. 해커는 단지 기존의 장인들이 물려 준 특정 툴을 이용해 특정 작업을 달성하는 방법을 알고 있을 뿐이며 배관이나 전기가 아니라 컴퓨터 해킹이라는 차이점만 있을 뿐이다. 똑똑한 해커가 없다는 이야기는 아니지만 다른 모든 직업과 마찬가지로 매우 드물다. 안타깝게도 모든 해커가 똑똑하다는 오해는 그들을 막을 수 없다는 오해를 불러일으킨다.

 


2018.03.28

'해커는 죄다 천재?' 보안 모르는 CEO의 6가지 오해

Roger A. Grimes | CSO

좀더 효과적인 IT보안 전략을 원하나? 그렇다면, 사이버보안에 관해 만연해 있는 CEO와 고위 경영진의 오해를 먼저 풀어야 한다. 



CEO는 회사에서 모든 전략적인 계획을 수립하고 운영을 주도하는 사람이다. 한마디로 책임이 무거운 자리다. 그래서 사실은 많은 IT보안 예산을 실제로 하지도 않을 일에 낭비하고 있을 때도 명석하고 능력 있는 사람들이 위협에 적절하게 대응하고 있을 거라고 CEO가 착각해도 그럴 수 있다고 묵인해 준다.

왜 그럴까?

CEO는 사실이 아니더라도 IT보안 오해를 그냥 믿으라고 배웠기 때문이다. 잘못된 것을 믿으면 옳은 일을 제대로 할 수 없다. CEO가 컴퓨터 보안에 대해 갖는 일반적인 오해는 다음과 같다.

1. 공격자를 멈출 수 없다
대부분 컴퓨터 방어는 너무 약하고 무분별하기 때문에 해커와 악성코드는 원하는 대로 침투할 수 있으며, 이는 악의적인 침투자가 이미 수년 동안 환경 전체를 통제하고 침투하지 않았을 경우에만 그런 것이다. 컴퓨터 방어는 너무 형편없고 구멍이 많아서 CEO는 해커와 악성코드를 막는 것이 불가능하다는 이야기를 들었다. 그들이 할 수 있는 최선은 ‘해킹을 가정’하고 조기에 감지하며 공격자가 환경에 침투한 후에는 속도를 늦추려고 노력하는 것뿐이다.

공격을 받고 있는 장군이 부하와 병사들에게 “무슨 짓을 해도 그리고 절대로 승리할 수 없다”고 말하는 상황을 생각할 수 있나? 방어를 위해 더 많은 병사와 무기를 적재적소에 제공한다 해도? 필자도 그렇게 생각하지 않지만, 요즈음의 컴퓨터 보안 세계에서는 CEO가 그렇게 믿고 싶어 하는 것 같다.

민족 국가로부터 지원을 받는 해커 그룹을 쉽게 막을 수 없다는 점은 어느 정도 사실일 수 있다. 그러나 대부분 해커와 악성코드는 기업이 이미 하고 있지만, 규모와 장소가 부적절한 것들을 더욱 잘 함으로써 침투(초기 기저 원인 취약점 공격)를 막을 수 있다. 집중적인 IT보안 전략과 일련의 주요 방어책으로 해커 또는 악성코드가 환경에 침투하는 위험 대부분을 크게 낮출 수 있다.

2. 해커는 똑똑하다
해커와 악성코드는 절대로 막을 수 없다는 허무주의적으로 단정 짓는 이유는 해커가 모두 똑똑하며 멈출 수 없는 천재라고 생각하기 때문이다. 해커가 주어진 시스템의 암호를 손쉽게 추측하여 전 세계의 컴퓨터를 장악하는 모습을 자주 보여주는 할리우드 영화에서 이런 낭만주의적인 생각이 시작됐다. 영화 속 해커들은 몇 개의 키만 누르면 그 누구보다 똑똑하고 핵미사일을 발사하며 사람들의 디지털 신원을 삭제할 수 있다.

해킹을 당하거나 악성코드에 감염되는 대부분 사람들은 프로그래머나 IT 보안 종사자가 아니기 때문에 이런 오해를 믿고 있다. 그들에게는 이것이 DC 캐릭터 중 하나인 ‘렉스 루터(Lex Luthor)’ 정도의 능력이 필요한 일종의 마법 같은 이벤트다.
 


대부분 해커는 보통 수준의 지능을 가진 일반인이며 아인슈타인보다는 배관공과 전기 기술자에 더 가깝다. 해커는 단지 기존의 장인들이 물려 준 특정 툴을 이용해 특정 작업을 달성하는 방법을 알고 있을 뿐이며 배관이나 전기가 아니라 컴퓨터 해킹이라는 차이점만 있을 뿐이다. 똑똑한 해커가 없다는 이야기는 아니지만 다른 모든 직업과 마찬가지로 매우 드물다. 안타깝게도 모든 해커가 똑똑하다는 오해는 그들을 막을 수 없다는 오해를 불러일으킨다.

 


X