2012.02.17

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

Ellen Messmer | Network World
IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다.

-> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②


미신 No. 1 “보안은 강화하면 할수록 좋다?”
컴퓨터 보안 전문가 브루스 슈나이어는 그의 가장 최신작 “라이어 앤 아웃라이어(Liars and Outliers)”를 포함해 여러 권의 책을 쓴 저술가다. 그는 “보안에 관해서는 아무리 주의를 기울여도 모자라다”라는 통념이 사실은 정답에서 한참 빗나간 생각이라고 지적했다. 그의 말이다.

“보안을 강화하는 것이 반드시 더 나은 방법이라고 할 수는 없다. 보안을 유지하는 데는 언제나 대가가 따르기 때문에, 그럴 만한 가치가 없는 일에 지나치게 많은 돈을 들여 보안을 할 필요는 없다. 예를 들면, 도넛 하나를 지키기 위해 10만 달러라는 돈을 쓸 필요는 없을 것이다. 물론, 그 돈을 쓰면 도넛을 안전하게 지킬 순 있겠지만, 차라리 그 돈으로 도넛을 여러 개 사는 편이 나을 것이다.”

그는 또, “부가적인 보안에 따른 수익은 점점 줄어들 수 밖에 없다. 예를 들어, 상점 절도와 같은 특정 범죄 발생률을 25% 가량 줄이기 위해 드는 비용은 언제나 일정하지 않고 시간이 갈수록 늘어나게 된다. 그 다음 번에 똑같이 범죄 발생률을 25% 낮추려면 더 많은 돈을 써야 한다. 보안도 이와 마찬가지로, 결국 언젠가는 부가적인 보안 조치가 효과가 없어지는 시점이 오게 된다. 따라서, 완벽한 보안이란 필연적으로 불가능한 일이다”라고 덧붙였다.

경우에 따라서 보안은 도덕적인 선택으로까지 그 의미가 확대될 수 있으며, 전체주의 국가에서 그러하듯이 보안에 따르는 것이 비도덕적인 결정이 될 수도 있는 것이다. 그는 “보안을 위해서는 정해진 규칙에 따르는 것이 필수적인데, 그것이 항상 옳은 일이라고만은 할 수 없다”라고 말했다.

미신 No 2 “디도스 문제는 대역폭(bandwidth)때문에 발생한다.”
보안솔루션 전문 업체 라드웨어(Radware)의 부사장 칼 허버그는 충분한 대역폭만 주어진다면 디도스 공격을 막아낼 수 있다고 믿는 수많은 IT 매니저들의 생각에 대해 지적하며, “사람들이 실제로 증거도 없는 낭설들을 쉽게 믿는 것 같다”고 말했다.

작년부터 밝혀진 바에 따르면 실제로 발생한 디도스 공격의 절반 이상이 대역폭이 아니라 애플리케이션 때문에 발생한 것으로, 공격자들이 애플리케이션 스택(application stack)을 공격해 정상적인 서비스를 할 수 없도록 방해한다는 것이다. 이러한 상황에서 더 넓은 대역폭은 사실상 공격자를 더 도와주는 것 밖에 되지 않는다. 사실 오늘날 행해지는 디도스 공격의 약 1/4만이 대역폭을 늘림으로써 해결되는 것들이라고 허버그는 주장했다.

미신 No. 3 “주기적으로(약 90일 마다 한 번씩) 비밀번호를 변경하면 더 안전하다.”
EMC의 보안 부서 RSA의 수석 과학자 아리 쥬엘는 비밀번호를 주기적으로 변경해 주는 것이 좋다는 통념에 대해 “이건 우리에게 하루에 여덟 잔의 물을 마시라는 의사들의 충고와 비슷하다고 생각한다”고 말했다. 그러나 누가 이러한 이야기를 했는지, 믿을 만한 이야기인지 아는 이는 아무도 없다.

쥬엘은 “사실, 최근 나온 한 연구는 주기적인 비밀번호 변경이 전혀 도움이 되지 않을 수도 있다고 밝혔다”고 말했다. RSA 연구소에서 진행한 연구결과 역시, 만일 비밀번호를 변경하려면 주기적으로 하지 말고 비정기적으로 하는 것이 낫다는 결과를 내놓았다.

미신 No 4 “일반 직원들의 신종 바이러스 제보에 귀를 기울여야 한다.”
“계속해서 새로운 종류의 바이러스에 감염됐다거나, 인터넷 상에 새로운 종류의 위험이 발생했다는 이 메일을 받게 되면, 직원들은 IT 부서에 연락할 것이다. 그러나 조사를 해 보면, 실제로 대부분의 경우 그것들은 새로 발생한 바이러스이기 보다는 이미 수 년 전부터 알려져 왔던 기존의 맬일 뿐임이 밝혀진다”고 피닉스 선스(Phoenix Suns) 농구 팀의 정보 기술 담당자 빌 볼트는 말했다.

미신 No 5 “클라이언트 측 가상화(client-side virtualization)로 BYOD 방침에 따라 야기되는 보안 문제를 해결할 수 있다.”
가트너의 보안 애널리스트 존 페스카토는 “업무용 가상 머신(virtual machine)과 개인용 가상 머신을 따로 두면 ‘개인 IT기기 업무에 이용하기’ 방침에 따른 보안 문제들을 해결할 수 있다고 믿는 사람들이 많다. 그렇게 하면 개인 차원의 위험들이 모두 통제 돼 업무용 가상 머신에서 데이터가 새어나가지 않을 것이라 믿는 것이다” 라고 말했다.

그러나 그는 이에 대해 회의적인 입장이다. 그는 다음과 같이 말했다.

“벌써 수 년 전부터 정보 기관들은 이 방법을 시도해 왔다. 당시 미 국가안보국(NSA)은 VM웨어에게 정보 분석가들이 사용할 넷탑(NetTop)이라는 제품을 생산해 달라고 의뢰했다. VM웨어는 기밀(secret), 일급 기밀(top secret), 그리고 미분류(Unclassified) 정보를 위한 가상 머신을 각각 따로 제작했고, 곧 문제에 직면했다. 애널리스트들이 일급 기밀 정보나 일반 기밀 정보 등 하나의 분야에서만 활동하는 것이 아니라 전 분야에 걸쳐 활약하게 됐기 때문이다."

"오늘날 ‘업무용’가상 머신과 ‘개인용’가상 머신을 나누자는 주장 역시 이 경우와 같다. 클라이언트 측 가상화는 우선 내가 사생활에서 필요한 개인적인 이메일을 업무 환경에까지 가져오게 될 것이며(혹은 그 반대의 경우라던가) 따라서 결국에는 자신에게 따로 이 메일을 보내거나 USB를 사용해 개인용 가상 머신으로 이메일을 다시 보내야 하므로 둘 사이의 구분이 무의미해 진다. 가상화는 돈 낭비일 뿐이다. 아직도 극소수의 정보 기관에서는 넷탑을 사용하고는 있지만, 그 외의 기관들에서는 철저히 외면되고 있음을 알아야 한다.”

미신 No 6 “사용자들에게 무작위로 정해진 비밀번호를 사용하도록 하는 한편, 30일마다 비밀번호를 바꾸도록 권장해야 한다.”
시만텍 보안 연구 센터의 디렉터 케빈 헤일리는 “완전히 무작위로 선정된 비밀번호는 안전할 수는 있지만 기억하거나 타이핑 하기 어렵다는 단점이 있다. 실제로, 몇 가지 간단한 방법을 사용해 무작위로 선정된 비밀번호만큼이나 안전하면서도 훨씬 기억하기 쉬운 비밀번호를 만들어 낼 수 있다. 비밀번호를 최소 14글자 정도로 설정하고, 대문자와 소문자를 모두 사용하고, 숫자와 특수문자를 각각 두 개씩 넣으면 꽤 강력하면서도 기억하기 쉬운 비밀번호를 만들 수 있다” 고 말했다.

그는 또, 비밀번호가 노출될 위험이 높은 환경에서라면 30일 주기로 비밀번호를 바꾸는 것이 유용할 수도 있지만, 대부분의 경우 그렇게 짧은 주기는 사용자로 하여금 예측 가능한 패턴의 비밀번호를 생성하게 하거나 비밀번호의 안전성을 떨어뜨리는 계기가 될 뿐이라고 덧붙였다. 90일에서 120일 정도의 주기가 좀 더 “현실적”이라고 그는 말했다. ciokr@idg.co.kr

2012.02.17

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

Ellen Messmer | Network World
IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다.

-> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②


미신 No. 1 “보안은 강화하면 할수록 좋다?”
컴퓨터 보안 전문가 브루스 슈나이어는 그의 가장 최신작 “라이어 앤 아웃라이어(Liars and Outliers)”를 포함해 여러 권의 책을 쓴 저술가다. 그는 “보안에 관해서는 아무리 주의를 기울여도 모자라다”라는 통념이 사실은 정답에서 한참 빗나간 생각이라고 지적했다. 그의 말이다.

“보안을 강화하는 것이 반드시 더 나은 방법이라고 할 수는 없다. 보안을 유지하는 데는 언제나 대가가 따르기 때문에, 그럴 만한 가치가 없는 일에 지나치게 많은 돈을 들여 보안을 할 필요는 없다. 예를 들면, 도넛 하나를 지키기 위해 10만 달러라는 돈을 쓸 필요는 없을 것이다. 물론, 그 돈을 쓰면 도넛을 안전하게 지킬 순 있겠지만, 차라리 그 돈으로 도넛을 여러 개 사는 편이 나을 것이다.”

그는 또, “부가적인 보안에 따른 수익은 점점 줄어들 수 밖에 없다. 예를 들어, 상점 절도와 같은 특정 범죄 발생률을 25% 가량 줄이기 위해 드는 비용은 언제나 일정하지 않고 시간이 갈수록 늘어나게 된다. 그 다음 번에 똑같이 범죄 발생률을 25% 낮추려면 더 많은 돈을 써야 한다. 보안도 이와 마찬가지로, 결국 언젠가는 부가적인 보안 조치가 효과가 없어지는 시점이 오게 된다. 따라서, 완벽한 보안이란 필연적으로 불가능한 일이다”라고 덧붙였다.

경우에 따라서 보안은 도덕적인 선택으로까지 그 의미가 확대될 수 있으며, 전체주의 국가에서 그러하듯이 보안에 따르는 것이 비도덕적인 결정이 될 수도 있는 것이다. 그는 “보안을 위해서는 정해진 규칙에 따르는 것이 필수적인데, 그것이 항상 옳은 일이라고만은 할 수 없다”라고 말했다.

미신 No 2 “디도스 문제는 대역폭(bandwidth)때문에 발생한다.”
보안솔루션 전문 업체 라드웨어(Radware)의 부사장 칼 허버그는 충분한 대역폭만 주어진다면 디도스 공격을 막아낼 수 있다고 믿는 수많은 IT 매니저들의 생각에 대해 지적하며, “사람들이 실제로 증거도 없는 낭설들을 쉽게 믿는 것 같다”고 말했다.

작년부터 밝혀진 바에 따르면 실제로 발생한 디도스 공격의 절반 이상이 대역폭이 아니라 애플리케이션 때문에 발생한 것으로, 공격자들이 애플리케이션 스택(application stack)을 공격해 정상적인 서비스를 할 수 없도록 방해한다는 것이다. 이러한 상황에서 더 넓은 대역폭은 사실상 공격자를 더 도와주는 것 밖에 되지 않는다. 사실 오늘날 행해지는 디도스 공격의 약 1/4만이 대역폭을 늘림으로써 해결되는 것들이라고 허버그는 주장했다.

미신 No. 3 “주기적으로(약 90일 마다 한 번씩) 비밀번호를 변경하면 더 안전하다.”
EMC의 보안 부서 RSA의 수석 과학자 아리 쥬엘는 비밀번호를 주기적으로 변경해 주는 것이 좋다는 통념에 대해 “이건 우리에게 하루에 여덟 잔의 물을 마시라는 의사들의 충고와 비슷하다고 생각한다”고 말했다. 그러나 누가 이러한 이야기를 했는지, 믿을 만한 이야기인지 아는 이는 아무도 없다.

쥬엘은 “사실, 최근 나온 한 연구는 주기적인 비밀번호 변경이 전혀 도움이 되지 않을 수도 있다고 밝혔다”고 말했다. RSA 연구소에서 진행한 연구결과 역시, 만일 비밀번호를 변경하려면 주기적으로 하지 말고 비정기적으로 하는 것이 낫다는 결과를 내놓았다.

미신 No 4 “일반 직원들의 신종 바이러스 제보에 귀를 기울여야 한다.”
“계속해서 새로운 종류의 바이러스에 감염됐다거나, 인터넷 상에 새로운 종류의 위험이 발생했다는 이 메일을 받게 되면, 직원들은 IT 부서에 연락할 것이다. 그러나 조사를 해 보면, 실제로 대부분의 경우 그것들은 새로 발생한 바이러스이기 보다는 이미 수 년 전부터 알려져 왔던 기존의 맬일 뿐임이 밝혀진다”고 피닉스 선스(Phoenix Suns) 농구 팀의 정보 기술 담당자 빌 볼트는 말했다.

미신 No 5 “클라이언트 측 가상화(client-side virtualization)로 BYOD 방침에 따라 야기되는 보안 문제를 해결할 수 있다.”
가트너의 보안 애널리스트 존 페스카토는 “업무용 가상 머신(virtual machine)과 개인용 가상 머신을 따로 두면 ‘개인 IT기기 업무에 이용하기’ 방침에 따른 보안 문제들을 해결할 수 있다고 믿는 사람들이 많다. 그렇게 하면 개인 차원의 위험들이 모두 통제 돼 업무용 가상 머신에서 데이터가 새어나가지 않을 것이라 믿는 것이다” 라고 말했다.

그러나 그는 이에 대해 회의적인 입장이다. 그는 다음과 같이 말했다.

“벌써 수 년 전부터 정보 기관들은 이 방법을 시도해 왔다. 당시 미 국가안보국(NSA)은 VM웨어에게 정보 분석가들이 사용할 넷탑(NetTop)이라는 제품을 생산해 달라고 의뢰했다. VM웨어는 기밀(secret), 일급 기밀(top secret), 그리고 미분류(Unclassified) 정보를 위한 가상 머신을 각각 따로 제작했고, 곧 문제에 직면했다. 애널리스트들이 일급 기밀 정보나 일반 기밀 정보 등 하나의 분야에서만 활동하는 것이 아니라 전 분야에 걸쳐 활약하게 됐기 때문이다."

"오늘날 ‘업무용’가상 머신과 ‘개인용’가상 머신을 나누자는 주장 역시 이 경우와 같다. 클라이언트 측 가상화는 우선 내가 사생활에서 필요한 개인적인 이메일을 업무 환경에까지 가져오게 될 것이며(혹은 그 반대의 경우라던가) 따라서 결국에는 자신에게 따로 이 메일을 보내거나 USB를 사용해 개인용 가상 머신으로 이메일을 다시 보내야 하므로 둘 사이의 구분이 무의미해 진다. 가상화는 돈 낭비일 뿐이다. 아직도 극소수의 정보 기관에서는 넷탑을 사용하고는 있지만, 그 외의 기관들에서는 철저히 외면되고 있음을 알아야 한다.”

미신 No 6 “사용자들에게 무작위로 정해진 비밀번호를 사용하도록 하는 한편, 30일마다 비밀번호를 바꾸도록 권장해야 한다.”
시만텍 보안 연구 센터의 디렉터 케빈 헤일리는 “완전히 무작위로 선정된 비밀번호는 안전할 수는 있지만 기억하거나 타이핑 하기 어렵다는 단점이 있다. 실제로, 몇 가지 간단한 방법을 사용해 무작위로 선정된 비밀번호만큼이나 안전하면서도 훨씬 기억하기 쉬운 비밀번호를 만들어 낼 수 있다. 비밀번호를 최소 14글자 정도로 설정하고, 대문자와 소문자를 모두 사용하고, 숫자와 특수문자를 각각 두 개씩 넣으면 꽤 강력하면서도 기억하기 쉬운 비밀번호를 만들 수 있다” 고 말했다.

그는 또, 비밀번호가 노출될 위험이 높은 환경에서라면 30일 주기로 비밀번호를 바꾸는 것이 유용할 수도 있지만, 대부분의 경우 그렇게 짧은 주기는 사용자로 하여금 예측 가능한 패턴의 비밀번호를 생성하게 하거나 비밀번호의 안전성을 떨어뜨리는 계기가 될 뿐이라고 덧붙였다. 90일에서 120일 정도의 주기가 좀 더 “현실적”이라고 그는 말했다. ciokr@idg.co.kr

X