2020.05.27

보안 담당자가 수용해야 할 냉혹한 현실 6가지

Neal Weinberg | CSO
보안 분야에 종사하는 이의 삶은 쉽지 않다. 자신보다 한 걸음 앞서 있는 것처럼 보이는 참을성 많고, 영리하고, 의지가 굳건한 적과 전선에서 싸워야 한다.

물론 이에 걸맞은 큰 보상도 주어진다. 보안 분야는 동지애가 투철한 공동체이고, 보안 분야 종사자들은 회사에 중요한 일을 한다는 자부심을 갖고 있다. IT 산업에서 연봉이 가장 높은 직종 중 하나이기도 하다. 보안 분야 종사자들이 받아들이고, 극복하는 방법을 배워야 할 6가지 어려운 현실을 소개한다.
 
Image Credit : Getty Images Bank

이미 회사 네트워크 내부에 해커들이 침입해 있을 수 있다
“세상에는 두 종류의 회사가 있다. 이미 해킹을 당한 회사, 해킹을 당했지만 이에 대해 모르는 회사가 있다”는 이야기를 들어본 적이 있을 것이다. 여기에 일말의 진실이 들어있다. 포네몬 인스터튜트가 IBM의 의뢰를 받아 실시한 조사에 따르면, 기업들이 보안 침해 사실을 감지하는데 평균 200일이라는 시간이 걸린다. 공격자가 네트워크에 침입한 날로부터 6개월 이상이 소요된다는 이야기이다.

노미넷(Nominet)이라는 회사의 조사 결과에 따르면, 네트워크에 은닉한 맬웨어를 발견했는데 은닉 기간을 모른다고 대답한 CISO의 비율이 약 70%이다. 일부 경우에는 1년 동안 은닉해 있었을 수도 있다.  

참고로, 이 조사를 실시한 노미넷은 영국의 도메인 이름 등록 업체이며, 사이버보안 서비스도 제공하고 있다.

이는 기술 기업이라고 다르지 않다. 예를 들어, 시트릭스(Citrix)는 캘리포니아 주 검찰에 보낸 서한에서 해커들이 네트워크에 침입해 2018년 10월부터 2019년 3월까지 은닉해 있었으며, 이름과 사회보장 번호, 금융정보가 포함된 파일들을 제거했다고 보고했었다.

해커는 방어선을 뚫고 침입해 들어온 후, 시간을 들여 관리자 자격과 권한을 획득한다. 그러면 기업 서버에 저장된 값진 데이터에 액세스해 감지를 피하면서 데이터를 은밀히 빼낼 수 있다. 해커들이 기업의 보안 통신을 감청하는 경우도 있다. 이 경우, 기업이 사용하는 대책을 파악해 무력화할 수 있다.

할 수 있는 일 : 하니팟(honeypots)을 구축하는 한편 여타 고급 기법들을 활용하는 위협 감지 및 차단 도구들을 검토한다. 

모든 것을 제대로 해도 최종 사용자가 모든 것을 망칠 수 있다
씁쓸한 현실이다. 최종 사용자를 대상으로 정기적으로 광범위한 트레이닝을 실시한다. 가짜 피싱 이메일을 보내고, 실수를 통해 배우기 바라면서 악성 링크를 클릭한 사용자에게 이에 대해 알려준다.

이렇게 해도 누군가 피싱이나 스피어 피싱 공격의 ‘미끼’에 걸리는 바람에 전체 조직에 위험이 초래될 수 있다.

현실 통계가 이를 입증한다. ‘버라이즌의 데이터 침해 조사 보고서’에 따르면, 데이터 침해 사고 중 32%까 피싱 공격과 관련이 있다. 사이버 스파이 사고와 백도어 설치 및 사용 사고의 근본 원인을 조사했는데, 피싱과 관련된 사례의 비율이 78%였다.

25개 이메일 중 1개가 피싱 이메일이고, 거의 모든 회사가 피싱 공격을 경험한다(푸루프포인트의 피싱 현황 보고서에 따르면, 글로벌 정보 보안 분야 종사자인 응답자의 83%가 이렇게 대답했다).

최종 사용자는 다른 방법으로도 보안 위험을 초래할 수 있다. 사용 장치를 잃어버리거나, 도난당하는 경우를 비롯해 소셜 엔지니어링 스캠의 피해자가 되어 승인되지 않은 사용자와 크리덴셜 정보나 암호를 공유하는 경우를 예로 들 수 있다.

할 수 있는 일: 최신 피싱 공격 기법에 대응하는 서드파티 안티 피싱 서비스들이 다.

핵심 인력과 역량이 부족하다
ISC2(International Systems Security Certification Consortium)에 따르면, 사이버보안 분야 종사자들이 가장 걱정하는 부분은 전문성과 경험을 갖춘 인력 부족 문제이다. 구체적으로 36%가 이렇게 대답했다. 

ISC2의 가장 최근 보고서는 더 큰 경종을 울린다. 전세계적으로 부족한 보안 인력의 수가 400만에 달한다. 아시아 태평양 지역이 260만으로 가장 심각하다. 북미 지역의 상황도 좋지는 않다. 부족한 보안 인력의 수가 55만 명에 달하는 것으로 추정되고 있다.

ISC2 조사의 경우, 2/3에 달하는 조직이 사이버보안 인력이 부족하다고 대답했다. 또 51%는 보안 인재가 부족한 문제가 조직에 어느 정도의 위험(Moderate risk)이나 큰 위험(Extreme risk)을 초래하고 있다고 지적했다.

ISSA(Information Systems Security Association)와 분석 회사인 ESG(Enterprise Strategy Group)의 조사 결과도 이를 뒷받침한다. 인재 부족이 조직에 영향을 줬다고 대답한 비율은 70%였으며, 지난해보다 10% 증가한 62%가 보안 담당 직원들에게 적절한 수준의 트레이닝을 제공하지 못하고 있다고 대답했다.

할 수 있는 일 : 전문가들은 특정 자격증이나 경력에 대한 엄격한 요건을 때론 완화하는 것이 좋다고 충고했다. 또한 다른 부서나 조직의 직원들을 채용해 훈련시키는 방법도 있다. 이 밖에 교차 트레이닝이 중요하다.  보안이 모든 사람이 챙길 일이 되면, 보안을 전담해 담당하는 직원들의 부담 가운데 일부를 덜 수 있다.

IoT가 예측 못한 새로운 보안 문제를 초래한다
3D 프린팅, 증강 현실 및 가상 현실, 협업 로봇, 드론, 원격 센서, 인더스트리 4.0, 자율주행 차량, 스마트 홈, 보안 카메라 등 IoT가 가져올 이점과 혜택이 명백하다. IDC가 새로 발표한 시장 전망 보고서에 따르면, 2025년에는 416억 개의 연결된 IoT 장치(사물)가 79.4 제타바이트(ZB)의 데이터를 생성할 것으로 예상되고 있다.

그러나 보안에 있어 ‘악몽’을 만드는 문제는 장치의 수가 아니다. 이 안전하지 않은 장치들이 보안에 영향을 주는 방식이다. 직원들이 스마트워치에서 업무 이메일을 확인하고 있는가? 업무용 노트북 컴퓨터로 가정용 보안(경비) 시스템을 연결해 사용하고 있는가? VPN을 통해 기업 네트워크에 접속하는 방식으로 재택 근무를 할 때, 기업에서 사용하는 업무 앱과 가정용 내니 캠을 번갈아 사용하고 있는가?

지스케일러(Zscaler)가 클라우드 트래픽을 분석한 결과에 따르면, 이 클라우드 기반 보안 공급업체는 2019년 5월을 기준으로 하면 매달 2,000개의 IoT 기반 맬웨어를 차단했었다. 그러나 2019년 말에는 매달 차단한 맬웨어의 수가 7배인 1만 4,000개로 증가했다.

보안 담당자들이 IoT 트래픽을 생성하는 장치 가운데 일부를 모르는 경우가 많다. 이런 장치들은 사이버범죄자들이 악용할 수 있는 새로운 IoT 기반 공격 벡터를 만든다. 그리고 공격자들은 이런 잠재적인 취약점을 잘 알고 있다. 

2016년 미라이 봇넷(Mirai botnet) 공격을 예로 들면, 공격자들은 일반 소비자들이 IP 카메라나 가정용 라우터의 기본 비밀번호를 바꾸지 않는 경우가 많다는 사실을 인지하고, 이를 악용한 서비스 거부 공격으로 인터넷의 많은 부분을 정지시켰다. 계속해서 카메라나 DVR, 가정용 라우터 같은 IoT 장치들을 표적으로 삼는 신종 공격 행태가 등장하고 있다.

할 수 있는 일 : 보안 담당 직원들은 네트워크 내부에 존재하는 승인되지 않은 IoT 장치에 대한 가시성을 확보하는데 초점을 맞춰야 한다(Shodan이 도움을 줄 수 있음). IoT 장치들을 별개 네트워크에 배치하고, 외부 네트워크에서의 IoT 장치 액세스를 제한하고, 기본 크리덴셜을 변경하고, 강력한 비밀번호를 요구하고, 정기적으로 보안 및 펌웨어 업데이트를 적용해야 한다.

때론 인정을 받지 못하기도 한다
보안 팀은 종종 여러 중요한 분야에서 힘든 싸움에 직면한다.

- 펀딩(재원 확보) : 기업들은 운영 비용 절감, 이윤 폭 확대, 새로운 수익원 창출, 혁신, 고객 만족도 강화 등의 분야에 투자하고 싶어한다. 보안의 경우, 보상이 없는 비용으로 간주되는 경우가 많으며, 이로 인해 보안 예산이 위협 지형이나 환경을 따라가지 못한다.

- 경영진의 지원 : 기업 경영진이 보안 위협을 제대로 이해하지 못할 수도 있다. 이사회에 보안에 정통한 임원이 이사로 참여하고 있는 기업도 있기는 하지만, 대부분은 그렇지 않다.

- 다른 사업 부서의 비협조 : BU는 보안을 구현 요소가 아닌 억제(방해) 요소로 간주하는 경우가 많다. 이로 인해, IT를 우회해 독자적으로 생산성, 협업, 스토리지 애플리케이션을 구입하면서 보안 문제가 초래된다.

- 직원들의 저항 : 직원들이 잦은 비밀번호 변경, 이중 인증, 기타 기준이 되는 보안 관행 같은 보안 절차들을 ‘성가신 일’로 여겨, 이를 무시하는 경우가 많다.

할 수 있는 일 : 보안 담당 직원들은 전사적으로 보안에 대한 일치된 노력을 경주해야 한다. 네트워크를 구축하고, 여러 부서들로 구성된 팀을 만들고, 모든 사람이 보안을 챙겨야 한다는 메시지를 전달하고, 보안이 모든 비즈니스 프로세스에 반영되도록 만들어야 한다.

스트레스와 불안, 번아웃을 피할 수 없다
위에 열거한 어려운 현실에서 알 수 있듯, 보안 직종은 상당한 스트레스와 불안, 번아웃이 수반되는 직종이다. 포네몬 인스터튜트의 조사 결과에 따르면, 스트레스 때문에 일을 그만 둘 생각을 했다고 대답한 SOC 직종 종사자 비율이 65%에 달한다.

노미넷 조사에 따르면, 91%의 CISO들이 어느 정도의, 또는 아주 상당한 스트레스에 시달리고 있다고 대답했다. 또 60%는 이렇지 않은 경우가 드물다고 대답했다. 또한, 1/4에 달하는 CISO들은 보안 직종의 일이 정신이나 신체 건강, 개인 관계, 가족 관계에 영향을 미쳤다고 대답했다.

번아웃 비율 또한 높으며, 이로 인한 이직율도 높다. 이는 인재(스킬) 부족 문제를 가중시키며, 결과적으로 보안 직종 종사자들의 삶을 더 어렵게 만든다. 악순환이 반복되고 있는 것이다.

할 수 있는 일 : 쉬운 해결책은 없다. 그러나 보안 분야 종사자들은 동료들에게 스트레스에 대해 털어놓고, 일과 생활의 균형을 잡는 노력을 기울여야 한다. ciokr@idg.co.kr



2020.05.27

보안 담당자가 수용해야 할 냉혹한 현실 6가지

Neal Weinberg | CSO
보안 분야에 종사하는 이의 삶은 쉽지 않다. 자신보다 한 걸음 앞서 있는 것처럼 보이는 참을성 많고, 영리하고, 의지가 굳건한 적과 전선에서 싸워야 한다.

물론 이에 걸맞은 큰 보상도 주어진다. 보안 분야는 동지애가 투철한 공동체이고, 보안 분야 종사자들은 회사에 중요한 일을 한다는 자부심을 갖고 있다. IT 산업에서 연봉이 가장 높은 직종 중 하나이기도 하다. 보안 분야 종사자들이 받아들이고, 극복하는 방법을 배워야 할 6가지 어려운 현실을 소개한다.
 
Image Credit : Getty Images Bank

이미 회사 네트워크 내부에 해커들이 침입해 있을 수 있다
“세상에는 두 종류의 회사가 있다. 이미 해킹을 당한 회사, 해킹을 당했지만 이에 대해 모르는 회사가 있다”는 이야기를 들어본 적이 있을 것이다. 여기에 일말의 진실이 들어있다. 포네몬 인스터튜트가 IBM의 의뢰를 받아 실시한 조사에 따르면, 기업들이 보안 침해 사실을 감지하는데 평균 200일이라는 시간이 걸린다. 공격자가 네트워크에 침입한 날로부터 6개월 이상이 소요된다는 이야기이다.

노미넷(Nominet)이라는 회사의 조사 결과에 따르면, 네트워크에 은닉한 맬웨어를 발견했는데 은닉 기간을 모른다고 대답한 CISO의 비율이 약 70%이다. 일부 경우에는 1년 동안 은닉해 있었을 수도 있다.  

참고로, 이 조사를 실시한 노미넷은 영국의 도메인 이름 등록 업체이며, 사이버보안 서비스도 제공하고 있다.

이는 기술 기업이라고 다르지 않다. 예를 들어, 시트릭스(Citrix)는 캘리포니아 주 검찰에 보낸 서한에서 해커들이 네트워크에 침입해 2018년 10월부터 2019년 3월까지 은닉해 있었으며, 이름과 사회보장 번호, 금융정보가 포함된 파일들을 제거했다고 보고했었다.

해커는 방어선을 뚫고 침입해 들어온 후, 시간을 들여 관리자 자격과 권한을 획득한다. 그러면 기업 서버에 저장된 값진 데이터에 액세스해 감지를 피하면서 데이터를 은밀히 빼낼 수 있다. 해커들이 기업의 보안 통신을 감청하는 경우도 있다. 이 경우, 기업이 사용하는 대책을 파악해 무력화할 수 있다.

할 수 있는 일 : 하니팟(honeypots)을 구축하는 한편 여타 고급 기법들을 활용하는 위협 감지 및 차단 도구들을 검토한다. 

모든 것을 제대로 해도 최종 사용자가 모든 것을 망칠 수 있다
씁쓸한 현실이다. 최종 사용자를 대상으로 정기적으로 광범위한 트레이닝을 실시한다. 가짜 피싱 이메일을 보내고, 실수를 통해 배우기 바라면서 악성 링크를 클릭한 사용자에게 이에 대해 알려준다.

이렇게 해도 누군가 피싱이나 스피어 피싱 공격의 ‘미끼’에 걸리는 바람에 전체 조직에 위험이 초래될 수 있다.

현실 통계가 이를 입증한다. ‘버라이즌의 데이터 침해 조사 보고서’에 따르면, 데이터 침해 사고 중 32%까 피싱 공격과 관련이 있다. 사이버 스파이 사고와 백도어 설치 및 사용 사고의 근본 원인을 조사했는데, 피싱과 관련된 사례의 비율이 78%였다.

25개 이메일 중 1개가 피싱 이메일이고, 거의 모든 회사가 피싱 공격을 경험한다(푸루프포인트의 피싱 현황 보고서에 따르면, 글로벌 정보 보안 분야 종사자인 응답자의 83%가 이렇게 대답했다).

최종 사용자는 다른 방법으로도 보안 위험을 초래할 수 있다. 사용 장치를 잃어버리거나, 도난당하는 경우를 비롯해 소셜 엔지니어링 스캠의 피해자가 되어 승인되지 않은 사용자와 크리덴셜 정보나 암호를 공유하는 경우를 예로 들 수 있다.

할 수 있는 일: 최신 피싱 공격 기법에 대응하는 서드파티 안티 피싱 서비스들이 다.

핵심 인력과 역량이 부족하다
ISC2(International Systems Security Certification Consortium)에 따르면, 사이버보안 분야 종사자들이 가장 걱정하는 부분은 전문성과 경험을 갖춘 인력 부족 문제이다. 구체적으로 36%가 이렇게 대답했다. 

ISC2의 가장 최근 보고서는 더 큰 경종을 울린다. 전세계적으로 부족한 보안 인력의 수가 400만에 달한다. 아시아 태평양 지역이 260만으로 가장 심각하다. 북미 지역의 상황도 좋지는 않다. 부족한 보안 인력의 수가 55만 명에 달하는 것으로 추정되고 있다.

ISC2 조사의 경우, 2/3에 달하는 조직이 사이버보안 인력이 부족하다고 대답했다. 또 51%는 보안 인재가 부족한 문제가 조직에 어느 정도의 위험(Moderate risk)이나 큰 위험(Extreme risk)을 초래하고 있다고 지적했다.

ISSA(Information Systems Security Association)와 분석 회사인 ESG(Enterprise Strategy Group)의 조사 결과도 이를 뒷받침한다. 인재 부족이 조직에 영향을 줬다고 대답한 비율은 70%였으며, 지난해보다 10% 증가한 62%가 보안 담당 직원들에게 적절한 수준의 트레이닝을 제공하지 못하고 있다고 대답했다.

할 수 있는 일 : 전문가들은 특정 자격증이나 경력에 대한 엄격한 요건을 때론 완화하는 것이 좋다고 충고했다. 또한 다른 부서나 조직의 직원들을 채용해 훈련시키는 방법도 있다. 이 밖에 교차 트레이닝이 중요하다.  보안이 모든 사람이 챙길 일이 되면, 보안을 전담해 담당하는 직원들의 부담 가운데 일부를 덜 수 있다.

IoT가 예측 못한 새로운 보안 문제를 초래한다
3D 프린팅, 증강 현실 및 가상 현실, 협업 로봇, 드론, 원격 센서, 인더스트리 4.0, 자율주행 차량, 스마트 홈, 보안 카메라 등 IoT가 가져올 이점과 혜택이 명백하다. IDC가 새로 발표한 시장 전망 보고서에 따르면, 2025년에는 416억 개의 연결된 IoT 장치(사물)가 79.4 제타바이트(ZB)의 데이터를 생성할 것으로 예상되고 있다.

그러나 보안에 있어 ‘악몽’을 만드는 문제는 장치의 수가 아니다. 이 안전하지 않은 장치들이 보안에 영향을 주는 방식이다. 직원들이 스마트워치에서 업무 이메일을 확인하고 있는가? 업무용 노트북 컴퓨터로 가정용 보안(경비) 시스템을 연결해 사용하고 있는가? VPN을 통해 기업 네트워크에 접속하는 방식으로 재택 근무를 할 때, 기업에서 사용하는 업무 앱과 가정용 내니 캠을 번갈아 사용하고 있는가?

지스케일러(Zscaler)가 클라우드 트래픽을 분석한 결과에 따르면, 이 클라우드 기반 보안 공급업체는 2019년 5월을 기준으로 하면 매달 2,000개의 IoT 기반 맬웨어를 차단했었다. 그러나 2019년 말에는 매달 차단한 맬웨어의 수가 7배인 1만 4,000개로 증가했다.

보안 담당자들이 IoT 트래픽을 생성하는 장치 가운데 일부를 모르는 경우가 많다. 이런 장치들은 사이버범죄자들이 악용할 수 있는 새로운 IoT 기반 공격 벡터를 만든다. 그리고 공격자들은 이런 잠재적인 취약점을 잘 알고 있다. 

2016년 미라이 봇넷(Mirai botnet) 공격을 예로 들면, 공격자들은 일반 소비자들이 IP 카메라나 가정용 라우터의 기본 비밀번호를 바꾸지 않는 경우가 많다는 사실을 인지하고, 이를 악용한 서비스 거부 공격으로 인터넷의 많은 부분을 정지시켰다. 계속해서 카메라나 DVR, 가정용 라우터 같은 IoT 장치들을 표적으로 삼는 신종 공격 행태가 등장하고 있다.

할 수 있는 일 : 보안 담당 직원들은 네트워크 내부에 존재하는 승인되지 않은 IoT 장치에 대한 가시성을 확보하는데 초점을 맞춰야 한다(Shodan이 도움을 줄 수 있음). IoT 장치들을 별개 네트워크에 배치하고, 외부 네트워크에서의 IoT 장치 액세스를 제한하고, 기본 크리덴셜을 변경하고, 강력한 비밀번호를 요구하고, 정기적으로 보안 및 펌웨어 업데이트를 적용해야 한다.

때론 인정을 받지 못하기도 한다
보안 팀은 종종 여러 중요한 분야에서 힘든 싸움에 직면한다.

- 펀딩(재원 확보) : 기업들은 운영 비용 절감, 이윤 폭 확대, 새로운 수익원 창출, 혁신, 고객 만족도 강화 등의 분야에 투자하고 싶어한다. 보안의 경우, 보상이 없는 비용으로 간주되는 경우가 많으며, 이로 인해 보안 예산이 위협 지형이나 환경을 따라가지 못한다.

- 경영진의 지원 : 기업 경영진이 보안 위협을 제대로 이해하지 못할 수도 있다. 이사회에 보안에 정통한 임원이 이사로 참여하고 있는 기업도 있기는 하지만, 대부분은 그렇지 않다.

- 다른 사업 부서의 비협조 : BU는 보안을 구현 요소가 아닌 억제(방해) 요소로 간주하는 경우가 많다. 이로 인해, IT를 우회해 독자적으로 생산성, 협업, 스토리지 애플리케이션을 구입하면서 보안 문제가 초래된다.

- 직원들의 저항 : 직원들이 잦은 비밀번호 변경, 이중 인증, 기타 기준이 되는 보안 관행 같은 보안 절차들을 ‘성가신 일’로 여겨, 이를 무시하는 경우가 많다.

할 수 있는 일 : 보안 담당 직원들은 전사적으로 보안에 대한 일치된 노력을 경주해야 한다. 네트워크를 구축하고, 여러 부서들로 구성된 팀을 만들고, 모든 사람이 보안을 챙겨야 한다는 메시지를 전달하고, 보안이 모든 비즈니스 프로세스에 반영되도록 만들어야 한다.

스트레스와 불안, 번아웃을 피할 수 없다
위에 열거한 어려운 현실에서 알 수 있듯, 보안 직종은 상당한 스트레스와 불안, 번아웃이 수반되는 직종이다. 포네몬 인스터튜트의 조사 결과에 따르면, 스트레스 때문에 일을 그만 둘 생각을 했다고 대답한 SOC 직종 종사자 비율이 65%에 달한다.

노미넷 조사에 따르면, 91%의 CISO들이 어느 정도의, 또는 아주 상당한 스트레스에 시달리고 있다고 대답했다. 또 60%는 이렇지 않은 경우가 드물다고 대답했다. 또한, 1/4에 달하는 CISO들은 보안 직종의 일이 정신이나 신체 건강, 개인 관계, 가족 관계에 영향을 미쳤다고 대답했다.

번아웃 비율 또한 높으며, 이로 인한 이직율도 높다. 이는 인재(스킬) 부족 문제를 가중시키며, 결과적으로 보안 직종 종사자들의 삶을 더 어렵게 만든다. 악순환이 반복되고 있는 것이다.

할 수 있는 일 : 쉬운 해결책은 없다. 그러나 보안 분야 종사자들은 동료들에게 스트레스에 대해 털어놓고, 일과 생활의 균형을 잡는 노력을 기울여야 한다. ciokr@idg.co.kr

X