2013.06.07

'보안 영웅'이 되기 위한 가이드

Roger A. Grimes | InfoWorld
아직도 많은 업체들이 해커에게 공격받고 기업 명성이 곤두박질치는 데도 불구하고 해킹에 제대로 대처하지 않고 있다는 사실이 놀랍기만 하다. 이들 기업은 정작 막아야 할 실제 위협과는 별로 관계가 없는 보안 대책만 잔뜩 세우고 있다.

일반적인 시나리오는 이렇다. 필자는 APT(advanced persistent threat, 지능형 지속 해킹 위협)으로 피해를 입은 대기업들을 자주 컨설팅한다. 이런 공격은 대략 한명 이상의 사용자가 개발업체 패치(vendor patch)를 설치하지 않아 발생한 취약점을 통해 감염되어 당하게 된다.

50% 이상이 패치하지 않은 자바때문이지만, 어도비 아크로뱃, 윈도우 등도 공범인 경우가 많다. 또한 사용자가 가짜 안티바이러스 스캐너, 가짜 디스크 조각모음(defragger), 또는 사이비 소프트웨어 드라이버 등 설치하면 안 되는 앱을 설치해 화근이 되기도 한다.

이런 공격 방식은 사람들이 주로 알고 있는 SQL 주입 공격, 비밀번호 크래킹, 웜 프로그램, 중간자 공격 등의 해킹 방법보다 훨씬 앞선 방법이다. 그럼에도 불구하고 기업들은 여전히 전혀 도움이 되지 않는 곳에만 비용을 지출하고 있다.

번지수 잘못 찾은 보안
대체 왜일까? 소위 '전문가'라는 사람들이 고급 방화벽(advanced firewall), IDS 스캐너, 다중인증 로그온 등 별 실효성없는 수십 가지 솔루션을 내놓는다. 대부분의 전문가들은 물건을 팔고 싶은 개발업체나 보안 관련 저널을 너무 많이 읽은 직원일 경우가 많다.

필자는 고객들에게 묻는다. "수백 만 달러를 들여 그런 솔루션을 사용했더니 정말 해커의 공격이 방어가 되던가요?", 대부분의 경우, 진짜 대답은 '아니오'일 것이다.

하지만 대부분 "그렇습니다" 혹은 "완전히는 아니지만, 적어도 해커의 공격을 어렵게 만드는 거죠"정도의 답변을 듣게 된다. 이런 답변을 들으면 필자는 참을 수가 없다. 필자는 고객들에게 구체적으로 해당 솔루션이 어떻게 해커 공격을 막아냈는지, 그리고 막아낼지 말해 달라고 다시 묻는다.

단계별로 상세하게 설명해 달라고 말이다!

그러면 결국 열심히 선전하던 솔루션의 기능을 과대 포장해 설명하거나, 어쩔 줄 몰라 하며 말을 더듬게 마련이다.

그럼에도 불구하고 필자가 만난 모든 고객들은 기본을 충실히 지켜 실제 리스크를 줄이기보다는 별 효과 없는 프로젝트에만 계속해서 돈을 낭비하고 있었다. 필자는 고객들이 진실을 깨달을 때까지 애태우며 기다릴 뿐이다.

문제의 핵심을 파악해라
기업의 '보안영웅'이 되고 싶은가? 간단하다.

기업을 위협하는 실제적인 위험 요소들에 맞는 보안 솔루션을 적재적소에 배치하면 된다. 이보다 더 명료한 방법은 결코 없다.

즉, 자신의 기업에 가장 위협이 되는 것이 앞서 설명한 것과 같이 최종 사용자에 의해 발생하는 클라이언트 측 악성코드라고 가정하자. 회의 석상에 가만히 앉아 온화한 미소를 지으며 경청해 보자.

더 길고 복잡한 비밀번호? 좋다. 디스크 암호화도 좋다. 보안이 약한 인증 프로토콜을 없애는 것도 좋다.

그런데 문제는 과연 이 방법들이, 방금 자신 기업을 해킹한 그 침입자를 막을 수 있었느냐는 것이다. 아니지 않은가? 그러면 회의 석상을 두 주먹으로 내려 치며 "이렇게 해선 안됩니다!"라고 소리쳐야 한다.

연애할 때와 마찬가지로, 보안에서도 미래를 예측하는 가장 좋은 방법은 과거를 반추하는 것임을 알아두자. 패치가 안 된 자바를 포함한 시스템 때문에 해킹을 당했다면, 제발 다른 무엇보다도 자바 패치부터 하라는 말이다.

해킹 피해 사례의 50% 이상이 패치가 안 된 자바와 관계가 있고, 49%가 사용하지 말아야 할 소프트웨어를 사용하는 사용자 때문에 일어난 일이라면, 다른 모든 해킹 경로는 다 합쳐 봤자 전체의 1% 밖에 안 된다는 소리다.

다섯 장의 프레젠테이션으로 올바른 방향 제시하기
기업에서는 시각적인 자료로 설명해 주는 걸 좋아한다. 보안맨이 되기 위해 필요한 건 파워포인트 슬라이드 다섯 장뿐이다.

첫 번째 슬라이드에서는 리스크 정도에 따라 기업 보안을 위협하는 다양한 요소를 나열한다.

- 패치가 안 된 소프트웨어
- 우연히 다운받은 악성코드
- 기타 등등

두 번째 슬라이드에서는 한두 가지 방어 솔루션으로 제1 리스크를 없앨 수 있음을 보여준다. 예를 들어 자바 패치를 끝내면 전체 해킹 공격의 50%를 막을 수 있음을 보여 주는 것이다.

세 번째 슬라이드는 제2 리스크를 막을 방법에 대해 설명한다. 그리고 네 번째 슬라이드에서는, 나머지 1% 가량을 차지하는 기타 다른 리스크에는 무엇이 있는지 설명한다.

마지막 슬라이드에서는 그 1%의 리스크를 없애기 위해 얼마나 많은 돈이 들어가는지 보여준다. 그런 후 "어떤 방어 솔루션에 돈을 쓰는 것이 좋겠습니까?"라고 물어본다.

너무 잘난 체 하는 것 같다고? 어쩌면 그럴 지도 모른다. 하지만 확신없는 태도로는 아무것도 할 수 없다.

'다른 사람이 진행 중인 프로젝트를 밟고 올라서는 것 아닐까'하는 걱정은 하지 말고, 우선 자신의 기업을 구한 보안 영웅이 되는 것이다.

필자가 직접 겪은 경험을 바탕으로 주장하지만, 기업 간부들은 어떻게 하면 실질적으로 리스크를 줄일 수 있는지 아직 모르고 있다. 그렇지 않다면 필자가 이렇게 자주 열변을 토하지 않아도 될 것이다. editor@itworld.co.kr



2013.06.07

'보안 영웅'이 되기 위한 가이드

Roger A. Grimes | InfoWorld
아직도 많은 업체들이 해커에게 공격받고 기업 명성이 곤두박질치는 데도 불구하고 해킹에 제대로 대처하지 않고 있다는 사실이 놀랍기만 하다. 이들 기업은 정작 막아야 할 실제 위협과는 별로 관계가 없는 보안 대책만 잔뜩 세우고 있다.

일반적인 시나리오는 이렇다. 필자는 APT(advanced persistent threat, 지능형 지속 해킹 위협)으로 피해를 입은 대기업들을 자주 컨설팅한다. 이런 공격은 대략 한명 이상의 사용자가 개발업체 패치(vendor patch)를 설치하지 않아 발생한 취약점을 통해 감염되어 당하게 된다.

50% 이상이 패치하지 않은 자바때문이지만, 어도비 아크로뱃, 윈도우 등도 공범인 경우가 많다. 또한 사용자가 가짜 안티바이러스 스캐너, 가짜 디스크 조각모음(defragger), 또는 사이비 소프트웨어 드라이버 등 설치하면 안 되는 앱을 설치해 화근이 되기도 한다.

이런 공격 방식은 사람들이 주로 알고 있는 SQL 주입 공격, 비밀번호 크래킹, 웜 프로그램, 중간자 공격 등의 해킹 방법보다 훨씬 앞선 방법이다. 그럼에도 불구하고 기업들은 여전히 전혀 도움이 되지 않는 곳에만 비용을 지출하고 있다.

번지수 잘못 찾은 보안
대체 왜일까? 소위 '전문가'라는 사람들이 고급 방화벽(advanced firewall), IDS 스캐너, 다중인증 로그온 등 별 실효성없는 수십 가지 솔루션을 내놓는다. 대부분의 전문가들은 물건을 팔고 싶은 개발업체나 보안 관련 저널을 너무 많이 읽은 직원일 경우가 많다.

필자는 고객들에게 묻는다. "수백 만 달러를 들여 그런 솔루션을 사용했더니 정말 해커의 공격이 방어가 되던가요?", 대부분의 경우, 진짜 대답은 '아니오'일 것이다.

하지만 대부분 "그렇습니다" 혹은 "완전히는 아니지만, 적어도 해커의 공격을 어렵게 만드는 거죠"정도의 답변을 듣게 된다. 이런 답변을 들으면 필자는 참을 수가 없다. 필자는 고객들에게 구체적으로 해당 솔루션이 어떻게 해커 공격을 막아냈는지, 그리고 막아낼지 말해 달라고 다시 묻는다.

단계별로 상세하게 설명해 달라고 말이다!

그러면 결국 열심히 선전하던 솔루션의 기능을 과대 포장해 설명하거나, 어쩔 줄 몰라 하며 말을 더듬게 마련이다.

그럼에도 불구하고 필자가 만난 모든 고객들은 기본을 충실히 지켜 실제 리스크를 줄이기보다는 별 효과 없는 프로젝트에만 계속해서 돈을 낭비하고 있었다. 필자는 고객들이 진실을 깨달을 때까지 애태우며 기다릴 뿐이다.

문제의 핵심을 파악해라
기업의 '보안영웅'이 되고 싶은가? 간단하다.

기업을 위협하는 실제적인 위험 요소들에 맞는 보안 솔루션을 적재적소에 배치하면 된다. 이보다 더 명료한 방법은 결코 없다.

즉, 자신의 기업에 가장 위협이 되는 것이 앞서 설명한 것과 같이 최종 사용자에 의해 발생하는 클라이언트 측 악성코드라고 가정하자. 회의 석상에 가만히 앉아 온화한 미소를 지으며 경청해 보자.

더 길고 복잡한 비밀번호? 좋다. 디스크 암호화도 좋다. 보안이 약한 인증 프로토콜을 없애는 것도 좋다.

그런데 문제는 과연 이 방법들이, 방금 자신 기업을 해킹한 그 침입자를 막을 수 있었느냐는 것이다. 아니지 않은가? 그러면 회의 석상을 두 주먹으로 내려 치며 "이렇게 해선 안됩니다!"라고 소리쳐야 한다.

연애할 때와 마찬가지로, 보안에서도 미래를 예측하는 가장 좋은 방법은 과거를 반추하는 것임을 알아두자. 패치가 안 된 자바를 포함한 시스템 때문에 해킹을 당했다면, 제발 다른 무엇보다도 자바 패치부터 하라는 말이다.

해킹 피해 사례의 50% 이상이 패치가 안 된 자바와 관계가 있고, 49%가 사용하지 말아야 할 소프트웨어를 사용하는 사용자 때문에 일어난 일이라면, 다른 모든 해킹 경로는 다 합쳐 봤자 전체의 1% 밖에 안 된다는 소리다.

다섯 장의 프레젠테이션으로 올바른 방향 제시하기
기업에서는 시각적인 자료로 설명해 주는 걸 좋아한다. 보안맨이 되기 위해 필요한 건 파워포인트 슬라이드 다섯 장뿐이다.

첫 번째 슬라이드에서는 리스크 정도에 따라 기업 보안을 위협하는 다양한 요소를 나열한다.

- 패치가 안 된 소프트웨어
- 우연히 다운받은 악성코드
- 기타 등등

두 번째 슬라이드에서는 한두 가지 방어 솔루션으로 제1 리스크를 없앨 수 있음을 보여준다. 예를 들어 자바 패치를 끝내면 전체 해킹 공격의 50%를 막을 수 있음을 보여 주는 것이다.

세 번째 슬라이드는 제2 리스크를 막을 방법에 대해 설명한다. 그리고 네 번째 슬라이드에서는, 나머지 1% 가량을 차지하는 기타 다른 리스크에는 무엇이 있는지 설명한다.

마지막 슬라이드에서는 그 1%의 리스크를 없애기 위해 얼마나 많은 돈이 들어가는지 보여준다. 그런 후 "어떤 방어 솔루션에 돈을 쓰는 것이 좋겠습니까?"라고 물어본다.

너무 잘난 체 하는 것 같다고? 어쩌면 그럴 지도 모른다. 하지만 확신없는 태도로는 아무것도 할 수 없다.

'다른 사람이 진행 중인 프로젝트를 밟고 올라서는 것 아닐까'하는 걱정은 하지 말고, 우선 자신의 기업을 구한 보안 영웅이 되는 것이다.

필자가 직접 겪은 경험을 바탕으로 주장하지만, 기업 간부들은 어떻게 하면 실질적으로 리스크를 줄일 수 있는지 아직 모르고 있다. 그렇지 않다면 필자가 이렇게 자주 열변을 토하지 않아도 될 것이다. editor@itworld.co.kr

X