2017.02.21

'최고의 보안 팁은?'··· RSA 2017에서 만난 보안 전문가 5인의 조언

Michael Kan | IDG News Service
RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다.

하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다.



델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트
스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다.

또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다.

스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다.

크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스
기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다”라고 설명했다.

이런 식의 접근은 다음과 같은 대화를 가져온다. “우리한테 필요한 것이 교육인가? 더 강력한 아키텍처를 구축하기 위해 사람들을 더 데려와야 하는가?” 센토나스는 “보안이 항상 최신 고성능 보안 제품을 구매하는 것은 아니다. 물론 때로는 제품을 구매하는 것으로 결론이 나기도 한다. 하지만 제품을 구매하는 것으로 시작해서는 안된다”라고 지적했다.

피델리스 사이버시큐리티(Fidelis Cybersecurity) 사이버보안 서비스 담당 부사장 마이크 부라토우스키
많은 사람이 해커가 자기는 공격 대상으로 삼지 않을 것으로 생각한다. 하지만 그런 가정은 잘못된 것이다. 부라토우스키는 “모든 사람의 정보는 가치가 있다”라고 강조했다.

물론 너무 과민하게 대응할 필요는 없지만, 사이버 공격은 현실이며 해커는 종종 순진한 희생자를 악용하려 한다는 것을 인식하는 건강한 감각이 필요하다는 것. 예를 들어, 직원들은 이메일 피싱 사기에 너무나 빨리 반응해 버리는데, 그 메일이 합법적인 곳에서 온 것으로 생각하기 때문이다.

부라토우스키는 “다른 쪽에 앉아 있는 사람은 스스로 누구라고 밝힌 그 사람이 아닐 수도 있다”라고 덧붙였다.

베라코드(Veracode) CTO 크리스 와이소팔
기술을 완전히 신뢰하지 말라. 우리가 사용하는 소프트웨어와 인터넷 서비스 모두에 해당하는 말이다. 모두가 알고 있듯이 어느 것 하나 안전한 것은 없고, 쉽게 뚫릴 수 있다는 것이 와이소팔의 지적이다.

와이소팔은 “훼손될 수 있다고 생각하라”며, “세상 모든 사람과 정말로 공유하고 싶지 않은 이상, 페이스북 등등에 데이터를 함부로 넣지 말라”고 조언했다.

사용자와 기업은 회의적인 자세를 가질 필요가 있다. 보안 위험은 해커에게서만 오는 것이 아니라 자사 제품의 보안을 제대로 확인하지 않은 솔루션 업체로부터도 온다. 와이소팔은 “업체들에게 왜 그 제품을 믿어야 하는지 보여달라고 하라”고 강조했다.

센티넬원(SentinelOne) 최고 보안 담당 임원 제레미아 그로스먼
그로스먼은 기업들이 보유한 모든 자산의 인벤토리를 만들 것을 권장했다. 이렇게 하면 어떤 자산이 온라인에 있고, 어디에 취약점이 있는지를 좀 더 쉽게 파악할 수 있다. 그로스먼은 “기업이 해킹을 당하는 것은 대부분은 자신들이 가지고 있는지도 모르는 컴퓨터와 박스와 웹사이트 때문이다”라고 지적했다.

소규모 기업의 경우 인벤토리를 만드는 데 하루면 되며, 포천지 선정 500대 기업이라면 몇 주가 걸릴 수도 있다. 내부적으로 처리할 수도 있고, 컨설팅 회사에 아우소싱할 수도 있다. 그로스먼은 기업 IT 부서에 다음과 같은 질문을 던져보라고 조언했다. “만약 내가 새 회사에 들어갔다면, 무엇을 보호하고 있을까?”  editor@itworld.co.kr



2017.02.21

'최고의 보안 팁은?'··· RSA 2017에서 만난 보안 전문가 5인의 조언

Michael Kan | IDG News Service
RSA 행사는 수많은 보안 기술로 가득 차 있다. 업계 최고를 자랑하는 업체들이 참여해 랜섬웨어와 싸우고 데이터 유출을 막는 제품을 선보인다.

하지만 아무리 최고의 보안 소프트웨어라 해도 사용자와 기업이 자신을 방어하기 위한 올바른 단계를 밟지 않는다면, 무용지물이다. RSA에 참석한 보안 전문가들에게 자신들이 알고 있는 최고의 보안 팁은 무엇인지 물었다.



델 시큐어웍스(Dell Secureworks) 맬웨어 연구 담당 디렉터 조 스튜어트
스튜어트는 인터넷 계정, 특히 이메일을 보호하는 데 이중 인증을 사용할 것으로 모두에게 권했다. 이중 인증은 사용자의 로그인 패스워드를 훔치려는 해커를 막는데 매우 유용한데, 악성코드를 이용하거나 이메일 피싱 사기를 이용하는 해커 모두에 대응할 수 있다.

또한, 해커가 사용자의 패스워드를 간신히 가로챘다고 해도, 인중 인증은 가장 정교한 공격을 포함한 모든 공격을 막아준다. 사용자의 계정에 액세스하려면, 지문이나 휴대폰에서 전송된 텍스트 메시지 등 또 다른 형식의 인증이 필요하기 때문이다.

스튜어트는 “이중 인증은 이런 사기 행위 대부분을 차단한다. 은행 악성코드도 이중 인증은 간신히 피해 가는데, 이들 해커는 그 수준이 아니기 때문이다”라며, “이중 인증은 대부분의 기업 이메일 훼손을 바로 막아줄 것이다”라고 강조했다.

크라우드스트라이크(CrowdStrike) 기술 전략 담당 부사장 마이크 센토나스
기업들은 무턱대고 최신 보안 제품을 구매하기 전에 사이버 위협으로부터 보호해야 하는 회사의 자산이 무엇인지부터 먼저 생각해야 한다. 지켜야 할 자산은 직원일 수도 있고, 지적재산권일 수도 있고, 고객 데이터베이스일 수도 있다. 센토나스는 “누구나 뭔가 가치 있는 것을 가지고 있다”라며, “자신이 가진 가치 있는 것이 무엇인지 알아야 한다. 그리고 그 다음에 그것이 어디에 있는지, 누가 액세스하는지 알아야 한다”라고 설명했다.

이런 식의 접근은 다음과 같은 대화를 가져온다. “우리한테 필요한 것이 교육인가? 더 강력한 아키텍처를 구축하기 위해 사람들을 더 데려와야 하는가?” 센토나스는 “보안이 항상 최신 고성능 보안 제품을 구매하는 것은 아니다. 물론 때로는 제품을 구매하는 것으로 결론이 나기도 한다. 하지만 제품을 구매하는 것으로 시작해서는 안된다”라고 지적했다.

피델리스 사이버시큐리티(Fidelis Cybersecurity) 사이버보안 서비스 담당 부사장 마이크 부라토우스키
많은 사람이 해커가 자기는 공격 대상으로 삼지 않을 것으로 생각한다. 하지만 그런 가정은 잘못된 것이다. 부라토우스키는 “모든 사람의 정보는 가치가 있다”라고 강조했다.

물론 너무 과민하게 대응할 필요는 없지만, 사이버 공격은 현실이며 해커는 종종 순진한 희생자를 악용하려 한다는 것을 인식하는 건강한 감각이 필요하다는 것. 예를 들어, 직원들은 이메일 피싱 사기에 너무나 빨리 반응해 버리는데, 그 메일이 합법적인 곳에서 온 것으로 생각하기 때문이다.

부라토우스키는 “다른 쪽에 앉아 있는 사람은 스스로 누구라고 밝힌 그 사람이 아닐 수도 있다”라고 덧붙였다.

베라코드(Veracode) CTO 크리스 와이소팔
기술을 완전히 신뢰하지 말라. 우리가 사용하는 소프트웨어와 인터넷 서비스 모두에 해당하는 말이다. 모두가 알고 있듯이 어느 것 하나 안전한 것은 없고, 쉽게 뚫릴 수 있다는 것이 와이소팔의 지적이다.

와이소팔은 “훼손될 수 있다고 생각하라”며, “세상 모든 사람과 정말로 공유하고 싶지 않은 이상, 페이스북 등등에 데이터를 함부로 넣지 말라”고 조언했다.

사용자와 기업은 회의적인 자세를 가질 필요가 있다. 보안 위험은 해커에게서만 오는 것이 아니라 자사 제품의 보안을 제대로 확인하지 않은 솔루션 업체로부터도 온다. 와이소팔은 “업체들에게 왜 그 제품을 믿어야 하는지 보여달라고 하라”고 강조했다.

센티넬원(SentinelOne) 최고 보안 담당 임원 제레미아 그로스먼
그로스먼은 기업들이 보유한 모든 자산의 인벤토리를 만들 것을 권장했다. 이렇게 하면 어떤 자산이 온라인에 있고, 어디에 취약점이 있는지를 좀 더 쉽게 파악할 수 있다. 그로스먼은 “기업이 해킹을 당하는 것은 대부분은 자신들이 가지고 있는지도 모르는 컴퓨터와 박스와 웹사이트 때문이다”라고 지적했다.

소규모 기업의 경우 인벤토리를 만드는 데 하루면 되며, 포천지 선정 500대 기업이라면 몇 주가 걸릴 수도 있다. 내부적으로 처리할 수도 있고, 컨설팅 회사에 아우소싱할 수도 있다. 그로스먼은 기업 IT 부서에 다음과 같은 질문을 던져보라고 조언했다. “만약 내가 새 회사에 들어갔다면, 무엇을 보호하고 있을까?”  editor@itworld.co.kr

X