2017.12.07

칼럼 | 방화벽·백신 소용없다··· 깜짝 놀랄 보안 '팩트' 5가지

Roger A. Grimes | CSO
보안 사고가 계속되면서 그 방어책에 대한 관심이 커지고 있다. 그러나 사실 보안 위험에 노출되고 시스템이 뚫리는 이유는 단순하고 명확하다. 여기 대표적인, 그리고 다소 충격적일 수 있는 보안 사고의 원인 5가지를 제시한다. 이에 대해 충분히 이해하고 대처한다면 여러분이 관리하는 시스템은 이미 평균 이상의 보안을 갖춘 것이다.



모든 회사가 해킹된다
최근 일어나는 대형 보안 사고를 보면 피해를 본 회사가 컴퓨터 보안에 미숙하기 때문이라고 생각하기 쉽다. 그러나 고객 기록 수백만 건을 도난당하고 수백만 달러 피해를 보는 대형 해킹 사고는 지금 이 순간에도 계속되고 있다. 오히려 거의 모든 회사가 해킹되고 있으며 언론에 보도되는 것은 그 중 일부라고 보는 것이 더 정확하다.

모든 회사는 악의적인 해커 한 명에 의해 완전히, 철저하게 장악 당할 수 있다. 이는 엄연한 사실이다. 인터넷과 연결하지 않고 하드 드라이브는 매일 일과가 끝나면 금고에 넣어 보관하는 극비 군사 시설을 제외하면 평범한 기업, 소규모 업체 모두가 이 명제에서 벗어날 수 없다. 필자가 컨설팅한 수백 곳 기업 중 어딘가에 숨어 있는 해킹의 흔적을 단 1개도 찾지 못한 경우는 단 1번도 없었다.

어떤 경우는 다년간 활동한 여러 해킹 그룹을 동시에 발견하기도 했다. 한 기업은 8개의 해킹 그룹에 농락을 당했고, 이 중 일부는 무려 10년이나 해당 기업의 시스템에 암약했다.

이 사례가 흥미로웠던 것은 그들이 필자를 호출한 이유였다. 적용하기 싫은 소프트웨어 패치가 무슨 수를 써도 계속 적용된다는 것이었다. 알고보니 해커 그룹이 아무리 기다려도 희생자 회사가 자신의 환경을 더 안전하게 만들지 않아 더 많은 해킹 그룹이 자꾸 더 몰려들자 직접 패치를 설치했던 것이었다. 해커가 사용자보다 보안에 더 신경을 쓴 아이러니한 상황이었다.

필자는 침투 테스트 일도 하고 있는데, 자신의 회사에 침입해 달라는 부탁을 종종 받는다(물론 침입은 정식 허가를 받은 후에 진행된다). 그러나 침입에 1시간 이상 걸린 적이 없다. 예외적으로 3시간이 걸렸던 회사가 있는데 예전에 필자가 컨설팅을 해준 대로 조처를 했기 때문이었다. 필자의 해킹 실력은 보통 수준이다. 필자가 존경하는 일부 실력자라면 더 빠르게 침투할 수 있다. 제로 데이(Zero Day) 공격이 가능한 전 세계 해커들을 논외로 해도 이런 상황이다.

전 세계 컴퓨터의 보안은 형편 없는 수준이다. 제로 데이까지 언급할 필요가 없다. 주위를 조금만 둘러봐도 약점을 쉽게 찾을 수 있다. 대부분 회사는 컴퓨터 보안에 소홀하다. 말은 그럴 듯하게 하지만 완벽한 패칭, 응용프로그램 제어 프로그램, 인터넷 차단 같은 해커를 배제하기 위해 필요한 조치를 할 의지가 부족하다. 적어도 아직까지는 그렇다.

대부분 회사는 자사의 가장 취약한 보안이 무엇인지 모른다
이 사실은 필자가 지난 5년간에 겪고 깨달은 것이다. 자신의 회사가 일상적으로 가장 많이 악용될 수 있는 부분이 무엇인지 제대로 파악하고 있는 IT 보안 담당자를 거의 만날 수 없었다. 5~20% 정도는 정답을 맞히지만 이를 설명할 근거는 내놓지 못했다. 즉, IT 보안 직원 중 80%는 엉뚱한 곳을 막고 있다는 의미다. 더구나 일부 보안 직원을 제외한 IT 부서 직원과 나머지 회사 직원은 아무것도 모른다. 결국 회사내 대부분 직원이 최대 위협이 무엇인지 잘 모른다면 어떻게 효과적으로 대처할 수 있겠나?

최대 위협을 보여주는 자료는 존재하지 않는다. 방대한 양의 이벤트를 복잡한 로그 관리 시스템에 수집하기 위해 수백 만 달러를 투자하면 답을 찾을 수 있다고 생각하겠지만 현실은 그렇지 않다. 어쩌면 답은 영영 나오지 않을 지도 모른다. 그러나 아예 질문 자체를 하지 않으면 절대로 답을 찾을 수 없다.


실제 위협과 인지된 위협 사이엔 격차가 크다
최대 잠재 위협과 최대 실제 악용 사이에는 큰 격차가 있다. 이 차이를 정확히 아는 보안 방어 전문가가 있다면 그의 가치는 그의 몸무게 만큼의 황금보다 더 많을 수도 있다. 해마다 5,000~7,000가지 새로운 보안 취약점이 등장한다(이 숫자는 10년 넘게 꽤 일정하게 유지되고 있다). 이 중 4분의 1 내지 3분의 1이 최고 위험성으로 분류된다.

이는 취약성 검사 소프트웨어를 실행하거나 패치 관리 보고서를 검토할 때 “최우선”적으로 해결해야 할 일이 항상 많을 수밖에 없다는 의미다. 그러나 실제로 한 번에 집중해서 해결할 수 있는 것은 몇 개에 불과하다. 그렇다면 수정해야 할 최우선 사항이 20개라면 어떻게 해야 할까?

먼저 현재 환경에서 가장 큰 피해를 입히는 위험한 것을 해결한 후 그 다음에 가장 가능성이 높은 것을 해결하는 것이 좋다. 가장 위험한 취약점이 가장 높은 순위의 취약점이 아닐 수도 있지만 상관 없다. 위험성 순위는 피해를 줄 가능성을 기준으로 해야 한다. 실질적인 피해와 향후 가능성이 가장 높은 피해는 추측하는 수밖에 없다. 이 차이를 정확히 이해한다면 컴퓨터 보안 방어 전문가로서 해야 할 일의 많은 부분이 달라질 것이다.

방화벽과 백신 소프트웨어는 크게 중요하지 않다
오늘날 보안 위협 대부분은 최종 사용자에 의해 시작된 일종의 고객 측 위협이다. 즉, 사용자의 데스크톱에 도달하지 못하게 막기 위해 설치된 모든 방화벽을 이미 통과했음을 의미한다. 이런 상황에서 방화벽은 거의 쓸모가 없다.

전통적인 방화벽의 가장 큰 역할은 취약한 서비스에 대한 무단 접속 시도를 막는 것이다. 만일 해당 서비스가 취약하지 않다면 방화벽의 가치는 크지 않을 것이다. 그렇다고 가치가 아예 없는 것은 아니다. 특히 지능적인 심층 패킷 검사 방화벽은 가치가 있다. 문제는 위협 대부분이 더 이상 방화벽으로 막을 수 없다는 점이다. 따라서 한 때 방화벽이 제공하던 큰 가치가 이제는 많이 사라졌다.

백신 소프트웨어도 비슷하다. 어떠한 백신 제품도 새롭게 출현하는 모든 악성코드에 100% 효과적일 수 없다. “100%”라는 테스트 결과를 봐도 믿어서는 안된다. 악성코드가 현실처럼 많이 수정되고 개발되지 않는, 일종의 통제된 조건에서 수행되는 테스트이기 때문이다. 현실에서 사용자가 처음 마주치는 악성코드 프로그램은 새로운 악성코드 프로그램을 다운로드하고 백신 소프트웨어를 모조리 우회하도록 업데이트되는 다운로더일 가능성이 높다.

전 세계 보안 사고의 원인은 2가지로 수렴된다
지난 10년 넘는 기간 동안 보안 사고가 나는 이유는 크게 2가지였다. 하나는 소프트웨어를 패치 하지 않기 때문이고 다른 하나는 사회 공학적 방법으로 누군가에게 속아 설치하면 안되는 것을 설치했기 때문이다. 이 2가지가 거의 100%를 차지한다. 그 외 사건은 전 세계 사례를 통틀어도 채 1%가 안될 것이다. 결국 이 2가지 문제를 해결하지 않으면 나머지는 의미가 없다. 패치 하지 않은 소프트웨어 프로그램 하나가 웹 기반 보안 취약점 악용 사고의 90% 이상을 차지한 때도 있었다. 사회 공학이 그 나머지를 차지한다. 따라서 중요한 문제가 먼저 집중할 필요가 있다. ciokr@idg.co.kr 



2017.12.07

칼럼 | 방화벽·백신 소용없다··· 깜짝 놀랄 보안 '팩트' 5가지

Roger A. Grimes | CSO
보안 사고가 계속되면서 그 방어책에 대한 관심이 커지고 있다. 그러나 사실 보안 위험에 노출되고 시스템이 뚫리는 이유는 단순하고 명확하다. 여기 대표적인, 그리고 다소 충격적일 수 있는 보안 사고의 원인 5가지를 제시한다. 이에 대해 충분히 이해하고 대처한다면 여러분이 관리하는 시스템은 이미 평균 이상의 보안을 갖춘 것이다.



모든 회사가 해킹된다
최근 일어나는 대형 보안 사고를 보면 피해를 본 회사가 컴퓨터 보안에 미숙하기 때문이라고 생각하기 쉽다. 그러나 고객 기록 수백만 건을 도난당하고 수백만 달러 피해를 보는 대형 해킹 사고는 지금 이 순간에도 계속되고 있다. 오히려 거의 모든 회사가 해킹되고 있으며 언론에 보도되는 것은 그 중 일부라고 보는 것이 더 정확하다.

모든 회사는 악의적인 해커 한 명에 의해 완전히, 철저하게 장악 당할 수 있다. 이는 엄연한 사실이다. 인터넷과 연결하지 않고 하드 드라이브는 매일 일과가 끝나면 금고에 넣어 보관하는 극비 군사 시설을 제외하면 평범한 기업, 소규모 업체 모두가 이 명제에서 벗어날 수 없다. 필자가 컨설팅한 수백 곳 기업 중 어딘가에 숨어 있는 해킹의 흔적을 단 1개도 찾지 못한 경우는 단 1번도 없었다.

어떤 경우는 다년간 활동한 여러 해킹 그룹을 동시에 발견하기도 했다. 한 기업은 8개의 해킹 그룹에 농락을 당했고, 이 중 일부는 무려 10년이나 해당 기업의 시스템에 암약했다.

이 사례가 흥미로웠던 것은 그들이 필자를 호출한 이유였다. 적용하기 싫은 소프트웨어 패치가 무슨 수를 써도 계속 적용된다는 것이었다. 알고보니 해커 그룹이 아무리 기다려도 희생자 회사가 자신의 환경을 더 안전하게 만들지 않아 더 많은 해킹 그룹이 자꾸 더 몰려들자 직접 패치를 설치했던 것이었다. 해커가 사용자보다 보안에 더 신경을 쓴 아이러니한 상황이었다.

필자는 침투 테스트 일도 하고 있는데, 자신의 회사에 침입해 달라는 부탁을 종종 받는다(물론 침입은 정식 허가를 받은 후에 진행된다). 그러나 침입에 1시간 이상 걸린 적이 없다. 예외적으로 3시간이 걸렸던 회사가 있는데 예전에 필자가 컨설팅을 해준 대로 조처를 했기 때문이었다. 필자의 해킹 실력은 보통 수준이다. 필자가 존경하는 일부 실력자라면 더 빠르게 침투할 수 있다. 제로 데이(Zero Day) 공격이 가능한 전 세계 해커들을 논외로 해도 이런 상황이다.

전 세계 컴퓨터의 보안은 형편 없는 수준이다. 제로 데이까지 언급할 필요가 없다. 주위를 조금만 둘러봐도 약점을 쉽게 찾을 수 있다. 대부분 회사는 컴퓨터 보안에 소홀하다. 말은 그럴 듯하게 하지만 완벽한 패칭, 응용프로그램 제어 프로그램, 인터넷 차단 같은 해커를 배제하기 위해 필요한 조치를 할 의지가 부족하다. 적어도 아직까지는 그렇다.

대부분 회사는 자사의 가장 취약한 보안이 무엇인지 모른다
이 사실은 필자가 지난 5년간에 겪고 깨달은 것이다. 자신의 회사가 일상적으로 가장 많이 악용될 수 있는 부분이 무엇인지 제대로 파악하고 있는 IT 보안 담당자를 거의 만날 수 없었다. 5~20% 정도는 정답을 맞히지만 이를 설명할 근거는 내놓지 못했다. 즉, IT 보안 직원 중 80%는 엉뚱한 곳을 막고 있다는 의미다. 더구나 일부 보안 직원을 제외한 IT 부서 직원과 나머지 회사 직원은 아무것도 모른다. 결국 회사내 대부분 직원이 최대 위협이 무엇인지 잘 모른다면 어떻게 효과적으로 대처할 수 있겠나?

최대 위협을 보여주는 자료는 존재하지 않는다. 방대한 양의 이벤트를 복잡한 로그 관리 시스템에 수집하기 위해 수백 만 달러를 투자하면 답을 찾을 수 있다고 생각하겠지만 현실은 그렇지 않다. 어쩌면 답은 영영 나오지 않을 지도 모른다. 그러나 아예 질문 자체를 하지 않으면 절대로 답을 찾을 수 없다.


실제 위협과 인지된 위협 사이엔 격차가 크다
최대 잠재 위협과 최대 실제 악용 사이에는 큰 격차가 있다. 이 차이를 정확히 아는 보안 방어 전문가가 있다면 그의 가치는 그의 몸무게 만큼의 황금보다 더 많을 수도 있다. 해마다 5,000~7,000가지 새로운 보안 취약점이 등장한다(이 숫자는 10년 넘게 꽤 일정하게 유지되고 있다). 이 중 4분의 1 내지 3분의 1이 최고 위험성으로 분류된다.

이는 취약성 검사 소프트웨어를 실행하거나 패치 관리 보고서를 검토할 때 “최우선”적으로 해결해야 할 일이 항상 많을 수밖에 없다는 의미다. 그러나 실제로 한 번에 집중해서 해결할 수 있는 것은 몇 개에 불과하다. 그렇다면 수정해야 할 최우선 사항이 20개라면 어떻게 해야 할까?

먼저 현재 환경에서 가장 큰 피해를 입히는 위험한 것을 해결한 후 그 다음에 가장 가능성이 높은 것을 해결하는 것이 좋다. 가장 위험한 취약점이 가장 높은 순위의 취약점이 아닐 수도 있지만 상관 없다. 위험성 순위는 피해를 줄 가능성을 기준으로 해야 한다. 실질적인 피해와 향후 가능성이 가장 높은 피해는 추측하는 수밖에 없다. 이 차이를 정확히 이해한다면 컴퓨터 보안 방어 전문가로서 해야 할 일의 많은 부분이 달라질 것이다.

방화벽과 백신 소프트웨어는 크게 중요하지 않다
오늘날 보안 위협 대부분은 최종 사용자에 의해 시작된 일종의 고객 측 위협이다. 즉, 사용자의 데스크톱에 도달하지 못하게 막기 위해 설치된 모든 방화벽을 이미 통과했음을 의미한다. 이런 상황에서 방화벽은 거의 쓸모가 없다.

전통적인 방화벽의 가장 큰 역할은 취약한 서비스에 대한 무단 접속 시도를 막는 것이다. 만일 해당 서비스가 취약하지 않다면 방화벽의 가치는 크지 않을 것이다. 그렇다고 가치가 아예 없는 것은 아니다. 특히 지능적인 심층 패킷 검사 방화벽은 가치가 있다. 문제는 위협 대부분이 더 이상 방화벽으로 막을 수 없다는 점이다. 따라서 한 때 방화벽이 제공하던 큰 가치가 이제는 많이 사라졌다.

백신 소프트웨어도 비슷하다. 어떠한 백신 제품도 새롭게 출현하는 모든 악성코드에 100% 효과적일 수 없다. “100%”라는 테스트 결과를 봐도 믿어서는 안된다. 악성코드가 현실처럼 많이 수정되고 개발되지 않는, 일종의 통제된 조건에서 수행되는 테스트이기 때문이다. 현실에서 사용자가 처음 마주치는 악성코드 프로그램은 새로운 악성코드 프로그램을 다운로드하고 백신 소프트웨어를 모조리 우회하도록 업데이트되는 다운로더일 가능성이 높다.

전 세계 보안 사고의 원인은 2가지로 수렴된다
지난 10년 넘는 기간 동안 보안 사고가 나는 이유는 크게 2가지였다. 하나는 소프트웨어를 패치 하지 않기 때문이고 다른 하나는 사회 공학적 방법으로 누군가에게 속아 설치하면 안되는 것을 설치했기 때문이다. 이 2가지가 거의 100%를 차지한다. 그 외 사건은 전 세계 사례를 통틀어도 채 1%가 안될 것이다. 결국 이 2가지 문제를 해결하지 않으면 나머지는 의미가 없다. 패치 하지 않은 소프트웨어 프로그램 하나가 웹 기반 보안 취약점 악용 사고의 90% 이상을 차지한 때도 있었다. 사회 공학이 그 나머지를 차지한다. 따라서 중요한 문제가 먼저 집중할 필요가 있다. ciokr@idg.co.kr 

X