2018.04.16

대형 해킹 사고 이후 어도비가 보안 책임자를 '승진' 시킨 이유

Terena Bell | CSO
2013년 10월 21세기 들어 가장 큰 17건의 데이터 유출 사고 중 하나가 발생했다. 3,800만여 명의 어도비 사용자의 3백만 개가 넘는 신용카드 번호와 로그인 정보가 해킹됐다. 어도비는 그 때의 뒷감당을 아직까지 하고 있다. 최근 어도비가 발표한 ‘익스피리언스 클라우드(Experience Cloud)’ 기능은 보안에 전보다 더 중점을 두겠다는 어도비의 의지를 보여준다.

어도비 CSO 브래드 아킨어도비의 CSO 브래드 아킨은 CSO와의 인터뷰에서 과거의 실수를 통해 얻은 뼈저린 교훈과 향후 보안이 나아갈 방향에 대해 밝혔다. 그는 2013년 당시 어도비의 시니어 디렉터였으며 최고 보안 책임자였지만, 어도비는 그를 해고하지 않았다. 오히려 그를 승진시켰다.

비즈니스 운용을 개선하기 위한 목적도 있었지만, C레벨 포지션을 만든 데에는 다른 이유가 더 있었다. 아킨은 “당시 많은 일이 벌어지고 있었다”라고 말했다.

클라우드로의 이전과 보안 취약점
CSO가 되기 전 아킨이 맡았던 디렉터 직무는 주로 데스크톱 제품에 쓰일 코드에 집중했고 당시에는 그것이 어도비의 주 사업분야였다. 그러나 2011년에서 2013년 사이 어도비는 데스크톱 라이선스 판매에서 클라우드 기반의 SaaS 판매로 사업 영역을 전환했다. 당시 많은 소프트웨어 업체가 불가피하게 이러한 전환 과정을 거쳤지만, 어도비는 이 과정에서 보안 취약점이 많이 발생했다. 당시 어도비는 코드뿐 아니라 그 코드를 구동하는 서버와 인프라스트럭처, 그리고 IT 보안과 같은 전통적인 백-오피스의 영역이라 여겨졌단 것에 대한 보안을 C레벨 관리자의 권한 없이 관리했다.

그러나 제품 엔지니어링은 IT 보안과는 완전히 별도라는 개념이 더 이상 통하지 않게 됐다. 보안이 제대로 이루어지고 있는지 알기 위한 방법 중 하나는 과연 시스템을 사용하는 이들이 안전하다고 느끼는지 보는 것이다. 브래드 아킨을 CSO로 임명하는 것은 보안에 대한 신뢰와 안정감을 주는 역할을 했다. 아킨은 "보안을 유지하고 시스템을 안전하게 관리한다고 해서 우리 일이 끝난 것은 아니었다. 사람들이 시스템을 안전하다고 느끼도록 하는 것, 그래서 안심할 수 있도록 하는 것도 보안 담당자의 일이라는 것을 알게 되었다”라고 말했다.

CSO 직무를 신설한 것 외에도, 어도비는 대규모 조직 재편에 돌입했다. 뿔뿔이 흩어져 있던 보안 팀을 한 곳에 모으는 것부터 시작했다. 여기에 우선 순위를 재정립하고, 조직상의 맹점이 존재하지는 않는지도 확인했다. CSO 직무가 신설되면서, 팀원들도 명확한 리더와 방향성이 생겼다. CSO 직무 신설에 대해 커뮤니케이션하면서 시야도 넓어졌다.

아킨의 해법은 보안 전략은 '폐쇄적으로', 커뮤니케이션은 '공개적으로' 하는 것이었다. 그는 “CSO 직무를 신설하면서, 내가 보안 문제를 총괄하고 이에 대한 최종적 책임을 진다는 것이 내부적으로 매우 명확해졌다”라고 말했다. 여기서 ‘책임’이란 이전과 같은 해킹 사건이 또 발생할 대 그의 얼굴과 이름이 책임 소재로 전면에 나서게 됨을 의미했다.

또한 “우리는 투명한 커뮤니케이션을 강조하는 회사다. 해킹과 같은 불운한 사태가 발생하면, 대부분의 사람은 ‘왜 이런 일이 일어난 거지? 속상하다, 부끄럽다’고 느끼고, 문제에 대해 침묵하거나 회피하려 한다. 그렇지만 이는 결코 올바른 전략이 아니다. 투명한 커뮤니케이션을 유지하는 것이 가장 덜 나쁜 선택이라는 말은 이런 의미다"라고 덧붙였다.

물론 그렇다고 해서 어도비가 백만 달러 규모의 피해를 입었다는 사실이 변하는 건 아니다. 또한 15개 주로부터 소송을 당했다는 것도 변함이 없다. 그렇지만 최소한 아킨을 필두로 한 그의 팀은 공개적이고 투명한 절차에 따라 문제를 수습하는 모습을 보이고 있다. 또한 이와 같은 사건이 향후 또 발생하는 일이 없도록 철저히 대비하고 있다. 만일 그런 일이 재발한다면, 숨기는 것 없이 낱낱이 전후 사정을 공개할 예정이다.

어도비 익스피리언스 클라우드가 직면한 보안 과제들
어도비는 투명성에 대한 이러한 약속을 반드시 지켜야 한다. 지난 3월 27일 어도비 서밋(어도비 사의 연례 행사다)의 기조 연설을 맡은 디지털 마케팅 부대표 브래드 렌처는 어도비 익스피리언스 클라우드의 새로운 기능을 소개했다. 바로 어도비 고객이 사용자에 대해 수집한 모든 데이터 포인트를 중앙화하는 통합 프로파일 기능이었다.

렌처는 이를 가리켜 “대용량 콘텐츠 및 데이터를 해석하고 관리할 수 있는 새로운 기록 시스템”이라고 불렀다. 통합 프로파일 기능은 개인의 브라우징 행위 패턴, 기기 사용 데이터, CRM 표기, MS 다이내믹스 365(Dynamics 365)에서 수집한 정보 등 각종 데이터를 수집한다. 정보를 수집하는 이유는 마케팅을 지금보다 더 개인화하기 위해서다. 그러나 보안 관점에서 보면 이러한 통합 프로파일의 생성은 PII(개인 식별 정보)를 한 바구니에 모아 해커에게 바치는 것과 다름 없어 보이기도 한다.


어도비 CSO가 말하는 ‘완벽한 보안’이란
물론 이러한 개별 기능의 설계까지 아킨이 책임져야 하는 것은 아니다. 그렇지만 이런 기능을 안전하게 보호하는 것은 그의 업무가 맞다. 아킨은 “우리의 경험상, 코드 베이스가 얼마나 안전한가는 그렇게 중요하지 않다. 문제는 그러한 설치 베이스가 어떠한 모습인가, 그리고 그것이 해커에게 얼마나 매력적인 타깃으로 보이는가이다”라고 말했다.

어도비가 2013년 사건으로부터 배운 또 다른 교훈은 해커가 누구이고, 그들의 목표가 무엇인지도 무척 중요하다는 것이다. 해커가 액세스 할 수 있는 기기와 데이터가 많아 질수록, 타깃이 되는 기관의 리스크는 커진다. 따라서 어도비는 그 동안 플래시 플레이어 보안에 집중해 왔다. 아킨에 따르면, 플래시 플레이어는 수십 억 개 시스템에 설치돼 있다.

익스피리언스 클라우드는 유저 수는 더 적지만, 익스피리언스 클라우드를 구매하는 기업은 자사의 고객들로부터 수백 만 건의 데이터를 수집한다. 아킨은 “해커는 우선 타깃의 기기에서 원격으로 코드를 실행하는 것을 목표로 삼는다. 그리고 나서 최종적으로 원하던 결과를 달성하려 한다. 오늘날 해커는 신뢰할 수 없는 코드를 가동하려 하기 보다는 계정 정보를 훔치는 데 더 중점을 둔다. 왜냐하면 10년 전 윈도우와 비교했을 때 오늘날에는 기기에 코드를 심는 것이 매우 어려운 일이 됐기 때문이다"라고 말했다.

클라우드 보안, 권한 인증이 열쇠다
익스피리언스 클라우드 (또는 기타 클라우드 기반 프로그램) 보안을 위해서는 권한 인증이 가장 중요하다. 아킨은 “사용자 ID와 패스워드를 아는 사람이 계정에 접근하려 한다고 하자. 설령 ID와 PW를 안다고 해도, 평소와 다르게 수상한 행동을 보이면 계정의 실제 주인이 아닐 수 있다. 다른 사람이 크리덴셜을 도용해 접속하려는 것일 수 있다"라고 말했다. 그렇다면 ‘평상시’ 그 사람의 행동 패턴과, 변칙적 이상 행위 패턴을 어떻게 구분할 수 있을까? 그리고 이에 대해 어떻게 대처하면 좋은 것일까?

“로그인 시도의 특성에 기반한 예/아니오 의사 결정”과 같은 기본적인 행위의 경우 어도비는 옥타(Okta)의 서비스를 이용한다. 아킨은 “더 큰 아키텍처 내에 숨겨진 요소를 이용하는 것이다. 제로 트러스트 모델과 내부 권한 인증 시스템을 통해 기기에 더 구체적인 질문을 던질 수 있다. 처음 기기를 설정할 때 심어 두었던 인증서가 그대로 설치되어 있는지, 어도비의 모바일 기기 관리 소프트웨어가 정상적으로 구동되고 있는지, 패치 레벨은 어떠한지 등을 확인할 수 있다"라고 말했다.

어도비의 권한 인증 절차는 매우 까다롭고 빈틈이 없어서 세일즈 직원조차 콘퍼런스에 참가하지 못한 적이 수 차례 있었다. 아킨은 “시애틀 지사에서 항상 아이폰 및 맥을 사용해 업무를 보던 한 직원이 있었다. 그런데 하루는 라스베이거스에 있는 다섯 개의 윈도우 기기에서 20분 정도 되는 시간 내에 그의 계정이 로그인 됐다는 알림이 왔다. 그 때 우리는 솔직히 ‘드디어 제대로 된 녀석이 잡혔구나!’ 하는 생각을 했다"라고 말했다.

어도비가 겪었던 수준의 해킹 사건을 경험하고 나면(5년이 지난 지금도 기자들은 당시 사건을 언급하곤 한다), 설령 보안이 너무 까다로워 콘퍼런스에 참석하지 못하게 된 자사 직원이 있어도 강화된 보안을 당연하게 여기게 되곤 한다. 여느 기업이 그렇듯, 어도비의 보안도 완벽한 것은 아니다. 예컨대 지난 9월, 어도비 블로그에 PGP 암호화 키가 공개된 것과 같은 자잘한 이슈가 있었다. 하지만 2013년 이후 지금까지 어도비는 대형 보안 사건의 타깃도 되지 않은 채 안전하게 시스템을 운용해오고 있다.

물론 이러한 ‘소소한 이슈’가 쌓이면 또 다시 대형 사고로 이어지는 수 있다. 이에 대해 아킨은 ‘심층적이고 선제적인 보안 대책을 세우는 것’의 중요성을 강조했다. 그는 “물론 단순히 보안 장벽이 있다고 해서 ‘코드도 완벽하고 모든 대책을 세웠으니, 이제 할 일은 끝났어’라고 안심해도 좋다는 것은 아니다. 코드에는 언제나 결점이 있고, 따라서 여러 층의 보안 대책을 마련해야 한다. 심층적이고 선제적인 보안 대책을 세우는 것도 중요하지만, 긴급한 상황이 발생했을 때 준비된 자세로, 정확한 판단을 내리고 잘 대처해야 한다"라고 말했다. ciokr@idg.co.kr 
2018.04.16

대형 해킹 사고 이후 어도비가 보안 책임자를 '승진' 시킨 이유

Terena Bell | CSO
2013년 10월 21세기 들어 가장 큰 17건의 데이터 유출 사고 중 하나가 발생했다. 3,800만여 명의 어도비 사용자의 3백만 개가 넘는 신용카드 번호와 로그인 정보가 해킹됐다. 어도비는 그 때의 뒷감당을 아직까지 하고 있다. 최근 어도비가 발표한 ‘익스피리언스 클라우드(Experience Cloud)’ 기능은 보안에 전보다 더 중점을 두겠다는 어도비의 의지를 보여준다.

어도비 CSO 브래드 아킨어도비의 CSO 브래드 아킨은 CSO와의 인터뷰에서 과거의 실수를 통해 얻은 뼈저린 교훈과 향후 보안이 나아갈 방향에 대해 밝혔다. 그는 2013년 당시 어도비의 시니어 디렉터였으며 최고 보안 책임자였지만, 어도비는 그를 해고하지 않았다. 오히려 그를 승진시켰다.

비즈니스 운용을 개선하기 위한 목적도 있었지만, C레벨 포지션을 만든 데에는 다른 이유가 더 있었다. 아킨은 “당시 많은 일이 벌어지고 있었다”라고 말했다.

클라우드로의 이전과 보안 취약점
CSO가 되기 전 아킨이 맡았던 디렉터 직무는 주로 데스크톱 제품에 쓰일 코드에 집중했고 당시에는 그것이 어도비의 주 사업분야였다. 그러나 2011년에서 2013년 사이 어도비는 데스크톱 라이선스 판매에서 클라우드 기반의 SaaS 판매로 사업 영역을 전환했다. 당시 많은 소프트웨어 업체가 불가피하게 이러한 전환 과정을 거쳤지만, 어도비는 이 과정에서 보안 취약점이 많이 발생했다. 당시 어도비는 코드뿐 아니라 그 코드를 구동하는 서버와 인프라스트럭처, 그리고 IT 보안과 같은 전통적인 백-오피스의 영역이라 여겨졌단 것에 대한 보안을 C레벨 관리자의 권한 없이 관리했다.

그러나 제품 엔지니어링은 IT 보안과는 완전히 별도라는 개념이 더 이상 통하지 않게 됐다. 보안이 제대로 이루어지고 있는지 알기 위한 방법 중 하나는 과연 시스템을 사용하는 이들이 안전하다고 느끼는지 보는 것이다. 브래드 아킨을 CSO로 임명하는 것은 보안에 대한 신뢰와 안정감을 주는 역할을 했다. 아킨은 "보안을 유지하고 시스템을 안전하게 관리한다고 해서 우리 일이 끝난 것은 아니었다. 사람들이 시스템을 안전하다고 느끼도록 하는 것, 그래서 안심할 수 있도록 하는 것도 보안 담당자의 일이라는 것을 알게 되었다”라고 말했다.

CSO 직무를 신설한 것 외에도, 어도비는 대규모 조직 재편에 돌입했다. 뿔뿔이 흩어져 있던 보안 팀을 한 곳에 모으는 것부터 시작했다. 여기에 우선 순위를 재정립하고, 조직상의 맹점이 존재하지는 않는지도 확인했다. CSO 직무가 신설되면서, 팀원들도 명확한 리더와 방향성이 생겼다. CSO 직무 신설에 대해 커뮤니케이션하면서 시야도 넓어졌다.

아킨의 해법은 보안 전략은 '폐쇄적으로', 커뮤니케이션은 '공개적으로' 하는 것이었다. 그는 “CSO 직무를 신설하면서, 내가 보안 문제를 총괄하고 이에 대한 최종적 책임을 진다는 것이 내부적으로 매우 명확해졌다”라고 말했다. 여기서 ‘책임’이란 이전과 같은 해킹 사건이 또 발생할 대 그의 얼굴과 이름이 책임 소재로 전면에 나서게 됨을 의미했다.

또한 “우리는 투명한 커뮤니케이션을 강조하는 회사다. 해킹과 같은 불운한 사태가 발생하면, 대부분의 사람은 ‘왜 이런 일이 일어난 거지? 속상하다, 부끄럽다’고 느끼고, 문제에 대해 침묵하거나 회피하려 한다. 그렇지만 이는 결코 올바른 전략이 아니다. 투명한 커뮤니케이션을 유지하는 것이 가장 덜 나쁜 선택이라는 말은 이런 의미다"라고 덧붙였다.

물론 그렇다고 해서 어도비가 백만 달러 규모의 피해를 입었다는 사실이 변하는 건 아니다. 또한 15개 주로부터 소송을 당했다는 것도 변함이 없다. 그렇지만 최소한 아킨을 필두로 한 그의 팀은 공개적이고 투명한 절차에 따라 문제를 수습하는 모습을 보이고 있다. 또한 이와 같은 사건이 향후 또 발생하는 일이 없도록 철저히 대비하고 있다. 만일 그런 일이 재발한다면, 숨기는 것 없이 낱낱이 전후 사정을 공개할 예정이다.

어도비 익스피리언스 클라우드가 직면한 보안 과제들
어도비는 투명성에 대한 이러한 약속을 반드시 지켜야 한다. 지난 3월 27일 어도비 서밋(어도비 사의 연례 행사다)의 기조 연설을 맡은 디지털 마케팅 부대표 브래드 렌처는 어도비 익스피리언스 클라우드의 새로운 기능을 소개했다. 바로 어도비 고객이 사용자에 대해 수집한 모든 데이터 포인트를 중앙화하는 통합 프로파일 기능이었다.

렌처는 이를 가리켜 “대용량 콘텐츠 및 데이터를 해석하고 관리할 수 있는 새로운 기록 시스템”이라고 불렀다. 통합 프로파일 기능은 개인의 브라우징 행위 패턴, 기기 사용 데이터, CRM 표기, MS 다이내믹스 365(Dynamics 365)에서 수집한 정보 등 각종 데이터를 수집한다. 정보를 수집하는 이유는 마케팅을 지금보다 더 개인화하기 위해서다. 그러나 보안 관점에서 보면 이러한 통합 프로파일의 생성은 PII(개인 식별 정보)를 한 바구니에 모아 해커에게 바치는 것과 다름 없어 보이기도 한다.


어도비 CSO가 말하는 ‘완벽한 보안’이란
물론 이러한 개별 기능의 설계까지 아킨이 책임져야 하는 것은 아니다. 그렇지만 이런 기능을 안전하게 보호하는 것은 그의 업무가 맞다. 아킨은 “우리의 경험상, 코드 베이스가 얼마나 안전한가는 그렇게 중요하지 않다. 문제는 그러한 설치 베이스가 어떠한 모습인가, 그리고 그것이 해커에게 얼마나 매력적인 타깃으로 보이는가이다”라고 말했다.

어도비가 2013년 사건으로부터 배운 또 다른 교훈은 해커가 누구이고, 그들의 목표가 무엇인지도 무척 중요하다는 것이다. 해커가 액세스 할 수 있는 기기와 데이터가 많아 질수록, 타깃이 되는 기관의 리스크는 커진다. 따라서 어도비는 그 동안 플래시 플레이어 보안에 집중해 왔다. 아킨에 따르면, 플래시 플레이어는 수십 억 개 시스템에 설치돼 있다.

익스피리언스 클라우드는 유저 수는 더 적지만, 익스피리언스 클라우드를 구매하는 기업은 자사의 고객들로부터 수백 만 건의 데이터를 수집한다. 아킨은 “해커는 우선 타깃의 기기에서 원격으로 코드를 실행하는 것을 목표로 삼는다. 그리고 나서 최종적으로 원하던 결과를 달성하려 한다. 오늘날 해커는 신뢰할 수 없는 코드를 가동하려 하기 보다는 계정 정보를 훔치는 데 더 중점을 둔다. 왜냐하면 10년 전 윈도우와 비교했을 때 오늘날에는 기기에 코드를 심는 것이 매우 어려운 일이 됐기 때문이다"라고 말했다.

클라우드 보안, 권한 인증이 열쇠다
익스피리언스 클라우드 (또는 기타 클라우드 기반 프로그램) 보안을 위해서는 권한 인증이 가장 중요하다. 아킨은 “사용자 ID와 패스워드를 아는 사람이 계정에 접근하려 한다고 하자. 설령 ID와 PW를 안다고 해도, 평소와 다르게 수상한 행동을 보이면 계정의 실제 주인이 아닐 수 있다. 다른 사람이 크리덴셜을 도용해 접속하려는 것일 수 있다"라고 말했다. 그렇다면 ‘평상시’ 그 사람의 행동 패턴과, 변칙적 이상 행위 패턴을 어떻게 구분할 수 있을까? 그리고 이에 대해 어떻게 대처하면 좋은 것일까?

“로그인 시도의 특성에 기반한 예/아니오 의사 결정”과 같은 기본적인 행위의 경우 어도비는 옥타(Okta)의 서비스를 이용한다. 아킨은 “더 큰 아키텍처 내에 숨겨진 요소를 이용하는 것이다. 제로 트러스트 모델과 내부 권한 인증 시스템을 통해 기기에 더 구체적인 질문을 던질 수 있다. 처음 기기를 설정할 때 심어 두었던 인증서가 그대로 설치되어 있는지, 어도비의 모바일 기기 관리 소프트웨어가 정상적으로 구동되고 있는지, 패치 레벨은 어떠한지 등을 확인할 수 있다"라고 말했다.

어도비의 권한 인증 절차는 매우 까다롭고 빈틈이 없어서 세일즈 직원조차 콘퍼런스에 참가하지 못한 적이 수 차례 있었다. 아킨은 “시애틀 지사에서 항상 아이폰 및 맥을 사용해 업무를 보던 한 직원이 있었다. 그런데 하루는 라스베이거스에 있는 다섯 개의 윈도우 기기에서 20분 정도 되는 시간 내에 그의 계정이 로그인 됐다는 알림이 왔다. 그 때 우리는 솔직히 ‘드디어 제대로 된 녀석이 잡혔구나!’ 하는 생각을 했다"라고 말했다.

어도비가 겪었던 수준의 해킹 사건을 경험하고 나면(5년이 지난 지금도 기자들은 당시 사건을 언급하곤 한다), 설령 보안이 너무 까다로워 콘퍼런스에 참석하지 못하게 된 자사 직원이 있어도 강화된 보안을 당연하게 여기게 되곤 한다. 여느 기업이 그렇듯, 어도비의 보안도 완벽한 것은 아니다. 예컨대 지난 9월, 어도비 블로그에 PGP 암호화 키가 공개된 것과 같은 자잘한 이슈가 있었다. 하지만 2013년 이후 지금까지 어도비는 대형 보안 사건의 타깃도 되지 않은 채 안전하게 시스템을 운용해오고 있다.

물론 이러한 ‘소소한 이슈’가 쌓이면 또 다시 대형 사고로 이어지는 수 있다. 이에 대해 아킨은 ‘심층적이고 선제적인 보안 대책을 세우는 것’의 중요성을 강조했다. 그는 “물론 단순히 보안 장벽이 있다고 해서 ‘코드도 완벽하고 모든 대책을 세웠으니, 이제 할 일은 끝났어’라고 안심해도 좋다는 것은 아니다. 코드에는 언제나 결점이 있고, 따라서 여러 층의 보안 대책을 마련해야 한다. 심층적이고 선제적인 보안 대책을 세우는 것도 중요하지만, 긴급한 상황이 발생했을 때 준비된 자세로, 정확한 판단을 내리고 잘 대처해야 한다"라고 말했다. ciokr@idg.co.kr 
X