2018.07.19

기고 | 더 정교해지는 사이버공격, 중요한 것은 '사람'이다

Kevin Kanji | CIO New Zealand
엄청난 데이터 유출과 계속되는 정보 유출 위협의 시대에 살면서 우리의 정보, 고객, 국민들을 겨냥한 더 노련해진 사이버공격을 미리부터 걱정해야 한다고 믿는 경우가 많다. 다크웹(Dark Web)과 거기에 존재하는 비장의 서비스 규모에 대한 공포심을 조장하는 사람들도 있다. 이런 위협에 대응하기 위해 많은 기술이 제시됐으며 우리는 매월 새로운 문제가 발생했으니 (일반적으로 블록체인을 사용하여) 이를 파악해 해결해야 한다는 이야기를 듣는다.



사실 우리는 이런 이야기에 관심을 집중하면서 우리에게 해가 되는 것은 가볍게 여기고 경향이 있다.

CERT NZ에 보고된 모든 보안 사고 중 46%는 피싱 공격 및 피싱을 이용한 자격 증명 도난과 관련이 있다. 이는 여전히 추가적인 접근, 권한 자격 증명, 사기 거래 등을 실행할 표적으로 대상으로 공격하는 가장 쉬운 방법이다. 여기서 공통분모는 사람이다.

특히 뉴질랜드 사람들은 여러 세계적인 사이버 문제와는 동떨어져 있다고 느끼고 있다. 뉴질랜드 사람들은 자신들에게 이런 일이 절대로 발생하지 않을 것이며 그 누구도 우리에게 문제를 일으키지 않을 것으로 생각한다. 뉴질랜드에는 소기업들이 많기 때문에 미국과 유럽의 대기업들만큼 돈이 없는데 범죄자들이 굳이 뉴질랜드를 표적으로 삼을 이유가 있을까? 대답은 간단하다. 우리는 연결돼 있다.

디지털에서 우리와 가장 먼 국가 사이의 거리는 200밀리 초밖에 되지 않는다. 뉴질랜드 사람들은 2017년 4월~ 2018년 5월 사이에 사이버 공격으로 인해 900만 뉴질랜드 달러 이상의 손실을 본 것으로 보고됐다.

분개한 직원이나 계약자가 신뢰를 악용하거나 누군가 실수하도록 소셜 엔지니어링을 활용하는 데에는 아주 조금만 노력을 기울이면 된다. 우리는 표적화된 공격을 당하고 있으며 대대적인 국제 사기로 인한 부수적인 피해를 입고 있다. 투자수익은 높고 공격자들에 대한 위험은 낮다.

하지만 뉴질랜드에서는 여전히 인터넷이 성장의 촉매가 되고 있다. 소매 서비스, 정부와 시민의 소통, 혁신의 성장은 뉴질랜드 사람들이 자랑스러워할 만하다. 우리는 분명 인터넷에 제공하는 기회를 지속해서 활용해야 한다.

우리는 무엇이 중요한지 검토해야 한다. 기업과 정부에 정보 처리 및 전송에 내재된 보안 위험에 관해 사람들을 교육하는 것이 우선순위가 돼야 한다. 그들은 제 1 방어선이며 조직들의 가장 큰 공격 표면이다.

이런 방어를 성공적으로 활성화하려면 사람들을 자산으로 활용해야 한다. 안타깝게도 우리는 수년 동안 이것을 규제를 준수하는 연습으로 취급했었다. 포스터, 이메일, 고위 경영진은 행동적 필연성에 대한 메시지만 주입하고 있다. 우리의 직업, 고객, 일자리를 생각해 보자. 부정적인 집행 요소들이다.

우리는 현재 많은 분야에서 행동 경제학을 활용하고 있으며, 많은 디지털 마케팅과 사회 정책의 근간이 되고 있다. 하지만 우리는 아직 이것을 보안에 완전히 통합하지 않았다. 우리는 건전한 보안 행동에 대해 긍정적인 유인을 제공하지 않는다.

우리가 보안을 인간의 행동에 통합하는 방법에 관해 고려해야 하는 영감의 근원은 교육적 적용이다. 코드 작성 학습, 새로운 언어 이해, 아이비리그 대학 과정 경험에서 게임화가 이런 새로운 교육 방법의 핵심이다.

중요한 기술을 배우고 필요한 행동을 실천하는 사람들에게 보상을 제공하는 것이 단순히 사람들에게 자료를 훑어보도록 촉구하고 곧 잊어버리는 전통적인 접근방식보다 보안 마음가짐을 활성화하는데 훨씬 긍정적이다. 우리는 악의적이고 의도하지 않은 사이버 피해의 위협에 대해 사람들이 경계하도록 하는 데 필요한 것은 얻을 수 없는 규제 준수 확인 목록만 있을 뿐이다.

물론, 집과 일터에서 인식을 높이고 사람의 행동을 개선하기 위해서는 위협을 제대로 이해해야 한다. 공공이나 민간에서 우리의 분야나 회사가 직면한 구체적인 위협이 우리의 적들에 의해 발생하고 있으며 그들이 원하는 것, 그들이 이를 달성하는 방법, 우리의 개별적인 대응 능력 등을 파악해야 한다.


정보에 기초한 관점으로 획일적인 공포를 없애고 이해를 높일 수 있다. 우리는 위험의 위치를 파악하고 우리에게 중요한 것과 이를 보호하는 방법을 파악해야 한다. 하지만 이를 실용적으로 실행하면서 우리가 매번 모든 것에 이런 보호 장치를 적용할 수 없다는 사실을 깨달아야 한다. 그래서 사람이 중요한 것이다. 필수적인 방어선이 될 유인을 부여하고 보안을 위해 투자할 수 있도록 해야 한다.

우리가 지속해서 디지털 역량, 서비스 제공물, 기술과 우리 삶의 더욱 심도 깊은 통합을 추구하면서 우리는 사람들을 활성화하고 정보를 이용하며 기술을 배치하여 우리가 직면한 위협에 대한 위험 기반 이해를 지원하는 등 사이버 역량 요건을 충족해야 한다.

결국은 사이버 역량을 발전시켜 결과적으로 디지털 시대에 사람들의 웰빙을 높이고 비즈니스 성장을 위한 발판을 제공하며 더욱 공공 서비스 수요자 중심적이고 빠르게 원상복구 할 수 있는 정부가 요구된다.

*Kevin Kanji는 고객 및 비즈니스의 성장 전략을 지원하는 정책, 프로세스, 기술의 설계와 구현을 주도하는 트랜잭션 서비스 그룹(Transaction Services Group)의 최고 정보보안 책임자(CISO)다. ciokr@idg.co.kr
 



2018.07.19

기고 | 더 정교해지는 사이버공격, 중요한 것은 '사람'이다

Kevin Kanji | CIO New Zealand
엄청난 데이터 유출과 계속되는 정보 유출 위협의 시대에 살면서 우리의 정보, 고객, 국민들을 겨냥한 더 노련해진 사이버공격을 미리부터 걱정해야 한다고 믿는 경우가 많다. 다크웹(Dark Web)과 거기에 존재하는 비장의 서비스 규모에 대한 공포심을 조장하는 사람들도 있다. 이런 위협에 대응하기 위해 많은 기술이 제시됐으며 우리는 매월 새로운 문제가 발생했으니 (일반적으로 블록체인을 사용하여) 이를 파악해 해결해야 한다는 이야기를 듣는다.



사실 우리는 이런 이야기에 관심을 집중하면서 우리에게 해가 되는 것은 가볍게 여기고 경향이 있다.

CERT NZ에 보고된 모든 보안 사고 중 46%는 피싱 공격 및 피싱을 이용한 자격 증명 도난과 관련이 있다. 이는 여전히 추가적인 접근, 권한 자격 증명, 사기 거래 등을 실행할 표적으로 대상으로 공격하는 가장 쉬운 방법이다. 여기서 공통분모는 사람이다.

특히 뉴질랜드 사람들은 여러 세계적인 사이버 문제와는 동떨어져 있다고 느끼고 있다. 뉴질랜드 사람들은 자신들에게 이런 일이 절대로 발생하지 않을 것이며 그 누구도 우리에게 문제를 일으키지 않을 것으로 생각한다. 뉴질랜드에는 소기업들이 많기 때문에 미국과 유럽의 대기업들만큼 돈이 없는데 범죄자들이 굳이 뉴질랜드를 표적으로 삼을 이유가 있을까? 대답은 간단하다. 우리는 연결돼 있다.

디지털에서 우리와 가장 먼 국가 사이의 거리는 200밀리 초밖에 되지 않는다. 뉴질랜드 사람들은 2017년 4월~ 2018년 5월 사이에 사이버 공격으로 인해 900만 뉴질랜드 달러 이상의 손실을 본 것으로 보고됐다.

분개한 직원이나 계약자가 신뢰를 악용하거나 누군가 실수하도록 소셜 엔지니어링을 활용하는 데에는 아주 조금만 노력을 기울이면 된다. 우리는 표적화된 공격을 당하고 있으며 대대적인 국제 사기로 인한 부수적인 피해를 입고 있다. 투자수익은 높고 공격자들에 대한 위험은 낮다.

하지만 뉴질랜드에서는 여전히 인터넷이 성장의 촉매가 되고 있다. 소매 서비스, 정부와 시민의 소통, 혁신의 성장은 뉴질랜드 사람들이 자랑스러워할 만하다. 우리는 분명 인터넷에 제공하는 기회를 지속해서 활용해야 한다.

우리는 무엇이 중요한지 검토해야 한다. 기업과 정부에 정보 처리 및 전송에 내재된 보안 위험에 관해 사람들을 교육하는 것이 우선순위가 돼야 한다. 그들은 제 1 방어선이며 조직들의 가장 큰 공격 표면이다.

이런 방어를 성공적으로 활성화하려면 사람들을 자산으로 활용해야 한다. 안타깝게도 우리는 수년 동안 이것을 규제를 준수하는 연습으로 취급했었다. 포스터, 이메일, 고위 경영진은 행동적 필연성에 대한 메시지만 주입하고 있다. 우리의 직업, 고객, 일자리를 생각해 보자. 부정적인 집행 요소들이다.

우리는 현재 많은 분야에서 행동 경제학을 활용하고 있으며, 많은 디지털 마케팅과 사회 정책의 근간이 되고 있다. 하지만 우리는 아직 이것을 보안에 완전히 통합하지 않았다. 우리는 건전한 보안 행동에 대해 긍정적인 유인을 제공하지 않는다.

우리가 보안을 인간의 행동에 통합하는 방법에 관해 고려해야 하는 영감의 근원은 교육적 적용이다. 코드 작성 학습, 새로운 언어 이해, 아이비리그 대학 과정 경험에서 게임화가 이런 새로운 교육 방법의 핵심이다.

중요한 기술을 배우고 필요한 행동을 실천하는 사람들에게 보상을 제공하는 것이 단순히 사람들에게 자료를 훑어보도록 촉구하고 곧 잊어버리는 전통적인 접근방식보다 보안 마음가짐을 활성화하는데 훨씬 긍정적이다. 우리는 악의적이고 의도하지 않은 사이버 피해의 위협에 대해 사람들이 경계하도록 하는 데 필요한 것은 얻을 수 없는 규제 준수 확인 목록만 있을 뿐이다.

물론, 집과 일터에서 인식을 높이고 사람의 행동을 개선하기 위해서는 위협을 제대로 이해해야 한다. 공공이나 민간에서 우리의 분야나 회사가 직면한 구체적인 위협이 우리의 적들에 의해 발생하고 있으며 그들이 원하는 것, 그들이 이를 달성하는 방법, 우리의 개별적인 대응 능력 등을 파악해야 한다.


정보에 기초한 관점으로 획일적인 공포를 없애고 이해를 높일 수 있다. 우리는 위험의 위치를 파악하고 우리에게 중요한 것과 이를 보호하는 방법을 파악해야 한다. 하지만 이를 실용적으로 실행하면서 우리가 매번 모든 것에 이런 보호 장치를 적용할 수 없다는 사실을 깨달아야 한다. 그래서 사람이 중요한 것이다. 필수적인 방어선이 될 유인을 부여하고 보안을 위해 투자할 수 있도록 해야 한다.

우리가 지속해서 디지털 역량, 서비스 제공물, 기술과 우리 삶의 더욱 심도 깊은 통합을 추구하면서 우리는 사람들을 활성화하고 정보를 이용하며 기술을 배치하여 우리가 직면한 위협에 대한 위험 기반 이해를 지원하는 등 사이버 역량 요건을 충족해야 한다.

결국은 사이버 역량을 발전시켜 결과적으로 디지털 시대에 사람들의 웰빙을 높이고 비즈니스 성장을 위한 발판을 제공하며 더욱 공공 서비스 수요자 중심적이고 빠르게 원상복구 할 수 있는 정부가 요구된다.

*Kevin Kanji는 고객 및 비즈니스의 성장 전략을 지원하는 정책, 프로세스, 기술의 설계와 구현을 주도하는 트랜잭션 서비스 그룹(Transaction Services Group)의 최고 정보보안 책임자(CISO)다. ciokr@idg.co.kr
 

X