칼럼 | '모두가 알지만 누구도 말하지 않는' 10가지 보안 위험

CSO
전통적인 정보보호 위험관리 프로세스에는 막연함이 가득하다. 잠재적 위협(Threat)과 위협으로 생길 수 있는 위험(Risk)을 분류하며 발생 가능성을 측정한다. 만약 그것들이 완화되지 않을 경우의 손실도 추정해야 한다. 완화와 제어를 위한 비용은 잠재적 손실과 비교해 측정된다. 만약 위험과 위협이 유발하는 것보다 완화하는 데 드는 비용이 저렴하고, 실행하기 용이하다면 완화 조치가 진행된다.

사건 가능성과 잠재적 손해를 계산하는 것은 어려울 수 있다. 도대체 어떤 사람이 한 해 동안 랜섬웨어와 DDoS, 내부 공격이 얼마나 일어날지 정확하게 예측할 수 있을까? 또는 누가 사건 발생 가능성이 60%가 아닌 20%임을 증명할 수 있을까? 

모두가 복잡다난한 예측 문제로 고군분투한다. 그러나 이 밖에도 위험관리에 영향을 미치는 수많은 요소가 있다. 누구나 알지만 아무도 이야기하지 않는 10가지 보안 위험 요소를 알아보자.
 
ⓒGetty images


1. '발생할지도 모르는' 위험과 싸우기
모든 위험 평가는 일어날 수도 있는 일과 아무것도 하지 않는 것 사이의 싸움이다. 전에 발생한 적이 없는 위험이라면 더욱더 그렇다. 많은 사람이 아무것도 하지 않는 것이 비용적으로 저렴하다고 생각한다. 발생하지도 않은 일에 대비하는 사람은 돈을 낭비한다고 본다. 사람들은 "왜 돈을 쓰지? 절대 일어나지 않을 텐데!"라고 말한다. 

항상 해왔던 일을 하면서 현상을 유지하는 것은 어렵지 않다. 그래서 선제적으로 위험에 대응하기가 어렵다. 큰 비용이 드는 경우는 훨씬 더 순탄치 않다. 대부분 피해가 발생할 때까지 기다렸다가 해결한다. 

나는 주로 9.11 테러와 항공 여행 안전을 예로 든다. 항공 여행 전문가가 2001년 9월 11일 이전에 납치범이 커터칼로 조종석을 탈취하거나 비행기에 폭발물을 밀반입할 수 있다는 사실을 미리 알지 못했던 것을 말하려는 게 아니다. 이런 위험은 십수 년 전부터 경고돼 왔다. 하지만 9.11 테러 이전에 비행기 탑승을 위해 모든 액체류를 버리고 전신 스캔을 해야 한다고 했다면 대중이 취했을 격렬한 항의를 상상해보라. 분명 대중을 분노하게 했을 것이고 항공사는 그러한 보안 조치를 없애고자 적극적으로 시도했을 것이다.

9.11 테러 이후 사람들은 자발적으로 신발을 벗고, 액체류를 버리고, 전신 스캔에 응한다. 발생할 수 있는 위험에 대비해 돈을 쓰는 것은 피해가 발생한 후 돈을 쓰는 것보다 훨씬 어렵다. 위기관리자가 발생한 적 없는 문제에 대해 경고할 때마다 용기가 필요하다. 그들은 이름 없는 영웅이다.

2. 보안 관리자가 권력에서 소외된다는 위험
선제적인 위험관리는 다음의 숨겨진 위험 요소로 이어진다. 바로 정치적 위험이다. 능동적인 보안관리자가 일어나지 않을 일을 주장할 때마다 정치적 발언권을 잃는다. 보안 관리자가 인정받는 경우는 선제적으로 대비한 일이 실제로 일어났을 때다. 그러나 만약 보안 관리자가 회사를 설득하여 제어와 완화 조치를 성공적으로 수행한다면 나쁜 일은 일어나지 않는다. 

그러 면에서 선제적인 대응은 자기 파괴적 예언이다. 보안 관리자가 맞았다고 해도 제어를 성공적으로 입증했기 때문에 정작 아무도 모른다. 그래서 매번 그들이 일어나지 않은 일을 걱정할 때마다 양치기 소년으로 보일 수 있다. 정치적인 힘을 잃는 것이다. 

위험관리 논쟁에서 싸워본 적이 있는 사람이라면, 너무 많은 위험관리 책임을 맡길 원치 않는다고 말할 것이다. 이는 명성을 깎아 먹기만 할 뿐이다. 능동적인 보안 관리자는 싸울만한 전투를 계산하기 시작한다. 시간이 지날수록 노련한 관리자는 싸움을 하지 않는다. 아니 그래야만 한다. 그것은 적자생존이다. 대다수의 보안 관리자는 조직의 피해를 막고자 싸우지 않고 정말 나쁜 일이 일어날 때까지 기다린다. 그리고 결국 사고의 희생양이 되는 것을 감수한다. 

3. 백업과 패치를 완료했다고 하지만, 실제로는 그렇지 않은 위험
우리가 완료됐다고 말하는 많은 통제와 완화는 사실 이뤄지지 않았다. 적어도 100%는 아니다. 그 과정을 겪어본 사람이라면 그것들이 실제로 행해지지 않았다는 것을 안다.

가장 흔한 사례가 바로 패치 설치와 백업이다. 내가 아는 대부분 기업은 99~100%의 수준으로 패치 설치를 완료했다고 말하곤 한다. 30년 동안 수백만의 기기에서 패치 규정 준수 여부를 확인해온 그간의 커리어에서, 나는 완벽하게 패치 설치를 완료한 기기를 본 적이 없었다. 그러나 내가 감사한 모든 회사가 자신들이 패치 설치를 완료했거나 거의 다 했다고 말하곤 했다. 

백업 또한 그러하다. 현재의 만연한 랜섬웨어 사고는 대부분 조직이 확실한 백업을 하고 있지 않다는 사실을 만천하에 드러냈다. 중요한 백업과 복구 테스트 작업을 수년간 점검했다고 해도 그것이 진짜 됐는지는 큰 랜섬웨어 공격을 한번 당해봐야 알 수 있는 게 진실이다. 

모든 위험관리 분야 종사자는 이를 알고 있다. 하지만 충분한 시간과 자원이 없는 상태에서 어떻게 백업 담당자가 모든 것을 테스트할 수 있을까? 백업과 복구가 잘 작동되는지 확인하려면 그것이 복구해야 하는 분리된 환경에서 서로 다른 많은 시스템을 한 번에 테스트해야 한다. 이는 엄청난 인력, 시간, 기타 리소스가 필요로 하지만, 대부분 조직이 보안 관리자에게 충분한 자원을 주지 않는다.

4. 일상화된 위험: "항상 그런 방식으로 해왔다."
"그것이 우리가 항상 해오던 방식입니다"라는 말에 반대 의견을 주장하기는 어렵다. 특히, 취약점에 대한 공격이 수십 년 동안 발생하지 않았던 경우에는 더 힘들다.

예를 들면, 나는 6자리 비밀번호를 허용하고, 자주 변경하지도 않는 조직을 만날 때가 종종 있다. 심지어 PC 네트워크 암호가 '빅 아이언(big iron)', 즉 기업용 서버에 연결하는 암호와 같아야 하므로 그런 경우도 있었다. 6자리 비밀번호에, 이를 변경하지 않는 것이 좋지 않다는 건 누구나 알지만 이러한 행태가 문제를 일으키는 경우는 사실 드물다.

길고 복잡한 비밀번호를 지원해야 하며, 이를 위해 아마도 수백만 달러를 써서 모든 것을 업그레이드할 필요가 있다는 주장하는 사람들에게 행운을 빈다. 항상 그런 방식으로 해왔으며 이제껏 문제없었다는, 조직에 오래 있었던 사람들의 경험치가 당신에게 저항할 것이다. 

5. 운영 중단의 위험
당신이 실행하는 모든 제어와 완화는 운영 문제를 야기할 수 있다. 심지어 운영을 중단시킬 수 있다. 이론적인 위험을 예방하지 못하는 것보다 실수로 운영을 중단시킬 경우 해고당할 가능성이 훨씬 높다. 당신이 추진하는 모든 제어와 완화에 대해 운영 중단이 발생할 수도 있다는 것을 우려해야 한다.

극단적인 제어 방안을 추진할수록 위험 문제를 완화할 가능성이 높다. 그러나 운영 중단 가능성 또한 더욱 커진다. 만약 운영 문제를 일으키지 않고 위험을 완화하기가 쉬웠다면 모두가 그렇게 할 것이다.

6. 직원의 불만에서 비롯되는 위험
어떤 위험관리자도 직원을 분노하게 만들고 싶어 하지 않는다. 만약 화나게 하길 원한다면, 인터넷과 컴퓨터 사용을 제한하는 제어를 시행하면 된다. 모든 악성 데이터 유출 원인의 70~90%가 엔드유저다(피싱 및 사회공학 기법을 통해). 조직을 보호하려면 엔드유저를 믿어서는 안 된다. 

인터넷 액세스를 제한하거나 사전 승인한 프로그램만 실행하게 하는 등 엔드유저의 권한을 제한한다는 언급만 해도 직원 대다수의 적대감을 초래한다. 노동 시장은 팽팽하다. 모든 회사는 컴퓨터 및 인터넷 사용 제한을 듣고 싶어 하지 않는 유능한 직원을 구하는 데 애를 먹고 있다. 너무 많이 제재하면, 직원들은 다른 곳에서 일할 수 있다.

7. 고객의 불만족에서 비롯되는 위험
고객을 짜증 나게 만드는 정책이나 절차를 실행하려는 사람은 없다. 화난 고객은 다른 회사의 고객이 될 수 있다. 예를 들면, 신용카드 회사는 카드 사기를 막는 것보다 실수로 결제 승인이 거부되는 것을 훨씬 더 걱정한다.

카드 사기를 신경 쓰긴 하지만, 이는 장기적인 차원으로 본다. 하청업체들은 신용카드 사가 합법적인 거래를 거부하지 않도록 정확한 카드 거래를 지원하는 서비스를 판매한다. 한 해에 두 번 이상 부당하게 거절당한 고객은 다른 회사의 신용카드를 사용할 것이다.

실제로 미국에서 전자칩 카드에 PIN 번호를 이용하지 않는 이유가 고객의 저항이다. 전자칩과 PIN 번호를 모두 요구하는 것이 훨씬 안전한 옵션인데도 말이다. 상인과 소비자는 이미 PIN 번호 없이 카드를 긁는 방식에 익숙해졌다. 전자칩이 정확히 읽히도록 카드를 삽입하라는 요청은 약간의 거래 실패와 고객의 짜증을 유발했다. 

8. 최첨단에서 발생하는 위험
최첨단에 있는 사람들은 종종 도태된다. 선봉에 기꺼이 서기를 원하는 사람은 드물다. 얼리어답터가 초기에 보상받는 경우도 드물다. 얼리어답터는 흔히 업계의 다른 사람들에게 그가 사용한 전략이 아닌 다른 전략을 채택해야 할 것이라는 교훈을 남기고 사라진다. 

미국 국립표준기술연구소(NIST)는 2년 전 길고 복잡한 비밀번호를 자주 변경해 사용하도록 요구하는 정책이 오히려 더 많은 해킹을 야기했다고 지적했다. NIST의 새로운 디지털 ID 가이드라인(NIST Special Publication 800-63-3)에 따르면 비밀번호는 짧고 복잡하지 않으며, 비밀번호가 노출되지 않는 한 변경을 강요하지 않아야 한다. 이는 정설로 받아들여진 기존의 권장 사항과 180도 반대되는 권고다.

나는 새롭게 등장한 가이드라인을 채택한 어떤 회사도 보거나 들은 적이 없었다. 새로운 가이드라인은 좋지만 바꾼 정책으로 인해 해킹을 당했다면 NIST가 옳다고 했더라도 자신이 비난받을 것이기 때문이다. 업계 대부분이 새로운 정책으로 움직이고, 옳고 그름이 판가름날 것을 기다리는 게 훨씬 더 안전하다.

---------------------------------------------------------------
보안 인기기사
-> 그들은 만나야 한다··· ‘IT 전략’에 ‘IT 보안’을 제대로 통합하는 방법
-> "올해 보안 시장 주인공은 매니지드 보안 서비스"
-> '큰 비용 들지 않는' 중소기업의 보안 강화 방법 10선
-> '보안 위협' vs. ‘권리'··· SW 소스 검열 ‘논란'
-> 산업 스파이·악의적 직원으로부터 기밀을 보호하는 방법
-> 강은성의 Security Architect | 보안관제 100% 활용하기(1)
->'사물인터넷이 기업 보안 바꾼다' 6가지 이유
-> ‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①
---------------------------------------------------------------
 
9. 시간 지체로 인한 위험 
당신은 거의 언제나 위험이 발생하고 나서 싸움을 시작한다. 해커의 수법을 확인한 다음 새로운 위험에 맞설 완화와 제어 조치를 취한다. 이때 해커의 악의적인 행동이 발견된 시점부터 새로운 기술을 평가하고 제어방안을 고안하며, 실행에 옮길 때까지 시간 지연이 생긴다. 지켜보자는 식의 미온적인 태도는 항상 뒤처지기 마련이다.

10. ‘모든 것을 막을 순 없다’는 위험
작년에만 1만 6,555개가 넘는 새로운 보안 취약점이 발표됐다. 악성코드 프로그램은 1억 개 이상 있는 것으로 알려져 있다. 모든 유형의 해커가 조직에 침입하려고 한다. 누군가가 무제한의 돈과 시간, 자원을 제공하지 않는 한 당신은 그것을 막을 방법이 없다. 할 수 있는 최선의 방법은 가장 중요한 위험이 무엇인지 추측(상단의 #1 참조)하고 그것을 차단하고자 노력하는 것이다.

앞선 10가지는 위험평가의 새로운 구성 요소가 아니다. 이는 항상 존재해왔으며, 당신이 위험을 평가하고 통제방안을 구상할 때 생각하는 모든 것이기도 하다. 위험평가와 위험관리는 책에서 나오는 형식적인 이론보다 훨씬 어렵다. 사실 따지고 보면 보안 관리자가 걱정할 것이 이렇게나 많은데도 그럭저럭 순탄하게 굴러가고 있는 것이 신기할 따름이다. 

그럼 이제 밖으로 나가서 멋지게 한번 싸워 보자!

* Roger A. Grimes는 2005년부터 활동해 온 보안 칼럼니스트로, 컴퓨터 보안과 관련한 10개 이상의 책을 저술했다. ciokr@idg.co.kr