Offcanvas

보안 / 인문학|교양

칼럼 | 컴퓨터 보안 10년… 가장 큰 변화 5가지

2015.08.20 Roger A. Grimes  |  InfoWorld
이 글을 쓰는 현재 인포월드에 기고를 시작한 지 10년 째다. 10년째가 되는 지금, 그나마 그 동안 변한 것들을 정리해 본다. 지금 우리가 직면하는 위협도, 그에 대처하는 방어도 과거와는 많이 달라졌다.

보안 변화 1: 전문 직업이 된 해킹
초기에는 위협 요소의 대부분이 장난기 많은 어린 사용자들이 만든 바이러스, 웜, 트로이 목마 등의 멀웨어 프로그램이었다. 일부 멀웨어 프로그램은 디스크를 포맷하거나 데이터 파일을 삭제하는 등 실질적인 해를 끼치기도 했지만 대부분은 그냥 귀찮고 성가신 정도였다. 물론 전문적인 해커나 정부 지원을 받는 해커도 있긴 했으나 흔한 경우는 아니었다.

10년이 지나면서 무엇이 바뀌었을까.

지금은 거의 모든 멀웨어가 돈이나 기업 기밀을 훔치기 위한 목적으로 만들어진다. 장난으로 스크립트를 만들던 아이들은 일반 사용자와 기업을 희생양 삼아 거의 잡힐 위험도 없이 매일 수백만 달러의 돈을 벌어들이는 전문 해커 집단에 밀려나 사라졌다. 멀웨어는 한때 악의 없는 장난스러운 바이러스와 웜이었지만 이제 ID를 훔치는 프로그램과 랜섬웨어로 바뀌었다.

신용 카드를 소지한 사람이라면 누구나 금융 관련 ID가 유출되는 일을 겪어봤을 것이다. 이제는 1억 건의 기록이 유출되는 사건이 벌어져도 아무도 놀라지 않는다. 이제 모두가 무료 신용 모니터링을 이용하지 않는가?

지금은 공식적이든 비공식적이든 외국 정부의 후원을 받아 움직이는 지능적 지속 위협(APT)이 흔하다. 이들은 개인 문서와 이메일, 특허와 계약 등을 아이가 꽃밭에서 꽃을 따듯 쉽게 훔친다.

한 국가가 사이버 보안 공격을 이용해서 다른 국가 수장의 이메일을 읽거나 핵 원심분리기와 같은 물리적 자산을 파괴하는 일은 이제 일상적이다. 가장 뛰어난 해커를 보유한 국가가 새로운 냉전의 승리자가 된다.

무해한 부팅 바이러스, 그리고 장난스러운 스크립트를 짜던 10대 아이들, 그 시절이 그립다.

보안 변화 2: 누구도 침해를 피할 수 없다
지금은 모든 사람들이 해킹을 당한 경험이 있다. 과장이 아니다. 해킹 가치가 있는 모든 기업은 해킹을 당했거나 언제든 해킹을 당할 수 있는 상황이다. 이로 인해 지속적인 위협을 제거할 방법이 없음을 인정하는, “침해를 전제한다(Assume breach)”는 새로운 방어 전략 패러다임이 만들어졌다.

사실은 예전부터 항상 그랬다. 악당을 효과적으로 막았던 적은 없다. 바뀐 것은 이제 스스로 누구나 해킹의 피해자가 된다는 사실을 인정한다는 것뿐이다. 침해가 발생했음을 전제한다면, 거기서부터 방어 전략도 바뀐다.

보안 변화 3: 침해 탐지 도구의 개선
과거에는 안티바이러스 스캐너가 침해 탐지를 위한 주 도구였다. 지금은 완전히 새로운 회사와 제품들이 등장했다. 이들 제품은 누군가가 악의적인 행동을 하면 이를 탐지한다. 그 악의적인 행동이 ‘합법적’ 사용자에 의해 수행되는 경우도 예외는 아니다.

이벤트 모니터링 시스템도 개선되고 있다. 지금은 많은 기업이 전세계 모든 디지털 콘텐트를 저장할 수 있을 정도의 방대한 디스크 스토리지 어레이를 사용해 하루에 수십억 개의 이벤트를 저장하고 분석한다.

침입 탐지는 단순한 악성 활동을 탐지하는 수준에서 발전해 이제는 회사와 회사 직원의 특성을 벗어나는 변칙적 이벤트를 탐지한다. 알려진 의심스러운 네트워크에 대한 연결은 과거 안티바이러스 탐지처럼 추적되고 보고된다. 데이터 유출 보호(DLP)가 큰 비즈니스가 됐다.

10년 전만 해도 기업들은 네트워크에 최신 파일 첨부 웜이 전파되면 보통 이메일 서버와 네트워크를 완전히 내렸다. 지금은 더 강력해진 관리용 컴퓨터와 격리된 관리 환경을 만들어 침해가 탐지되는 경우에도 적절히 네트워크를 관리할 수 있다.

예외(예를 들어 소니 픽처스의 경우)도 있지만 컴퓨터 인프라와 인터넷은 오늘날 비즈니스에 필수 요소인 만큼 아무리 큰 위협이 발생한다 해도 그에 대처하기 위해 회사 전체를 오프라인으로 내리는 경우는 거의 없다. 지금의 방어자는 환자가 깨어 있도록 하면서 상처를 봉합해야 한다.

보안 변화 4: 다중 요소 인증의 확산
필자가 처음 컴퓨터 보안을 업으로 시작할 당시 스마트카드나 기타 다중 요소 인증 도구 사용을 의무화한 경우는 정부 또는 주요 보안 연구 기관 정도에 불과했다. 지금은 거의 모든 회사들이 다중 요소 인증을 사용한다. 또한 대부분의 기업이 방문자용 책상과 주차장을 두고 열쇠로 잠긴 컴퓨터 룸 안에 열쇠로 잠긴 철창을 두고 그 안에 서버를 배치하는 등 강력한 물리적 보안책을 시행하고 있다.

모든 사람이 여전히 암호를 많이 사용하지만 대부분의 기업, 그리고 대부분의 주요 소셜 미디어 사이트가 2중 요소 인증을 제공한다. 휴대폰과 주요 운영 체제에는 기본적으로 생체 인증 기능이 포함된다. 결국 암호를 단독으로 사용하는 경우는 본인 사진과 칩이 내장되지 않은 종이 수표나 신용 카드와 마찬가지로 역사 속으로 사라지게 될 것이다.

다중 요소 인증이 모든 문제를 해결해줄 것이라고는 생각하지 않지만, 이로 인해 사이버 범죄자가 다른 사람의 신원을 훔쳐서 사용하기가 더 어려워지는 것은 사실이다. 피싱 이메일과 피싱 웹 사이트가 완전히 사라지게 된다고 생각해 보라. 지금 그 단계를 향해 진전하는 중이다.

보안 변화 5: 암호화는 새로운 기본 기능
거의 모든 정부의 반대에도 불구하고 기본 암호화가 확산 중이다. 현재 대부분의 주요 운영체제, 컴퓨터 및 모바일 기기는 디스크 암호화가 기본적으로 활성화된 상태로 제공된다. 점점 더 많은 웹 사이트가 SSL(엄밀히 말히 TLS) 암호화를 기본으로 사용하고 있다.

경찰과 정부 기관들은 아동 성범죄자 및 기타 범죄자를 적발하기 위해서라는 명분으로 기본 암호화를 해제하고 백도어를 열어둬야 한다고 사람들에게 겁을 주고 있다. 그러나 대부분의 사람들은 그 말을 믿지 않는다.

기본 암호화는 컴퓨팅 기기를 도난 당하더라도 경찰과 미디어에 보고해야 할 데이터 침해로 발전할 일은 더 이상 없음을 의미한다. 악의를 가진 사람들이 사적인 대화와 거래 내역을 볼 수 있는 여지도 훨씬 더 줄어든다.

장기적인 관점에서 답을 찾아야 할 질문은 “만에 하나 정부 기관의 말이 옳다면?”이다. 기본 암호화로 보호되는 악이 개인정보 보호라는 선을 압도할까? 필자는 그렇게 생각하지 않는다. 악당들은 진작부터 강력한 암호화에 접근할 수 있었고 실제로 자주 사용하고 있다. 그럼에도 대부분의 경우 정부 기관은 여전히 그들을 찾아내서 잡아들인다. 차이점은 이제 암호화를 합법적인 개인정보 보호를 위해 사용하는 사람들도 함께 보호된다는 것이다.

더 나은 세계?
불행히도 이와 같은 모든 방어의 개선에도 불구하고 이것이 더 안전한 컴퓨팅 환경이라는 결과가 나오지는 않았다. 현재의 악의적 공격은 10년 전에 비해 훨씬 더 많다. 사이버 범죄의 이른 바 ‘발전’은 지금까지 사이버 보안 방어의 발전을 완전히 압도해왔다.

그러나 필자는 방어가 그 격차를 따라잡아 결국에는 인터넷이 훨씬 더 안전한 장소가 될 것이라고 굳게 믿는다. 그것이 모든 문명 사회가 매번 똑 같은 장애물을 극복하고 발전해온 자연스러운 양상이다. 한동안 상황이 악화되다가 사회가 그에 반응해 세계는 더 나은 방향으로 발전한다.

이제 남은 유일한 질문은 그 때가 언제냐는 것이다. 운이 좋아서 앞으로 10년 후에도 계속 기고 하고 있다면 그때 글의 주제는 보안의 성공일까, 실패일까? editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.