2018.01.18

기고 | IT보안 위협에 집중하지 못하는 6가지 이유

Roger A. Grimes | CSO

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다.



이는 IT 보안에서도 마찬가지다.

컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다.

수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다.

이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다.

위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다.

1. 보안 위협의 수가 압도적이다
연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생하는 것이다. 통계상 이런 추세가 수십 년 동안 이어졌다. 컴퓨터 방어자는 한 명의 구급차 직원이 하루에 대응할 수 있는 것보다 많은 응급 요청을 받는 911 콜센터 직원으로 비유할 수 있기 때문에 문제 분류와 우선순위 설정이 필요하다.

2. 위협에 대한 과대 선전으로 더 심각한 위협에 집중하지 못할 수 있다
일부 컴퓨터 방어 업체는 문제를 과장하는 경향이 있다. 오늘날 발표된 위협과 취약성은 선전과 실제 위협에 대한 두려움을 확산하려는 의도에 더 집중하는 경향이 있다. 무서운 이름과 미디어에 등장할 수 있는 무료 라이선스 만화 캐릭터도 함께 보여준다.

컴퓨터 방어 업체만을 탓하는 것은 아니다. 그들은 소프트웨어나 서비스를 판매해야 하며 허리케인이 발생했을 때 배터리가 더욱 잘 팔린다. 소비자가 관심을 가질 만한 것들을 분류해야 하며 하루에 15개의 새로운 위협이 발생할 때는 그러기가 매우 힘들다.

위협과 위험이 크더라도 모든 위협을 과대 선전하면 적절한 것에 집중하기가 어려워진다. 예를 들어, 멜트다운(Meltdown)과 스펙터(Spectre)는 사실 컴퓨팅 세상에서 우리가 직면한 가장 큰 위협이다. 거의 모든 인기 마이크로프로세서가 영향을 받으며 공격자는 컴퓨터를 몰래 악용할 수 있고, 보호를 위해 여러 개의 소프트웨어 및 펌웨어 패치가 필요한 경우가 많으며, 해결할 경우 컴퓨터가 매우 느려질 수 있다. 유일한 해결책이 새 컴퓨터를 구매하는 것이 경우가 많다. 멜트다운과 스펙터는 정말로 중대한 문제다. 개인적으로 이런 것들은 더 크게 알려야 한다고 생각한다.

하지만 컴퓨터 보안 영역과 몇 개의 주류 미디어 기사를 제외하고는 전 세계적으로 ‘미온적인’ 반응을 보인다. 일반적으로 컴퓨터 보안과 관련하여 큰일이 발생하면 필자의 친구들과 가족은 해결 방법에 관해 질문한다. 멜트다운과 스펙터의 경우 질문하는 사람이 없었다. 필자는 소셜 서클(Social Circle)에 경고하기 위해 유용한 정보를 전송했다. 일반적으로 필자는 몇 개의 질문을 받곤 한다. 이번에는 하나도 없었다. 소셜 서클에 있는 수백 명이 단 하나의 글도 게시하지 않았다. 이것은 마치 해변에서 굶주린 대형 백상아리가 발견되었지만 물에서 빠져나오려는 사람이 없는 것과 같다.

멜트다운과 스펙터는 대부분 소비자가 잊고 사는 펌웨어에 패치가 필요한 경우가 많기 때문에 향후 수년 동안 수 억대의 기기가 취약한 상태로 방치될 것이다. 왜 그럴까? 선전에 지쳤기 때문이다. 모든 위협을 과도하게 선전하기 때문에 모두가 주의를 기울여야 하는 실질적이고 전 세계적인 위협이 발생해도 어깨만 으쓱하고 OS나 장비 업체가 제때에 패치할 것이라고 가정할 뿐이다. 솔직히 필자는 이 새로운 두 위협이 제공하는 무기화 가능성이 두렵다. 이로 인해 더 많은 마이크로프로세서 버그를 찾아내고 악용하게 될 것이다.
 




2018.01.18

기고 | IT보안 위협에 집중하지 못하는 6가지 이유

Roger A. Grimes | CSO

인간은 재미있는 생물이다. 자신의 의견에 반하는 데이터에 직면할 때에도 항상 이익 극대화를 추구하는 반응을 보이는 것은 아니다. 예를 들어, 대부분 사람은 자동차 사고가 비행기 사고보다 훨씬 더 자주 일어나는데도 비행을 더 무서워한다. 개에게 물릴 확률이 수만 배나 높은데도 많은 사람이 해변에서 상어에게 물릴까 봐 걱정한다. 우리는 심지어 상대적인 가능성에 대해 알고 거기에 동의하면서도 위험에 적절히 반응하는 데 익숙하지 않다.



이는 IT 보안에서도 마찬가지다.

컴퓨터 방어자는 환경에 대한 가장 큰 위협을 막을 수 없는 컴퓨터 방어책에 시간, 돈, 기타 자원을 소요하곤 한다. 예를 들어, 가장 성공적인 위협을 방지하기 위해 하나의 프로그램을 업데이트하기만 하면 되는 상황에서 대부분 기업은 프로그램 패치 외의 다른 모든 조처를 한다. 아니면 더 나은 최종 사용자 교육으로 방지할 수 있는 소셜 엔지니어링으로 인한 위협에 직면했을 때 기업들은 교육 개선 대신에 다른 것들에 수백만 달러를 지출했다.

수십 가지의 예를 제시할 수는 있지만 대부분 기업이 쉽게 해킹당할 수 있다는 사실만으로도 위기에 대한 충분한 증거가 될 것이다. 기업들은 데이터와 관련해서도 반드시 해야 할 간단한 조처도 하지 않는다.

이 문제 때문에 골치를 썩은 필자는 이에 관한 백서, 슬라이드 덱, 서적을 집필했다. 이것들을 모두 읽지 않더라도 많은 방어자가 데이터를 기준으로 방어책을 수립하지 않는 이유는, 집중하지 않기 때문이라는 사실을 알 수 있다. 컴퓨터 방어자는 많은 우선순위가 있기 때문에 저렴하고 빠르고 쉬우면서도 방어를 크게 개선할 수 있는 일을 하지 않는 경우가 있다.

위협에 대해 적절한 방어책을 수립하는 데 집중하지 못하는 이유는 무엇일까? 필자는 그 이유를 다음의 여섯 가지로 정리해 봤다.

1. 보안 위협의 수가 압도적이다
연간 5,000~7,000개의 새로운 위협이 발생한다. 매일 15개의 새로운 문제가 계속해서 발생하는 것이다. 통계상 이런 추세가 수십 년 동안 이어졌다. 컴퓨터 방어자는 한 명의 구급차 직원이 하루에 대응할 수 있는 것보다 많은 응급 요청을 받는 911 콜센터 직원으로 비유할 수 있기 때문에 문제 분류와 우선순위 설정이 필요하다.

2. 위협에 대한 과대 선전으로 더 심각한 위협에 집중하지 못할 수 있다
일부 컴퓨터 방어 업체는 문제를 과장하는 경향이 있다. 오늘날 발표된 위협과 취약성은 선전과 실제 위협에 대한 두려움을 확산하려는 의도에 더 집중하는 경향이 있다. 무서운 이름과 미디어에 등장할 수 있는 무료 라이선스 만화 캐릭터도 함께 보여준다.

컴퓨터 방어 업체만을 탓하는 것은 아니다. 그들은 소프트웨어나 서비스를 판매해야 하며 허리케인이 발생했을 때 배터리가 더욱 잘 팔린다. 소비자가 관심을 가질 만한 것들을 분류해야 하며 하루에 15개의 새로운 위협이 발생할 때는 그러기가 매우 힘들다.

위협과 위험이 크더라도 모든 위협을 과대 선전하면 적절한 것에 집중하기가 어려워진다. 예를 들어, 멜트다운(Meltdown)과 스펙터(Spectre)는 사실 컴퓨팅 세상에서 우리가 직면한 가장 큰 위협이다. 거의 모든 인기 마이크로프로세서가 영향을 받으며 공격자는 컴퓨터를 몰래 악용할 수 있고, 보호를 위해 여러 개의 소프트웨어 및 펌웨어 패치가 필요한 경우가 많으며, 해결할 경우 컴퓨터가 매우 느려질 수 있다. 유일한 해결책이 새 컴퓨터를 구매하는 것이 경우가 많다. 멜트다운과 스펙터는 정말로 중대한 문제다. 개인적으로 이런 것들은 더 크게 알려야 한다고 생각한다.

하지만 컴퓨터 보안 영역과 몇 개의 주류 미디어 기사를 제외하고는 전 세계적으로 ‘미온적인’ 반응을 보인다. 일반적으로 컴퓨터 보안과 관련하여 큰일이 발생하면 필자의 친구들과 가족은 해결 방법에 관해 질문한다. 멜트다운과 스펙터의 경우 질문하는 사람이 없었다. 필자는 소셜 서클(Social Circle)에 경고하기 위해 유용한 정보를 전송했다. 일반적으로 필자는 몇 개의 질문을 받곤 한다. 이번에는 하나도 없었다. 소셜 서클에 있는 수백 명이 단 하나의 글도 게시하지 않았다. 이것은 마치 해변에서 굶주린 대형 백상아리가 발견되었지만 물에서 빠져나오려는 사람이 없는 것과 같다.

멜트다운과 스펙터는 대부분 소비자가 잊고 사는 펌웨어에 패치가 필요한 경우가 많기 때문에 향후 수년 동안 수 억대의 기기가 취약한 상태로 방치될 것이다. 왜 그럴까? 선전에 지쳤기 때문이다. 모든 위협을 과도하게 선전하기 때문에 모두가 주의를 기울여야 하는 실질적이고 전 세계적인 위협이 발생해도 어깨만 으쓱하고 OS나 장비 업체가 제때에 패치할 것이라고 가정할 뿐이다. 솔직히 필자는 이 새로운 두 위협이 제공하는 무기화 가능성이 두렵다. 이로 인해 더 많은 마이크로프로세서 버그를 찾아내고 악용하게 될 것이다.
 


X