직장 내에서 디지털 기기가 중추적인 역할을 하면서 사이버 범죄가 그 어느 때보다도 기승을 부리고 있다. 이와 함께 사이버 범죄자들이 신원과 데이터를 도용하기 위해 점차 정교한 수단을 동원함에 따라 중소규모 기업들조차도 스스로를 보호하기 위해 더 많은 조치를 취해야만 하는 실정이다.
PC 초기 시대와 비교하여 보안은 분명 크게 발전했다. 실제로 몇 년 전만 해도 과도하다고 여겨졌던 조치들이 지금은 그저 적절한 수준으로 여겨지고 있다. 여기 중소규모 기업이 스스로를 보호하기 위해 취할 수 있는 저렴하면서도 효과 좋은 7가지 단계별 방어법에 대해 알아봤다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
모든 컴퓨터의 디스크 암호화
데이터를 보호하기 위한 첫 번째 단계는 데이터를 항상 암호화하는 것이다. 하드 드라이브는 노트북이나 데스크톱에서 분리해 어렵지 않게 복제할 수 있다. 호텔방에 남겨둔 노트북이나 판매 또는 폐기 직전 상태의 시스템인 경우에는 특히 취약하다.
복제한 하드 드라이브로부터는 각종 암호는 물론 브라우저 히스토리, 다운로드 한 이메일 메시지, 채팅 로그, 이미 삭제한 오래된 문서 등의 귀중한 데이터를 뽑아낼 수 있다.
따라서 디스크 전체 암호화 기술을 이용함으로써 모든 데이터를 보호하는 것을 검토해야 한다. 윈도우 사용자는 윈도우 8 프로 버전 또는 윈도우 7의 얼티밋(Ultimate)과 엔터프라이즈(Enterprise) 에디션에서 무료로 사용할 수 있는 마이크로소프트의 비트로커를 사용할 수 있다. 맥(Mac) 사용자는 OS X 운영체제에 포함되어 있는 파일볼트(FileVault)를 활성화할 수 있다.
암호화된 파일 볼륨(Volume) 사용
디스크 전체를 암호화하면 기업은 데이터를 보호하기 위한 최소한의 기준선을 확보하게 된다. 단, 민감한 정보를 다루는 기업은 이 파일을 위해 별도의 암호화된 파일 볼륨을 작성하여 보안을 한 단계 끌어 올릴 수 있다.
이를 위해서는 일반적으로 우선 암호화된 볼륨을 마운트(Mount)해야 한다. 디스크 전체 암호화와 함께 적용할 경우 해킹이 불가능한 수준의 보안을 달성할 수 있다.
암호화된 파일 볼륨을 작성하기 위한 가장 인기 있는 소프트웨어 프로그램 트루크립트(TrueCrypt)였다. 그러나 아쉽게도 이 프로젝트가 갑자기 중지된 상태다. 다행히도 유사한 오픈소스 프로젝트들이 있다. 베라크립트(VeraCrypt) 와 싸이퍼쉐드(CipherShed) 등이다. 둘 다 윈도우, OS X, 리눅스(Linux)를 지원한다.
베라크립트는 점차 강력해지는 컴퓨터 연산력을 최대한 무력화시키고 암호화된 볼륨을 강제할 수 있는 기능을 개발하기 위한 계획의 일환으로 좀더 일찍 시작된 프로젝트다. 싸이퍼쉐드는 트루크립트의 마지막 버전(7.1a)에서 파생됐다.
USB 플래시 드라이브 암호화
USB 플래시 드라이브는 대용량 파일을 신속하게 옮길 수 있게 해주는 저렴하고 편리한 장치다. 그러나 그로 인해 보안은 놀라울 정도로 취약하다. USB 플래시 드라이브를 잘 간수하지 않으면 데이터 유출이 발생할 뿐 아니라 데이터 복구 소프트웨어를 이용함으로써 이전에 삭제한 정보마저 복구할 수 있다.
이를 보호하기 위해서 윈도우 또는 OS X에 내장되어 있는 기능을 이용해 USB 플래시 드라이브에 저장된 데이터를 암호화할 수 있다. 단점은 이 접근방식이 컴퓨터에 익숙하지 않은 사용자들에게는 직관적이지 않을 수 있으며 서로 다른 플랫폼들 사이에서나 이를 지원하지 않는 운영체제 버전들 사이에서 파일을 전송할 때 제대로 동작하지 않을 수 있다는 점이다.
정책적으로 하드웨어 기반으로 암호화된 USB 플래시 드라이브를 사용하도록 하는 것도 한 방법이다. 에이지스 시큐어 키 3.0 플래시 드라이브(Aegis Secure Key 3.0 Flash Drive)같은 일부 제품은 인증을 위한 물리적 버튼을 이용함으로써 소프트웨어 인증을 피하고 있기 때문에 스파이웨어(Spyware)와 키로거(Keylogger) 등으로부터의 안정성을 확보해준다.
클라우드 스토리지 고려 사항
클라우드 스토리지 서비스는 저장된 데이터의 무결성과 프라이버시를 확보해 주기는 하지만 그럼에도 불구하고 (데이터의 물리적인 위치에 따라) 부도덕한 직원, 엘리트 해커의 의한 해킹, 법원의 비밀 명령으로 인한 잠재적인 위험에 노출될 수 밖에 없다.
즉, 가장 안전한 조치는 퍼블릭 클라우드 스토리지 서비스를 모두 포기하거나 암호화된 데이터만 업로드하는 것이다. 후자의 경우를 위해서는 스파이더오크(SpiderOak) 등의 다양한 클라우드 서비스가 있다. 이들은 강력하게 암호화된 데이터만 클라우드로 업로드 되도록 하는데 특화되어 있다.
또는 시놀로지(Synology) RS3614RPxs같은 NAS(Network-Attached Storage) 등으로 관리하는 프라이빗 클라우드를 이용할 수도 있다. 이 밖에 개인적으로 소유한 장치에 데이터를 자동으로 복제하는 비트토런트 싱크(BitTorrent Sync)같은 P2P 프라이빗 동기화를 이용하는 것도 하나의 방법이다.
암호 관리자 사용
암호 관리자를 사용하지 않으면 사용자들은 간단한 암호를 사용하기 마련이다. 또 여러 웹 사이트나 온라인 서비스에서 이런 취약한 암호를 반복적으로 사용하게 된다. 특히 지난 수 년 동안 발생한 무수히 많은 보안 해킹 사건에서 간과됨으로써 문제를 증폭시켰던 요인이기도 하다.
보안 강화를 위해 일부 암호 관리자는 암호 데이터베이스의 잠금을 해제하는 물리적인 장치의 사용을 지원하기도 한다. 이 기능은 편리할 뿐 아니라 OTP(OneTime Password)를 통해 인증할 때 스파이웨어로 인한 피해를 막아줄 수 있다.
멀티팩터 인증 활성화
그 이름에서 알 수 있듯이 멀티팩터 인증은 시스템 로그인을 허용하기 전에 추가적인 인증을 요구한다. 가장 보편적인 보조원은 문자 메시지를 통한 PIN 코드 전송이나 시간에 따라 변경되는 앱으로 생성된 코드일 것이다. 이 방법은 오늘날 클라우드 서비스 등에서 활발히 이용되고 있다.
또 다른 인기 있는 멀티팩터 인증은 USB 포트를 통해 연결하고 누르면 OTP 코드를 제공하는 물리적인 동글을 사용하는 방법일 것이다. 라스트패스(LastPass)같은 암호 관리자 서비스와 연계하여 유비키(YubiKey) 같은 보안 조치를 활용하면 신뢰할 수 없는 머신에서의 암호 접근 위험을 낮출 수 있을 뿐 아니라 피싱도 방어할 수 있다.
암호 초기화 보호
마지막으로 과거 해커들이 자주 악용했음에도 불구하고 간과하는 부분이 있다. 거의 모든 웹 서비스에서 제공하는 암호 초기화 메커니즘이 그것이다. 소셜 네트워크를 통해 많은 정보가 공개되었고 기타 중요한 개인정보를 구글 검색으로 찾을 수 있는 요즈음, 온라인 계정을 초기화하기 위해 사용할 수 있는 "힌트" 질문과 기타 정보를 되새겨볼 필요가 있다.
참고로 이 공격을 좌절시킬 수 있는 유용한 방법 중 하나는 암호 초기화 메시지를 수신하기 위해 등록하는 백업 이메일 계정으로 'Gmail.com'이나 'Outlook.com' 등의 유명 도메인의 이메일 주소를 등록하는 것이다.