2018.02.20

평창 동계올림픽에서 배우는 보안 교훈

J.M. Porup | CSO
기술은 ‘반짝거리는 버튼’으로 우리를 유혹하며 저만치 앞서 질주한다. 반면 보안은 그 뒤에서 온갖 ‘쓰레기’를 정리한다. 최소한 그런 시도를 한다.



산업계부터 정부까지 곳곳에서 이런 현상을 접할 수 있다. 물론 올림픽도 예외는 아니다. 기획 단계에 보안을 제대로 인식해 적용하지 않으면 아주 큰 ‘기술 부채(기술 채무)’가 발생할 수 있다. 때론 재앙 수준의 결과가 초래되기도 한다.

평창 동계올림픽이 한창이다. 올림픽 보안 담당 팀은 올림픽의 ‘무결성’, ‘가용성’, ‘기밀성’을 위해 노력하고 있다. 여기에는 경영과 관리에 적용할 수 있는 교훈이 있다.

화려하지 않은 보안
보안은 무미건조하고, 재미없고, 지루하다. 따라서 화려해 보이려 시도하는 것은 생산적이지 못하다. 또한, 위험 관리는 지루하고 단조로운 힘든 노동이다. 올림픽처럼, 기업은 모든 상황에서 수용할 위험과 수용할 수 없는 위험을 신중히 생각해야 한다.

UC버클리 산하 CLTC(Center for Long-Term Cybersecurity) 소장으로 '올림픽 경기 사이버보안 보고서(Report on the Cybersecurity of Olympic Sports)'의 수석 저자인 베시 쿠퍼는 “올림픽 위험 프로필에 적용되는 질문이 기업과 기관에도 적용된다. 단기, 중기, 장기 위험을 평가해야 하고, 각 위험 수용 정도를 질문해야 한다. 그리고 가장 수용하기 어려움 위험과 가장 용인하기 어려운 위험을 극복하기 위해 제한된 보안 리소스를 투자해야 한다”고 말했다.

기본에 충실해야 한다. 운영하는 소프트웨어와 하드웨어 현황을 파악하고, 가능할 때마다 소프트웨어를 업그레이드하며, 제때 패치를 적용하는 것을 예로 들 수 있다. 뉴스의 주요 보안 침해 사고를 확인하고, 공격자들이 제로데이 공격을 할 확률을 감안한다.

모바일 애플리케이션 보안 회사인 나우시큐어(NowSecure)를 창업한 앤드류 후그는 “보안에는 80/20 원칙이 있다. 차단하고 저지하며, 특히 가장 중요한 2~3가지에 초점을 맞추면 그 영향은 크고, 비용은 상당히 낮다. 문제는 화려하지 않다는 것이다. 사람들에게 깊은 인상을 남기지 않는다”고 말했다.

세계 최대 스포츠 행사인 올림픽의 위협 모델은 독특하다고 생각할지 모르겠다. 그러나 올림픽조차 ‘반짝거리는 버튼’ 증상을 앓는다.

‘반짝거리는 버튼'을 위험으로 간주
올림픽도 첨단화되고 있다. 대표적인 예로 종이 스코어 카드를 사용하지 않는다는 점을 들 수 있다. 쿠퍼는 보고서에서 동기 부여된 국가들이 새로운 속임수를 만들어 내고 있다고 지적했다. 국가가 올림픽에서 속임수를 쓴 역사는 아주 길다. 1975년 동독 수영팀의 사례를 기억하는 사람도 있을 것이다. 속임수를 쓸 수 있고, 이를 발각 당하지 않을 것으로 생각하는 국가는 속임수를 시도한다.

쿠퍼는 “스포츠 행사를 기획하고 조직하는 사람들과 보안에 초점을 맞추는 사람들 사이에 ‘단절'이 존재한다. 예를 들어, 도쿄 올림픽은 컴퓨터로 특정 기술에 점수를 부여하는 새로운 체조 점수 부여 시스템을 도입하기 위해, 이를 테스트하고 있다. 많은 장점이 있지만, 동시에 보안 위험을 초래할 방법이다”고 설명했다.

이는 기업도 마찬가지다. 제품 개발 부서는 ‘반짝거리는 버튼’의 시장화를 서두른다. 그러면서 보안에 미치는 영향을 생각하지 않는다. 네트워크로 연결된 세상이다. 이것이 경제, 정치, 개인 등 우리 일상의 모든 부분에 영향을 미친다. 보안 위험이라는 ‘부채’가 누적되어 파산까지 할 수 있다는 의미다.

‘보안 부채’는 새로운 ‘기술 부채’
창업할 때 ‘기술 부채’가 발생하는 사례가 많다. 빨리 움직이고, 새로운 혁신을 추구한다. 이 과정에 문제를 바로잡을 기회가 있지만, 이를 뒤로 미룬다. 미루는 것에 그치지 않고 아예 문제를 바로잡지 못하게 되는 사례도 많다. 이런 ‘기술 부채'에 ‘보안 부채’가 수반된다. 재앙적인 문제는 ‘보안 파산’으로 이어질 수도 있다.

후그는 “문제와 위험이 확실한데도 이를 무시한다. 이 경우, 문제와 위험은 사라지지 않는다. 시간이 지나면서 치러야 할 대가가 커진다”고 언급했다. 그는 “결국 브랜드 위험, 규제 위험, 재무 위험이 초래된다. 모두 보안 취약점이 원인이다. ‘기술 부채’와 마찬가지로, ‘보안 부채’가 커져 재앙적인 결과가 초래된다”고 덧붙였다.

이는 일반 기업에 해당하는 이야기다. 대부분은 국가의 지원을 받아 인프라를 탐색하고 침략하는 공격자가 없다. 최근 증명됐듯, 올림픽 경기에는 세계 최대 스포츠 행사의 공정하고 원활한 운영을 방해할 의도와 능력을 갖추고 있는 국가의 지원을 받는 공격자가 존재한다.

좋은 소식은 올림픽 개막식을 방해했던 올림픽 디스트로이어(Olympic Destroyer) 악성코드 사고가 큰 피해를 초래하지 않았다는 것이다. 올림픽의 ‘디지털화’는 많은 혜택을 제공한다. 쿠퍼에 따르면, 온라인 티켓 판매는 위험보다 혜택이 크다.

지금 당장은 사이버보안 위협이 인명이나 올림픽 경기의 ‘무결성(완전성)’을 위협하지는 않는다. 쿠퍼는 “보안 문제가 중대해 모든 것을 포기해야 할 단계에 도달하지는 않았다”고 언급했다.

그러나 이것이 바뀔 수 있다. 올림픽은 ‘평화 정신'을 해치는 ‘벼랑 끝 전술’에 시달린 역사가 길다. 1980년과 1984년 하계 올림픽 보이콧 사태를 예로 들 수 있다. 사이버 공간에서 이런 ‘벼랑 끝 전술’이 만연한다고 가정하자. 아주 빠른 속도로 모든 것이 엉망이 될 수 있다.

체토프(Chertoff Group)의 시니어 디렉터 데이빗 런던은 “2020년 하계 올림픽을 준비하는 일본의 대형 핵심 인프라 기업 및 기관과 협력하고 있다. 아시아 태평양 지역의 기업과 기관은 2020년 하계 올림픽 기간에 초래될 수 있는 잠재적 위험에 대비하고 있다”고 말했다.

다음 올림픽이 열리기 전, ‘보안 부채’를 모두 청산해야 할 것이다. ciokr@idg.co.kr



2018.02.20

평창 동계올림픽에서 배우는 보안 교훈

J.M. Porup | CSO
기술은 ‘반짝거리는 버튼’으로 우리를 유혹하며 저만치 앞서 질주한다. 반면 보안은 그 뒤에서 온갖 ‘쓰레기’를 정리한다. 최소한 그런 시도를 한다.



산업계부터 정부까지 곳곳에서 이런 현상을 접할 수 있다. 물론 올림픽도 예외는 아니다. 기획 단계에 보안을 제대로 인식해 적용하지 않으면 아주 큰 ‘기술 부채(기술 채무)’가 발생할 수 있다. 때론 재앙 수준의 결과가 초래되기도 한다.

평창 동계올림픽이 한창이다. 올림픽 보안 담당 팀은 올림픽의 ‘무결성’, ‘가용성’, ‘기밀성’을 위해 노력하고 있다. 여기에는 경영과 관리에 적용할 수 있는 교훈이 있다.

화려하지 않은 보안
보안은 무미건조하고, 재미없고, 지루하다. 따라서 화려해 보이려 시도하는 것은 생산적이지 못하다. 또한, 위험 관리는 지루하고 단조로운 힘든 노동이다. 올림픽처럼, 기업은 모든 상황에서 수용할 위험과 수용할 수 없는 위험을 신중히 생각해야 한다.

UC버클리 산하 CLTC(Center for Long-Term Cybersecurity) 소장으로 '올림픽 경기 사이버보안 보고서(Report on the Cybersecurity of Olympic Sports)'의 수석 저자인 베시 쿠퍼는 “올림픽 위험 프로필에 적용되는 질문이 기업과 기관에도 적용된다. 단기, 중기, 장기 위험을 평가해야 하고, 각 위험 수용 정도를 질문해야 한다. 그리고 가장 수용하기 어려움 위험과 가장 용인하기 어려운 위험을 극복하기 위해 제한된 보안 리소스를 투자해야 한다”고 말했다.

기본에 충실해야 한다. 운영하는 소프트웨어와 하드웨어 현황을 파악하고, 가능할 때마다 소프트웨어를 업그레이드하며, 제때 패치를 적용하는 것을 예로 들 수 있다. 뉴스의 주요 보안 침해 사고를 확인하고, 공격자들이 제로데이 공격을 할 확률을 감안한다.

모바일 애플리케이션 보안 회사인 나우시큐어(NowSecure)를 창업한 앤드류 후그는 “보안에는 80/20 원칙이 있다. 차단하고 저지하며, 특히 가장 중요한 2~3가지에 초점을 맞추면 그 영향은 크고, 비용은 상당히 낮다. 문제는 화려하지 않다는 것이다. 사람들에게 깊은 인상을 남기지 않는다”고 말했다.

세계 최대 스포츠 행사인 올림픽의 위협 모델은 독특하다고 생각할지 모르겠다. 그러나 올림픽조차 ‘반짝거리는 버튼’ 증상을 앓는다.

‘반짝거리는 버튼'을 위험으로 간주
올림픽도 첨단화되고 있다. 대표적인 예로 종이 스코어 카드를 사용하지 않는다는 점을 들 수 있다. 쿠퍼는 보고서에서 동기 부여된 국가들이 새로운 속임수를 만들어 내고 있다고 지적했다. 국가가 올림픽에서 속임수를 쓴 역사는 아주 길다. 1975년 동독 수영팀의 사례를 기억하는 사람도 있을 것이다. 속임수를 쓸 수 있고, 이를 발각 당하지 않을 것으로 생각하는 국가는 속임수를 시도한다.

쿠퍼는 “스포츠 행사를 기획하고 조직하는 사람들과 보안에 초점을 맞추는 사람들 사이에 ‘단절'이 존재한다. 예를 들어, 도쿄 올림픽은 컴퓨터로 특정 기술에 점수를 부여하는 새로운 체조 점수 부여 시스템을 도입하기 위해, 이를 테스트하고 있다. 많은 장점이 있지만, 동시에 보안 위험을 초래할 방법이다”고 설명했다.

이는 기업도 마찬가지다. 제품 개발 부서는 ‘반짝거리는 버튼’의 시장화를 서두른다. 그러면서 보안에 미치는 영향을 생각하지 않는다. 네트워크로 연결된 세상이다. 이것이 경제, 정치, 개인 등 우리 일상의 모든 부분에 영향을 미친다. 보안 위험이라는 ‘부채’가 누적되어 파산까지 할 수 있다는 의미다.

‘보안 부채’는 새로운 ‘기술 부채’
창업할 때 ‘기술 부채’가 발생하는 사례가 많다. 빨리 움직이고, 새로운 혁신을 추구한다. 이 과정에 문제를 바로잡을 기회가 있지만, 이를 뒤로 미룬다. 미루는 것에 그치지 않고 아예 문제를 바로잡지 못하게 되는 사례도 많다. 이런 ‘기술 부채'에 ‘보안 부채’가 수반된다. 재앙적인 문제는 ‘보안 파산’으로 이어질 수도 있다.

후그는 “문제와 위험이 확실한데도 이를 무시한다. 이 경우, 문제와 위험은 사라지지 않는다. 시간이 지나면서 치러야 할 대가가 커진다”고 언급했다. 그는 “결국 브랜드 위험, 규제 위험, 재무 위험이 초래된다. 모두 보안 취약점이 원인이다. ‘기술 부채’와 마찬가지로, ‘보안 부채’가 커져 재앙적인 결과가 초래된다”고 덧붙였다.

이는 일반 기업에 해당하는 이야기다. 대부분은 국가의 지원을 받아 인프라를 탐색하고 침략하는 공격자가 없다. 최근 증명됐듯, 올림픽 경기에는 세계 최대 스포츠 행사의 공정하고 원활한 운영을 방해할 의도와 능력을 갖추고 있는 국가의 지원을 받는 공격자가 존재한다.

좋은 소식은 올림픽 개막식을 방해했던 올림픽 디스트로이어(Olympic Destroyer) 악성코드 사고가 큰 피해를 초래하지 않았다는 것이다. 올림픽의 ‘디지털화’는 많은 혜택을 제공한다. 쿠퍼에 따르면, 온라인 티켓 판매는 위험보다 혜택이 크다.

지금 당장은 사이버보안 위협이 인명이나 올림픽 경기의 ‘무결성(완전성)’을 위협하지는 않는다. 쿠퍼는 “보안 문제가 중대해 모든 것을 포기해야 할 단계에 도달하지는 않았다”고 언급했다.

그러나 이것이 바뀔 수 있다. 올림픽은 ‘평화 정신'을 해치는 ‘벼랑 끝 전술’에 시달린 역사가 길다. 1980년과 1984년 하계 올림픽 보이콧 사태를 예로 들 수 있다. 사이버 공간에서 이런 ‘벼랑 끝 전술’이 만연한다고 가정하자. 아주 빠른 속도로 모든 것이 엉망이 될 수 있다.

체토프(Chertoff Group)의 시니어 디렉터 데이빗 런던은 “2020년 하계 올림픽을 준비하는 일본의 대형 핵심 인프라 기업 및 기관과 협력하고 있다. 아시아 태평양 지역의 기업과 기관은 2020년 하계 올림픽 기간에 초래될 수 있는 잠재적 위험에 대비하고 있다”고 말했다.

다음 올림픽이 열리기 전, ‘보안 부채’를 모두 청산해야 할 것이다. ciokr@idg.co.kr

X