2012.12.20

기고 | 지금은 휴먼 OS를 설치해야 할 때다

Lance Spitzner | CSO
우리가 보안 기술에 매년 많은 투자하지만, 여전히 대부분의 취약점 요소들을 찾아내 바로잡는데 실패하는 이유에 대해 보안 연구원 랜스 스피츠너는 바로 휴먼 OS 때문이라고 주장했다.

컴퓨터와 모바일 기기들이 현재 매우 가치 있는 정보를 저장하고 처리하며 전송할 수 있게 됐다. 그 결과, 기업은 이것들을 보호하는 데에만 막대한 비용을 투자하려 하는 것을 볼 수 있다. 엔드포인트를 보호하면, 당신의 정보를 보호할 수 있다. 사람들 역시 여러 가지 방법으로 정보를 저장하고, 처리하며 전송하고 있다. 사람들은 또다른 운영 체제인, 즉 휴먼 OS에 불과하다.  

기업이 자사 컴퓨터를 보호하는 데 얼마를 투자하는 지와 직원들에게 정보 보호 방법을 교육하는데 얼마나 노력하는 지를 한 번 비교해 보면, 독자 여러분은 아마도 그 차이에 당혹스러워 할 지도 모른다. 가령 일반적으로 기기를 보호하기 위해 기업이 투자하는 자원은 다음과 같다.

-바이러스 백신 소프트웨어
-패치 관리
-가상 사설망
-호스팅 기반 방지 시스템
-이중 인증
-취약점 스캐닝
-엔드포인트 암호화
-로그인/아웃 모니터링

그럼, 이 목록 아래로 이동해 각 컴퓨터 보안을 위한 비용을 추가해 보자. 그런 다음 지원 계약, 헬프데스크 전화 통화, 이 기술을 유지보수 하는데 몇 명의 정규직 인력이 있는지를 더해 보라. 당신은 결국 기기당 100~200달러를 지불하게 될 것이다.

자, 사람들에 대한 정확히 동일한 절차를 통해 가보자. 각각의 직원들을 보호하는 데 얼마나 많이 투자하나? 여기저기 소리가 들리는가? 회사가 이들 임직원들과 함께 일하는 경우, 휴먼 OS를 보호하는 것보다 컴퓨터 보호에 20~50배 이상 더 투자할 가능성이 높다.

각 컴퓨터에 대한 금액을 찾는 게 너무 복잡하면, 간단한 통계를 보라. 기업의 정보 보안팀에 얼마나 많은 사람들이 있는지 세어 보라. 현재 이 사람들 중에서 IT 보호를 담당하는 인력은 몇 명이고, 휴먼 OS 보호를 담당하는 인력은 몇 명인가? 독자 여러분은 아마도 20 : 1 또는 50 : 1과 같은 통계치를 뽑아낼 수 있을 것이다. 이렇게 되면, 거의 끝났다고 봐야 한다. 그리고 기업은 여전히 왜 사람이 가장 취약한 부분인지에 대해 궁금해 할 것이다.

기술은 중요하며 우리는 계속해서 기술에 투자하고 이를 보호해야 한다. 그러나, 결국은 수확 체감의 지점에 이르게 될 것이다. 우리는 휴먼 OS 보호에도 투자해야 한다. 그렇지 않으며 악당들이 간단히 휴먼 엔드포인트를 훼손함으로써 우리의 모든 통제를 계속해서 우회할 것이다.

15년 전에 서부 해킹 시대, 웜의 황금기라는 말이 있었는데 이 말들에 대해 생각해 보자. 사이버공격자들이 쉽게 무작위로 인터넷에서 모든 시스템을 검사하여 수 백만 대의 시스템을 손상시키고 해당 업무 대부분의 시스템을 쉽게 아무나 침입 수 있었다. 보안 커뮤니티에서 우리는 엄청난 고통을 겪었고 컴퓨터 보호에 많이 투자했다. 오늘날, 컴퓨터는 방화벽, 최소화 서비스, 자동 패치 및 메모리 랜덤화와 함께 우리의 고정 관념을 벗어났다. 15년 후, 컴퓨터를 손상시키는 것은 더 어려워졌다.

하지만 그 15년 동안, 우리는 휴먼 OS에 대해 무엇을 했나? 아무것도 하지 않았다. 그 결과, 휴먼 OS는 여전히 윈도 95, 윈NT 또는 솔라리스 2.5 시대에도 존재해 있다. 기본적으로 모든 서비스에서 구현될 있는 방화벽은 없으며 이 OS는 누구라도 요청하면 데이터를 공유할 수 있다.

우리가 이 사람의 문제를 해결하기 시작할 때까지, 악당들은 이것을 쉽게 손에 넣게 될 것이다.

*Lance Spitzner는 SANS 연구소(SANS Institute)에서 휴먼 프로그램 보안을 교육하는 이사다. ciokr@idg.co.kr



2012.12.20

기고 | 지금은 휴먼 OS를 설치해야 할 때다

Lance Spitzner | CSO
우리가 보안 기술에 매년 많은 투자하지만, 여전히 대부분의 취약점 요소들을 찾아내 바로잡는데 실패하는 이유에 대해 보안 연구원 랜스 스피츠너는 바로 휴먼 OS 때문이라고 주장했다.

컴퓨터와 모바일 기기들이 현재 매우 가치 있는 정보를 저장하고 처리하며 전송할 수 있게 됐다. 그 결과, 기업은 이것들을 보호하는 데에만 막대한 비용을 투자하려 하는 것을 볼 수 있다. 엔드포인트를 보호하면, 당신의 정보를 보호할 수 있다. 사람들 역시 여러 가지 방법으로 정보를 저장하고, 처리하며 전송하고 있다. 사람들은 또다른 운영 체제인, 즉 휴먼 OS에 불과하다.  

기업이 자사 컴퓨터를 보호하는 데 얼마를 투자하는 지와 직원들에게 정보 보호 방법을 교육하는데 얼마나 노력하는 지를 한 번 비교해 보면, 독자 여러분은 아마도 그 차이에 당혹스러워 할 지도 모른다. 가령 일반적으로 기기를 보호하기 위해 기업이 투자하는 자원은 다음과 같다.

-바이러스 백신 소프트웨어
-패치 관리
-가상 사설망
-호스팅 기반 방지 시스템
-이중 인증
-취약점 스캐닝
-엔드포인트 암호화
-로그인/아웃 모니터링

그럼, 이 목록 아래로 이동해 각 컴퓨터 보안을 위한 비용을 추가해 보자. 그런 다음 지원 계약, 헬프데스크 전화 통화, 이 기술을 유지보수 하는데 몇 명의 정규직 인력이 있는지를 더해 보라. 당신은 결국 기기당 100~200달러를 지불하게 될 것이다.

자, 사람들에 대한 정확히 동일한 절차를 통해 가보자. 각각의 직원들을 보호하는 데 얼마나 많이 투자하나? 여기저기 소리가 들리는가? 회사가 이들 임직원들과 함께 일하는 경우, 휴먼 OS를 보호하는 것보다 컴퓨터 보호에 20~50배 이상 더 투자할 가능성이 높다.

각 컴퓨터에 대한 금액을 찾는 게 너무 복잡하면, 간단한 통계를 보라. 기업의 정보 보안팀에 얼마나 많은 사람들이 있는지 세어 보라. 현재 이 사람들 중에서 IT 보호를 담당하는 인력은 몇 명이고, 휴먼 OS 보호를 담당하는 인력은 몇 명인가? 독자 여러분은 아마도 20 : 1 또는 50 : 1과 같은 통계치를 뽑아낼 수 있을 것이다. 이렇게 되면, 거의 끝났다고 봐야 한다. 그리고 기업은 여전히 왜 사람이 가장 취약한 부분인지에 대해 궁금해 할 것이다.

기술은 중요하며 우리는 계속해서 기술에 투자하고 이를 보호해야 한다. 그러나, 결국은 수확 체감의 지점에 이르게 될 것이다. 우리는 휴먼 OS 보호에도 투자해야 한다. 그렇지 않으며 악당들이 간단히 휴먼 엔드포인트를 훼손함으로써 우리의 모든 통제를 계속해서 우회할 것이다.

15년 전에 서부 해킹 시대, 웜의 황금기라는 말이 있었는데 이 말들에 대해 생각해 보자. 사이버공격자들이 쉽게 무작위로 인터넷에서 모든 시스템을 검사하여 수 백만 대의 시스템을 손상시키고 해당 업무 대부분의 시스템을 쉽게 아무나 침입 수 있었다. 보안 커뮤니티에서 우리는 엄청난 고통을 겪었고 컴퓨터 보호에 많이 투자했다. 오늘날, 컴퓨터는 방화벽, 최소화 서비스, 자동 패치 및 메모리 랜덤화와 함께 우리의 고정 관념을 벗어났다. 15년 후, 컴퓨터를 손상시키는 것은 더 어려워졌다.

하지만 그 15년 동안, 우리는 휴먼 OS에 대해 무엇을 했나? 아무것도 하지 않았다. 그 결과, 휴먼 OS는 여전히 윈도 95, 윈NT 또는 솔라리스 2.5 시대에도 존재해 있다. 기본적으로 모든 서비스에서 구현될 있는 방화벽은 없으며 이 OS는 누구라도 요청하면 데이터를 공유할 수 있다.

우리가 이 사람의 문제를 해결하기 시작할 때까지, 악당들은 이것을 쉽게 손에 넣게 될 것이다.

*Lance Spitzner는 SANS 연구소(SANS Institute)에서 휴먼 프로그램 보안을 교육하는 이사다. ciokr@idg.co.kr

X