Offcanvas

CIO / CSO / IoT / 리더십|조직관리 / 보안 / 비즈니스|경제

"매년 모든 시스템의 보안 유지보수 예산 편성해야" 전문가 조언

2016.10.31 Bob Brown  |  Network World
심포지엄 2016(SIMposium 2016)에 참가한 전문가들이 IoT를 통한 대규모 디도스 공격에 관해 의견을 공유했다.

"금요일에 인터넷 접속에 문제가 있었던 사람이 몇 명이나 될까?"

지난 10월 25일, 코네티컷(Connecticut)의 모히건 선(Mohegan Sun) 리조트에서 2016 심포지엄(SIMposium)이 열렸고, 여기에 참가한 CIO 및 IT 임원들은 ‘의도하지 않은 사물인터넷의 결과’에 관해 의견을 나눴다. 이 행사의 발표 연사인 사이버 보안 컨설턴트 브라이스 오스틴은 이렇게 운을 뗐다.

이후 불편한 웃음이 이어졌다.

오스틴은 자신의 세션이 원래 프로그램에 없었지만 그렇다고 최근에 발생한 악명 높은 IoT 익스플로잇 Dyn DDoS 공격 때문에 발표 내용에 갑작스럽게 추가된 것은 아니라고 밝혔다.

SIM(Society for Information Management)의 구성원들이 이 주제를 숨겼던 것은 아니었다. 올해 초 SIM은 사이버 보안 특수 이익 그룹을 출범했으며 최근 SIM의 연례 IT 트렌드 연구가 공개되면서 사이버 보안이 큰 관심을 얻게 되었다.

자신의 집에서는 인터넷에 연결된 온도 조절 장치를 사용하지 않는다고 밝힌 오스틴은 해커들이 이런 장치를 조작하여 온도를 낮춤으로써 수도배관을 동파시키거나 높여서 애완동물을 죽일 수 있는 끔찍한 시나리오에 대해 설명했다. 예전에 그의 발표 세션에 참가한 바 있는 가자 중 한 사람은 더욱 끔찍한 사례를 들었다. 도시에 수십 억 달러짜리 발전소를 건설하려는 기업이 여러 개의 온도 조절 장치로 온도를 떨어뜨려 부분적인 전압을 낮추고 유권자들에게 불필요한 시설을 위해 세금을 지불하도록 한다면 어떨까?

오스틴은 "꽤 우울한 생각이다"며 "누가 그렇게 할까? 엔론(Enron)이면 가능하다!”고 말했다.


TCE 스트래터지(TCE Strategy)의 브라이스 오스틴은 IoT 업체에 제품의 통신 방식과 그 통신 방식을 선택한 이유에 관해 질문하라고 권했다. Credit: BOB BROWN/NETWORKWORLD

오스틴은 최근 미라이(Mirai) 봇넷이 Dyn의 DNS를 폭주시킬 수 있었던 기본 암호 피하기 등의 보안 기본 사항에 대한 인식은 심포지엄에 참석하는 고위 IT 직원들에게는 문제가 되지 않는다고 설명했다. 더 큰 문제는 이런 공격이 예산 배정 과정에 있는 조직에 끼칠 수 있는 위협의 정도를 파악하는 것이다. 그는 이렇게 질문했다. "우리의 기업은 그런 위험을 감수할 의향이 있는가? 그들은 그런 위험을 완화하기 위해 자금을 지출할 의향이 있는가? 아니면 그런 위험에 대한 보험을 고려하고 싶어 하는가?"

최근 디도스 공격으로 발생한 법적인 결과가 흥미로울 것이다. 그는 "누가 책임을 져야 할까?"라고 발표 중간에 참가들에게 물었다.

또한 오스틴에 따르면, IT 조직에게는 CFO에 보안 부문의 변화에 관해 이야기할 좋은 기회다. 그는 "보안과 유지보수는 프로세스지 이벤트가 아니다. 우리가 보유한 모든 시스템에 대해 매년 이루어지는 [예산 편성 과정의 일환]이어야 한다"고 강조했다.

조직에서 매우 중요하게 고려해야 할 보안 사항 중 하나는 연결 그 자체만을 자동으로 연결된 모든 것을 도입하지 않는 것이다. 오스틴은 자신의 집에서 사용하는 보안 시스템을 언급했다. 그는 우선 명확히 알려진 결함이 없는지 그리고 IP를 지원하지 않는지 확인했다 (중앙의 컴퓨터에 동축 케이블(coaxial cable)로 연결되어 있다).

물론 IoT를 피할 수 있다거나 피하는 것이 바람직하다는 것은 아니기 때문에 기업은 기기와 서비스 업체에 취약점이 나타날 때를 대비하도록 해야 한다. 오스틴은 호스팅 업체 등과 협력하여 특정 시한 안에 알려진 취약점에 대한 패치를 적용하고 그렇지 않으면 금전적인 페널티를 부과하는 계약 조항을 마련하는 데 대해 논의했다. IIC(Industrial Internet Consortium)에 참여하거나 보안 프레임워크를 준수하는 업체와 협력하면 어느 정도 안도할 수 있다.

봇넷에서 몇 가지 배울 점이 있다
최근 AT&T에서 31년 만에 퇴직한 에드 아모로소 박사(전 CSO)는 현재 TAG 사이버(TAG Cyber)라는 집단을 통해 기업들에 IT 보안에 관한 컨설팅을 제공하고 있다.

그는 조직들이 분산된 가상의 방식으로 네트워크를 재구성하여 최근 세간의 이목을 집중시킨 디도스 공격으로 인한 결과보다 좋지 못한 결과를 피해야 한다고 이야기했다. 아모로소는 보고를 받는 비 기술직 고위층에 맞추어 개념을 단순화해야 하기 때문에 쉽지는 않지만 실제 네트워크의 상당한 아키텍처 변화가 필요하다고 전했다.

아모로소는 "전직 인력관리실 이사 캐서린 아슐레타 때문에 지난해 연방 기관에 큰 유출 사건이 발생했다고 생각하지 않는다. 하지만 파트너, 직원 원격 접속, 다양한 클라우드 서비스를 수용하기 위해 페리미터(Perimeter)에 구멍이 많아진 시대에 오래된 페리미터 기반의 기업 네트워크 보안 시스템을 고수하고 있는 IT 및 보안팀이 문제라고 생각한다"고 지적했다.


TAG 사이버는 기업 네트워크 페리미터에 정말로 구멍이 많은 것을 보고 있다. 
Credit:BOB BROWN/NETWORKWORLD

"'그래, 페리미터는 이미 오래전에 사라졌어'라고 생각하는 사람이 있다면 다시 생각해 보기 바란다. 여전히 페리미터가 있는가? '그렇다.' 기본적으로 모든 감사가 통제하고 있는가? '그렇다.' 말만 한다고 해서 해결되지는 않는다. 무엇인가 행동이 필요하다"고 아모로소는 설명했다.

아모로소는 연례 심포지엄에서 "조직들이 가상의 최소 구분을 통해 원격 이메일 접속부터 클라우드로의 접속 아웃소싱까지 모든 것을 파괴하고 보안을 확보하여 기업을 타파해야 한다"고 조언했다.

이 아키텍처의 장점은 모든 조직이 정말로 다른 관점을 가질 수 있으며 그것이 침입자들을 궁지에 몰아넣는 핵심이다. 아모로소는 Q&A 시간에 규제 준수에 초점을 맞춘 보안을 비난하면서 "모든 할 일을 열거하고 포기하지 않을 것이라고 맹세한다고 해서 아무런 도움이 되지 않는다"고 반박했다. "방어 전략을 예측하기가 좀 더 어려워야 하지 않을까? 규제 준수가 전부는 아니다. 우리가 모든 규제 준수를 포기하면 더욱 안전해질 것이다"고 말하면서 그는 청중들의 박수를 받았다.

봇넷을 이용한 디도스 공격 주제로 돌아온 아모로소는 CIO들이 분산형 시스템이 피해 및 저항을 수행하는 방식으로 배울 점이 있다고 언급했다. 마지막으로 그는 “조직의 리더는 네트워크를 더욱 탄력적이게 만드는 방법이 있다면 좋겠다. 물론 그런 방법 자체가 존재한다는 전제하에서만 말이다"고 덧붙였다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.