2015.05.21

기업 보안의 최대 취약지점 '인간'

Kacy Zurkus | CSO
셰익스피어의 비극과 조직 보안 문제의 공통점은 무엇일까? 둘 다 압도적인 인간 오류의 결과물이라는 것이다. 셰익스피어의 역작 오델로(Othellow)에 등장하는 이아고(Iago)는 소셜 엔지니어의 전형이다.

Credit: Shehal Joseph


오델로의 자만심과 이아고의 잔인함은 시간과 세대를 넘어 이어져 오고 있다. CSO와 CISO는 조직을 위해 장벽을 가능한 두껍게 설치해야 할 수 밖에 없겠지만, 결국 조직의 보안은 하드웨어의 견고성이 아닌, 해커와 최종 사용자에게 달려 있다.

허리케인 랩스(Hurricane Labs)의 네트워크 보안 엔지니어 아만다 벌린은 규모와 공개 여부에 상관 없이 기업 보안의 최대 약점은 인간이라고 단언했다. 그는 "대개의 사람들은 고객과 직원들이 행복하기를 원한다. 통화 상대방을 신뢰하거나 기꺼이 이메일을 전송하는 것은 이 때문이다"라고 말했다.

시큐리티 모니터(Security Monitor)의 사장 겸 CEO 마리 화이트 또한 "[기업에 있어서] 직원들이 여전히 가장 큰 위험이다. 그들은 가장 많은 실수를 범하고 이로 인해 심각한 결과가 초래된다"라고 말했다.

그는 이어 "피싱(Phishing)은 이제 단순히 이메일에만 국한되지 않는다. 소셜 미디어 피셔(Phisher)들은 점차 고도화되고 있다”라고 진단했다.

모토롤라 솔루션즈(Motorola Solutions)의 보안 사건 대응 책임자 레슬리 카라트는 소셜 엔지니어링이 의외로 간단하다고 지적했다. 그는 “링크드인(LinkedIn) 같은 사이트에서 얻을 수 있는 데이터로 인해 악의를 가진 이들이 피싱에 활용할 수 있는 정보를 쉽게 얻을 수 있다. 그리고 오픈소스를 이용해 간단하게 해킹할 수 있다”라고 말했다.

4월 샌프란시스코(San Francisco)에서 열린 RSA 컨퍼런스에서 톰 랭포드는 인간이 습관의 지배를 받기 때문에 포스터와 경고 문구 및 연례 CBT 프로그램에도 불구하고 여전히 '연결'과 '클릭' 문제가 발생하고 있다고 설명했다.

랭포드는 "그들은 노트북에 아무 USB나 연결하는 것이 문제가 될 수 있다는 사실을 알고 있지만, 앞으로 같은 행동을 반복할 것이다. 이것은 습관이다"라고 말했다.

특히 최종 사용자들은 보안보다 편의성을 추구하는 경향을 보이기에 문제가 된다. 카라트는 "일부 직원들은 보안 보다는 편의성을 더욱 중요하게 여기는 것이 사실”이라며, "직원들이 1차 방어선이다"라고 말했다.

그렇다면 기업이 조직과 예산에 적합한 인식 프로그램을 개발하려면 어떻게 해야 할까? 그러나 애석하게도 만병통치약은 존재하지 않는다.

오늘날의 기업들은 밀레니엄 세대부터 베이비 붐 세대까지 여러 세대의 직원들을 고용하고 있다. 교육해야 할 사람들의 연령층이 다양하기 때문에 복합적인 환경을 평가해야 한다.

카라트는 "인식 프로그램의 주요 규칙은 창의성과 혁신을 발휘하는 것이며, 강력한 보안을 위해서는 인간, 기기, 정책 등 기술과 인간 통제가 조합된 심도 깊은 방어가 요구된다"라고 말했다.

화이트 또한 "사람들의 배경이 다르다는 사실을 인정하고 이해해야 한다. 밀레니엄 세대는 참여 및 상호작용 툴을 기대하기 때문에 교육이 훨씬 효과적일 수 있다. 중요한 것은 프로그램에 무엇을 포함시킬지 아는 것이다"라고 말했다.

기업은 사람들의 행동을 평가하면서 동시에 보안 해킹이 발생했거나 발생할 수 있음을 인식하고 평가를 위해 내부적으로 다음과 같은 질문을 던져야 한다. "현재 그들의 문제점은 무엇인가? 그들은 지금 무엇을 하고 있는가? 누가 그들을 도울 수 있는가?" 화이트는 이렇게 제안했다.

"지식이 뛰어난 해커라면 확실히 침입할 수 있다. 조직들은 하드웨어 및 소프트웨어를 관리함과 동시에 최종 사용자가 상황을 어떻게 완화할 수 있는지 파악해야 한다. 위험을 최소화하기 위해 무엇을 할 수 있는지도 알아야 한다."

모든 조직이 침입이 가능하다면 조직이 시간과 자원을 들여 인식 프로그램을 개발할 필요가 있을까?

벌린은 이에 대해 자신의 피싱 실험을 언급했다. 말단직원부터 CEO와 IT 인력까지 모든 사람들에게 암호를 제공하도록 요청하는 실험이었다. 간단한 문장과 지메일(Gmail) 주소가 포함된 간단한 이메일을 이용해 사용자명과 암호를 요청한 결과 40%에 가까운 성공률을 기록했다고 그는 설명했다.

그는 보안 인식 프로그램을 진행한 후 "그 수치는 0으로 떨어졌으며 수신한 이메일을 10분 안에 보고하고 차단하게 되었다"라고 강조했다.

보안 인식 프로그램을 수립하고 진행하는데 많은 자본을 필요한 것은 아니다. 사실 아주 약간의 재정으로도 보안 인식 프로그램을 개발할 수 있다. 벌린은 "원칙은 모두 같다. 사용자들에게 의심되는 것을 가르치고 보고할 수 있는 기능을 제공하라. 필요할 경우 스팸 필터링, 관리, 이중 요소 인증 등을 제공하고 준수해야 할 사항을 교육하는 것만으로도 큰 장벽을 칠 수 있다"라고 말했다.

그녀는 이어 “외부 기관이 진행하는 필기 시험으로도 좋은 지표를 얻을 수 있다"라고 덧붙였다.


* Kacy Zurkus 는 보안 분야 전문 기고가다. ciokr@idg.co.kr 



2015.05.21

기업 보안의 최대 취약지점 '인간'

Kacy Zurkus | CSO
셰익스피어의 비극과 조직 보안 문제의 공통점은 무엇일까? 둘 다 압도적인 인간 오류의 결과물이라는 것이다. 셰익스피어의 역작 오델로(Othellow)에 등장하는 이아고(Iago)는 소셜 엔지니어의 전형이다.

Credit: Shehal Joseph


오델로의 자만심과 이아고의 잔인함은 시간과 세대를 넘어 이어져 오고 있다. CSO와 CISO는 조직을 위해 장벽을 가능한 두껍게 설치해야 할 수 밖에 없겠지만, 결국 조직의 보안은 하드웨어의 견고성이 아닌, 해커와 최종 사용자에게 달려 있다.

허리케인 랩스(Hurricane Labs)의 네트워크 보안 엔지니어 아만다 벌린은 규모와 공개 여부에 상관 없이 기업 보안의 최대 약점은 인간이라고 단언했다. 그는 "대개의 사람들은 고객과 직원들이 행복하기를 원한다. 통화 상대방을 신뢰하거나 기꺼이 이메일을 전송하는 것은 이 때문이다"라고 말했다.

시큐리티 모니터(Security Monitor)의 사장 겸 CEO 마리 화이트 또한 "[기업에 있어서] 직원들이 여전히 가장 큰 위험이다. 그들은 가장 많은 실수를 범하고 이로 인해 심각한 결과가 초래된다"라고 말했다.

그는 이어 "피싱(Phishing)은 이제 단순히 이메일에만 국한되지 않는다. 소셜 미디어 피셔(Phisher)들은 점차 고도화되고 있다”라고 진단했다.

모토롤라 솔루션즈(Motorola Solutions)의 보안 사건 대응 책임자 레슬리 카라트는 소셜 엔지니어링이 의외로 간단하다고 지적했다. 그는 “링크드인(LinkedIn) 같은 사이트에서 얻을 수 있는 데이터로 인해 악의를 가진 이들이 피싱에 활용할 수 있는 정보를 쉽게 얻을 수 있다. 그리고 오픈소스를 이용해 간단하게 해킹할 수 있다”라고 말했다.

4월 샌프란시스코(San Francisco)에서 열린 RSA 컨퍼런스에서 톰 랭포드는 인간이 습관의 지배를 받기 때문에 포스터와 경고 문구 및 연례 CBT 프로그램에도 불구하고 여전히 '연결'과 '클릭' 문제가 발생하고 있다고 설명했다.

랭포드는 "그들은 노트북에 아무 USB나 연결하는 것이 문제가 될 수 있다는 사실을 알고 있지만, 앞으로 같은 행동을 반복할 것이다. 이것은 습관이다"라고 말했다.

특히 최종 사용자들은 보안보다 편의성을 추구하는 경향을 보이기에 문제가 된다. 카라트는 "일부 직원들은 보안 보다는 편의성을 더욱 중요하게 여기는 것이 사실”이라며, "직원들이 1차 방어선이다"라고 말했다.

그렇다면 기업이 조직과 예산에 적합한 인식 프로그램을 개발하려면 어떻게 해야 할까? 그러나 애석하게도 만병통치약은 존재하지 않는다.

오늘날의 기업들은 밀레니엄 세대부터 베이비 붐 세대까지 여러 세대의 직원들을 고용하고 있다. 교육해야 할 사람들의 연령층이 다양하기 때문에 복합적인 환경을 평가해야 한다.

카라트는 "인식 프로그램의 주요 규칙은 창의성과 혁신을 발휘하는 것이며, 강력한 보안을 위해서는 인간, 기기, 정책 등 기술과 인간 통제가 조합된 심도 깊은 방어가 요구된다"라고 말했다.

화이트 또한 "사람들의 배경이 다르다는 사실을 인정하고 이해해야 한다. 밀레니엄 세대는 참여 및 상호작용 툴을 기대하기 때문에 교육이 훨씬 효과적일 수 있다. 중요한 것은 프로그램에 무엇을 포함시킬지 아는 것이다"라고 말했다.

기업은 사람들의 행동을 평가하면서 동시에 보안 해킹이 발생했거나 발생할 수 있음을 인식하고 평가를 위해 내부적으로 다음과 같은 질문을 던져야 한다. "현재 그들의 문제점은 무엇인가? 그들은 지금 무엇을 하고 있는가? 누가 그들을 도울 수 있는가?" 화이트는 이렇게 제안했다.

"지식이 뛰어난 해커라면 확실히 침입할 수 있다. 조직들은 하드웨어 및 소프트웨어를 관리함과 동시에 최종 사용자가 상황을 어떻게 완화할 수 있는지 파악해야 한다. 위험을 최소화하기 위해 무엇을 할 수 있는지도 알아야 한다."

모든 조직이 침입이 가능하다면 조직이 시간과 자원을 들여 인식 프로그램을 개발할 필요가 있을까?

벌린은 이에 대해 자신의 피싱 실험을 언급했다. 말단직원부터 CEO와 IT 인력까지 모든 사람들에게 암호를 제공하도록 요청하는 실험이었다. 간단한 문장과 지메일(Gmail) 주소가 포함된 간단한 이메일을 이용해 사용자명과 암호를 요청한 결과 40%에 가까운 성공률을 기록했다고 그는 설명했다.

그는 보안 인식 프로그램을 진행한 후 "그 수치는 0으로 떨어졌으며 수신한 이메일을 10분 안에 보고하고 차단하게 되었다"라고 강조했다.

보안 인식 프로그램을 수립하고 진행하는데 많은 자본을 필요한 것은 아니다. 사실 아주 약간의 재정으로도 보안 인식 프로그램을 개발할 수 있다. 벌린은 "원칙은 모두 같다. 사용자들에게 의심되는 것을 가르치고 보고할 수 있는 기능을 제공하라. 필요할 경우 스팸 필터링, 관리, 이중 요소 인증 등을 제공하고 준수해야 할 사항을 교육하는 것만으로도 큰 장벽을 칠 수 있다"라고 말했다.

그녀는 이어 “외부 기관이 진행하는 필기 시험으로도 좋은 지표를 얻을 수 있다"라고 덧붙였다.


* Kacy Zurkus 는 보안 분야 전문 기고가다. ciokr@idg.co.kr 

X