2016.10.04

'그럴싸한' 보안 낭설 14가지

Ryan Francis | CSO
보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다.



우리 회사엔 훔치거나 보호할만한 것이 없다

모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다.

공격 당할 가능성이 희박하다
공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다.

컴플라이언스와 보안은 거의 같다
많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다.

무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다
시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 몇 가지 질문을 해야 한다:

- 마련된 기업 로깅 정책이 있나? 실행되고 있나?
- 그 로그가 통합되고 분석되는가? 만약 그렇다면 데이터가 손쉽게 사용될 수 있는 방식으로 통합되고 있는가?

보안 정책이 자동으로 보안 문제를 고칠 것이다
보안 리스크는 종종 잘 마련된 보안 정책과 표준으로 완화될 수 있다. 그러나 훌륭한 정책이 위력을 발휘하려면 공유 오너십이 중요한 경우가 많다. 팀들이 보안 정책을 책임지도록 해야 하며 이를 위해서는 공동으로 규정을 검토하고 이해당사자들로 구성된 승인 그룹들이 중심에 위치해야 한다. 마지막으로 준수와 장기적 성공을 보장하기 위해서는 이사진이 개입해야 한다.

정책 강제화 수준을 높이면 내부자 위협 문제가 해결될 것이다
내부자들은 내부의 가치 있는 정보와 정책에 대해 알고 있다. E8 시큐리티(E8 Security)의 제품 헤드 맷 로져스는 즉, 내부자들은 “알려진” 감시망 아래서 행동하는 방법을 파악하고 있을 가능성이 높다고 말했다. 보안 정책 강제화에 노력을 기울인다고 할지라도 단지 내부자의 작업을 조금 어렵게 할 뿐이라는 설명이다. 그는 장기간 내부자 행동을 추적하고 그 행동에 대한 변화를 감지하도록 하는 것이 더 유용할 수 있다고 덧붙였다.

피싱은 과거의 일이다
지난 3년간 23억 달러의 손실에 달하는 소셜 엔지니어링 공격이 증가하고 있다. 종종 직원 이메일을 표적화하는 이런 공격 전략은 수신자의 실명을 담고 그들이 조직 내부에서 온 것처럼 보이고 청구서, RFP, 심지어 회사 행사처럼 비즈니스 문서 첨부물이나 링크를 가지기도 한다. 마이크로 포커스의 보안 전문가 시몬 푸레오는 여전히 첨부 파일이 있거나 개인 정보 요청을 담은 내부 이메일을 조심하라고 할 필요가 있다고 강조했다.

문자메시지 이중 인증은 강력하다
이중인증은 암호만 쓰는 것보다 더 나은 인증을 제공한다. 그러나 이중인증에서 생성된 코드는 손쉽게 해커에 의해 탈취될 수 있어서 중간자 공격에 취약하다. NIST(National Institute of Standards and Technology)가 2016년 7월 정부 기관을 대상으로 발간한 가이드에 따르면 문자메시지보다 더 나은 대안은 모바일 앱의 일부로 소프트웨어 토큰을 쓰는 것이다.

방지보다는 감지에 초점을 맞춰야 한다
팔로 알토 네트워크 유닛 42 위협 인텔리전스 팀의 디렉터 라이언 올슨은 이 속설의 위험성을 경고했다. 비록 방어를 뚫는데 유능한 고도의 능력을 가진 공격자들이 있지만 보안 사고 대부분은 알맞은 기술과 프로세스로 방지 가능하다. 그는 가장 효과적인 보안 조치는 그런 능력 있는 적들을 감지하고 대응하겠다는 방어 의식에서 시작한다고 그는 말했다.

러시아 코드를 찾았다. 그러므로 러시아에서 공격한 것이다
루크 시큐리티(Rook Security)의 전략 부회장 마이크 패터슨는 두 가지를 말했다: 우선 해커는 바보가 아니다. 해커들은 가짜 빵 부스러기들을 흘려 보안팀이 그걸 쫓게 만들고 그들의 존재감과 근원을 숨기는데 아주 능숙하다. 해커들은 보안팀이 이런 흔적을 쫓게 하는 방법을 안다.

둘째로 해커들은 협동한다: 미국사람이 우크라이나에 사는 해커가 알바니아에 있는 친구와 함께 작업해 러시아어로 쓴 맬웨어를 구입해서 터키의 표적을 공격할 수 있다. 조사에서 러시안 코드를 찾아서 즉각적으로 러시아에 책임을 묻는 것은 범죄자들이 수사망에서 벗어날 시간을 줄 뿐이다. 하나의 단서를 찾았다고 빨리 수사를 마무리 지으려 하면 안 된다. 작은 증거 조각일 뿐이다.

보안 예산이 예상대로 집행될 것이다
긍정론은 좋은 것이다. 기대한 보안 예산이 오면 훌륭하겠지만 현실은 다르다. 사고가 발생해야 예산이 마련되고 벤더들이 붐빈다. 예산은 지속적으로 평가될 필요가 있으며, 단일 사고가 예산 나머지에 영향을 끼치지 않도록 해야 한다. 당신의 조직이 성장하고 있으며 더 많은 공격에 직면하거나 더 많은 기기를 네트워크에 추가하려 한다면? 그렇다면 벤더 계약 비용 또한 변화할 것으로 예상해야 한다.

방화벽과 안티바이러스면 충분하다
방화벽과 안티바이러스는 당연히 필수지만 데이터를 보호하기에는 부족하다. 모든 유출의 40%가 애플리케이션 레이어를 통해 발생했다. 좋은 웹 앱과 네트워크 보안 프로그램은 회사 보안에 필수라고 화이트햇 시큐리티의 위협 연구 센터 부회장 라이언 오리어리는 말했다.

해킹은 TV에 나온 것과 같다
TV나 영화가 해커들을 가끔 다루었지만 제대로 다른 것은 거의 없다. 현실의 해킹에는 수많은 시도와 오류가 필요하고 통하는 해킹방법이 나오기까지 상당한 시간이 걸린다.

해커들은 모두 검은 옷을 입고 어두운 지하실에 있다
어느 정도만 사실이다. 이런 편견에 맞는 해커들도 있지만 대부분의 해커는 보통 사람들이다. 수많은 해커들이 다른 분야에서 경력을 시작해서 취약점을 찾는 요령을 발견할 뿐이다.

치명적 취약점들은 그리 흔하지 않다
화이트핵의 연례 웹 애플리케이션 보안 통계 보고에 의하면 거의 모든 단일 웹사이트에 최소한 한가지 이상의 치명적 취약점이 있다. 만약 기업에게 웹사이트가 있다면 심각한 공격에 현재 무방비일 수 있다는 의미다. ciokr@idg.co.kr 



2016.10.04

'그럴싸한' 보안 낭설 14가지

Ryan Francis | CSO
보안 분야에도 별다른 의문 없이 받아들여지는 그럴듯한 속설들이 있다. 대부분 꽤나 그럴듯한 이들 속설들은 때로는 그럴만한 이유를 가지고 있지만, 때로는 사실과 전혀 다른 엉뚱한 것들이기도 하다. 여기 보안 분야의 미신과 낭설들을 정리했다.



우리 회사엔 훔치거나 보호할만한 것이 없다

모든 조직에는 나름 훔칠만한 가치 있는 것이 있다고 블루캣(BlueCat)의 리드 보안 아키텍트 조시 엠데는 말했다. 지적 재산이나 회사 비밀이 아닐지라도 브랜드 평판이나 신뢰의 가치는 이에 못지 않을 수 있다. 리테일 업계에서는 고객 데이터 유출로 인해 브랜드 명성이 큰 타격을 입고 매출 부진, 법적 벌금, 추가 모니터링 비용 지출, 고객 신용 재구축을 위한 장기적 비용 지출 등의 대가를 치르는 경우를 흔하게 찾아볼 수 있다.

공격 당할 가능성이 희박하다
공격 당할 지가 문제가 아니라 언제 공격 당할 지가 문제다. 정부 차원의 해킹 조직, 세련되고 지속적인 공격 등의 시대 속에서 100% 안전함을 유지하는 것은 불가능하다. 안전조치를 마련하는 게 중요하지만 공격에 얼마나 빠르게 그리고 어떻게 대응하고 해결하는 게 중요하다.

컴플라이언스와 보안은 거의 같다
많은 조직들은 준수 수준을 기업 목표로 달성하려 하며, 표준 준수가 안전을 의미한다고 생각한다. 안타깝게도 표준 준수만으로는 대부분 최소한의 제어를 갖추고 있음을 의미할 뿐이다. 성숙한 보안 프로그램은 준수의 기반이지만 준수가 보안을 완벽하게 하진 않는다.

무언가 잘못되면 알아야 할 모든 것이 애플리케이션 로그 데이터 속에 있다
시트릭스(Citrix)의 위협과 조사 서비스 선임 관리자 마이크 오로스는 애플리케이션과 하드웨어가 로깅 작업을 하고 있다면 그 데이터가 유용하다는 흔한 오해가 있다고 말했다. 많은 이들이 보안 리스크 이해와 관련해 애플리케이션 로그 데이터 활용에 대해 이야기한다. 머신러닝, 휴리스틱스 같은 용어들이 널리 애용된다. 하지만 리스크 측정 사용자 행동에 대해 깊이 파기 앞서 몇 가지 질문을 해야 한다:

- 마련된 기업 로깅 정책이 있나? 실행되고 있나?
- 그 로그가 통합되고 분석되는가? 만약 그렇다면 데이터가 손쉽게 사용될 수 있는 방식으로 통합되고 있는가?

보안 정책이 자동으로 보안 문제를 고칠 것이다
보안 리스크는 종종 잘 마련된 보안 정책과 표준으로 완화될 수 있다. 그러나 훌륭한 정책이 위력을 발휘하려면 공유 오너십이 중요한 경우가 많다. 팀들이 보안 정책을 책임지도록 해야 하며 이를 위해서는 공동으로 규정을 검토하고 이해당사자들로 구성된 승인 그룹들이 중심에 위치해야 한다. 마지막으로 준수와 장기적 성공을 보장하기 위해서는 이사진이 개입해야 한다.

정책 강제화 수준을 높이면 내부자 위협 문제가 해결될 것이다
내부자들은 내부의 가치 있는 정보와 정책에 대해 알고 있다. E8 시큐리티(E8 Security)의 제품 헤드 맷 로져스는 즉, 내부자들은 “알려진” 감시망 아래서 행동하는 방법을 파악하고 있을 가능성이 높다고 말했다. 보안 정책 강제화에 노력을 기울인다고 할지라도 단지 내부자의 작업을 조금 어렵게 할 뿐이라는 설명이다. 그는 장기간 내부자 행동을 추적하고 그 행동에 대한 변화를 감지하도록 하는 것이 더 유용할 수 있다고 덧붙였다.

피싱은 과거의 일이다
지난 3년간 23억 달러의 손실에 달하는 소셜 엔지니어링 공격이 증가하고 있다. 종종 직원 이메일을 표적화하는 이런 공격 전략은 수신자의 실명을 담고 그들이 조직 내부에서 온 것처럼 보이고 청구서, RFP, 심지어 회사 행사처럼 비즈니스 문서 첨부물이나 링크를 가지기도 한다. 마이크로 포커스의 보안 전문가 시몬 푸레오는 여전히 첨부 파일이 있거나 개인 정보 요청을 담은 내부 이메일을 조심하라고 할 필요가 있다고 강조했다.

문자메시지 이중 인증은 강력하다
이중인증은 암호만 쓰는 것보다 더 나은 인증을 제공한다. 그러나 이중인증에서 생성된 코드는 손쉽게 해커에 의해 탈취될 수 있어서 중간자 공격에 취약하다. NIST(National Institute of Standards and Technology)가 2016년 7월 정부 기관을 대상으로 발간한 가이드에 따르면 문자메시지보다 더 나은 대안은 모바일 앱의 일부로 소프트웨어 토큰을 쓰는 것이다.

방지보다는 감지에 초점을 맞춰야 한다
팔로 알토 네트워크 유닛 42 위협 인텔리전스 팀의 디렉터 라이언 올슨은 이 속설의 위험성을 경고했다. 비록 방어를 뚫는데 유능한 고도의 능력을 가진 공격자들이 있지만 보안 사고 대부분은 알맞은 기술과 프로세스로 방지 가능하다. 그는 가장 효과적인 보안 조치는 그런 능력 있는 적들을 감지하고 대응하겠다는 방어 의식에서 시작한다고 그는 말했다.

러시아 코드를 찾았다. 그러므로 러시아에서 공격한 것이다
루크 시큐리티(Rook Security)의 전략 부회장 마이크 패터슨는 두 가지를 말했다: 우선 해커는 바보가 아니다. 해커들은 가짜 빵 부스러기들을 흘려 보안팀이 그걸 쫓게 만들고 그들의 존재감과 근원을 숨기는데 아주 능숙하다. 해커들은 보안팀이 이런 흔적을 쫓게 하는 방법을 안다.

둘째로 해커들은 협동한다: 미국사람이 우크라이나에 사는 해커가 알바니아에 있는 친구와 함께 작업해 러시아어로 쓴 맬웨어를 구입해서 터키의 표적을 공격할 수 있다. 조사에서 러시안 코드를 찾아서 즉각적으로 러시아에 책임을 묻는 것은 범죄자들이 수사망에서 벗어날 시간을 줄 뿐이다. 하나의 단서를 찾았다고 빨리 수사를 마무리 지으려 하면 안 된다. 작은 증거 조각일 뿐이다.

보안 예산이 예상대로 집행될 것이다
긍정론은 좋은 것이다. 기대한 보안 예산이 오면 훌륭하겠지만 현실은 다르다. 사고가 발생해야 예산이 마련되고 벤더들이 붐빈다. 예산은 지속적으로 평가될 필요가 있으며, 단일 사고가 예산 나머지에 영향을 끼치지 않도록 해야 한다. 당신의 조직이 성장하고 있으며 더 많은 공격에 직면하거나 더 많은 기기를 네트워크에 추가하려 한다면? 그렇다면 벤더 계약 비용 또한 변화할 것으로 예상해야 한다.

방화벽과 안티바이러스면 충분하다
방화벽과 안티바이러스는 당연히 필수지만 데이터를 보호하기에는 부족하다. 모든 유출의 40%가 애플리케이션 레이어를 통해 발생했다. 좋은 웹 앱과 네트워크 보안 프로그램은 회사 보안에 필수라고 화이트햇 시큐리티의 위협 연구 센터 부회장 라이언 오리어리는 말했다.

해킹은 TV에 나온 것과 같다
TV나 영화가 해커들을 가끔 다루었지만 제대로 다른 것은 거의 없다. 현실의 해킹에는 수많은 시도와 오류가 필요하고 통하는 해킹방법이 나오기까지 상당한 시간이 걸린다.

해커들은 모두 검은 옷을 입고 어두운 지하실에 있다
어느 정도만 사실이다. 이런 편견에 맞는 해커들도 있지만 대부분의 해커는 보통 사람들이다. 수많은 해커들이 다른 분야에서 경력을 시작해서 취약점을 찾는 요령을 발견할 뿐이다.

치명적 취약점들은 그리 흔하지 않다
화이트핵의 연례 웹 애플리케이션 보안 통계 보고에 의하면 거의 모든 단일 웹사이트에 최소한 한가지 이상의 치명적 취약점이 있다. 만약 기업에게 웹사이트가 있다면 심각한 공격에 현재 무방비일 수 있다는 의미다. ciokr@idg.co.kr 

X