2019.08.26

칼럼 | '2개 시스템 지급'이 보안에 별 도움 안되는 이유

Roger A. Grimes | CSO
필자가 많이 받는 질문 중 하나가 직원에게 업무용과 기타용 2개 시스템을 지급하는 것에 대한 의견이다. 잠긴 시스템에서 업무를 처리하고 회사에 과도한 위험을 발생시키지 않으면서, 다른 시스템에서는 일상적인 일을 처리하는 방식이다.
 
ⓒ Getty Images Bank

사실 이는 전혀 새로운 아이디어가 아니다. 이런 방식은 컴퓨터의 역사만큼이나 오래됐고 필자 역시 수십 년 동안 이런 '적색/녹색 시스템(red/green systems)'에 관해 이야기했다. 서로 완전히 분리된 2개의 별도 시스템을 사용하면 사이버 보안이 개선되고 때에 따라 크게 보안을 강화할 수 있다.

그러나 이는 매우 많은 돈이 드는 컴퓨터 보안 방식이다. 하드웨어와 소프트웨어 라이선스, 지원 비용, 지원 문제 등이 모두 2배가 되기 때문이다. 이런 방식은 보안이 삼엄한 곳과 일부 금융사에서 실제로 사용된다. 하지만 비용만 보더라도 2개의 물리적으로 분리된 시스템 개념은 실효성이 없다. IT 보안팀은 한번 랜섬웨어 공격을 당해 복구하는 비용을 고려하면 2개 시스템을 구매해 지원하는 것이 더 저렴하다고 쉽게 주장할 것이다. 그러나 경영진에게 '가상의 상황'에 대비해 지원 비용을 2배로 늘리자고 설득하는 것은 모든 기업에서 가능할 리 없다.

해커는 비즈니스 시스템을 노린다
적색/녹색 시나리오가 효과가 없는 더 근본적인 이유는 오늘날의 해킹 방식이 이러한 분리를 무력화하는 경우가 많기 때문이다. 즉, 비즈니스 시스템을 직접적으로 공격하며 현업 직원을 의도적으로 노려 적색/녹색 시스템의 보안 이점이 퇴색시키는 것이다. 좋은 예가 BEC(Business Email Compromise) 피싱 사기다. 누군가 현업 직원에게 신뢰하는 누군가로 가장해 돈이나 송장을 요청하면 피해자는 비즈니스 계정에서 이를 지불한다. 피해자에게 개인용 이메일 계정이나 소셜 미디어를 통해 접근하지 않는다. 모두가 비즈니스 시스템을 통해 이뤄진다.

피해자가 신뢰하는 사람의 해킹된 이메일 계정을 사용해 실행된 BEC 사기 사고는 점점 더 흔해지고 있다. 사이버 악당은 수년 동안 신뢰했던 비즈니스 파트너에게 침투한다. 이메일은 익숙한 형식을 사용해 도착하며 추후 송장 수신인 등 약간의 세부사항을 변경한 익숙한 내용으로 요청한다. 심지어 사기꾼은 피해자가 경계를 풀고 별다른 의문 없이 변경할 수 있도록 100달러 미만 등 상대적으로 작은 송장 요청과 함께 변경사항을 전송할 만큼 똑똑하다.

사기꾼은 제3자 시스템에서 이메일 규칙을 생성해 피해자의 기기에 대한 정당한 요청을 삭제함으로써 정당한 제3자와 피해자 모두 사기가 진행되고 있음을 모르게 한다. 사기꾼은 피해자에게 훨씬 큰 금액의 송금을 요청해 정당한 제3자가 수 주에서 수개월 후 미지급에 관해 불평할 때까지 아무도 알아차리지 못하게 한다. BEC 사기는 이제는 너무 정교해져 모든 직원이 금융 작업을 하기 전  모든 종류의 금융 변경사항에 대해 구두로 확인하는 것 외에는 감지, 차단하는 방법이 없다.
 
가상화 쿠베스(Qubes)가 더 저렴한 대안이다
적색/녹색 시스템이 주목받는 이유는 무엇보다 악성 웹사이트를 방문해 시스템을 감염시키는 위협으로부터 기업 시스템을 효과적으로 보호할 수 있기 때문이다. 앞서 살펴본 여러 한계와 단점을 감수하는 이유다. 그러나 이런 이유라면 별도의 시스템을 확보하는 대신 더 저렴하고 효과적인 대안이 있다. 즉 시스템을 분리하는 대신 모든 인터넷과 이메일을 다른 기업 네트워크로부터 분리하는 단일 시스템을 사용하는 것이다.

많은 상용 및 무료 시스템과 소프트웨어가 이를 지원한다. 브라우저, 이메일 클라이언트, OS 전체 등을 가상화하거나 악성 수정으로부터 보호하는 무료 샌드박시(Sandboxie) 등 많은 소프트웨어 제품이 있다. 부분적인 가상화만 제공하는 제품은 OS 전체를 가상화하는 것만큼 꼼꼼한 보호를 제공하지 않지만 대부분의 보편적인 공격에 대해 상당한 수준의 보호를 제공한다.

많은 보안 실무자가 가상화 소프트웨어를 통해 직원의 인터넷 브라우징 및 이메일 클라이언트를 운용하거나 사용자가 데스크톱 아이콘을 클릭하면 일반적인 프로그램을 실행하는 대신 해당 프로그램의 통제된 가역성 인스턴스를 실행하는 시트릭스 등을 사용한다. OS 업체도 점차 더 많은 샌드박스를 제공하고 있다. 마이크로소프트는 윈도우 10용 새로운 윈도우 샌드박스 기능을 선보이는 등 점차 샌드박스화 된 모델로 발전하고 있다. 마이크로소프트는 실제로 모든 윈도우 애플리케이션을 가상화하거나 샌드박스화 할 수 있으며 사용자가 적색/녹색 분리를 알아차리지 못할 정도로 완성도가 높다.

그러나 OS와 애플리케이션 분리 측면에서 최고는 단연 무료 쿠베스(Qubes) OS다. 컴퓨터 보안 혁신가 조안나 루트코브스카가 개발했다. 쿠베스는 설계 단계부터 보안 분리를 위해 개발됐다. 각 앱과 OS의 일부를 하나 이상의 분리된 환경으로 나누고 하이퍼바이저 계층을 이용해 물리적으로 보호한다. 심지어 다른 운영체제가 필요한 애플리케이션도 구동할 수 있다.

루트코바스카는 쿠베스를 개발하면서 신중하게 접근했다. 나머지 애플리케이션과 시스템을 보호하기 위해 네트워킹 등을 어떻게 분리해야 하는지 세심하게 파악했다. 가상으로 분리된 각 애플리케이션은 데스크톱에서 단순한 아이콘처럼 보인다. 사용자는 안에서 무슨 일이 일어나고 있는지 모른다(또는 알 필요가 없다). 앱들 사이에서 악성 오염이 발생하고 회사 전체의 네트워크가 영향을 받을까 걱정할 필요 없이 아이콘을 클릭하고 업무를 처리하면 된다(매우 직관적이다!). 컴퓨터 보안이 정말로 중요하다면 다른 OS를 고려할 필요가 없다.
 
최선을 다할 수 없다면 잘하기라도 하자
물론 모든 기업이 쿠베스를 운용하는 리눅스로 이전할 준비가 된 것은 아니다. 리눅스는 훌륭하지만 사용자 대부분은 아직도 마이크로소프트 윈도우(그리고 지금은 애플)를 사용한다. 리눅스와 크롬 OS는 (사용자 데스크톱의 경우) 큰 차이로 3위와 4위를 차지하고 있다.

리눅스는 서버 분야에서 중요하지만 애플리케이션 계층 분리는 서버에서 그리 필요 없다. 대부분은 인기 OS인 윈도우와 애플이 가능한 한 안전하기를 원할 뿐이다. 반드시 패치를 하고 소셜 엔지니어링을 당하지 않도록 조심하면 위험의 99%를 없앨 수 있다. 그러나 이 2가지를 적절히 혹은 쉽게 처리하기가 쉽지 않다. 우리가 아직도 보안 문제를 겪는 이유이기도 하다. 이것이 쉬웠다면 이미 오래전에 보안 위험에서 벗어났을 것이다.

모든 사람이 적색/녹색 컴퓨팅으로 옮겨간다면 해커는 전략을 바꿀 것이다. 랜섬웨어는 다른 모든 공격과 마찬가지로 '안전한' 시스템에서 운용 중인 더 많은 비즈니스 주소를 노릴 것이다. 적색/녹색 시스템은 보안 위험을 낮추는 데 도움이 될 수 있지만 그 한계가 명확하다. 물리적인 분리가 인기 있는 방어책이 된다면 해커 역시 적색/녹색 환경에서 더 효과적인 전략으로 바꿀 것이라는 점을 되새길 필요가 있다. ciokr@idg.co.kr



2019.08.26

칼럼 | '2개 시스템 지급'이 보안에 별 도움 안되는 이유

Roger A. Grimes | CSO
필자가 많이 받는 질문 중 하나가 직원에게 업무용과 기타용 2개 시스템을 지급하는 것에 대한 의견이다. 잠긴 시스템에서 업무를 처리하고 회사에 과도한 위험을 발생시키지 않으면서, 다른 시스템에서는 일상적인 일을 처리하는 방식이다.
 
ⓒ Getty Images Bank

사실 이는 전혀 새로운 아이디어가 아니다. 이런 방식은 컴퓨터의 역사만큼이나 오래됐고 필자 역시 수십 년 동안 이런 '적색/녹색 시스템(red/green systems)'에 관해 이야기했다. 서로 완전히 분리된 2개의 별도 시스템을 사용하면 사이버 보안이 개선되고 때에 따라 크게 보안을 강화할 수 있다.

그러나 이는 매우 많은 돈이 드는 컴퓨터 보안 방식이다. 하드웨어와 소프트웨어 라이선스, 지원 비용, 지원 문제 등이 모두 2배가 되기 때문이다. 이런 방식은 보안이 삼엄한 곳과 일부 금융사에서 실제로 사용된다. 하지만 비용만 보더라도 2개의 물리적으로 분리된 시스템 개념은 실효성이 없다. IT 보안팀은 한번 랜섬웨어 공격을 당해 복구하는 비용을 고려하면 2개 시스템을 구매해 지원하는 것이 더 저렴하다고 쉽게 주장할 것이다. 그러나 경영진에게 '가상의 상황'에 대비해 지원 비용을 2배로 늘리자고 설득하는 것은 모든 기업에서 가능할 리 없다.

해커는 비즈니스 시스템을 노린다
적색/녹색 시나리오가 효과가 없는 더 근본적인 이유는 오늘날의 해킹 방식이 이러한 분리를 무력화하는 경우가 많기 때문이다. 즉, 비즈니스 시스템을 직접적으로 공격하며 현업 직원을 의도적으로 노려 적색/녹색 시스템의 보안 이점이 퇴색시키는 것이다. 좋은 예가 BEC(Business Email Compromise) 피싱 사기다. 누군가 현업 직원에게 신뢰하는 누군가로 가장해 돈이나 송장을 요청하면 피해자는 비즈니스 계정에서 이를 지불한다. 피해자에게 개인용 이메일 계정이나 소셜 미디어를 통해 접근하지 않는다. 모두가 비즈니스 시스템을 통해 이뤄진다.

피해자가 신뢰하는 사람의 해킹된 이메일 계정을 사용해 실행된 BEC 사기 사고는 점점 더 흔해지고 있다. 사이버 악당은 수년 동안 신뢰했던 비즈니스 파트너에게 침투한다. 이메일은 익숙한 형식을 사용해 도착하며 추후 송장 수신인 등 약간의 세부사항을 변경한 익숙한 내용으로 요청한다. 심지어 사기꾼은 피해자가 경계를 풀고 별다른 의문 없이 변경할 수 있도록 100달러 미만 등 상대적으로 작은 송장 요청과 함께 변경사항을 전송할 만큼 똑똑하다.

사기꾼은 제3자 시스템에서 이메일 규칙을 생성해 피해자의 기기에 대한 정당한 요청을 삭제함으로써 정당한 제3자와 피해자 모두 사기가 진행되고 있음을 모르게 한다. 사기꾼은 피해자에게 훨씬 큰 금액의 송금을 요청해 정당한 제3자가 수 주에서 수개월 후 미지급에 관해 불평할 때까지 아무도 알아차리지 못하게 한다. BEC 사기는 이제는 너무 정교해져 모든 직원이 금융 작업을 하기 전  모든 종류의 금융 변경사항에 대해 구두로 확인하는 것 외에는 감지, 차단하는 방법이 없다.
 
가상화 쿠베스(Qubes)가 더 저렴한 대안이다
적색/녹색 시스템이 주목받는 이유는 무엇보다 악성 웹사이트를 방문해 시스템을 감염시키는 위협으로부터 기업 시스템을 효과적으로 보호할 수 있기 때문이다. 앞서 살펴본 여러 한계와 단점을 감수하는 이유다. 그러나 이런 이유라면 별도의 시스템을 확보하는 대신 더 저렴하고 효과적인 대안이 있다. 즉 시스템을 분리하는 대신 모든 인터넷과 이메일을 다른 기업 네트워크로부터 분리하는 단일 시스템을 사용하는 것이다.

많은 상용 및 무료 시스템과 소프트웨어가 이를 지원한다. 브라우저, 이메일 클라이언트, OS 전체 등을 가상화하거나 악성 수정으로부터 보호하는 무료 샌드박시(Sandboxie) 등 많은 소프트웨어 제품이 있다. 부분적인 가상화만 제공하는 제품은 OS 전체를 가상화하는 것만큼 꼼꼼한 보호를 제공하지 않지만 대부분의 보편적인 공격에 대해 상당한 수준의 보호를 제공한다.

많은 보안 실무자가 가상화 소프트웨어를 통해 직원의 인터넷 브라우징 및 이메일 클라이언트를 운용하거나 사용자가 데스크톱 아이콘을 클릭하면 일반적인 프로그램을 실행하는 대신 해당 프로그램의 통제된 가역성 인스턴스를 실행하는 시트릭스 등을 사용한다. OS 업체도 점차 더 많은 샌드박스를 제공하고 있다. 마이크로소프트는 윈도우 10용 새로운 윈도우 샌드박스 기능을 선보이는 등 점차 샌드박스화 된 모델로 발전하고 있다. 마이크로소프트는 실제로 모든 윈도우 애플리케이션을 가상화하거나 샌드박스화 할 수 있으며 사용자가 적색/녹색 분리를 알아차리지 못할 정도로 완성도가 높다.

그러나 OS와 애플리케이션 분리 측면에서 최고는 단연 무료 쿠베스(Qubes) OS다. 컴퓨터 보안 혁신가 조안나 루트코브스카가 개발했다. 쿠베스는 설계 단계부터 보안 분리를 위해 개발됐다. 각 앱과 OS의 일부를 하나 이상의 분리된 환경으로 나누고 하이퍼바이저 계층을 이용해 물리적으로 보호한다. 심지어 다른 운영체제가 필요한 애플리케이션도 구동할 수 있다.

루트코바스카는 쿠베스를 개발하면서 신중하게 접근했다. 나머지 애플리케이션과 시스템을 보호하기 위해 네트워킹 등을 어떻게 분리해야 하는지 세심하게 파악했다. 가상으로 분리된 각 애플리케이션은 데스크톱에서 단순한 아이콘처럼 보인다. 사용자는 안에서 무슨 일이 일어나고 있는지 모른다(또는 알 필요가 없다). 앱들 사이에서 악성 오염이 발생하고 회사 전체의 네트워크가 영향을 받을까 걱정할 필요 없이 아이콘을 클릭하고 업무를 처리하면 된다(매우 직관적이다!). 컴퓨터 보안이 정말로 중요하다면 다른 OS를 고려할 필요가 없다.
 
최선을 다할 수 없다면 잘하기라도 하자
물론 모든 기업이 쿠베스를 운용하는 리눅스로 이전할 준비가 된 것은 아니다. 리눅스는 훌륭하지만 사용자 대부분은 아직도 마이크로소프트 윈도우(그리고 지금은 애플)를 사용한다. 리눅스와 크롬 OS는 (사용자 데스크톱의 경우) 큰 차이로 3위와 4위를 차지하고 있다.

리눅스는 서버 분야에서 중요하지만 애플리케이션 계층 분리는 서버에서 그리 필요 없다. 대부분은 인기 OS인 윈도우와 애플이 가능한 한 안전하기를 원할 뿐이다. 반드시 패치를 하고 소셜 엔지니어링을 당하지 않도록 조심하면 위험의 99%를 없앨 수 있다. 그러나 이 2가지를 적절히 혹은 쉽게 처리하기가 쉽지 않다. 우리가 아직도 보안 문제를 겪는 이유이기도 하다. 이것이 쉬웠다면 이미 오래전에 보안 위험에서 벗어났을 것이다.

모든 사람이 적색/녹색 컴퓨팅으로 옮겨간다면 해커는 전략을 바꿀 것이다. 랜섬웨어는 다른 모든 공격과 마찬가지로 '안전한' 시스템에서 운용 중인 더 많은 비즈니스 주소를 노릴 것이다. 적색/녹색 시스템은 보안 위험을 낮추는 데 도움이 될 수 있지만 그 한계가 명확하다. 물리적인 분리가 인기 있는 방어책이 된다면 해커 역시 적색/녹색 환경에서 더 효과적인 전략으로 바꿀 것이라는 점을 되새길 필요가 있다. ciokr@idg.co.kr

X