백악관이 빅 테크 기업에 사이버보안을 강화하는 데 적극적으로 협조해줄 것을 촉구했다. 이에 따라 애플은 기술 산업 공급망의 사이버보안 강화를 위해 나서겠다고 밝혔다.
애플과 백악관에 따르면 공급망은 사이버 공격에 취약하다. 공급망 보안을 위해 행동해야 할 때다.
애플, 기술 공급망 보안에 나서다
이는 조 바이든 美 대통령과 애플, IBM, 마이크로소프트, 구글, 아마존 등 빅테크 기업 간의 사이버보안 회의에서 나온 뉴스다. 해당 회의에 참석한 대부분의 기업은 교육 및 보안 인식에 중점을 두고 보안 회복탄력성과 인식을 강화하겠다는 계획을 발표했다.
하지만 애플의 계획은 다르게 보인다.
“애플은 기술 공급망 전반에 걸쳐 지속적인 보안 개선을 촉진하기 위해 새로운 프로그램을 구축할 것이라고 발표했다. 이 프로그램의 일환으로 애플은 미국 내 9,000개 이상의 공급업체와 협력해 다단계 인증, 보안 교육, 취약점 수정, 이벤트 로깅 및 인시던트 대응의 대중화를 추진할 계획이다.”
요점은 무엇인가? 대부분의 기업이 자체 시스템뿐만 아니라 전체 공급망의 시스템을 보호하는 방법을 고려해야 한다는 것이다. 이는 파트너십(경쟁사와의 파트너십 포함), 교육 및 파트너에 대한 투자를 의미한다.
흥미롭게도, 애플은 ‘보안이 우수하다’라는 평가를 받긴 하지만 (그렇다고 해서) 보안 회사로 인지되진 않는다. 그리고 이제는 (보안) 개선 및 대응을 책임지게 됐다. 물론 이는 아마 애플이 내부적으로 하고 있는 일을 감안한다면 고객을 끄덕일 만하다. 또한 엔터프라이즈 기술 영역에서의 애플의 성장세를 반영하는 것으로 볼 수 있다. 엔터프라이즈 소프트웨어 및 시스템에 접근할 때 ‘페이스 ID(FaceID)’, ‘터치 ID(Touch ID)’, ‘USB 보안키(예: 유비코 제품 등)’ 사용이 보편화될 것임을 시사하는 것으로도 풀이된다.
필자는 이러한 점이 MDM에 반영돼 애플 제품(및 다른 모든 제품)을 개선하리라 예상한다. 이 밖에 이는 iOS 15에 암호 인증(password authenticator)을 추가하기로 한 애플의 최근 결정을 재조명하며 보안을 유지하면서 이중인증을 사용하는 마찰을 줄이는 데 도움이 될 것이다.
서두르는 이유는 무엇인가?
팬데믹 기간 동안 사이버보안 사고가 급증했다. 휴대폰 기지국부터 전력망까지 모든 것을 악용(exploit)하는 등 공격자의 상상력은 더욱더 풍부해졌다. 피싱 사기가 만연하고 랜섬웨어 공격은 확산되고 있다. 하지만 이를 안정시킬 사이버보안 전문가가 충분하지 않다. 그렇기 때문에 백악관 회의 이후 발표된 계획의 상당수가 보안 인식 및 교육에 초점을 맞추고 있다.
공급망 보안과 관련해 애플은 바이든 행정부와 밀접한 관계를 맺고 있는 것처럼 보인다. 백악관은 美 국립표준기술원(NIST)이 기술 산업 및 기타 업체와 협력해 공급망을 보호하기 위한 새로운 보안 프레임워크를 개발할 것이라고 발표했다. 애플은 (다른 기술 회사와 함께) 이러한 표준을 수립하는 데 어느 정도 역할을 할 것으로 예측된다.
가장 약한 고리는 어디인가?
공급망 보안에 초점을 맞추는 건 모든 기업에 메시지가 돼야 한다. 이는 비즈니스 보안이 보안 사슬의 가장 취약한 고리에 의존한다는 것을 의미한다. 이 고리는 내부 취약점일 수 있지만 파트너 중 하나의 외부 취약점일 수도 있다. 점점 더 연결되는 세상에서 보안이 취약한 비즈니스 파트너가 기존 보안을 약화시키는 수단이 될 수 있으며 그 반대의 경우도 마찬가지다.
공격자들은 똑똑하다. 국제적으로 증가하고 있는 국가 후원 사이버 범죄는 예산이 무제한인 것처럼 보인다. 악의적인 행위자는 취약점을 끊임없이 탐색한다. 개인 피싱 공격은 기업 시스템을 전복시키려는 시도로 이어질 수 있다. 지난 2014년 타깃(Target)의 네트워크가 파트너로부터 훔친 네트워크 자격증명을 사용한 해커에 의해 침투됐다는 사실을 잊어서는 안 된다.
공격자는 공급망 전반에 걸쳐 기업을 추적하여 이와 같은 취약점을 식별한다. 주요 대상 컴퓨터에 접근할 수 없다면 공급업체를 공격하여 기존 경계 방어선을 통과하는 방법을 찾지 않겠는가?
이제 어떻게 될까?
최근 아동 성 착취물(CSAM) 스캔 기능을 도입하려고 했던 애플의 계획은 프라이버시에 큰 위험 신호였지만 해당 시스템이 수행하는 작업의 한 요소는 미래 보안 보호의 일부가 될 수 있다. 바로 온디바이스 액티비티 모니터링에 관한 이야기다. 기기가 메시지 콘텐츠를 스캔할 수 있다면 네트워크 활동도 스캔할 수 있다(많은 사기 방지 시스템이 이미 하고 있는 것처럼 말이다).
액티브 보안 인시던트, 특히 인식할 수 없는 서버로 전송되는 예상치 못한 데이터 흐름을 반영하는 일반적 패턴이 있다는 걸 알 것이다. 마이크로소프트, 구글, 애플 등이 온디바이스 상황 인식을 통해 기존 보안 보호를 보완할 수 있다고 생각하는 것은 그리 큰 비약이 아니다.
기본 정보는 이미 존재하며 이미 사용 중이다. ‘리틀 스니치(Little Snitch)’ 또는 ‘액티비티 모니터(Activity Monitor)’와 같은 앱은 이러한 데이터가 이미 어떻게 노출됐는지 보여준다. ‘오렌지 사이버디펜스(Orange Cyberdefense)’ 또는 ‘스플렁크(Splunk)’ 등의 전문 보안 회사는 이미 클라이언트를 위한 네트워크 모니터링 시스템을 배포하고 있다.
백악관의 개입은 공급망 전반에 걸쳐 보안 인식을 강화해야 하고, 이를 핵심에서 최전방까지 확장할 필요가 있다는 점을 시사한다. 애플의 참여는 최전방을 보호하는 데 도움이 될 향후 작업에 관한 힌트다. 그리고 아마도 여기에는 온디바이스 인텔리전스가 포함될 전망이다.
기업은 무엇을 할 수 있을까?
현시점에서 기업이 스스로를 보호하기 위해 할 수 있는 일은 무엇일까? 대표적인 문제 및 해결 방법은 다음과 같다.
• 직원 인식 교육 및 지원: 모든 기업은 직원의 보안 및 상황 인식 교육에 투자해야 한다. 이는 물론 원격근무자에게도 해당된다. 악성코드 검사기도 중요하지만 보안이 확보된 와이파이 네트워크도 중요하다. 그리고 강력한 암호도 사용해야 한다.
• 커뮤니케이션: 모든 기업은 보안 오류 및 사고와 관련해 직원과 파트너에게 비난으로부터 자유로운 접근방식을 취해야 한다. 그래야 한 직원이 악성코드를 포함한 이메일을 열어 내부 시스템을 감염시켰다는 사실 또는 비즈니스 파트너가 같은 문제를 겪었다는 사실을 알 때까지 몇 주를 기다리지 않을 수 있다. 비난하는 문화는 사람들이 문제를 빠르게 공개하지 못하게끔 하기 때문에 기업을 덜 안전하게 만든다.
• 경계 및 핵심 보안: 모든 기기에서 2FA 보안을 사용하도록 한다. MDM 시스템을 사용하여 하드웨어, 소프트웨어, 데이터를 관리한다. 가능하다면 모든 보안 기능을 활용하고 기술 스택을 다양화한다. 현재 많은 MDM 시스템이 지리적 위치 기반의 보안 보호 기능을 제공한다. 가능한 곳이라면 사용하라. 백업, 오류 방지 시스템, 중복 네트워크, 방화벽을 사용하고 보안 업데이트가 설치됐는지 확인한다.
• 파트너(그리고 경쟁업체)와의 협력: 파트너 및 경쟁업체에 열린 마음을 가져야 한다. 즉 공동의 보안 정책을 수립하고 준수해야 한다. 파트너의 보안 시스템이 심사를 통과하지 못하고 개선되지 않는다면 파트너와의 협력 관계를 중단할 준비를 해야 한다. 또한 공유 시스템(슬랙 채널 포함)은 데이터 교환 요소를 다른 시스템과 격리할 준비가 돼 있어야 한다.
• 장마를 대비하라: 현재 환경에서는 보안 침해가 불가피하다고 가정하는 게 가장 좋다. 즉 기업 보안을 강화하기 위한 시스템에 투자하는 것뿐만 아니라 데이터 침해 대응 계획도 수립하고 실천해야 한다. 공격을 받으면 어떻게 할 것인가? 비즈니스, 직원, 고객, 파트너는 알고 있어야 한다.