사이버 보안, 취약점도 해결책도 ‘사람’이다

오늘 날에도 여전히 기업 데이터 보안에서 가장 큰 약점은 인적 요소이다. 하지만 이는 단순히 피싱 이메일에 속아 넘어가는 일반 직원만의 책임이 아니다. 솔루션 업체 때문에 사이버 보안에 대해 잘못된 인식을 갖는 경우도 많다. 그렇다. 거액을 주고 구매한 새로운 보안 솔루션과 기술이면 모든 문제를 예방할 수 있다는 그 '순진한' 믿음이 문제이다.



베이커호스틀러(BakerHostetler)의 프라이버시 및 데이터 보호팀 대표 씨어도어 코부스의 경험이 이에 딱 맞는다. 그가 한 엔드포인트 모니터링 관련 교육 워크숍에서 어떤 대기업 직원과 네트워크 모니터링 솔루션에 관해 이야기할 기회가 있었다. 코부스는 이런 솔루션으로 사고 대응 시간을 줄일 수 있다고 말했는데, 이 직원은 여기서 한발 더 나아가 단지 시간만 벌어주는 게 아니라 공격 자체를 예방해 줄 것이라고 굳게 믿고 있었다.

그러나 아무리 뛰어난 위협 탐지 솔루션이라 해도 사이버 보안에 있어 테크놀로지에만 의존하는 것은 위험하다. 코부스는 “모두가 이 문제에 대해 생각해보지 않아 모르고 있는 것 같다. 제로데이 공격 같은 것은 기존 솔루션만으로 예방할 수 없다. 실제로 당시에도 이 직원과 논의를 통해 이런 솔루션의 역량과 한계를 이해할 필요가 있다는 점에 서로 공감했다. 이런 인식의 문제는 비단 이 워크숍만이 아니다. 기업 역시 이런 공격이 애초에 발생하지 않도록 인식의 전환이 필요하다”라고 말했다.

코버스의 팀은 지난 5년 동안 기업에서 발생한 2000건 이상의 사이버 보안 문제를 해결해왔다. 그가 언급한 대기업 직원 사례는 기업이 필요한 보안 솔루션을 갖춘 상태에서도 얼마나 위협에 취약할 수 있는지를 잘 보여준다.

베이커호스틀러의 2017년 데이터 보안 사고 대응 리포트(Data Security Incident Response Report)를 보면 더 구체적인 실태를 확인할 수 있다. 이 보고서는 2016년 한 해 동안 코부스와 그의 팀이 해결한 450여 건의 사례를 분석한 것이다. 분석 대상이 된 기업 중에는 연 매출이 1억~10억 달러에 이르는 의료, 리테일, 금융, 보험 등 다양한 업체가 포함돼 있다.

피싱, 랜섬웨어에 무방비 상태
이 보고서를 살펴 보면, 피싱, 해킹, 악성코드가 2년 연속으로 전체 보안 사고 중 43%로 가장 높은 비율을 차지했다. 특히 2015년과 비교하면 12%p 증가했다. 발생한 사고의 32%는 인적 요소에 의해 시작된 것이었고, 25%가 피싱, 23%는 랜섬웨어 공격이 포함돼 있었다. 또 다른 18%는 분실 또는 도난당한 기기 때문에 발생했고, 3%는 내부 절도에 의한 것이었다.

이 중에서도 피싱은 특히 막기 힘들다고 보고서는 분석했다. 소셜 미디어의 빠른 반응 속도에 익숙한 채로 성장한 디지털 네이티브 세대는 동료에게 온 이메일을 보면 얼른 답장부터 해야 한다는 생각을 하도록 '프로그래밍돼' 있기 때문이다. 따라서 이들 중 상당수가 CEO나 CFO 혹은 동료 직원에게서 온 것으로 가장한 피싱 이메일에 낚이는 것은 우연이 아니다.

코부스는 “피싱 사기는 절대 사라지지 않을 것이다. 아무리 놀라운 IT 솔루션을 도입하든, 거금을 들여 보안 소프트웨어를 설치하든 여전히 그 기술을 다루는 것은 인간이다. 약점과 오류를 범하는 존재이다”라고 말했다. 이처럼 소셜 엔지니어링 공격이 기승을 부릴 수록 교육이 중요하다. 그는 "수상한 이메일을 봤을 때 즉각 반응하지 말고 천천히 살펴보고, 의심스러우면 상사나 동료 직원에게 전화해 이메일 발신 여부를 확인하도록 교육해야 한다"라고 말했다.

합의금을 낼 때까지 시스템 액세스를 제한하는 악성코드를 심어놓고 풀어주지 않는 랜섬웨어 공격 역시 지난 수 년간 500% 가량 증가했다. 베이커호스틀러 역시 2016년 한 해 동안 45건의 랜섬웨어 사건을 처리했다. 랜섬웨어 공격은 민첩하게 네트워크에 침입해 기기 수백 대에 랜섬웨어를 퍼뜨리는 전문적인 실력을 가진 해커가 자행하는 경우도 있지만 어쩌다 랜섬웨어 키트를 손에 넣은 초보가 저지르기도 한다.

베이커호스틀러가 해결한 사건만 해도 요구하는 합의금이 2만 5,000달러를 넘어가는 경우가 있었으며 협박자 대부분이 비트코인으로 받기를 원했다. 코부스는 "그러나 기업 대부분이 비트코인 월렛을 만들고 공격자에게 합의금을 지불하는 데만 수 일이 걸렸다. 기업이 이처럼 예방은 커녕 사후 대응에도 쩔쩔 매는 상황이므로, 앞으로도 랜섬웨어 공격은 계속 증가할 것이다"라고 말했다.


보안 프로그램은 저절로 굴러가지 않는다
베이커호스틀러 보고서에 따르면 기업에게 가장 필요한 것은 사이버 보안과 관련한 관행 확립 및 재정비다. 코부스와 그의 팀은 기업의 사고 대응과 관련한 75건의 ‘테이블 톱 훈련(table-top exercises)’을 진행했다. 그는 "기업의 불안한 마음은 이해하지만 무조건 비싼 돈을 주고 시중의 가장 좋은 솔루션을 구매하는 것보다 기본으로 돌아가 직원을 훈련하고 사이버 공격에 대응할 계획을 재점검하는 것이 더 효과적이다"라고 말했다.

예를 들어 직원에게 전형적인 피싱 이메일이 어떤 형식인지 알려주고, 가짜 피싱 이메일을 보내 어느 정도 식별하는 지 테스트하는 방법이 있다. 또 기업 네트워크와 데이터에 원격으로 액세스 할 때 다중 인증 방식을 적용하거나, 사이버 보안 조사를 빠르게 진행할 수 있도록 포렌식 플랜을 미리 세워두는 것도 좋다.

사이버 공격이 감행되더라도 시스템이 안정적으로 구동되도록 비즈니스 연속성을 고려한 사고 대응 플랜을 세워두고, 보안 솔루션 업체의 기술적 역량과 평판, 지급 능력 등을 꼼꼼하게 살피는 것, 랜섬웨어 공격 시 오프사이트 백업 시스템을 준비해 두고 사이버 공격에 대비한 보험을 들어두는 것 등도 기업이 취해야 할 기본 중의 기본이다.

사이버 보안에 있어 '이거 하나면 다 된다'는 식의 만병통치약은 없다. 사이버 보안은 그 특성상 기업과 산업의 문화를 고려한 전사적 접근이 필요하다. 또한 실제로 공격이 발생하면 무엇보다 고객과의 커뮤니케이션과 투명성이 가장 중요하다

코부스는 “혼란에 빠진 고객을 진정시키고 그들을 돕는 것이 우리의 역할이다. 이를 위해서는 보안 포렌식과 기업 커뮤니케이션 팀과 협력해 적절한 메시지를 만들어야 한다. 우리의 목표는 투명한 커뮤니케이션을 통해 유의미하고 진정성 있는 이해를 공유하도록 하는 것이다. 어떤 일이 일어난 것인지, 어떻게 일어난 것인지, 대응책은 무엇인지, 향후 똑같은 사고가 발생하지 않도록 어떻게 해야 하는지 등 고객이 궁금해하는 가장 기본적인 질문에 답할 수 있어야 한다”라고 말했다. ciokr@idg.co.kr