2016.11.08

칼럼 | 데이터 보안, '최악을 가정하는 것'이 최상이다

Rob Enderle | CIO
필자는 힐러리 클린턴이 이메일에 대해 이야기 할 때마다 화가 난다. 해킹 당했다는 증거가 없다는 식으로 들리기 때문이다. 필자가 아는 많은 IT 보안 전문가가 트럼프 지지자가 아님에도 불구하고 그에게 넌더리를 내는 이유가 여기에 있다. 더 화가 나는 이유는 힐러리가 자신의 말이 사실이 아님을 알고 있는 것처럼 보인다는 점이다. 서버에 침입 발생 여부를 판단할 흔적이 없었다고 하지만 FBI 보고서는 이를 오히려 서버 침입이 발생했을 수도 있는 근거로 봤다.


Image Credit: Getty Images Bank

사실 우리는 단적인 사례를 알고 있다. 매닝과 스노우덴 사건의 경우 이들의 불법적인 행동이 공개된 이유는 본인들이 데이터를 훔친 후 언론에 흘려 스스로 행동을 공개했기 때문이다. 보안 침해나 데이터 도난 사고 중에는 이런 사례가 많다. 기업은 사고가 발생하면 하나의 별개 사건으로 취급하지만 보안 통제책이 부족해 발생한 것이다. (공개된) 특정 개인이 관계됐는지, 1,000명이 관계됐는지 알 방법이 없다(폐업을 해야 할 정도의 사고라면 아마도 후자일 것이다).

따라서 이런 논란의 핵심은 잘못된 가정이다. 범죄자의 공격은 계속된다. 보안 종사자가 이런 전제를 부정한다면 어리석거나 솔직하지 않은 것이다. 실제로 필자는 비슷한 경우를 수없이 봤다. 우리는 매일 10만 번의 랜섬웨어 공격을 당하는 시대를 살고 있다. 최근의 DoS DNS 서버 공격은 우리가 악당과의 군비 확장 경쟁에서 뒤처져 있다는 현실을 일깨워줬다. 우리의 현실을 보면 '안전하다'고 가정해서는 안되는 것이다.

스튜어트의 교훈
필자의 고객 중 한 명이 흥미로운 점을 지적해 AR(Account Reviews)을 실시했다. (필자의 고객사이기도 한) 바로니스(Varonis)의 업데이트가 계기였다. 그들은 '스튜어트(Stuart)'라는 이름의 보안 전문가의 도움을 받았는데, 그는 남들과 다른 조처를 했다. 바로니스의 제품은 데이터 액세스를 조사해 이상한 점을 발견되면 이를 관리자에 보고한다. 조사 대상은 이메일과 파일 서버이다. 공격이 발생할 확률이 가장 높은 곳이기 때문이다.

스튜어트는 이 회사의 모든 서버에 바로니스 기술을 적용했다. 최근 DOS DNS 공격을 감안했을 때 모든 서버가 취약하다고 판단해 내린 조치였다. 필자는 스튜어트와 이야기를 나눈 후 웹을 검색해봤다. 많은 회사의 해킹된 서버를 5~6달러에 구입할 수 있었다. 회사 서버가 다크 웹에서 판매되고 있다는 사실조차 모르는 IT 업체가 무수히 많았다.

그동안 필자는 이 사실을 잘 알지 못했다(아마도 이 글을 읽는 독자들도 마찬가지일 것이다). 클린턴 이메일 서버가 판매되지 않는 이유는 서버 자체를 없애 버렸기 때문이다. 정부의 서버 중 안전하지 않은 이메일 서버가 포함되어 있을 확률은 얼마나 될까? 한 번 상상해보기 바란다.


경계선(방어선) 보안은 무용지물
지난 2013년 카스퍼스키(Kaspersky)는 세상에는 2종류의 회사가 있다고 지적했다. 해킹 당한 사실을 아는 회사와 모르는 회사이다. 이후 3년이 지났지만 지금도 이를 중요하게 생각하지 않는 기업이 많다. 경계선 보안이 제 역할을 할 것이라 생각하는 것이다. 필자 역시 경계선 보안이 문제의 근원이 되지 않기를 바라지만 조만간 현실화될 가능성이 크다. 실제로 집과 직장은 더이상 안전하지 않다. '안전하지 않다'는 가정하에 피해를 줄일 방법을 찾는 것이 더 합리적이다.

이번 미국 대선을 보고 있으면 클린턴, 트럼프 두 후보 모두 보안 침해 사고를 당했다는 사실에 분노하지 않을 수 없다. 클린턴과 DNC 이메일이 해킹 당했고, 트럼프와 NBC도 해킹 당했다(트럼프의 언론 대상 '오프 더 레코드' 발언이 공개된 것도 이 때문이다). 두 사람 모두 문제를 바로잡는데 초점을 맞출지 모르겠지만, 지금 당장 이들이 할 수 있는 일은 상대방을 비난하는 것 뿐이다.

최악을 가정하는 것이 최상
따라서 침해 여부를 확신해서는 안 된다. 이것이 필자가 할 수 있는 유일한 조언이다. 어쩌면 보안 침해가 발생했다고 일단 가정해야 할 수도 있다. 이런 전제에 따라 피해를 줄일 방법을 찾고 할 수 있다면 공격자를 적극적으로 추적하는 것이다.

바로니스는 이와 관련한 한 사례를 들려줬다. 그는 고객사 HR 책임자가 갑자기 수 많은 기밀 문서를 다운로드 했다는 사실을 파악했다. 책임자가 회사에 불만을 가졌을 지도 모른다. 그러나 바로니스는 이내 HR 책임자가 해킹을 당해 장치가 좀비 장치로 바뀌었다는 점을 확인했다.

필자 역시 비슷한 경험이 있다. 교사에게 '성(Sex)'적인 콘텐츠를 보내 퇴학을 당한 학생이 있었는데, 조사해보니 학교 소유 PC가 해킹을 당했고 학교가 해킹 사실을 감춘 것이 드러났다.

결국 안전한 것은 단 하나도 없다. 그렇게 가정해야 한다. 사용자 행동을 추적하는 솔루션을 도입하지 않으면, 또 다른 클린턴, 매닝, 스노우덴 같은 사고가 자신의 사고가 되고 경영진은 '조기 퇴직' 당하게 될 것이다. 엉터리 전제 때문에 경력이나 한 학생의 일생을 망치는 일이 없어야 한다.
 
* Rob Enderle은 엔덜 그룹(Enderle Group)의 대표이자 수석 애널리스트다. 그는 포레스터리서치와 기가인포메이션그룹(Giga Information Group)의 선임 연구원이었으며 그전에는 IBM에서 내부 감사, 경쟁력 분석, 마케팅, 재무, 보안 등의 업무를 맡았다. 현재는 신기술, 보안, 리눅스 등에 대해 전문 기고가로도 활동하고 있다. ciokr@idg.co.kr 



2016.11.08

칼럼 | 데이터 보안, '최악을 가정하는 것'이 최상이다

Rob Enderle | CIO
필자는 힐러리 클린턴이 이메일에 대해 이야기 할 때마다 화가 난다. 해킹 당했다는 증거가 없다는 식으로 들리기 때문이다. 필자가 아는 많은 IT 보안 전문가가 트럼프 지지자가 아님에도 불구하고 그에게 넌더리를 내는 이유가 여기에 있다. 더 화가 나는 이유는 힐러리가 자신의 말이 사실이 아님을 알고 있는 것처럼 보인다는 점이다. 서버에 침입 발생 여부를 판단할 흔적이 없었다고 하지만 FBI 보고서는 이를 오히려 서버 침입이 발생했을 수도 있는 근거로 봤다.


Image Credit: Getty Images Bank

사실 우리는 단적인 사례를 알고 있다. 매닝과 스노우덴 사건의 경우 이들의 불법적인 행동이 공개된 이유는 본인들이 데이터를 훔친 후 언론에 흘려 스스로 행동을 공개했기 때문이다. 보안 침해나 데이터 도난 사고 중에는 이런 사례가 많다. 기업은 사고가 발생하면 하나의 별개 사건으로 취급하지만 보안 통제책이 부족해 발생한 것이다. (공개된) 특정 개인이 관계됐는지, 1,000명이 관계됐는지 알 방법이 없다(폐업을 해야 할 정도의 사고라면 아마도 후자일 것이다).

따라서 이런 논란의 핵심은 잘못된 가정이다. 범죄자의 공격은 계속된다. 보안 종사자가 이런 전제를 부정한다면 어리석거나 솔직하지 않은 것이다. 실제로 필자는 비슷한 경우를 수없이 봤다. 우리는 매일 10만 번의 랜섬웨어 공격을 당하는 시대를 살고 있다. 최근의 DoS DNS 서버 공격은 우리가 악당과의 군비 확장 경쟁에서 뒤처져 있다는 현실을 일깨워줬다. 우리의 현실을 보면 '안전하다'고 가정해서는 안되는 것이다.

스튜어트의 교훈
필자의 고객 중 한 명이 흥미로운 점을 지적해 AR(Account Reviews)을 실시했다. (필자의 고객사이기도 한) 바로니스(Varonis)의 업데이트가 계기였다. 그들은 '스튜어트(Stuart)'라는 이름의 보안 전문가의 도움을 받았는데, 그는 남들과 다른 조처를 했다. 바로니스의 제품은 데이터 액세스를 조사해 이상한 점을 발견되면 이를 관리자에 보고한다. 조사 대상은 이메일과 파일 서버이다. 공격이 발생할 확률이 가장 높은 곳이기 때문이다.

스튜어트는 이 회사의 모든 서버에 바로니스 기술을 적용했다. 최근 DOS DNS 공격을 감안했을 때 모든 서버가 취약하다고 판단해 내린 조치였다. 필자는 스튜어트와 이야기를 나눈 후 웹을 검색해봤다. 많은 회사의 해킹된 서버를 5~6달러에 구입할 수 있었다. 회사 서버가 다크 웹에서 판매되고 있다는 사실조차 모르는 IT 업체가 무수히 많았다.

그동안 필자는 이 사실을 잘 알지 못했다(아마도 이 글을 읽는 독자들도 마찬가지일 것이다). 클린턴 이메일 서버가 판매되지 않는 이유는 서버 자체를 없애 버렸기 때문이다. 정부의 서버 중 안전하지 않은 이메일 서버가 포함되어 있을 확률은 얼마나 될까? 한 번 상상해보기 바란다.


경계선(방어선) 보안은 무용지물
지난 2013년 카스퍼스키(Kaspersky)는 세상에는 2종류의 회사가 있다고 지적했다. 해킹 당한 사실을 아는 회사와 모르는 회사이다. 이후 3년이 지났지만 지금도 이를 중요하게 생각하지 않는 기업이 많다. 경계선 보안이 제 역할을 할 것이라 생각하는 것이다. 필자 역시 경계선 보안이 문제의 근원이 되지 않기를 바라지만 조만간 현실화될 가능성이 크다. 실제로 집과 직장은 더이상 안전하지 않다. '안전하지 않다'는 가정하에 피해를 줄일 방법을 찾는 것이 더 합리적이다.

이번 미국 대선을 보고 있으면 클린턴, 트럼프 두 후보 모두 보안 침해 사고를 당했다는 사실에 분노하지 않을 수 없다. 클린턴과 DNC 이메일이 해킹 당했고, 트럼프와 NBC도 해킹 당했다(트럼프의 언론 대상 '오프 더 레코드' 발언이 공개된 것도 이 때문이다). 두 사람 모두 문제를 바로잡는데 초점을 맞출지 모르겠지만, 지금 당장 이들이 할 수 있는 일은 상대방을 비난하는 것 뿐이다.

최악을 가정하는 것이 최상
따라서 침해 여부를 확신해서는 안 된다. 이것이 필자가 할 수 있는 유일한 조언이다. 어쩌면 보안 침해가 발생했다고 일단 가정해야 할 수도 있다. 이런 전제에 따라 피해를 줄일 방법을 찾고 할 수 있다면 공격자를 적극적으로 추적하는 것이다.

바로니스는 이와 관련한 한 사례를 들려줬다. 그는 고객사 HR 책임자가 갑자기 수 많은 기밀 문서를 다운로드 했다는 사실을 파악했다. 책임자가 회사에 불만을 가졌을 지도 모른다. 그러나 바로니스는 이내 HR 책임자가 해킹을 당해 장치가 좀비 장치로 바뀌었다는 점을 확인했다.

필자 역시 비슷한 경험이 있다. 교사에게 '성(Sex)'적인 콘텐츠를 보내 퇴학을 당한 학생이 있었는데, 조사해보니 학교 소유 PC가 해킹을 당했고 학교가 해킹 사실을 감춘 것이 드러났다.

결국 안전한 것은 단 하나도 없다. 그렇게 가정해야 한다. 사용자 행동을 추적하는 솔루션을 도입하지 않으면, 또 다른 클린턴, 매닝, 스노우덴 같은 사고가 자신의 사고가 되고 경영진은 '조기 퇴직' 당하게 될 것이다. 엉터리 전제 때문에 경력이나 한 학생의 일생을 망치는 일이 없어야 한다.
 
* Rob Enderle은 엔덜 그룹(Enderle Group)의 대표이자 수석 애널리스트다. 그는 포레스터리서치와 기가인포메이션그룹(Giga Information Group)의 선임 연구원이었으며 그전에는 IBM에서 내부 감사, 경쟁력 분석, 마케팅, 재무, 보안 등의 업무를 맡았다. 현재는 신기술, 보안, 리눅스 등에 대해 전문 기고가로도 활동하고 있다. ciokr@idg.co.kr 

X