칼럼ㅣ작심삼일 그만, 이제는 ‘암호 관리’ 전략 재고해야 할 때

아마도 지금쯤이면 야심 차게 세운 새해 다짐이 작심삼일로 끝났을 공산이 크다. 하지만 계속해서 지켜야 할 결심이 있다. 바로 비밀번호를 재설정하고 암호 관리 솔루션 전략을 재고하는 것이다. 

그 이유는 다음과 같다. 정보 보안 업계에서 일한다면 지난 2022년 12월 말 발표된 [인기 비밀번호 관리 서비스] ‘라스트패스(LastPass) 해킹 사건’이 얼마나 심각한 문제였는지 잘 알고 있을 터다. 와이어드(Wired)에 따르면 라스트패스 해킹은 “[암호 관리 업체에 가장 중요한] 암호화된 암호 저장소를 다른 사용자 데이터와 함께 노출시킨 대규모 데이터 유출 사건”이었다. 
 

가장 큰 문제는 [와이어드가 지적한 것처럼] 저장소 데이터를 보호하는 라스트패스 마스터 암호를 변경하면 이미 도난당한 데이터를 보호할 수 없다는 점이다. 매우 큰 문제다! 

지난 10년 동안 사람들은 라스트패스(또는 원패스워드(1Password), 애플의 아이클라우드(iCloud) 키체인 등)를 사용하여 비밀번호에 액세스했고, 더욱 중요하게는 이를 안전하게 유지했다. 사람들은 암호화된 형식으로 비밀번호를 보호할 수 있는 자동화 솔루션의 편리함을 누려왔고, 보안 조치가 완벽하다고 생각해왔다. 하지만 최근 일어난 라스트패스 해킹 사건을 본다면, 이제는 암호 전략을 재고해야 할 때다.

암호 확인
(조금 지나긴 했지만) 2023년 새해를 비밀번호 보안으로 시작해보는 건 어떨까? 해킹당했거나 해킹될 가능성이 있는지는 상관없이 비밀번호를 업데이트하고 수정하라. 이는 암호 관리자 대신 노트나 수십 개의 스티커 메모를 쓰더라도 마찬가지다. 

최근의 해킹 사건과 2022년 이전의 [데이터] 유출 사례를 감안한다면 최소한 하나 이상의 [직원] 비밀번호가 노출됐을 가능성이 높다. 라스트패스의 탓을 하든 다른 탓을 하든 상관없다. 누군가가 1년 이상 사용된 비밀번호를 여전히 쓴다면, 이는 자신과 회사를 위험에 빠뜨릴 수 있다.

또 암호 관리자 사용법을 다시 생각해 볼 때다. 한 벤더의 손에 모든 비밀번호를 맡길 것인가? 약 5~7년 전에는 암호 관리자를 사용하는 게 매우 편리하고 안전했던 때가 있었을 것이다. 하지만 라스트패스 해킹 사건은 가장 편리하고 안전한 시스템에도 결함이 있으며, 해킹당할 수 있음을 증명했다.

직원 액세스 관리
한 단계 더 나아가, 지속적인 직원 교육을 통해 직원들이 피싱 및 맬웨어에 속지 않도록 하는 게 중요하다. 기업의 사용자 행동은 자격증명 노출로 이어지는 핵심 취약점이라는 사실이 계속해서 입증된 바 있다. 

2022년 발표된 최소 2건 이상의 데이터 유출 보고서에 의하면 직원들의 오류나 실수가 데이터 유출의 88% 또는 95%를 야기한 것으로 나타났다. 88%이든 95%이든 무시하기엔 너무 높은 비율이며 기업이 핵심 시스템 액세스를 제공하고 관리하는 방법을 재고하지 않는 한, 더욱 증가할 가능성이 높다. 실제로 필요하지 않은 항목에 액세스할 수 있는 직원들이 너무 많다.

클라우드 보안은 어떤가?
아울러 기업들은 ‘누가’ 클라우드의 기업 자산에 액세스할 수 있는지 제대로 파악해야 한다. 이론적으로 클라우드 보안을 ‘빅3’에서 관리하기 때문에 강력하다고 생각할 수 있다. 하지만 2022년 5월 AWS에서 발생한 것처럼 이러한 기업에서도 데이터 유출이 일어날 수 있다. 

클라우드 환경에서는 액세스 모니터링도 우선순위에 있어야 한다. 권한 및 권한 수준 관리는 계약직, 프로비저닝 문제, 각각 고유한 권한 계층이 있는 수백 개의 기능 계층 등으로 복잡해질 수 있다. 액세스 제한은 보안 강화뿐만 아니라 비용 절감에도 중요하다. 굳이 필요하지 않거나 접근해서는 안 되는 사람을 위해 액세스 비용을 지불할 필요는 없다.

클라우드 환경 및 서비스형 소프트웨어(SaaS) 애플리케이션 액세스 관리 자동화를 개선하는 보안 회사가 있다. 이 회사의 MO는 어떤 직원 또는 계약직이 어떤 시스템과 프로젝트에 액세스할 수 있는지 결정하는 것이다. 그리고 이를 지속적으로 프로비저닝 및 관리할 수 있다. 이를테면 퇴사한 직원이나 더 이상 프로젝트에 참여하지 않는 계약직을 신속하게 정리하여 보안을 개선하고 비용을 절감할 수 있다. 이 모든 작업은 사용자가 필요한 액세스 권한만 갖도록 하면서 이뤄진다. 이러한 방향이 점점 더 보편화되리라 예상된다. 

액세스 제한 외에도, 인적 오류를 줄이면 사이버 보안 공격의 기회도 감소시킬 수 있다. 이를 위해서는 무엇보다도 피싱, 비밀번호 [변경] 주기, 웹 서핑에서 주의할 점 등에 관한 지속적인 교육이 필요하다. 이러한 사전예방적 조치를 취한다면 사이버 보안 데이터 침해로 이어지는 인적 실수를 줄일 수 있다.

통합을 통한 발전
모멘텀 사이버 리서치(Momentum Cyber Research)는 2022년 사이버 보안 업체의 성장과 엑시트가 상당히 약한 모습을 보이리라 예측됐지만 4분기 후반의 투자 급증으로 예상보다 나은 투자 시나리오가 이어졌다고 밝혔다. 2023년에는 사이버 보안 및 데이터 관리 분야에서 기업 간의 통합이 이뤄질 것이라고 회사 측은 언급했다. 금융 시장이 회복되기 시작하고 대기업이 자신감을 얻으면서 스타트업 세계가 제공하는 첨단 기술을 구매하는 경향이 커질 수 있다(물론 아마도 몇 달 전 달성할 수 있었던 것보다 낮은 배수일 것이다). 

그리고 시장 통합으로 CISO들은 여러 [벤더와의] 관계가 더 큰 벤더에 합쳐지면서 안심할 수 있다. 이는 스타트업 세계에도 좋으며, 관리해야 할 벤더 관계의 수를 줄이려는 보안 경영진에게는 더욱더 좋다.

비밀번호를 재설정하고, 암호 관리 전략을 재고하며, 직원들의 사이버 보안 지식을 향상시키고, 누가 언제 무엇에 액세스할 수 있는지 제한하는 데 능동적인 입장을 취한다면 2023년 발생할 수 있는 공격에 잘 대응할 수 있을 것이다.

* Rick Grinnell는 CIO닷컴의 기고 편집자다. ciokr@idg.co.kr