2012.08.24

실제로는 제 기능을 못하는 9가지 IT 보안 대책

Roger A. Grimes | InfoWorld
IT 보안 업체들은 대박을 기대하면서 FUD(공포, 불확실성, 의심)를 적극 활용한다. 사실 경험많은 IT 보안 전문가는 IT 시스템과 데이터를 보안하는 전통적인 방법이 갖는 단점 덕분에 생계를 유지한다.
 
흔히들 사용하는 IT 보안 제품과 기술은 광고처럼 그렇게 완벽하지 않다. 이로 인해 생각보다 많이 악성 코드에 노출되곤 한다. 
 
그런데 이유가 있다. 전통적인 IT 보안 기술은 한 가지 문제를 해결하면 다른 문제가 튀어나올 수밖에 없는 이른바 'Whack a mole(두더지 잡기)' 방식으로 위협을 다루기 때문이다. 결국 매번 새로운 멜웨어를 따라잡느라 애를 쓸 수밖에 없다는 의미다.
 
대부분의 사람들은 원래 문제를 해결하기까지는 필요한 정도의 안전도 제공해주지 못하는 기존의 보안 솔루션을 이용, 배치, 의존할 수밖에 없다. 그리고 그동안 기업의 시스템과 소중한 데이터를 훼손하는 멜웨어는 매일 늘어난다.
 
이런 위험을 사전 경고하는 취지에서, 생각만큼 조직의 시스템을 보호해주지 못하는 대표적인 IT 보안 방법 및 제품 9가지를 소개한다.
 
보안 실패 1. 멜웨어를 감지하지 못하는 안티바이러스 스캐너
흔히 알고 있는 전통적인 올인원 안티바이러스 스캐너가 처음 발명된 시기는 1980년대다. 이전에는 특정 멜웨어 앱을 발견했다면 이 멜웨어를 감지해 낼 프로그램을 찾아 설치해야 했다. 그리고 멜웨어를 발견하면, 이를 제거해 줄 프로그램을 찾아야 했다. 
 
이후 이런 '단일 멜웨어, 단일 솔루션' 시대를 벗어날 수 있도록 해 준 1세대 올인원 안티바이러스 프로그램이 등장했다. 존 맥아피의 바이러스스캔(VirusScan)과 바이렉스PC(VirexPC)가 대표적이다.
 
이 올인원 프로그램은 1990년대 초만 하더라도 안티멜웨어 스캐너로 불리지 않았다. 이들의 바이러스, 웜, 트로이의 목마 발견 확률은 약 10% 정도였다. 필자는 당시 폴 포거슨이 주동한 PC 안티바이러스 연구 재단(PC Antivirus Research Foundation)에 자원 봉사자로 활동했다. 
 
지금은 트렌드마이크로로 유명세를 얻고 있는 이 재단은 새로 발견한 컴퓨터 바이러스를 해석하고 테스트했다. 당시 모든 사람들이 안티바이러스 프로그램이 정교해지고 무료로 배포될 것이라고 생각했다. 또한 2~3년 후에는 컴퓨터 바이러스의 존재가 사라질 것이라고 판단했다.
 
불행히도 전부 잘못된 판단이었다. 매달 많은 새 멜웨어 프로그램들이 쏟아져 나오고 있다. 특정 안티바이러스 프로그램 하나만으로는 포착이 불가능한 수준으로 많다. 
 
모든 안티바이러스 개발업체들이 자사는 통보된 공통 멜웨어를 100% 신뢰도 수준으로 감지할 수 있다고 주장하고 있다. 이들 개발업체는 여러 수상 경력들을 내세워 자사의 소프트웨어를 신뢰할 수 있다고 강조한다. 그러나 현실은 반대다.
 
현실에서는 모두가 계속해서 안티바이러스 엔진이 감지하지 못하는 멜웨어를 맞닥뜨리고 있는 실정이다. 그리 드문 사례도 아니다. 
 
바이러스토탈(VirusTotal)같이 여러 엔진을 검사해주는 사이트에 멜웨어 샘플을 제출하면 안티바이러스 엔진이 새로 발생한 멜웨어를 놓치는 것이 일반적이라는 사실을 알 수 있다. 심한 경우는 며칠 동안 이를 놓치기도 한다. 트로이의 목마나 웜 종류에 따라서는 몇 주가 지나고도 감지하지 못하는 경우도 있다.
 
개발업체들을 탓하고는 싶지 않다. 적법한 파일보다는 나쁜 파일이 많기 때문에 안티바이러스 스캐닝은 만만치 않다. 또한 화이트리스팅 프로그램에 의존해야 한다. 
 
안티바이러스 엔진은 많은 숨겨진 프로그램의 데이터베이스 서명을 저장해야 한다. 그리고 서명이 없는 새로운 위협을 감지한다. 동시에 보호하고 있는 호스트의 실행 속도를 늦추면 안 된다. 
 
인터넷은 안티바이러스 보호 없이 방문하기에는 너무 두려운 장소다. 개발업체들이 주장하고 있듯이 신뢰할 수 있는 장소가 아니다.
 



2012.08.24

실제로는 제 기능을 못하는 9가지 IT 보안 대책

Roger A. Grimes | InfoWorld
IT 보안 업체들은 대박을 기대하면서 FUD(공포, 불확실성, 의심)를 적극 활용한다. 사실 경험많은 IT 보안 전문가는 IT 시스템과 데이터를 보안하는 전통적인 방법이 갖는 단점 덕분에 생계를 유지한다.
 
흔히들 사용하는 IT 보안 제품과 기술은 광고처럼 그렇게 완벽하지 않다. 이로 인해 생각보다 많이 악성 코드에 노출되곤 한다. 
 
그런데 이유가 있다. 전통적인 IT 보안 기술은 한 가지 문제를 해결하면 다른 문제가 튀어나올 수밖에 없는 이른바 'Whack a mole(두더지 잡기)' 방식으로 위협을 다루기 때문이다. 결국 매번 새로운 멜웨어를 따라잡느라 애를 쓸 수밖에 없다는 의미다.
 
대부분의 사람들은 원래 문제를 해결하기까지는 필요한 정도의 안전도 제공해주지 못하는 기존의 보안 솔루션을 이용, 배치, 의존할 수밖에 없다. 그리고 그동안 기업의 시스템과 소중한 데이터를 훼손하는 멜웨어는 매일 늘어난다.
 
이런 위험을 사전 경고하는 취지에서, 생각만큼 조직의 시스템을 보호해주지 못하는 대표적인 IT 보안 방법 및 제품 9가지를 소개한다.
 
보안 실패 1. 멜웨어를 감지하지 못하는 안티바이러스 스캐너
흔히 알고 있는 전통적인 올인원 안티바이러스 스캐너가 처음 발명된 시기는 1980년대다. 이전에는 특정 멜웨어 앱을 발견했다면 이 멜웨어를 감지해 낼 프로그램을 찾아 설치해야 했다. 그리고 멜웨어를 발견하면, 이를 제거해 줄 프로그램을 찾아야 했다. 
 
이후 이런 '단일 멜웨어, 단일 솔루션' 시대를 벗어날 수 있도록 해 준 1세대 올인원 안티바이러스 프로그램이 등장했다. 존 맥아피의 바이러스스캔(VirusScan)과 바이렉스PC(VirexPC)가 대표적이다.
 
이 올인원 프로그램은 1990년대 초만 하더라도 안티멜웨어 스캐너로 불리지 않았다. 이들의 바이러스, 웜, 트로이의 목마 발견 확률은 약 10% 정도였다. 필자는 당시 폴 포거슨이 주동한 PC 안티바이러스 연구 재단(PC Antivirus Research Foundation)에 자원 봉사자로 활동했다. 
 
지금은 트렌드마이크로로 유명세를 얻고 있는 이 재단은 새로 발견한 컴퓨터 바이러스를 해석하고 테스트했다. 당시 모든 사람들이 안티바이러스 프로그램이 정교해지고 무료로 배포될 것이라고 생각했다. 또한 2~3년 후에는 컴퓨터 바이러스의 존재가 사라질 것이라고 판단했다.
 
불행히도 전부 잘못된 판단이었다. 매달 많은 새 멜웨어 프로그램들이 쏟아져 나오고 있다. 특정 안티바이러스 프로그램 하나만으로는 포착이 불가능한 수준으로 많다. 
 
모든 안티바이러스 개발업체들이 자사는 통보된 공통 멜웨어를 100% 신뢰도 수준으로 감지할 수 있다고 주장하고 있다. 이들 개발업체는 여러 수상 경력들을 내세워 자사의 소프트웨어를 신뢰할 수 있다고 강조한다. 그러나 현실은 반대다.
 
현실에서는 모두가 계속해서 안티바이러스 엔진이 감지하지 못하는 멜웨어를 맞닥뜨리고 있는 실정이다. 그리 드문 사례도 아니다. 
 
바이러스토탈(VirusTotal)같이 여러 엔진을 검사해주는 사이트에 멜웨어 샘플을 제출하면 안티바이러스 엔진이 새로 발생한 멜웨어를 놓치는 것이 일반적이라는 사실을 알 수 있다. 심한 경우는 며칠 동안 이를 놓치기도 한다. 트로이의 목마나 웜 종류에 따라서는 몇 주가 지나고도 감지하지 못하는 경우도 있다.
 
개발업체들을 탓하고는 싶지 않다. 적법한 파일보다는 나쁜 파일이 많기 때문에 안티바이러스 스캐닝은 만만치 않다. 또한 화이트리스팅 프로그램에 의존해야 한다. 
 
안티바이러스 엔진은 많은 숨겨진 프로그램의 데이터베이스 서명을 저장해야 한다. 그리고 서명이 없는 새로운 위협을 감지한다. 동시에 보호하고 있는 호스트의 실행 속도를 늦추면 안 된다. 
 
인터넷은 안티바이러스 보호 없이 방문하기에는 너무 두려운 장소다. 개발업체들이 주장하고 있듯이 신뢰할 수 있는 장소가 아니다.
 

X