2016.09.22

칼럼 | '신디케이션'이 되고 있는 데이터 침해 사고

Dave Lewis | CSO
데이터 침해 사고는 '죽음'과 '세금'처럼 일상에서 피할 수 없는 '현실'이 됐다. 게다가 점점 더 커지고, 흉악해지고 있다. 매일 발생하는 수 많은 데이터 침해 사건이 이를 입증해 준다. 


Credit: Victorgrigas, CC BY-SA 3.0, via Wikimedia Commons

필자는 매일 데이터 침해에 대한 기사와 보고서를 읽는다. 그리고 데이터 침해에 대한 주제가 발전하고 있음을 깨닫는다. 확연히 드러난 주제 3가지는 '도난 당한 기기', '나쁜 비밀번호', 그리고 '패칭(patching)'이다.

사이버범죄자들이 자동차 트렁크에 놓아둔 노트북 컴퓨터를 훔쳐갔다. 노트북 컴퓨터 도난 사고가 관여된 데이터 침해 사고 소식을 접할 때마다 헛웃음이 나오게 만드는, 그리고 자주 접하는 '표현'이 하나 있다.

"비밀번호로 노트북 컴퓨터를 보호하고 있으니 문제 없어!"라는 말이다. 이는 돌진하는 트레일러를 얇은 철망으로 막을 수 있다고 생각하는 것과 같다. 아주 간단히 비밀번호로 보호된 노트북 컴퓨터에는 금방 접근할 수 있다. 이를 위한 도구도 정말 많다. 상당히 괜찮으면서 무료인 도구도 있다.

다음 침해 소스는 나쁜(취약한) 비밀번호다. 이는 아주 흔한 문제다. 시스템에 원격 접근할 수 있는 크리덴셜이 '사용자명: $company, 비밀번호: $company'인데, 사이버범죄자가 시스템에 침입하기 위해 굳이 제로데이 공격을 준비할 필요가 있을까?

이와 관련된 사용자 인식 측면의 문제가 있다. 공격자들은 표적에 피싱 공격을 이용한다. 사람들의 호기심이라는 기본 욕구를 자극, 링크를 클릭하도록 만드는 것이다. 우리는 사용자에게 설득력 높은 방법으로 위험에 관해 교육하는데 더 많은 노력을 기울여야 한다.

3번째로 많이, 그리고 지속적으로 발생하는 문제는 바로 패칭이다. 누구나 보안 패치가 배포되면, 시스템을 패치해야 한다. 그런데 많은 사람이 이런 기본 책무를 경시한다. 수년 전 해야 할 패치를 하지 않아 침해 사고가 발생한 회사가 정말 많다.

꽤 장기간 누적된 문제라는 점에서 놀랍지 않다. 제대로 방화벽을 구현할 수 있다. 그러나 시스템을 적절히 패칭과 구성을 하지 않으면 아무 소용이 없다.

그런데 모두 간단히 해결할 수 있는 문제들이다. 노트북 컴퓨터의 경우 암호화를 하면 된다. 비밀번호의 경우 형식에 그치지 않고, 실제 유용한 인식 제고 프로그램을 시행하면 된다. 패칭은 더 간단하다.

그냥 패칭하면 된다. 보안 분야 사람에게는 당연한 소리로 들리는 이야기다. IT도 마찬가지가 되어야 한다. 그런데 우리 모두 재교육이 필요한 듯 보인다.

오래 전 접한 보안 사고를 또다시 접하는 놀라운 일도 있다. 드롭박스(Dropbox) 및 라스트FM(Last.fm)을 예로 들 수 있다. 두 사이트 모두 2012년에 보안 침해 사고가 발생한 바 있다.

그런데 무슨 이유인지, 4년이 지나 다시 헤드라인을 장식하고 있다. 다시 말해, 우리 모두의 집단적인 실수로 데이터 침해 사고가 또다시 우리를 괴롭히는 것이다. 데이터 침해 사고가 '신디케이션'이 되는 것을 방지하려면 기본에 더 충실해야 한다. editor@itworld.co.kr



2016.09.22

칼럼 | '신디케이션'이 되고 있는 데이터 침해 사고

Dave Lewis | CSO
데이터 침해 사고는 '죽음'과 '세금'처럼 일상에서 피할 수 없는 '현실'이 됐다. 게다가 점점 더 커지고, 흉악해지고 있다. 매일 발생하는 수 많은 데이터 침해 사건이 이를 입증해 준다. 


Credit: Victorgrigas, CC BY-SA 3.0, via Wikimedia Commons

필자는 매일 데이터 침해에 대한 기사와 보고서를 읽는다. 그리고 데이터 침해에 대한 주제가 발전하고 있음을 깨닫는다. 확연히 드러난 주제 3가지는 '도난 당한 기기', '나쁜 비밀번호', 그리고 '패칭(patching)'이다.

사이버범죄자들이 자동차 트렁크에 놓아둔 노트북 컴퓨터를 훔쳐갔다. 노트북 컴퓨터 도난 사고가 관여된 데이터 침해 사고 소식을 접할 때마다 헛웃음이 나오게 만드는, 그리고 자주 접하는 '표현'이 하나 있다.

"비밀번호로 노트북 컴퓨터를 보호하고 있으니 문제 없어!"라는 말이다. 이는 돌진하는 트레일러를 얇은 철망으로 막을 수 있다고 생각하는 것과 같다. 아주 간단히 비밀번호로 보호된 노트북 컴퓨터에는 금방 접근할 수 있다. 이를 위한 도구도 정말 많다. 상당히 괜찮으면서 무료인 도구도 있다.

다음 침해 소스는 나쁜(취약한) 비밀번호다. 이는 아주 흔한 문제다. 시스템에 원격 접근할 수 있는 크리덴셜이 '사용자명: $company, 비밀번호: $company'인데, 사이버범죄자가 시스템에 침입하기 위해 굳이 제로데이 공격을 준비할 필요가 있을까?

이와 관련된 사용자 인식 측면의 문제가 있다. 공격자들은 표적에 피싱 공격을 이용한다. 사람들의 호기심이라는 기본 욕구를 자극, 링크를 클릭하도록 만드는 것이다. 우리는 사용자에게 설득력 높은 방법으로 위험에 관해 교육하는데 더 많은 노력을 기울여야 한다.

3번째로 많이, 그리고 지속적으로 발생하는 문제는 바로 패칭이다. 누구나 보안 패치가 배포되면, 시스템을 패치해야 한다. 그런데 많은 사람이 이런 기본 책무를 경시한다. 수년 전 해야 할 패치를 하지 않아 침해 사고가 발생한 회사가 정말 많다.

꽤 장기간 누적된 문제라는 점에서 놀랍지 않다. 제대로 방화벽을 구현할 수 있다. 그러나 시스템을 적절히 패칭과 구성을 하지 않으면 아무 소용이 없다.

그런데 모두 간단히 해결할 수 있는 문제들이다. 노트북 컴퓨터의 경우 암호화를 하면 된다. 비밀번호의 경우 형식에 그치지 않고, 실제 유용한 인식 제고 프로그램을 시행하면 된다. 패칭은 더 간단하다.

그냥 패칭하면 된다. 보안 분야 사람에게는 당연한 소리로 들리는 이야기다. IT도 마찬가지가 되어야 한다. 그런데 우리 모두 재교육이 필요한 듯 보인다.

오래 전 접한 보안 사고를 또다시 접하는 놀라운 일도 있다. 드롭박스(Dropbox) 및 라스트FM(Last.fm)을 예로 들 수 있다. 두 사이트 모두 2012년에 보안 침해 사고가 발생한 바 있다.

그런데 무슨 이유인지, 4년이 지나 다시 헤드라인을 장식하고 있다. 다시 말해, 우리 모두의 집단적인 실수로 데이터 침해 사고가 또다시 우리를 괴롭히는 것이다. 데이터 침해 사고가 '신디케이션'이 되는 것을 방지하려면 기본에 더 충실해야 한다. editor@itworld.co.kr

X