대부분의 전쟁과 마찬가지로, 공격자와 IT 보안 담당자간의 전쟁 역시 잘못된 정보가 범람하고 있다. 일부 공격자들은 최신의 ‘공격 무기’로 무장하고 오픈 메시지 보드를 겨냥하는 반면에 이보다 한 발 앞선 공격자들은 효과적인 해킹 수단을 숨겨두고 추이를 지켜보고 있다.
기업들은 최신 업그레이드나 제품 구매에 관한 보도 자료를 열심히 배포하고 있지만 자사의 시스템이 감염되었다는 내용의 보도를 한 적은 거의 없다. 또한 은신처를 사이에 두고 치열한 전투를 감행하는 교전국처럼 보안 전문가들 사이에는 루머와 선전문구, 뉴스 등이 난무하고 있다.
인포메이션위크의 자매지인 Dark Reading은 보안 전문가들의 도움을 받아 IT 보안 분야에서 ‘신화’처럼 퍼지고 있는 것들이 무엇인지 알아보았다. 그 결과는 매우 흥미로웠다. 예를 들면, 상당수 전문가들이 기업과 대학, 정부 기관에서 발표되고 있는 데이터 손실이 증가하는 것은 전염병의 징후는 아닐지라도 심각한 문제의 ‘전조’가 되고 있다고 주장한다. 설문 결과를 놓고 IT 보안의 실제 상황에 대한 논란이 끊이질 않고 있다.
대표적인 ‘신화’와 실제 사실은 어떤지 알아보도록 하자.
기업들의 데이터 분실이 그 어느 때보다 증가하고 있다?
그렇지 않다. 데이터 분실이 전염병처럼 확산되고 있지는 않다. 컴퓨터보안연구소(CSI)와 FBI에 따르면 보안 침해 사건은 오히려 감소 추세에 있는 것으로 나타났다. 지난 1년 동안의 인증되지 않은 사용자의 컴퓨터 침입에 대한 기업 보고는 56%에서 52%로 줄어든 것으로 조사되었다.
하지만 보안 전문가들은 데이터 분실의 증가와 감소에 대한 논란에 대해 데이터의 이동성 증가와 보안 규제 증가라는 요인을 지목하고 있다. 국가의 규제로 인해 기업들은 고객의 데이터 노출에 관련된 사항이면 무엇이든, 잠재적인 데이터 손실이나 도난에 대해 고객에게 알려야 한다. 따라서, 데이터 분실이 증가하지 않았다고 해도 과거보다 분실 사건이 많이 알려지고 있기 때문에 상대적으로 증가한 것처럼 보인다.
한편, 노트북은 보안의 취약점을 높여주고 있는 ‘주범’이 되고 있다. 하드 드라이브 공간이 증가하면서 저장 용량이 금전적인 가치를 갖기 시작했다. 버튼 그룹의 선임연구원인 에릭 메이월드는 “개인용 정보이건 기업의 거래 비밀 정보이건 간에 데이터에 대한 액세스 권한을 확보하는 것이 공격자들의 주요 목표가 되고있다”면서, “공격과 위협이 증가 추세에 있는 것처럼 보이지만 중요한 것은 데이터의 가치이며 공격자의 수준 역시 높아지고 있다”고 말했다.
맥과 리눅스가 마이크로소프트보다 유리하다?
마이크로소프트는 해커의 주요 목표물이기 때문에 보안 침해 사건도 많이 발생한다. 하지만 리눅스와 맥 역시 공격 대상에서 제외될 수 없으며 공격자들이 호시탐탐 기회를 노리고 있는 것은 분명하다.
리눅스는 웹 서버 OS로 인기를 끌기 시작했으며, 모토로라의 단말기 등과 같이 휴대폰에서도 채택되고 있다. 리눅스와 관련된 문제점은 패치가 거의 없다는 것이다. 상용 리눅스 제공 업체인 레드햇 등이 그러한 계약을 통해 자동화된 패치를 제공하고 있음에도 불구하고 기업들이 항상 리눅스 OS를 위해 서비스 계약을 체결하고 있지는 않다. 기업들의 리눅스에 대한 태도는 도입하기를 꺼려하든지 혹은 리눅스가 원래 안전하다고 생각하든지 둘 중의 하나이다.
리눅스 서버는 일반적으로 일부 주요 애플리케이션에서만 구동하기 때문에 해커들이 침입하게 되면 의외의 ‘소득’을 얻을 수가 있다.
맥은 서버에서 구동하는 비율이 매우 낮기 때문에 위험에 덜 노출되어 있는 편이다. 하지만 맥 데스크톱이 완벽하게 안전하다는 의미는 아니다. 애플은 월간 패치를 발표하고 있지만 상세 내용은 공개하지 않고 있다. 업계의 한 관계자는 “맥 서버에 주의를 기울이지 않을 경우 자동 업데이트 내용을 제공 받을 수 없을 것”이라고 말했다. 윈도우 시스템에 대한 공격 빈도가 높고 패치도 자주 업데이트되기 때문에 시스템 관리자들의 관심 역시 높아진다. 하지만 리눅스와 맥의 경우는 그렇지 못하다는 것이다.
보안 벤더의 주요 목표는 업체들의 보안이다?
보안 벤더들의 주요 목표는 다른 기업들과 마찬가지로 돈을 버는 것이다. 보안 문제가 커질수록 보안 벤더들의 매출도 상승한다. 벤더들이 취약점을 일부러 만들고 이를 해결해주는 솔루션을 제공한다는 뜻은 아니다. 하지만 벤더들이 보안 문제를 의도적으로 복잡하게 만들고 이슈화함으로써 실제보다 문제를 커보이게 한다는 의혹을 떨쳐버릴 수는 없다.
이러한 생각은 매우 극단적인 것으로 나뉜다. 벤더들은 사용자들이 자사 제품을 더 많이 구매하길 원한다. 그렇기 때문에 한 보안 전문가는 자체 보안 기준을 마련해 최대한 구매를 자제하도록 해야 한다고 주장한다. 반면에 다른 전문가는 “대부분의 보안 침해는 사용자들의 부주의나 관리자 및 개발자의 소홀한 태도, 낮은 품질의 제품으로 인해 발생한다”고 반박했다.
비록 벤더에 대한 시각이 서로 다르더라도, 전문가들은 일반적으로 보안 관리자들이 제품 개발 업체나 서비스 제공 업체들에 대한 신중한 자세를 견지해야 한다는데 동의하고 있다. 이들 업체는 보안에 대해 과도하게 위험한 상황이라고 주장하거나 기업의 보안 기능을 자사가 맡으려고 하는 데에 치중하고 있다.
물리적인 보안과 IT 보안은 다르다?
수년 동안, 기업들은 건물에 대한 보안과 네트워크에 대한 보안 전략을 별개로 간주해왔다. 하지만 최근에는 두 전략을 하나로 합치는 것이 중요한 문제로 부각되고 있다.
하지만 물리적인 보안 시스템과 IT 보안 제품을 함께 판매하는 벤더들은 거의 없다. 조직적인 관점에서 볼 때, 물리적인 보안은 설비 부서에서 담당하지만 컴퓨터 보안은 IT 소관이기 때문이다.
버튼 그룹의 에릭 메이월드 선임연구원은 “물리적인 보안이 확보되지 않은 상태에서 컴퓨터 보안을 보장하는 것은 어불성설”이라면서, “일반적으로 데이터 센터가 물리적으로 안전하다는 생각을 갖고 있다. 그렇지 않을 경우 사용자의 컴퓨터에 대한 완벽한 보안은 아무리 암호화나 보안 솔루션이 제대로 갖춰있다 해도 무용지물이 될 수 있다”고 말했다.
공격자들은 여러 가지 방법을 동시에 사용해 기업에 침투하려 한다. 또한 네트워크나 시스템 침입보다는 물리적인 침입이 훨씬 쉽다. 이상적으로 보면, 물리적인 공격이나 전자적인 공격이 발생할 경우 이 모두를 동시에 차단할 수 있는 솔루션을 갖추는 것이 현명하다.
IP를 통한 비디오 감시 카메라는 물리적인 보안과 전자 보안을 통합하는데 주도적인 역할을 하고 있다. 일부 기업들은 개인의 접근과 인증을 위해 생체인식(지문이나 망막, 안면 인식) 등을 활용하고 있다.
직원들은 믿을 수 있는 보안 ‘요원’들이다?
전문가들은 최종 사용자들이 배제된 보안 전략은 실패할 수밖에 없다고 입을 모은다. IT 컨설팅 업체인 엔더를 그룹(Enderle Group)의 롭 엔더를사장은 “직원들은 방문객이 이상한 행동을 한다는 것을 단순히 알리거나 이메일 피싱(phish ing) 행위를 통보하는 등 모든 방어 체제의 최전방에 있다”면서, “직원들이 참여하지 않는다면 최고의 보안 시스템도 쉽게 뚫리게 마련이다. 최악의 보안 시스템도 직원들이 적극적으로 참여하기만 한다면 뚫기가 훨씬 어렵다”고 밝혔다.
하지만 전문가들은 또한 최종 사용자들에게 능숙함을 지나치게 요구할 수는 없다고 말한다. 한 정보 시스템 보안 담당자는 “대부분의 직원들은 보안에 대해 잘 알지 못하며, 적절한 행동 양식도 습득하지 못하고 있다”면서, “보안 정책 수립에 이점을 고려해야 한다”고 말했다.
이것은 최종 사용자에 대한 교육이 충분하지 않다는 것을 의미한다. IT 담당자들은 직원들의 판단 착오나 시스템을 잘못 사용할 수 있다는 것을 전제로 보안을 구현해야 한다.
하버드 대학과 UC 버클리의 연구진들이 22명의 사용자들을 대상으로 실시한 조사 결과, 피싱 사이트가 조사 대상자의 90%를 속일 수 있는 것으로 나타났다. 안티 피싱 브라우저나 팝업 경고 창의 경우 그다지 효과가 좋지 못했으며, 사용자들이 이러한 경고를 무시하는 경향이 높은 것으로 조사되었다.
일부 분석가들은 사용자들의 무능력뿐만 아니라 부정직함도 염두에 두고 보안 정책을 수립해야 할 것을 권고하고 있다. IT 보안컨설팅 업체인 네오햅시스(Neo hapsis) 측은 “사람들이 많은 곳에는 악의를 품은 사람들이 반드시 존재하기 마련”이라면서, “외부인의 침입뿐만 아니라 내부 직원에 의한 보안 침해를 감안해 이들로부터 기업 데이터와 네트워크를 보호할 수 있도록 해야 한다”고 전했다.
엔더를은 직원들 모두를 믿을 수 있다고 해도 직원들의 가족이나 친구들이 문제가 될 수 있다고 주장했다. 그는 “예를 들면, 한 직원이 회사에서 그의 사촌이 회사의 정보를 빼내는 블랙메일을 발송한 적이 있다고 불평한 것을 목격했으며, 한 CEO의 아이가 시스템에 들어와 그 CEO가 주주들과의 미팅에 참석하기 바로 전에 중요한 재무 파일의 이름을 죄다 바꿔놓은 적도 있었다”고 밝혔다.
컴퓨터보안연구소와 FBI가 최근 발표한 통계 자료는 이를 증명해주고 있다. 조사 대상 대기업의 30%가 내부 직원에 의한 손실이 지난해 전체 피해의 최소 절반에 육박하는 것으로 나타났다.
해커들은 ‘필요악’이다?
해킹은 ‘비법’과 동등하게 간주될 수 없다. 공격자가 보안망을 뚫을 수 있다고 해서 역으로 그를 통해 보호할 수도 있다고 생각해서는 곤란하다. ‘우리들 사이의 스파이(The Spies Among Us)’의 저자인 아이라 윙클러는 “어떤 것을 파괴하는 방법을 아는 것과 창조하는 것은 전혀 별개의 문제”라고 말했다.
분석가인 HD 무어는 보안 수단을 깨트릴 수 있는 사람들 즉, 해커들이 필요하다고 주장했다. 그러한 사람들로 인해 IDS나 보안 평가 툴이 개발될 수 있다는 것이다. 그는 “해커들이 네트워크 보안에 유용한 경우도 많다는 점은 부인할 수가 없는 사실”이라면서, “뚫리는 것에 대한 전제 없이 보안을 구현하는 것은 효과가 없다”고 밝혔다.
무어는 “하지만 시스템에 침입하는 해커들이 시스템 전체를 공격하는 것은 아니다”면서, “그들에게 네트워크를 보호하는 방법을 묻는 것은 윈도우 관리자들에게 방화벽을 차단하는 방법을 묻는 것과 같다”고 말했다.
윙클러는 “멀웨어(Malware) 제작자들의 경우 보안의 취약점이 어디인지 알 수는 있다. 하지만 그들의 서비스와 지식을 ‘합법화’한다면 시스템과 애플리케이션, 데이터에 심각한 부작용을 일으킬 수도 있다”고 지적했다. 그는 ‘사회공학적’ 접근 방법을 실행하는 것과 전사적인 보안 프로그램을 구현하는 것이 대립되어서는 안 된다”고 덧붙였다.