[보안뉴스 문정후 기자] 미국에서 10월은 ‘보안 인식 제고의 달’이다. 많은 기업들이 이 기회를 이용해 보안 교육을 실시하거나, 비밀번호를 죄다 바꾸도록 하거나, 보안 규정을 다시 한 번 알려주거나, 모의 훈련을 진행한다. 처음에는 이것이 꽤나 신선했으나, 해가 반복되고 이런 일들 역시 반복되면서 어느 새 기계적으로 거듭하는 일이 되어버렸다. 사이버 보안 위협들은 늘 변하는데, 우리가 이를 일깨우는 방식은 고정되어 있다는 것이다. 좀 더 나은 접근법은 없을까? 여러 CISO들을 만나 물었다.
[이미지 = gettyimagesbank]
1. 가드레일이 있어야 한다
씨슬테크놀로지스(Thislte Technologies)의 CEO인 윈도 스나이더(Window Snyder)는 “보안 교육이나 엄격한 규정을 마련해 직원들의 행동 패턴을 안전하게 바꿀 수 있다는 기대가 잘못됐다는 걸 인정해야 한다”는 입장이다. “물론 개선될 수 있지만, 사내 교육 몇 번으로 일반 직원이 해커들에게 맞설 만한 수준에 이를 것이라고 기대해서는 안 됩니다. 직원들이 가장 흔히 저지르는 실수를 자동으로 막아주거나 해결해 주는 플랫폼을 기술적으로 마련하는 게 훨씬 효과적입니다.”
예를 들어 애플리케이션 개발자들을 위해서는 코드 내 버그가 최대한 개입되지 못하도록 자동으로 처리해 주는 개발 플랫폼을 마련하는 게 좋다는 게 스나이더의 설명이다. “개발자들에게 아무리 악성 코드 점검하라고 하더라고 구멍은 생깁니다. 사람은 실수가 많고, 오류도 많고, 기억력도 좋지 않거든요. 교육을 아예 하지 말라는 게 아닙니다. 교육에만 오로지 의존하지 말라는 것이죠. 현재로서 애플리케이션 개발자들을 위해 가장 적은 노력으로 가장 획기적인 효과를 누릴 수 있는 건 메모리 안전 언어 플랫폼으로 넘어가는 겁니다.”
스나이더는 20년 동안 모질라, 애플, 마이크로소프트, 인텔 등 주요 기업들이 제품을 안전하게 개발할 수 있도록 시스템과 환경을 마련하는 데 많은 시간을 할애해 왔던 인물로, “클릭을 해도 되는 것과 하면 안 되는 것을 오로지 사용자가 결정하도록 두는 것은 효과적이지 않다”는 결론을 내렸다고 한다. “사실 진짜 문제는 잘못된 것들을 클릭 하느냐 마느냐 그 자체가 아닙니다. 잘못된 클릭을 할지도 모르는 사람들이 너무 많은 권한을 가지고 있다는 것이죠. 그러니 실수 한 번이 불필요하도록 치명적으로 작용하는 겁니다.”
다행히 iOS와 크로미움 등 우리가 흔히 접할 수 있는 소프트웨어 중에 사용자 계정 권한과 관련하여 충분히 좋은 방향을 제시해주는 것들이 존재하기에, 가드레일을 세운다는 것이 그리 막연한 것은 아니다. “이런 소프트웨어들은 사용자의 권한을 충분히 제한하기 때문에 실수로 악성 코드를 설치하는 게 불가능합니다.” 스나이더의 설명이다. “이런 식으로 권한을 제한하는 노력이 IT 업계 전반적으로 이뤄져야 할 것입니다.”
2. 보안 ‘챔피언’이 활동하게 만들라
엑스피디아그룹(Expedia Group)의 CISO인 커트 존(Kurt John)은 조직 내 사이버 보안 문화를 퍼트리는 데 일조할 수 있는 직원을 뽑아서 ‘보안 챔피언’으로 임명하라고 권한다. 여기서 이 ‘챔피언’ 직원은 자원하는 사람들이어야만 한다. 업무 외의 일을 맡는 것이니 억지로 시켰다가는 보안에 대한 거부감만 전파된다. 이 ‘챔피언’은 회사 내에서 하는 모든 행동들 중 ‘안전한 것’이 무엇인지를 시범적으로 보여주는 역할을 맡게 된다.
“한두 사람이 아니라 최대한 많은 사람을 뽑는 게 좋습니다. 그리고 특정 부서에서만 뽑는 게 아니라 여러 부서에서 고루 활동하도록 하는 게 좋은 효과를 냅니다. 이렇게 했을 때 다양한 사람들이 보안의 관점을 어느 정도 이해할 수 있게 되고, 또한 보안의 입장에서 다른 기능들을 바라볼 수 있게 됩니다. 지원자들이 많지 않을 경우에는 보안 부서의 담당자들을 파견식으로 각 부서에 보내 보안 챔피언 역할을 하게 할 수도 있습니다.”
이런 활동을 조직 내에서 자꾸만 유도하는 것의 목적은 하나로 정리가 가능하다. 바로 보안을 하나의 이론상 개념에서부터, 업무 상에서 접목되어야 하는 실질적인 활동사항으로 전환시키는 것이다. “물론 보안 담당자들 역시 조직 내 다른 여러 기능들을 하나의 개념이나 ‘나와 동떨어진 일’로 여기는 게 아니라 알아두고 관리해야 할 ‘나의 소관’으로 인식해야 하는데, 그럴 때 이런 활동으로 도움을 받을 수 있습니다.”
3. ‘그 URL을 클릭하지 마세요’라는 소리는 통하지 않는다
보안 전문가 브루스 슈나이어(Bruce Schneier)의 경우 일반적으로 널리 알려진 보안 관련 조언들에 대하여 비판적인 입장을 취할 때가 많다. “링크를 클릭하지 말라고 흔히 안내하죠. 그런데 잘 생각해 보면 그 조언은 정말 형편 없다는 걸 알 수 있습니다. URL은 클릭하라고 있는 건데, 그걸 클릭하지 않으면 사용자는 뭘 어떻게 해야 할까요? 심지어 USB를 컴퓨터에 꽂지 말라는 조언도 있죠. 그럼 그 USB는 그냥 버리면 되는 건가요? USB는 꽂아야 USB죠. 아무리 보안이 중요하다 한들 본연의 존재 가치를 부정하기까지 가면 그 조언을 누가 듣습니까?”
그렇기 때문에 일반 임직원이 보다 잘 이해하고, 수용하고, 실천할 수 있는 조언들을 개발하는 게 보안 담당자들의 역할이라고 슈나이어는 주장한다. “보안의 원론을 벗어나지 못하면, 듣는 사람들 역시 그들이 기존에 해왔던 익숙한 해옹에서 벗어나지 못합니다. 보건 캠페인들을 보세요. ‘손을 씻으세요’나 ‘콘돔을 착용하세요’, ‘마스크를 쓰세요’ 등 간단해서 기억하기 좋고 실천도 어렵지 않은 것들이 대부분입니다. 보안도 이런 표현들을 꾸준히 발굴해야 합니다.”
물론 이게 말처럼 쉬운 게 아니라는 것을 슈나이어도 잘 이해하고 있다. “오늘날 우리가 사용하는 소프트웨어나 IT 인프라 모두 보안을 염두에 두고 만들어진 게 아닙니다. 사용성과 성능에만 온 신경이 집중되어 있었죠. 그래서 보안 문제가 요즘처럼 불거질 때 개발자들이 기존 태도를 바꾸지 않은 채 물건을 시장에 내놓았기 때문에, 사용자가 대신 태도를 바꾸어야만 하는 상황입니다. 그런 상황에서 클릭하지 말라거나 USB를 꽂지 말라는 건, 각종 개발사들의 잘못과 시원찮은 결과물들을 가리기 위해 사용자들에게 손가락질 하기 위한 발판을 마련하는 것과 같습니다. 그러니 실질적인 변화가 나오지 않는 것이지요.”
4. 비밀번호는 구시대의 것이다
글로벌클라우드(Global Cloud)의 CISO인 필 베너블즈(Phil Venables)는 “보안의 가장 큰 적은 비밀번호”라는 입장이다. “비밀번호는 사용자들에게 ‘안전하다’는 착각을 유발하고, 공격자들에게는 아무런 장애도 되지 않습니다. 실제로 보안 사고들 중 비밀번호가 뚫려서 일어나는 것들이 상당한 비율을 차지하죠. 우리 대부분은 비밀번호를 약하게 설정하거나, 오랜 시간 바꾸지 않거나, 한 비밀번호로 여러 서비스에 적용하기 때문입니다.”
이미 십수년 동안 비밀번호의 단점에 대해 전문가들이 목소리를 높여왔지만 아직도 비밀번호가 가장 많이 사용되는 보안 도구로 남아있는 건 편리하기 때문이다. 비밀번호가 쉽사리 폐지되지 않을 거라고 예상되는 것 역시 이 편리성 때문이다. 비밀번호를 무언가 다른 보안 장치로 대체하려면 반드시 편리해야 한다. 요즘 떠오르는 대안은 ‘패스키(passkey)’라는 것이다. 베너블즈에 따르면 이 패스키는 강력하기도 하고 편리하기도 하기 때문에 비밀번호를 완전히 대체하기에 충분하다고 한다. “피싱 공격으로는 패스키를 뚫기가 매우 힘듭니다. 패스키로 전환하려면 비밀번호를 완전히 제거해야 효과를 볼 수 있습니다.”
물론 패스키는 아직 완숙된 기술이라고 하기 어렵다. 또한 비밀번호를 완전히 대체하려면 아직 더 많은 시간이 필요하다. 모든 기업들이 처음부터 비밀번호를 비밀키로 완전히 바꿀 수는 없을 것이다. 그렇기 때문에 각 조직의 보안 담당자들은 지금부터 서서히 비밀번호를 패스키로 바꿔가는 과정을 거쳐가야 한다. 이미 구글, 홈데포, 우버, 이베이, 마이크로소프트, 애플, 아마존 등 많은 기업들이 패스키의 점진적 도입을 위해 손을 잡고 있다. 한 동안 이런 과도기가 진행될 것으로 예상되니, 여기에 슬쩍 참여하는 것이 미래를 도모하는 길이 될 것이다.
5. 보안 채무를 갚으라
네트워크 업체 시스코(Cisco)의 CISO인 데이브 루이스(Dave Lewis)는 “기업의 눈과 개인의 눈으로 보안을 바라볼 필요가 있다”고 강조한다. “그랬을 때 시야의 차이가 눈에 띌 것이고, 그 차이를 메우기 위한 시도들을 이어가야 합니다.” 그러면서 그는 “보안 채무를 해결하는 것에 집중해야 한다”고 귀띔한다. “보안 채무란 조직이 보유한 기술 스택 내에 존재하는 취약점들이나 보안 구멍들을 말합니다. 기술 스택은 장시간 쌓여온 것이 보통이기 때문에 일부러 들여다보지 않으면 절대로 나타나지 않는 보안 취약점과 구멍들이 다수 존재할 수밖에 없습니다. 그리고 이것들이 나중에 큰 문제의 시발점이 되지요. 레거시 소프트웨어들이 주요 보안 채무의 예라고 할 수 있습니다.”
그는 “보안 채무란 것은 개인의 단위에서나 조직 전체의 단위에서 모두 존재하는 것임을 기억해야 한다”고 강조한다. “기업의 일원으로서, 기업 전체의 움직임에 맞춰 보안 채무를 갚아나가는 것은 그리 어려운 일이 아닙니다. 윗사람들이 움직이니 동기 부여가 확실히 되지요. 하지만 개인 단위에서 보안 채무를 찾아 갚는 게 쉬운 건 아닙니다. 자기 스스로에게 엄격하기가 힘들기 때문이지요. 하지만 요즘처럼 재택 근무가 일반화 된 시기에는 개인이 곧 기업이라는 걸 기억해야 할 것입니다.”
루이스는 “보안 채무를 갚는 건 결국 해커들의 공격 행위를 보다 어렵게 만드는 것”이라고 말한다. “공격자들은 다름이 아니라 채무를 받아내려고 하는, 일종의 빚쟁이와 같습니다. 빚이 있는 곳이라면 득달 같이 몰려서 기어이 돈을 받아내려 하지요. 그러니 우리 편에서 계속해서 그 빚을 찾아 없애야 합니다. 소프트웨어들이 최신 버전인지, 너무 오래된 소프트웨어인데 방치되어 있는 건 없는지, 모바일 장비들에 안전한 앱들만 설치되어 있는지 등을 점검하다보면 공격자들이 쉽게 자신들이 원하는 걸 이룰 수 없게 됩니다.”
6. 게임화도 보안 습관 들이기에 좋은 방법이다
보안 훈련 코스를 보다 재미있고 집중하기 좋게 구성하는 것도 보안 담당자의 중요한 일이라고 데브리(DeVry)의 CISO인 프레드 퀑(Fred Kwong)은 말한다. “1년에 한 번, 프린트물 나눠주고 앞에서 파워포인트 프레젠테이션으로 보안의 기본적인 실천 사항들을 나열하는 것은 보안 기본기 향상에 전혀 도움이 되지 않습니다. 조직의 보안을 강화하려면 조직 내 구성원들의 사고방식이 뿌리부터 바뀌어야 하지요. 즉, 문화 자체가 달라져야 한다는 겁니다. 그런데 일방적 강의식 교육을 띄엄띄엄 하는 것으로는 이런 규모의 변화를 달성할 수는 없습니다.”
그러면서 그는 “사람들을 실제로 변화시키는 교육 방법은 무수히 많기도 하고, 하나도 없기도 하다”며 “조직의 특성을 살려 담당자들이 창의력을 발휘해야 한다”고 말한다. “게임화라는 접근법도 시도해봄직 합니다. 탈출방에서 탈출하는 것처럼 가상의 시나리오를 짜고, 거기에다가 보안과 관련된 내용을 접목시킨다든지, 비밀번호 크래킹을 퍼즐 풀 듯이 시도해 본다든지, 수상해 보이는 링크들 사이에서 진짜를 빨리 골라내는 시합을 한다든지 하는 방식들이 있을 수 있습니다. 효과가 좋았던 것들이 있다면 보안 전문가들끼리 공유하는 것도 좋습니다.”
7. 보안과 관련된 사고와 실수에 대한 책임을 모두가 물게 하라
거대 은행 JP모건체이스(JPMorgan Chase)의 CISO인 팻 오펫(Pat Opet)의 경우 “재미있게 구성된 교육과 친절한 훈련 코스만으로도 부족하다”는 의견이다. “당근과 채찍을 병행하는 게 가장 빠르고 효과적으로 변화를 불러일으킵니다. 교육과 훈련을 친절하고 말랑말랑하게만 한다면 사람들의 참여율을 높일 수는 있습니다. 하지만 거기에 ‘실질적인 대가를 치러야 할 수도 있다’며 책임론을 첨가하지 않는다면 그 말랑말랑한 교육 시간은 강사가 출연하는 엔터테인먼트 시간으로 끝날 수 있습니다. 재미 위주의 시간이 있었다면 긴장할 수 있도록 하는 엄중한 시간도 있어야 합니다.”
실제로 JP모건체이스 측은 최근 자사 공급망에 있는 모든 리스크들을 파악하고 분석하는 작업을 거쳤고, 각 파트너사들과 공급자들을 대상으로 보안 교육과 훈련을 실시했다고 한다. “그러면서 각자가 어떤 책임을 다하지 않았을 때 어떤 일이 있을 수 있다는 경고성 메시지도 전달했습니다. 물론 좀 더 멀웨어나 비정상적인 행동 패턴을 일찍 파악하여 경고할 수 있는 방안들도 마련해 주었고요. 기업들 각자가 할 일도 있지만 큰 기업의 도움을 받아야 할 부분들도 있음을 인정하고 적절히 대응하는 게 중요합니다.”
오펫은 “큰 기업이 작은 파트너사들에 책임을 강조하는 게 ‘갑질’ 같아 보일 수 있지만, 큰 기업은 자기 회사만이 아니라 공급망과 생태계 전반의 안전을 책임져야 한다는 부담감이 있다”고 강조한다. “생태계 전반을 안전하게 보호하려면 각 구성원이 안전하게 행동하도록 만들어야 합니다. 각 기업도 비슷한 논리를 적용할 수 있을 겁니다. 조직 전체의 안전을 꾀하다 보니 자연스럽게 임직원 개개인의 행동에도 책임을 물을 수밖에 없다는 식으로요. 그렇게 해야 보다 빠르게 건강한 보안 문화가 정착합니다.”
글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
https://ift.tt/7SzZ0nV
과학/기술
Bagikan Berita Ini
0 Response to "건강한 보안 문화를 정착시키기 위한 7가지 방법 - 보안뉴스"
Post a Comment