우리 직원들은 왜 검사도 받지 않고 앱들을 설치하는 걸까?

SaaS 앱들이 시장에 대거 나옴에 따라, 사용자들의 간택을 받으려는 마케팅 전략도 다양해지고 있다. 그러면서 보안이 왜곡되기도 한다. SaaS를 사용하여 이득을 누리기 전에 기억해야 할 것들이 있다.

[보안뉴스 문가용 기자] 최근 줌 화상 회의를 진행해 본 사람은 알아챘을 것이다. 애플리케이션 업데이트를 진행했더니 화면 오른편에 앱 스토어 사이드바가 작게 하나 생겼다는 것을 말이다. 이 때문에 비즈니스용 줌을 사용하는 사람이라면 누구나 클릭 한 번으로 필요한 SaaS 앱을 사용할 수 있게 되었다. 줌 회의 시간에 전혀 방해 받지 않으면서 말이다.

[이미지 = utoimage]

크게 문제될 것은 없어 보이는 사업적 움직임이다. 하지만 정말 그럴까? 아니다. 오히려 SaaS 앱들이 가진 가장 큰 ‘위험 잠재력’을 드러내는 사건이다. 기업 내 누구나 편리하게 설치하고 설정하고 관리하고 사용할 수 있다는 SaaS의 특징 말이다. 앱이 이런 식으로 배포된다면, 직원들이 빠르게 필요한 기능들을 찾아 사용할 수 있게 되고, 그럼으로써 회사 전체의 생산성이 증가한다는 이점이 있다. 하지만 이 과정에서 ‘은둔의 IT’ 즉, 회사가 정식으로 검사하고 승인하지 않은 채 사용되는 앱이 탄생한다.

일반 직원 입장에서는 줌 회의를 하다가 필요한 앱을 발견하여 클릭을 했을 뿐이지만, 보안 팀 입장에서는 위험의 근원이 될지도 모르는 요소가 아무런 예고나 통보 없이 내가 관리하는 네트워크에 안착한 것이다. 그 앱에 취약점이 내포되어 있는지, 설치자가 안전한 사용법을 알고 있는지, 위험성을 완화하기 위한 안전 장치를 마련해야 하는지 파악하지도 못한 채 말이다. 이런 상황에서라면 보안 업계가 요즘 외치고 있는 제로트러스트라는 건 허상이 될 뿐이다.

공동의 책임
이런 상황에서 보안 책임자는 당장 해당 직원들에게 쫓아가 보안 규정을 들먹이며 야단을 치고 싶은 생각이 간절해질 것이다. 하지만 그보다 먼저 그들의 입장을 한 번 생각해 보자. 일반 직원들은 늘 벤더들의 유혹에 노출되어 있다. 이거 한 번 설치해 봐, 이거 정말 좋아서 쓰고 나면 후회하지 않을 거야, 라는 속삭임이 늘상 우리 임직원들 곁을 맴돌고 있다. 새 앱만 유혹인 것도 아니다. 앱의 업데이트를 통해 새로운 기능들도 꾸준히 도입된다. 줌의 앱 스토어도 이런 유혹 중 하나다.

물론 그 앱들이 제공해 주는 것들이 많다. 그 앱들 덕분에 업무 능력이 치솟을 수도 있다. 게다가 벤더들이 나쁜 마음 먹고 그러는 것도 아니고, 앱에다 이상한 짓을 해 놓은 것도 아니다. 심지어 설치 과정 중에 사용자들에게 여러 번 동의를 구하고 구하고 또 구하는 조심스럽고 예의 바른 앱들이 얼마나 많은가. 하지만 그렇다고 해서 지금 설치하고 있는 그 앱이, 그리고 그 개발사가, 보안의 측면에서 안전하다고 보장할 수는 없다.

최근 들어 벤더들은 새롭게 출시한 앱들의 각종 기능들을 자랑하는 것에 더해 보안성이 높다는 문구도 꼭 덧붙이려는 경향이 있다. 보안이 경쟁력의 일부가 되었다는 뜻이다. 그러다 보니 ‘우리 앱은 안전해요’를 넘어 ‘우리 개발 환경은 안전해요’, ‘우리 SaaS 인프라는 안전해요’, 더 나아가 ‘우리 회사는 안전해요’에까지 도달하고 있다. 24시간 업타임이 안전하게 유지되며, 내부 직원이 고객사 정보를 볼수 없다는 것도 강조된다. 마치 보안을 SaaS 업체 혼자서 짊어질 것만 같은 뉘앙스다.

보안을 강조하고, 좋은 앱 하나라도 더 개발해 판매하려는 행위에 대해서는 누가 뭐라 하겠나. 다만 SaaS 앱을 고객들에게 제대로 안내하려면 ‘보안은 같이 책임지는 영역’이라는 안내를 제대로 해야 한다는 것이다. 이것이 ‘클라우드 보안’의 핵심 중 핵심인데 소비자들의 거부감이 두려운 건지, 아무도 이 말을 해 주지 않는다. 인프라의 오류나 결점으로부터 발생하는 보안 사고는 SaaS 업체의 책임, 앱의 안전한 사용과 계정/데이터 관리는 고객 책임이라는 걸 알려야 한다.

SaaS 생태계에서 발생하는 사고의 거의 대부분은 SaaS 설정 오류와 잘못된 사용 방법으로부터 발생한다. 코드에 있던 취약점이나 SaaS 제공 업체의 인프라가 뚫리는 사고는 비율적으로 없다고 봐도 무방할 정도다. 그런 상황에서 SaaS를 사용하려는 사람들에게 ‘보안도 우리가 책임진다’는 식으로 접근하는 건 요즘 말하는 ‘악마의 편집’과 같은 짓을 하는 거다. 아무리 기업이 보안을 잘 해도 사용자 편에서 사용자의 책임을 인지하고 다 하지 않으면 뚫린다. 깃허브(GitHub), 허브스폿(HubSpot), 라스트패스(LastPass), 옥타(Okta)와 같은 쟁쟁한 기업들도 전부 이런 식으로 사고에 휘말렸다.

잘 되고 있겠거니, 지켜지고 있겠거니, 안전하겠거니
자, 다시 직원들의 입장으로 되돌아가 보자. 보안에 대한 공동의 책임이 잘 설명되지 않기도 하지만 보안 장치들이 제대로 작동하고 있고, 모든 보안 요소들이 잘 갖춰져 있을 거라고 당연시 여기는 분위기도 직원들 사이에 팽배하다. 예를 들어 구글과 애플이 마련한 유명 애플리케이션 스토어에서 앱을 다운로드 받을 때, 보안성을 의심하는 일반인이 얼마나 될까? 세계적인 회사들이니 알아서 잘 걸러줬다고 생각하는 사람이 훨씬 많다. 물론 이 둘이 많은 돈과 인력을 들여 마켓플레이스의 보안을 강화하고 있는 건 사실이다. 잘 하고 있다고 해도 틀린 말은 아니다. 다만 완벽하지는 않다.

두 회사 외에도 많은 유명 벤더들이 자사 생태계를 형성하고 있고, 나름의 애플리케이션 시장을 구성 중에 있다. 그리고 그 시장들을 통해 많은 개발자들이 앱을 제출함으로써 사용자들을 유혹하게 해 준다. 유명한 기업들이 마련한 플랫폼이므로 공신력을 느낀 사용자들은 마음 놓고 앱들을 설치하고 써 본다.

하지만 기본적으로 기업들이 애플리케이션 거래 플랫폼을 마련하고 유지한다고 했을 때, 보안에 뭔가 투자를 하면 그 만큼 손해가 되는 구조다. 자신들의 플랫폼에 앱을 제출하는 개발자들에게 보안을 엄격하게 요구하거나, 제출된 앱들의 보안을 스스로 심도 있게 분석해 봐야 돈과 시간만 든다. 구매자들이 애초에 그런 걸 요구하지 않기 때문이다. 나중에 어떤 앱이 문제가 된다면 ‘우린 플랫폼이었을 뿐’이라고 하며 삭제하면 그만이다. 구조적으로 보안에 성실하기 힘들다는 걸 이해해야 하고, 그러므로 유명 브랜드의 앱 거래 플랫폼이라고 해서 특별히 더 안전하리라고 기대하는 걸 멈춰야 한다.

이는 비단 애플리케이션 시장에만 해당되는 얘기가 아니다. ‘유명하다’는 것의 함정에 관한 이야기다. 많은 애플리케이션들이 소개란에 유명 브랜드나 플랫폼 등을 언급하며 ‘이런 곳과 협업을 했다’고 자랑하는데, 그런 유명한 곳들과 같이 개발된 앱이 곧 튼튼한 보안을 보장하지는 않는다. 이걸 일반 임직원들은 잘 이해하지 못하고 있다. 그러한 부분을 보안 담당자들이 먼저 알고 있어야 한다.

헤어나오기 힘든 꼬드김
SaaS 벤더들은 사용자들의 선택을 받기 위해 온갖 방법을 마련한다. 일정 기간 무료로 사용할 수 있도록 하기도 하고, 심지어 일정 기능을 삭제한 버전은 영원히 공짜로 사용할 수 있게도 해 준다. 유료 버전이라도 가격이 그리 부담스럽지 않은 게 대부분이고, 이런 저런 할인까지 적용해 실질적으로 내는 돈은 훨씬 적어지기도 한다. 클라우드 기반이라 호환성도 높은 앱이 금전적으로도 크게 무리될 것 없이 제공되니 사용자로서는 유혹이 심할 수밖에 없다.

그러므로 SaaS 앱이 선택되고 설치되는 과정은 순식간에 지나가는 것이 보통이다. 이런 상황에서 회사 보안 팀의 허락을 구하고 점검을 받는다는 게 머리에 잘 스치지 않는다. 이런 현상이 한 벤더의 앱 하나만 봤을 때는 큰 문제가 되지 않는다. 하지만 지금은 클라우드와 SaaS의 시대다. 모든 개발사들이 자기들의 앱들을 다 이런 식으로 쉽고 빠르게 전파한다. 기업 입장에서는 하루에도 수십 개의 무료 SaaS 앱이 설치됐다가 사라졌다가 다시 설치되고 사라진다는 것이다. 제 때 사라지면 다행인데, 너무 쉽게 설치하고 실험하다 보니 삭제라는 과정이 중간 중간 빠진다. 그러면서 회사 인프라 안에 아무도 사용하지 않는 앱들이 쌓여간다. 이 앱들은 공격자의 진입 통로가 될 수 있다.

어떤 SaaS 앱을 사용해야 업무가 활성화 되고, 어떤 방식으로 써야 안전해지는지 교육하는 것도 중요하지만 SaaS를 마구 설치하지 말아야 한다는 것 역시 반드시 알려줘야 하는 부분이다. 당연히 벤더 측에서 전파할 리가 없는 메시지다. 어느 기업이나 자신의 이득에 반하는 움직임을 취하지 않는다. 그러니 벤더들은 보안에 대한 사용자들의 책임을 언급하지 않고, 부담없이 설치해 볼 수 있도록 하고 있으며, 유명한 플랫폼을 언급하면서 마치 사용자가 당연히 잘 보호받을 수 있을 거라는 뉘앙스를 풀풀 풍기는 것이다. 사용자들은 겹겹으로 둘러 쳐진 이런 그물들에서 나오는 방법을 잘 모르고 있다.

사용자들이 처한 이러한 상황을 이해하는 것에 더해, SaaS 설정과 설치 현황을 관리해 줄 수 있는 솔루션들을 도입하는 것도 적잖은 도움이 된다. 누군가는 아무리 교육을 해도 반드시 실수를 하기 때문에 기술의 도움을 받아야 방어가 완벽해진다.

글 : 슐로미 마티친(Shlomi Matichin), CTO, Valence Security
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)