세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 보안의 가장 약한 고리를 찾아서
  |  입력 : 2018-01-13 17:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안의 가장 오래된 ‘밈’, 사용자가 가장 취약한 연결고리
영국의 NCSC 등, 이 문제에 대한 근본적인 화두 던지기 시작


[보안뉴스 문가용 기자] 사용자들은 좀처럼 자신들의 습관을 버리지 못한다. 강제성이 부여되지 않는다면 비밀번호를 알아서 바꾸지도 않고, 멍하니 습관처럼 메일을 열다가 악성 링크도 클릭한다. 이른 바 ‘몸캠’ 낚시에 자살하는 사람이 보도되는데도, 반드시 다음 피해자가 생긴다. 보안 커뮤니티 내에서는 오래 전부터 ‘사용자가 가장 약한 연결고리’라는 말이 존재했다. 그런데 ‘이 말이 정말 맞아?’라고 묻는 이들이 생겨나기 시작했다.

[이미지 = iclickart]


NCSC의 의지
지난 해 3월 영국의 국가 사이버 보안 센터(이하 NCSC)는 보안 업계에 과감하고도 대담한 과제를 내주었다. “사용자를 ‘가장 약한 보안의 고리’라고 부르는 걸 멈추라”는 것이었다. 사고만 일어났다 하면 보안 습관 문제를 원인으로 삼지 말라는 것이었다. 오히려 “사용자는 조직의 보안에 있어 가장 강력하고 중요한 연결 고리”로 봐야 한다는 게 NCSC의 입장이었다. 이러한 NCSC의 속뜻은 ‘지킬 수 있을만한 보안 정책과 방법론을 개발해 사람들을 적극 끌어들이라’는 것이었다.

NCSC의 이러한 지침은 꽤나 합리적이다. 또한 보안 업계 내에서 처음 나오는 주장도 아니다. 컴퓨터의 사용성 옹호론자 및 전문가들은 늘 “컴퓨터 보안은 정책과 규율이 차지하는 비율이 지나치게 높다”고 말해왔다. 게다가 그 정책과 규율이라는 것이 일반인을 일반인으로 보지 않고 누구나 컴퓨터 보안과 관련되어 있다는 전제를 깔고 가는 것처럼 보인다는 비판도 적지 않았다. ‘보안을 한다’는 게 지나치게 긴 시간을 요구하고, 복잡하며, 노력을 요하니 짜증이 날법하지 않겠느냐는 것이다. 또한 그 과정 중에 생산성 저해마저 덤처럼 따라오니 말이다.

사실 NCSC는 발표만 하지 않았지 이러한 맥락에서의 움직임을 진작부터 보여 왔다. 2015년에 발표한 비밀번호 관련 가이드라인을 보면 ‘비밀번호를 자주 바꾸고, 복잡하게 만드는 보안 관례로부터 벗어나야 한다’고 나와 있다. 복잡하게 자주 만들면 입력할 때 오류가 날 가능성이 더 크고, 기억하기도 힘들다는 게 그 이유였다. 이를 정확히 2년 뒤 미국의 NIST도 따랐다. 그리 먼 과거가 아닌 작년 7월, 비밀번호는 어렵고 복잡하게 만들고 자주 바꿔야 한다는 내용이 담긴 NIST 가이드라인을 작성한 원 저자가 공개적으로 사과한 일이 있었고, 이는 월스트리트저널을 통해 대대적으로 퍼져나갔다.

이런 분위기가 점차 확대되어 간다는 것은 단순히 ‘비밀번호’에 대한 관습과 개념이 바뀌는 것 이상의 의미를 가지고 있다. 이러한 현상 속에서 여태까지는 IT 기술이나 보안에 대한 전문적인 지식과 스킬셋이 ‘보안 전문가’를 만드는 데 가장 중요한 요소였다면, 이제는 사람과 사람을 잇는 ‘소프트 스킬’의 중요도가 높아지고 있다는 걸 읽어내야 한다. 하지만 문화 변화라는 게 어디 한 순간에 이뤄지는가. 여전히 보안 전문가들 사이에서는 좀처럼 변하지 않는 사용자에 대한 보안 담당자들의 안타까운 사연들이 적극 공유된다.

이 점은 NCSC도 잘 알고 있는 듯 하다. 그럼에도 2018년부터는 이 슬로건을 본격적으로 밀어붙일 계획인 것으로 보인다. 지킬 수 있을만한 정책과 규칙을 만들어 더 많은 비전문가, 일반인들이 보안에 참여하게 한다는 게 훨씬 더 실질적이라는 게 NCSC의 설명이다. 한 해외 매체와의 인터뷰에서 NCSC 관계자는 “2018년부터는 기업을 노리는 공격이 더 거세게 일어날 것이라는 예측이 지배적”이라며 “보다 더 효과적인 위기 관리 방법론이 필요한 때”라고 설명했다. NCSC는 새로운 가이드라인을 계속해서 발행할 계획이라고 한다.

같은 ‘현대’라고 하지만 그 안에서도 변화는 끊임없이 일어나고 있고, 따라서 ‘현대 사회’ 속에서도 ‘현대화 작업’은 계속해서 진행해야 한다. 보안이라고 해서 시간도 거스르는 절대불변일 수 없다는 게 NCSC의 생각이다. “그리고 그 ‘현대화’는 일반 이용자들도 보안의 중요한 자산으로서 활용한다는 것”이다. NCSC이 제시하는 이런 방향성은 기존의 보안 문화와 상충한다. 왜냐하면 여태까지 정보보안의 문화를 한 마디로 하면 C&C, command & control이었기 때문이다. 즉 명령과 통제에 의해 수립하려는 게 정보보안이었던 것이다.

NCSC는 ‘C&C 문화’와 ‘이용자의 보안 자산화’가 한 조직 안에 같이 있을 수 없다는 입장이다. “상충하는 문화 두 개가 공존하는 상태에서는 진보를 꿈꾸기 힘들기 때문”이다. 그러므로 문화 변혁, 즉, 일반인을 바라보는 보안 담당자들의 ‘마음가짐’ 자체를 깊이에서부터 바꿔나가겠다는 게 그들의 의지다. 보안과 관련된 문제가 생겼을 때, 문제의 결론이 항상 ‘사용자’에 도달하는 것으로 끝내지 않겠다는 것이다. 왜냐하면, 사용자에게만 손가락질 했을 때 실제 아무런 발전도, 변화도 없었으므로.

더 깊이, 문제의 근원으로
현재 일반인들을 대하는 보안 전문가들의 가장 흔한 방법은 1) 보안 인식 고취(“보안은 대단히 대단히 중요해!”) 2) 피싱 방지 훈련(“메일을 함부로 클릭하지 않기만 해도 충분해!”), 3) 사용자 교정(“시키는 대로 하지 않으면 인사고과에 반영한다!”)이었다. 사용자들도 보안의 중요한 자원으로서 활용한다는 건, 이를 어떻게 바꾼다는 것일까? 일반 사용자들의 연령대를 고려해 시스템을 준비시켜주고, IT 환경에 대한 익숙함 정도를 보안 교육에 반영하며, 업무량을 조절해 스트레스를 줄임으로써 보안 실수 확률을 낮추는 것 등을 말한다. “사람이 잘못했어!”로 끝내는 게 아니라, 왜 그 사람이 그런 잘못을 했는지도 더 탐구하는 것이다.

사실 NCSC의 이러한 생각은 NCSC 혼자서 한 생각이 아니다. 영국에는 ‘과학과 사이버 보안 연구 기관(Research Institute in Science of Cyber Security, RISCS)’이 있다. 이곳에서는 이미 20년 전부터 ‘이용자가 약한 게 아니다’라는 주장이 있어왔다. 1999년엔 “사용자들은 적이 아니다(Users Are Not the Enemy)”라는 논문을 발표하기도 했다. 재미있는 건 당시 한 기업이 ‘이 바보 같은 사용자들이 비밀번호를 도저히 기억 못하는 이유가 궁금하니, 그걸 연구해주시오’라는 의뢰를 했고, 그에 대한 결과물이 바로 “사용자들은 적이 아니다”였다는 것이다.

당시 RISCS는 보안 담당자들의 마음 깊이에 있는 두 가지 이상한 점을 발견했다. 하나는 일반 사용자들의 ‘시간’이라는 자원을 ‘무료’로 여기고 있다는 것이다. 심지어 보안 담당자 자기가 소유하고 있는 것이기도 했다. 자기의 것, 무료로 쓸 수 있는 것이니 그들이 말을 듣지 않을 때 화가 난다는 것이 RISCS의 분석이었다. 다른 하나는 보안 실천 사항이라는 것이 남녀노소 누구에게나 대단히 쉽고 간편하다고 생각한다는 것이었다.

최근 RISCS는 약 250명의 전문가들에게 “세 가지 보안 팁을 달라”고 요구한 바 있다. 250명의 답을 겹치지 않게 정리했을 때, 총 152가지가 나왔다고 한다. 그 내용보다 숫자에 주목해야 한다고 RISCS는 해석한다. 단 250명이 152가지 팁을 들고 나왔다는 건 보안 전문가들 사이에서조차 ‘보안 실천 사항’에 대해 합의된 내용이 없다는 뜻이 되기 때문이다. 그러니 보안 전문가들이 만드는 정책이나 기술, 해야 할 일들이 비효율적이고 복잡할 수밖에 없고, 사용자들은 번잡함과 어려움을 느낄 수밖에 없다.

약한 고리는 ‘사용자’가 아니라 ‘사람’이다
미국의 보안 업체 듀오 시큐리티(Duo Security)의 보안 전략가 웬디 네이더(Wendy Nather)는 ‘사용자가 제일 약하다’는 보안의 오래된 격언을 새롭게 해석한다. “일부 맞는 말이죠. 하지만 사용자가 아니라 사람이 약한 겁니다. 즉 일반 사용자도 약하지만, 보안 솔루션을 개발하는 개발자도 약한 고리고, 기업 내 정책을 마련하는 사람도 약하고, 애플리케이션이나 아키텍처를 구축하는 사람도 약합니다. 왜 사용자만 약하다고 하는지 모르겠어요. 제일 웃긴 건, 인터넷을 사용한다는 사람들에게 ‘아무 거나 클릭하지 말라’고 말하는 거죠. 인터넷으로 하는 행위가 오로지 클릭뿐인데 말이죠.”

‘클릭’은 단 한 가지 예일 뿐이다. 우린 보안 때문에 쓰라고 있는 기술이나 기능들을 포기해야 할 때가 많다. 오피스의 매크로 기능도 그 중 하나고, 한 때 웹 환경을 찬란하게 만들어줬던 플래시도 시한부가 되었다. 그래서 NCSC나 네이더의 의견을 공유하는 이들은 보안이 일종의 서비스로서 작용해야 한다고 주장한다. 현대 사회가 제공하는 많은 것들을 못하게 하는 게 아니라 오히려 마음껏 누리게 해주는 게 바로 보안이라는 메시지를 전달해야 한다는 것이다. 막는 자가 아니라 돕는 자가 되는 게 보안의 몫이라고 이들은 피력한다. “보안은 조력자가 되어야죠.”

‘친절하지 못한 보안’의 예는 또 있다. 컴퓨터 프로그램이나 보안 솔루션이 이상 현상을 발견했을 때 띄우는 메시지는 일반인들로서는 이해하기가 힘들다. 이해한다 하더라도 무슨 조치를 어떻게 취해야 하는지에 대한 안내도 없어, 사용자들은 그러한 경고 창을 읽지도 않고 닫아버린다. 마치 일반 사용자들의 실수를 줄이기 위해 업무량 조절까지도 고려해야 한다는 NCSC의 주장처럼, 사용자들을 보안의 참여자로서 끌어들이려면 “애플리케이션을 만들 때부터 사용자의 처지를 고려하는 문화가 필요하다”고 네이더는 말한다.

그렇기에 IT 환경의 ‘사용자’가 아니라 ‘설계자’의 취약점을 해결하는 편이 더 실질적이라고 보안 업체 비욘드트러스트(BeyondTrust)의 부회장 모리 하버(Morey Harber)는 설명한다. 비난의 대상을 바꾸자는 게 아니다. “설계는 단독으로 진행되지 않고, 여러 단계와 사람을 거쳐 확인되고 또 구축됩니다. 그러므로 사용자나 설계 책임자 단 한 사람이 아니라 IT 환경을 구성하는 모든 요소들의 ‘생애주기’ 자체를 총체적으로 보완할 때 오히려 더 현실적인 변화를 이뤄낼 수 있다는 것이죠.”

VS 혹은 균형
사용자를 어떻게 보느냐, 라는 시각 안에 많은 ‘대결 구도’가 놓여 있다. 보안 전문가들로서는 ‘하드 스킬(전문 지식)’과 ‘소프트 스킬(사람 및 관계 관련 기술)’의 균형감을 다시 검토해봐야 하고, 보안의 문화라는 측면에서는 ‘통제’와 ‘설득’의 균형감을 고민해야 한다. 균형감이란 반드시 50:50을 말하지 않는다. 회사와 환경에 따라, 또 시대와 상황에 따라 이 균형감이란 ‘넘어지지 않게 하는 힘’으로서 다양한 비율을 갖출 수 있게 된다. 역동적으로 변하는 성질을 갖춘 이 힘이 한 번 정해놓은 틀에 기계적으로 적용될 수 없다는 게 보안의 영원한 고민이며, 그렇기에 이 주제는 지치지도 않고 계속 등장한다.

이런 문제에는 ‘빠른 픽스’가 존재하지 않는다. 업데이트 다운로드 받고 설치 버튼 누르는 것처럼 간단하게 끝나지 않는다는 것이다. 시시 때때로 구성원들이 모여 다시 논하고 의견을 공유해 그 때에 맞는 균형점을 찾아야 한다. 한 전문가는 “오랜 고민을 하지 못한다는 게 현대 기업의 가장 약한 부분”이라고 말한다. “‘빠른 픽스’를 원하는 경영진들의 마음은 1년에 한 번 보안 교육 시키는 것에서 드러납니다. 한 번 알려줬으니 다 알겠지, 라는 생각하는 기업은 한 번 실수에 큰 책임을 묻죠. 애초에 보안이 성장할 수 없는 토양인 겁니다.”

이 전문가는 설명을 덧붙인다. “반드시 ‘설득’만이 좋다는 게 아닙니다. ‘자율적인 보안’만큼 허구성 짙은 개념도 없거든요. 다만 여태까지처럼 보안을 ‘통제’로 일관되게 했을 때 우리가 얼마나 실효를 거두었느냐는 스스로 한 번 물어볼만한 문제에요. 사실 이룬 게 없잖아요. 보안에 대한 사용자들의 인식만 점점 나빠지고 있고요. 안전을 위해서라면 지난 십 수 년 쌓아온 방법이라도 과감히 바꿀 필요가 있지 않을까요.” 그러한 관점에서 ‘사용자가 약한 고리’라는 문제를 보면 ‘과거 vs. 현대’ 혹은 ‘빠른 픽스 vs. 오랜 고민’이 보이기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)