Home > 전체기사
전 백악관 CIO인 테레사 페이턴, “사람 중심 보안이 더 필요하다”
  |  입력 : 2019-11-21 16:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현재는 보안 업체의 CEO...보안 컨퍼런스서 실제 고객 사례 들어가며 기조 연설
센서 부착된 전구...“엔지니어들은 극찬했지만, 보안 전문가로서는 기분 나쁜 일”
BEC 공격 막기 위해서는 비공개 도메인과 주요 거래 관계자만 아는 암호 필요해


[보안뉴스 문가용 기자] 전 백악관 CIO인 테레사 페이턴(Theresa Payton)이 최근 열린 ‘인포시큐리티 ISACA 컨퍼런스 및 엑스포(Infosecurity ISACA Conference and Expo) 보안 컨퍼런스에 참가해 ‘신기술의 안전한 도입’에 관한 자신의 경험을 발표했다. 첫 백악관 여성 CIO로서 관심을 받았던 페이턴은 현재 포털리스(Fortalice)라는 보안 업체의 CEO로서 활동하고 있다.

[이미지 = iclickart]


컨퍼런스 기조연설자로 나선 그는 “미국 대통령 집무실을 지원하는 스태프들은 약 3000명”이라며, “당연하지만 백악관에서 상주할 수 없는 숫자”라고 발표를 이어갔다. “대신 이들은 거의 항상 비행기를 타고 세계 어딘가로 출장을 갑니다. 즉, 이 3000명이 유동 인구라고도 볼 수 있어요. CIO로서 저의 역할은 이 3000명이 세계 어디에 있든 백악관의 사무실에 있는 것처럼 일할 수 있게 해주는 것이었습니다.”

하지만 국가 최고의 요원들인 그들의 기대치는 매우 높았다고 한다. “스마트폰의 앱을 터치하는 것처럼 간단한 조작으로 모든 일 처리가 되기를 바랐습니다. 그러면서 최신 기술을 앞장서서 사용하고 싶어했고 동시에 그 어떤 경우에라도 안전해야 한다는 걸 강조했죠. 편리, 최첨단, 안전이라는 세 가지 토끼를 다 잡아야 했던 겁니다.”

그러면서 페이턴은 “어느 조직에 있든, 보안 담당자라면 다 같이 겪는 일 아닌가”라고 연설을 이어갔다. “편리하고 빠르며, 최첨단 기술이 안전하게 탑재되어 있는 모바일 근무 환경은 백악관 스태프들이 아니더라도 누구나 원하는 것이죠. 그 책임은 IT와 보안 부서가 전부 떠안고 있기도 하고요. 하지만 그렇기 때문에 보안을 사람 중심으로 생각하는 걸 잊어버렸습니다. 그러니 기억하기도 힘들 정도로 어려운 비밀번호를 설정하라고 매번 설교하는 것이죠. 누가 이 말을 새겨 들을까요?”

페이턴은 “보안 업계가 늘 힐난조로 ‘사람이 가장 큰 구멍’이라고 말하는 것도 현명하지 않다”고 말을 이어갔다. “사람이 늘 실수할 거라고 우리는 말합니다. 맞는 말이지만 현상 향상에 도움이 되는 말일까요? 마찬가지로 기술도 늘 바른 답만 주는 건 아닙니다. 누가 더 잘못했는가, 누가 더 옳은가 소모적인 비판만 해서는 앞으로 나아갈 수가 없습니다. 지금 보안은 실제적인 안전망을 만들고 치는 작업을 해야 하는데, 그 점을 잊고 있는 건 아닌지 염려됩니다.”

페이턴은 신기술의 빠른 등장을 언급하기도 했다. 특히 사물인터넷이 요주의 기술이라고 지목했다. “운송 시설을 운영하는 클라이언트가 있었습니다. 이 클라이언트가 최근 디지털 변혁을 결정하며 여러 가지 시도를 했어요. 그러면서 사업장을 오가는 사람들과 물건 등의 빅데이터를 수집한다며 센서가 있는 전구로 전부 교체했습니다. 여기서 수집되는 데이터를 모바일 장비로 늘 확인할 수 있고, 그에 따라 사업 방향을 유연하게 바꿀 수 있었죠. 엔지니어들은 놀라운 변화라고 했는데요, 제가 느끼기엔 기분 나쁜 변화였습니다.”

페이턴이 기분 나쁘다고 한 건, 그 공간을 오가는 수많은 사람들의 프라이버시가 침해될 우려가 있어서만은 아니었다. “2016년의 미라이(Mirai) 멀웨어 사태가 또 터지면 어떻게 하나요? 그래서 그 많은 센서들이 한 번에 먹통이 된다면요? 사업에 엄청난 차질이 있겠죠. 그런 쪽으로는 전혀 고려를 하지 않고 ‘혁신’을 외치는 모습을 보며, 안 좋은 예감이 들었습니다.” 그러면서 페이턴은 “변혁이 나쁘다는 게 아니고, 여러 가지 공격과 사고의 시나리오를 충분히 고려하라는 것”이라고 정리했다.

한국에서도 점점 악명이 높아지고 있는 다크웹도 주제로 등장했다. “해킹 당했다는 사실을 모르고 있던 기업 입장에서 정말 황당하고 위험한 건, 다크웹에 회사에 데이터가 거래되기 시작하는 것입니다. 한 클라이언트의 경우, 지불카드 산업에 종사하던 회사였는데, 어느 날 이 회사의 고유 소스코드가 다크웹에서 거래되기 시작했습니다. 그게 레딧(Reddit)에 뜰 때까지 그 회사의 어느 누구도 해킹된 사실과 정보가 거래되고 있다는 사실을 몰랐습니다.”

당시 공격자는 해당 코드를 손에 들고 회사를 협박하기도 했다고 한다. 그런 경우 회사는 돈을 내야 하는가 말아야 하는가? “이게 사안마다 심각성이 달라서 칼 같이 정확한 답을 정론화시키기 어렵긴 합니다. 랜섬웨어도 비슷하죠. 하지만 대체적으로 범죄자들에게 돈이라는 먹이를 주지 않는 게 가장 좋은 답이긴 합니다. 적어도 사회 전체적으로는 그 편이 유익하다는 것이죠.” 페이턴이 예로 든 고객사의 경우 범인에게 얼른 돈을 주고 소스코드를 사들였다고 한다. “대신 그 코드를 다른 누구와도 거래하지 않겠다고 합의를 봤어요. 실제로 범인은 돈을 받고 약속을 이행한 것으로 알고 있습니다.”

페이턴은 계속해서 “이런 경우를 귀사가 당했다면 어떻게 해결해야 할 것인가?”라고 좌중에게 물었다. 외부 보안 업체나 전문가와 상담을 할 것인가? 혼자 해결해보려고 할 것인가? 다크웹을 통해 직접 범인과 소통하는 게 안전한가, 아니면 전문가를 통해야 할까? 법적으로 걸리는 부분이 있을까? “이런 모든 상황들에 대해 기업들이 진지하게 생각하고 미리 대비해야 합니다. 그런 시대가 왔다는 거, 아무도 부인하지 못할 겁니다.”

위험한 신기술로는 ‘딥페이크’도 있다. 페이턴은 딥페이크가 요즘 BEC 공격에 활용되고 있다고 경고했다. “실제로 가장 큰 피해를 일으키는 공격은 바로 BEC입니다. 딥페이크 기술 덕분에 피해자들이 송금 요청의 진위 여부를 가려내는 게 더 힘든 일이 됐습니다. 조직들은 어떻게 대항해야 할까요? 저는 고객들에게 송금이나 금전 업무에 사용되는 도메인과 계정, 이메일 주소는 따로 만들어 비공개로 전환하라고 조언합니다.”

페이턴에 의하면 BEC 공격을 실시하는 자들은 이미 인터넷 공간에 공개된 정보들을 수집해 연구한다고 한다. 홈페이지에 들어가기만 하면 CEO가 누군지, 이메일 주소가 뭔지, CFO가 누구며 부서가 어떻게 구성되어 있는지, 연락처가 어떻게 되는지 다 알 수 있다는 것.

“인터넷 검색만으로도 소셜 엔지니어링과 BEC 공격을 할 정도로 충분한 정보를 얻어낼 수 있는 게 현재 거의 모든 기업의 상황입니다. 그러니 이렇게 대중에게 공개된 것과 전혀 다른 도메인과, 그 도메인을 바탕으로 한 이메일 주소를 만들어 일부 금전 거래 관계자들에게만 공개하는 게 좋습니다. CEO의 송금 요청이 들어올만한 이메일 주소를 따로 마련하라는 것이죠. 그러면 홈페이지에 노출된 이메일로 CEO가 송금 지시를 내릴 때 뭔가 수상하다는 걸 알게 될 것입니다.”

여기에 더해 소셜 미디어 등에 전혀 공개되지 않을 암호문이나 키워드를 설정해 송금 업무를 처리할 때 사용하는 것도 도움이 된다고 그는 강조했다. “이런 시스템을 갖춰 놓으면, 공격자들 입장에서 조사해야 할 것이 더 많아집니다. 더 많은 돈과 시간을 투자해야 하죠. 즉 공격 비용이 올라간다는 겁니다. 그것만으로도 공격자들은 공격을 망설이게 됩니다. 어쨌건 그들이 가장 추구하는 건 비용 대비 공격 효율성이니까요. 디지털 변혁을 꾀할 때 이런 사업 운영과 관련된 설계도 추가하시는 걸 권합니다.”

그러면서 암호를 구두 지시에도 적용할 것을 추가로 권고하기도 했다. 왜냐하면 최근 딥페이크로 만든 가짜 음성을 활용해 직원을 속이고 돈을 훔친 사건이 발생했기 때문이다. “CEO들은 외부로 많이 노출된 사람들입니다. 목소리 샘플을 구하기가 쉽고, 따라서 딥페이크 기술의 먹잇감이 되기 좋죠. 실제 사례도 이미 나온 바 있고요. 중요한 업무 지시에만 사용될 비밀 사인을 마련하시는 게 BEC로부터 조직을 지킬 수 있는 길입니다.”

3줄 요약
1. 최초의 백악관 CIO였던 페이턴, 기조 연설 통해 “사람 중심 보안” 강조.
2. 또한 보안을 고려치 않은 디지털 변혁의 위험성도 강조.
3. 성행하는 BEC 공격 막기 위해 비공개 도메인과 암호문 마련하라고 권고.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제