Home > 전체기사

아직은 조용한 비영리 단체들, 지금부터 보안 강화 시작해야 한다

  |  입력 : 2022-02-16 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비영리 단체는 해커들이 잘 공격하지 않는다. 그래서 조용한 편이다. 하지만 그렇다고 해서 보안에 대한 관심을 아예 끊는 건 좋지 않다. 결국은 해커들의 눈이 향할 것이 분명하기 때문이다.

[보안뉴스 문가용 기자] 랜섬웨어 공격자들이 먹이를 찾아 헤맬 때, 비영리 단체는 보통 제외 대상이 되는 것 같은 분위기다. 비영리 단체가 랜섬웨어에 당해 마비됐다고 대대적으로 알리는 매체를 본 적이 있는가? 대단히 덩치가 크고 영향력이 지대한 곳이 아니라면 비영리 단체는 지금의 혼란스러운 사이버 공격 지형도에 덜 섞여드는 감이 없지 않다.

[이미지 = utoimage]


하지만 보안 업계에서 누누이 말하는, “그 누구도 예외가 될 수 없다”는 법칙은 여전히 유효하다. 공격자들은 항상 대기업만 노리고 부유한 사람들만 공략하지 않는다. 오히려 ‘쉬운 상대’를 찾는 게 이들의 습성이다. 비영리 단체는 대기업보다는 덜 부유할지 몰라도 공략하기 쉬운 상대임이 분명하다. 따라서 대비를 해야 한다. 보안기술기관(IST) 역시 최근 보고서를 통해 “정부가 보안 첩보를 비영리 단체와도 공유해야 한다”고 강조했다.

IST에 따르면 비영리 단체를 취약한 상태 그대로 놔두는 것은 현명하지 못한 국가 운영 방식이라고 한다. 왜냐면 비영리 단체들에도 민감한 정보와 금융 정보가 존재하며, 이런 정보들 역시 여느 기업의 민감 정보 및 금융 정보 만큼이나 높은 가치를 가지고 있기 때문이다. 유명인과 사회적 영향력이 지대한 인물들이 비영리 단체 활동을 하는 경우도 상당하다는 걸 생각하면 비영리 단체의 민감 정보도 꽤나 중요함을 깨달을 수 있을 것이다.

물론 비영리 단체들 대부분 재정이나 규모라는 측면에서 열악하기 때문에 강력한 보안 규제를 적용하기 힘들다는 점은 충분히 이해한다. 기술 분야 비영리 조직인 엔텐(NTEN)의 CEO 에이미 워드(Amy Ward)는 “미국의 비영리 단체 92%가 연간 재정 100만 달러 미만으로 활동한다”고 말한다. “하지만 영리 단체가 작다고 해서 그냥 넘어가지 않죠. 소기업들이라고 보안에 아예 손 놓고 있는 것도 아니고요. 비영리 단체도 마찬가지입니다.”

사이버 보안 비용, 처음부터 책정하라
워드는 “규모와 재정이 여의치 않은 곳이라면 더더욱 연초 예산 계획을 잡을 때 보안과 관련된 요소들을 포함시켜야 한다”고 강조한다. “예를 들어 중요 파일들에 접근하려 할 때 이중 인증 시스템을 통과하도록 하면 네트워크 내에 침투한 공격자들을 좀 더 곤란하게 만들 수 있지요. 이렇게 매일 매일 이뤄지는 업무의 흐름 속에 보안이 자연스럽게 녹아들도록 하는 게 좋습니다.”

도움을 요청하라
비영리 단체들을 방문해 보면 IT 기능이 매우 기초적인 수준에 머물러 있는 곳이 꽤 많음을 알 수 있다. 그러니 사이버 공격에 대한 예방도 어렵고, 대응도 어렵다. 이런 곳의 관리자들은 IT 소식은 물론 보안 사고 소식에도 그리 관심을 갖지 않는 편이다. 관리자들이 그런 경우 조직 전체적으로 보안과 아주 거리가 먼 생활을 하고 있을 가능성이 대단히 높다.

보안 전문가 크레이그 뉴마크(Craig Newmark)는 “자기 하는 일과 분야에만 관심을 갖게 되니 어쩔 수 없는 일이지만, 사실 지금은 나라 전체가 사이버 공격에 당하고 있는 때라 아주 조금만 시선을 돌려도 보안 상황이 심상치 않음을 알 수 있다”고 강조한다. 전쟁터 한 가운데 있으면서 ‘나는 내가 좋아하는 것만 하고 내가 보고 싶은 것만 볼 거야’라고 고집할 수 없다는 것이다. “전쟁터 한 가운데 있는데 전투 능력이 없다면 뭘 할 수 있을까요? 바로 도움을 요청하는 것이죠. 보안 기능이 좀 부족한 조직이라면 외부 상담이라도 받는 게 모두를 위해 좋은 일입니다.”

하지만 보안 상담이라는 것에도 돈이 들어가고, 예산이 빠듯한 비영리 단체라면 이 역시 망설여지는 일이 된다. 뉴마크는 “비영리 단체를 도우려는 이니셔티브나 사업들이 존재한다”며 “IT 업계의 전문가들은 대체적으로 자신이 가지고 있는 지식이나 기술을 즐겨 공유하는 사람들”임을 강조했다.

“물론 공짜로 모든 아키텍처를 설계해 달라고 하는 건 무리입니다. 하지만 비영리 단체임을 감안해 할인을 해 주거나 무료 상담을 몇 시간 해 주는 컨설턴트는 찾을 수 있을 겁니다. 무료 도구들로 조직을 잘 보호하는 방법을 알려주는 전문가들도 있고요.”

데이터를 최소화 하라
뉴마크는 비영리 단체들이 스스로 할 수 있는 보안 강화법 중 최고는 내부에 저장되는 데이터를 최소화하라는 것이라고 강조한다. 데이터를 줄이면 줄일수록 공격의 경로와 동기가 줄어들기 때문이다. 뉴마크는 “비영리 단체와 실제로 상담을 할 때 데이터도 줄이고, 데이터 관련 아키텍처와 업무 프로세스를 최대한 간소화 하라고 조언한다”고 말한다. “구조가 간단하면 할수록 가시성도 높아지고 보호 작업이 쉬워집니다. 공격 경로도 줄어들고요.”

여태까지 안전했다고 안주하면 안 된다
국립비영리단체위원회(NCN)의 COO인 릭 코헨(Rick Cohen)은 “확실히 비영리 단체는 사이버 보안 업계나 해커들과 거리가 어느 정도 떨어진 상황을 유지하고 있었다”고 설명한다. “해커들 입장에서 대기업이나 국가 기관들보다 가치가 낮게 보이는 게 사실입니다. 그래서 비영리 단체들에서는 사고도 잘 안 났죠. 하지만 해커들은 항상 새로운 피해자를 물색하는 자들입니다. 언젠가 공격할 만한 사람을 다 공격했다고 여기면, 비영리 단체로 눈길을 돌릴 겁니다.”

코헨은 “결국 비영리 단체의 임직원들 한 사람 한 사람이 보안 인지 수준을 높여야 할 것”이라고 말한다. “조금은 의심스러운 눈으로 내게 들어온 메시지나 메일, 정보들을 열람할 수 있는 시선을 키워야 합니다. 그것이 아예 없는 것과 있는 것은 데이터 보호에 있어 커다란 차이를 냅니다. 지금 비영리 단체들이 비교적 평화로울 때 보안을 미리 준비한다면 나중에 든할 겁니다.”

글 : 캣 프리드리히(Kat Friedrich), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)