Home > 전체기사

패치와 설정, 비밀번호...보안 담당자들을 가장 괴롭히는 세 가지

  |  입력 : 2023-02-08 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
지금은 세 가지만 잘 해도 어지간한 보안 사고는 예방할 수 있다. 비밀번호 관리, 취약점 관리, 설정 관리가 바로 그것이다. 그런데 그게 잘 되지 않아서 문제다. 근본적인 시각과 자세가 바뀌어야 할 수도 있다.

[보안뉴스 문정후 기자] 엉성한 크리덴셜 관련 정책과 부실한 패치 관리만 해결되어도 IT 보안 문제의 상당수가 해결될 수 있다는 연구 보고서를 보안 업체 호라이즌3(Horizon3.ai)가 발표했다. 또한 각종 IT 도구들의 설정 오류만 해결해도 조직들의 네트워크는 상당히 안전해질 수 있다고 한다. 약 7천 번의 모의 해킹 결과를 종합했을 때 내릴 수 있는 결론이라고 한다.

[이미지 = utoimage]


비밀번호 관리의 부실함
2022년 한 해 동안 호라이즌3가 찾아낸 보안 구멍들 중 가장 빈번히 나타나는 것은 약하게 설정되거나 재사용된 크리덴셜이었다. 약하게 설정되거나 자꾸만 재사용되는 크리덴셜들이 위험한 건, 그 무엇보다 그런 크리덴셜 정보들이 다크웹에서 뭉텅이로 판매되기 때문이다. 돈만 내면 누구나 구매할 수 있어서, 사실상 약한 크리덴셜을 사용한다는 건 비밀번호를 아예 설정하지 않은 것과 다르지 않다.

호라이즌3의 사이버 위협 분석가인 코리 싱클레어(Corey Sinclair)는 “현장의 보안 전문가들을 가장 많이 괴롭히는 건 기능성, 사용성, 보안성의 균형을 맞추는 것”이라고 말한다. “하지만 사용자들이 집중하는 건 기능성과 사용성 뿐입니다. 그렇기 때문에 여기에 보안성이라는 요소를 하나 더 추가하여 균형을 맞추려고 한다면 늘 반목하는 결과를 낳게 됩니다. 그래서 보안이 항상 뭔가를 불편하게 하는 요소처럼 보이는 것이죠. 크리덴셜 관리나 설정 관리가 항상 어려운 것도 이 때문입니다. 보안 업계는 이 두 가지를 좀 더 쉽게 할 수 있게 해주는 방안을 마련해야 합니다.”

예를 들어 보안성을 강조한답시고 불편한 크리덴셜 관리 방법을 고집한다면 비밀번호는 항상 부실하게 관리될 것이다. “모든 계정의 비밀번호를 다르게 설정해야 한다고 가르쳐 주면 안 됩니다. 그랬을 때는 오히려 역효과가 나요. ‘모든 계정을 다 고유하게 설정해야 한다면 그냥 포기하고 말래’라고 생각하는 것이죠. 기업들도 그런 강력한 정책을 도입할 엄두를 못 내는 게 지금의 현실이고요. 차라리 전 임직원이 사용할 만한 비밀번호 관리 솔루션을 도입하는 게 낫습니다.”

싱클레어는 비밀번호 관리 이야기가 나올 때 빠지지 않는 것이 하나 있는데, 바로 디폴트 크리덴셜이 사용되고 있는지 확인하고 제거하는 것이라고 한다. “새로운 장비가 들어와서 회사 네트워크에 연결됐을 때, 이 부분을 그냥 까맣게 잊습니다. 디폴트 비밀번호라는 것에 대해 아예 생각을 하지 못하는 것이죠. 이것만 한 번 기억해 줘도 큰 도움이 됩니다.”

이런 현상을 더 이상 간과할 수 없는 건 훔친 크리덴셜을 활용한 소셜엔지니어링 공격을 통해 침해되는 네트워크가 점점 많아지고 있기 때문이다. 다크웹에서도 크리덴셜과 같은 민감한 정보를 훔치는 걸 전문으로 하는 업자들에 대한 수요가 점점 높아지고 있다고 보안 업체 액센추어(Accenture)는 발표한 바 있다. 비밀번호가 완전히 사라지는 시대가 아직 도래하지 않았고, 당분간도 그럴 것이라면, 비밀번호 관리를 보다 철저히 해야 한다는 걸 어떻게 해서든 사용자들에게 주입시켜야 한다는 뜻이다.

취약점과 설정 옵션 관리의 부실함
비밀번호 관리 다음으로 아쉬운 건 취약점 패치 문제와 각종 생산성 도구들에서 발견되는 설정 오류인 것으로 나타났다. “패치를 하지 않고, 설정을 주기적으로 잘못 한다는 건 결국 우선순위에서 보안이 뒤쳐져 있다는 뜻입니다. 패치보다 일단 생산을 하나라도 더 하는 게 먼저이고, 설정을 한 번 더 검토하는 것보다 업무를 하나라도 더 하는 게 먼저이니까 그런 일들이 벌어지는 겁니다.” 싱클레어의 설명이다.

패치와 설정 관리가 잘 안 되는 또 다른 이유는 그것만이 아니다. “뭘 패치해야 하고, 어떤 설정을 관리해야 하는지 모르는 기업들도 많습니다. 취약점 정보가 있다고 하더라도 무엇부터 손을 대야 할지 모르기도 하고요. 이건 취약점이 너무나 많이 발견되고 있기 때문이기도 하죠. 아마 이 많은 취약점을 충분히 잘 관리할 수 있다고 느끼는 기업들은 많이 없을 겁니다.”

싱클레어는 현대 정보보안에 대한 접근법의 한계가 ‘비밀번호, 설정, 패치’ 관리의 부실함으로 요약될 수 있다는 입장이다. “지난 수년 동안 결국 이 세 가지가 늘 문제였습니다. 거의 모든 보안 사고가 패치 안 된 취약점, 관리 안 된 비밀번호와 잘못 설정된 옵션을 통해서 일어납니다. 이제 보안의 근본적인 접근법 자체가 바뀌어야 한다고 생각합니다.”

공격자의 시각을 갖추는 것이 중요
그렇다면 어떤 식으로 접근법을 바꿔야 할까? “지금 보안 접근법은 한 마디로 ‘방어자의 사정을 최대한 반영한 것’이라고 말할 수 있습니다. 실제 공격과 관련된 상황이야 어쨌든 방어하는 사람들이 할 만한 것들만을 골라서 방어 도구로 삼는 것이죠. 그러니 귀찮은 건 하지 않게 되는 것이고 몰라도 그냥 넘어가는 겁니다. 보다 공격자의 입장에 서서 우선순위를 정하는 것이 중요합니다.”

그러면서도 싱클레어는 “비밀번호 관리 프로그램, 패치 관리 대행 서비스 등을 통해 방어한다면 공격자의 입장에서 보안 체계를 완성하지 못하더라도 어느 정도 효과적으로 공격을 예방할 수 있다”고 귀띔한다. “즉, 직접 하지 못할 상황이라면 대신해 줄 수 있는 누군가를 찾기라도 해야 한다는 뜻입니다. 우리의 사정이 중심이 되는 보안과, 공격자의 사정이 중심이 되는 보안 사이에 있는 보안의 접근법이라고 할 수 있습니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)