Home > 전체기사
“워너크라이 막을 수 있냐”고 묻는 경영진에게 CISO가 해야 할 말
  |  입력 : 2017-10-24 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안은 한 번 조치로 모든 준비 끝나는 일 아니야
특정 멀웨어 막는 것보다 시스템 취약점 개선해야


[보안뉴스 오다인 기자] 워너크라이(WannaCry)는 전 세계에 막대한 영향을 끼치며 모두를 놀라게 했다. 낫페트야(NotPetya)는 일단 한 번 사용된 익스플로잇을 이후에 왜 잊어버리면 안 되는지 상기시켰다. 미라이(Mirai)는 봇넷을 이용한 기록적인 디도스 공격으로 사용자들을 하루 종일 짜증나게 했다. 희소식은 이 모든 공격이 경영진의 이목을 끌었다는 것이다. 경영진은 갑자기 자신들이 이런 공격에 취약한지 묻기 시작했다. 나쁜 소식은 경영진이 잘못된 질문을 던지고 있다는 사실이다.

[이미지=iclickart]


보안은 한 번 조치한다고 끝나는 일이 아니다. 창의적인 해커들과의 계속되는 전쟁이다. 해커들은 새롭고 향상된 공격을 계속 진화시켜 나간다. 그러나 최고 경영진과 이사진은 보안에 대해 아직까지 배우는 중이기 때문에 정보보호최고책임자(CISO)를 찾아와 이렇게 묻고만 있다. “우리는 워너크라이 공격을 막을 수 있나요?”

CISO가 자리를 보존할 유일한 대답은 “그렇습니다”일 것이지만, 이는 다른 수많은 요소를 생략하는 답이고 경영진에게 잘못된 보안 인식을 남기게 된다. 현명한 CISO라면 경영진의 관심을 활용해 특정한 멀웨어 변종을 차단하는 건 단지 임시방편에 불과하다는 점을 설명할 수 있을 것이다.

멀웨어는 정말 빠르게 변화하고 있다. 그렇기 때문에 어떤 변종 하나를 차단하는 건 하루 이틀 동안 편안함을 줄 수는 있어도, 근본적인 해결책은 아니다. 멀웨어는 해당 차단 메커니즘을 뚫을 만큼만 딱 변신해서 다시 쳐들어온다. 그것이 현실이다. 보안 업체 센티넬원(SentinelOne)이 올해 4월 발표한 기업 위험 지수(Enterprise Risk Index)에 따르면, 탐지된 멀웨어의 50% 미만이 알려진 멀웨어로 등록돼 있었다. 이는 새로운 위협이 얼마나 빨리 나타나고 또 사라지는지, 감시해야 할 위협의 절대량이 얼마나 되는지 보여주는 결과다.

멀웨어 하나를 차단하는 데 집중하는 대신, 기업들은 시스템에서의 근본적인 취약점들에 집중해야 한다. 기업을 여러 종류의 공격에 취약하게 만드는 진짜 문제에 집중해야 한다는 거다. 예를 들어, 데이터베이스 내의 SQL 삽입 취약점을 찾는 것이나 잘못 구성된 네트워크를 다시 작업하는 것 등이 있을 수 있다. 잘못 구성된 네트워크를 방치하면 멀웨어가 안전하지 않은 사물인터넷 기기로 들어와 중요한 회사 시스템까지 침투할 수 있다.

내부적인 역학 관계를 이해하기
CISO가 하는 일은 여러 취약점을 이해하고 이를 차단하기 위해 필요한 지식을 쌓는 것이다. 그러나 이를 처리할 만한 경험 많은 사이버 보안 전문가를 찾는 건 어려운 일이고 현재로선 그런 기술도 부족하다. 이런 상황에도 불구하고 대부분의 기업은 이 같은 자리를 채우기 위해 경쟁력 있는 사람들을 채용해 왔다. 여기서 취약점이 방치되는 때는 CISO가 난관에 봉착하는 때다. 예컨대, 자원이 제약됐기 때문이라든지 어떤 변화의 필요성에 대해 다른 부서 사람들을 설득하는 데 실패하는 것 같은 난관 말이다.

많은 기술 부서들이 변화를 꺼린다. 5년 전만 해도 수많은 백신 사용자가 매주 정기적으로 확인된 목록(signature list)을 업데이트하는 것조차 실패했다. 심지어 IT 부서는 소프트웨어 업데이트 같은 더 효과적인 변화와 관련해서는 더 느릴 수도 있다. 그들 입장에서 타당한 이유가 하나도 없다는 말은 아니다. 레거시 시스템이 더 오래 사용될수록 최신 소프트웨어 업데이트와의 호환은 더욱 어려워지기 마련이다.

이런 이유에서 CISO는 보안 업데이트가 회사의 중요한 시스템을 보호하는 프레임워크의 한 부분이라는 사실을 강조해야 하고, IT 부서가 정기적으로 패치 일정을 따라가도록 만들려면 경영진의 뒷받침이 반드시 필요하다는 사실도 인지하고 있어야 한다.

멀웨어 지형은 변화한다
오늘날 해커들은 목표하는 공격에 더 이상 시간을 투자하지 않는다. 이미 방대한 수의 시스템이 별다른 보안 조치 없이 방치돼있기 때문이다. 공격 대상을 물색하는 데 시간을 들이는 대신, 해커들은 일단 마구 공격을 퍼부은 다음 누군가 걸려들기 바라는 ‘스프레이 앤 프레이(spray and pray)’ 방식을 택하고 있다. 그 결과, 라우터, 서버, 휴대전화, 컴퓨터, 커피메이커 같은 인터넷으로 연결된 모든 기기가 지속적인 위협 아래 놓이게 됐다. 해커들은 멀웨어가 이윤을 내는 한 감염될 대상이 누구인지 전혀 상관하지 않고 계속해서 멀웨어를 진화시키고 있다.

해커가 이용 가능한 모든 공격 매개를 아울러 지속적으로 폭격을 가한다는 건 CISO가 그 어느 때보다 더 경계를 바짝 세워야 한다는 걸 의미한다. 멀웨어를 잡기 위해 단순히 표준화된 필터에 의존하는 것보다 잠재적인 취약점을 선제적으로 식별하고 차단해야 한다는 뜻이다. 결코 끝나지 않는 전쟁에 나서서 앞으로도 계속 진화할 알려지지 않은 위협들에 맞선다는 건 무의미하거나 희망이 없는 곤경에 처한 것처럼 느껴질지도 모른다. 그러나 유명한 멀웨어 공격은 경영진의 관심을 끌어 새로운 기회를 가져온다는 장점도 있다.

요령 있는 CISO는 이 순간의 관심을 이용해 다음과 같이 말할 수 있다. “네, 그렇습니다. 워너크라이를 막아낼 수 있습니다. 오늘은요. 하지만 저희 시스템에는 다른 취약점들도 있고, 오늘부터 당장 개선해야 합니다.” 그런 다음 자신이 월급을 받는 이유인 전문성을 기반으로 회사를 위험에 노출시키는 근본적인 위험 요소가 무엇이고 이를 보호하기 위해 어떤 변화가 필요한지 경영진을 설득할 수 있어야 한다.

글 : 라즈 라자마니(Raj Rajamani)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)