Home > 전체기사
보안 강화의 목표, 새해에 끊은 헬스장 멤버십 꼴 나지 않으려면
  |  입력 : 2020-02-20 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새해 결심이 1월 31일까지 유지되는 경우는 25% 미만...보안도 마찬가지?
전략과 목표의 구분 분명히 하는 것 중요...사이버 공격을 실제 상황으로 인식해야


[보안뉴스 문가용 기자] 새해만 되면 수백만 명의 사람들이 더 건강해지자고 결심하고 그 첫 걸음을 뗀다. 하지만 그 결심을 1월 31일까지 유지하고 필요한 것들을 실행하는 사람은 25%도 되지 않는다고 한다. 결심을 이뤄내는 사람은 8% 미만이다. 왜 그럴까? 갑작스러운 다이어트용 식단이라든가, 헬스장 멤버십은 그 자체로 목표가 아니라 ‘전략’일 뿐이기 때문이다. 게다가 장기적인 전략이 되지도 못한다. 목표와 전략을 잘 구분하지 못한다는 게 실패의 근간에 자리하고 있다.

[이미지 = iclickart]


슬프게도 이는 사이버 보안을 위한 기본적인 실천 사항에도 적용된다. 기업들은 매년 보안 예산을 확대하는데(즉, 보안 강화를 위한 새해 결심을 하긴 하는데), 매년 유출되는 데이터는 기록을 갱신한다(즉, 결심을 이뤄내는 건 8%도 되지 않는다). 2019년도 그랬다. 이제 보안을 강화하고 싶은 조직들은 급한 다이어트를 그만두고(즉, 통하지 않는 ‘전략’은 포기하고) 결심을 이뤄내는 8% 안에 들어가야 할 때다. 그러려면 보안 강화가 1순위 목표가 되어야 하고, 사건이 생길 때마다 반창고 붙여놓고 대충 수습하는 단시안적인 강화 습관을 제거해야 한다.

짧고 효과 좋은 사이버 ‘기본 체력 강화’ 프로그램
보통 보안 예산이 늘어나면, 백신이나 이메일 필터 등과 같은 보안 솔루션들을 구매해 설치하는 경우가 많다. 하지만 기존 혹은 전통의 보안 솔루션들을 가지고는 확고한 의지를 가진 해커들을 당해낼 수 없다. 보다 정확히 말하자면, 그런 솔루션 한두 개 가지고는 어림도 없다는 것이다. 각종 방어 장치를 겹겹이 쌓아야 방어 성공 가능성이 높아진다. 백신을 설치하는 것에 더해 엔드포인트의 데이터 보호 전략과 전 직원이 지켜야 할 정책 등을 추가해야 한다는 것이다.

준비 운동 1 : 직원 교육
사이버 공격에 있어서 방어 전선의 가장 앞에 위치한 건 다름 아니라 직원들이다. 그러므로 조직은 직원들을 ‘강화’해야 하는데, 이는 교육으로만 가능하다. 모든 직원이 피싱 이메일을 감지할 수 있고, 따라서 위험한 링크나 첨부파일과 상호작용하지 않는다고 상상해보라. 이것만 현실로 이뤄져도 조직은 여러 가지 위험에서 벗어날 수 있다. 2019년, 수많은 사이버 공격이 피싱 이메일로부터 시작됐다. 그 다음은 성의 없이 설정된 비밀번호가 문제가 됐다. 올해는 이 두 가지만 집중적으로 교육해도 성과가 있을 것이다.

준비 운동 2 : 다층위 보안
하지만 교육만으로는 부족하다. 아무리 잘 교육을 받아도, 실수까지 막을 수는 없다. 그러므로 어느 정도 기술적인 뒷받침도 있어야 한다. 엔드포인트 방어 솔루션, 네트워크 경계 보호 솔루션, 패치 관리 솔루션 등 사람이라서 저지를 수밖에 없는 실수를 보완하는 것들을 추천한다. 예를 들어 직원 중 누군가 피싱 이메일을 클릭하더라도, 안티 멀웨어 솔루션이 있으면 감염 확산에 제한이 걸린다.

하지만 안티 멀웨어 솔루션이 모든 것을 해결해 주지는 않는다. 그래서 필요한 게 엔드포인트 보호 전략이다. 이를 테면 전통의 시그니처 기반 백신으로 멀웨어를 잡아내고, 신기술을 가진 보안 솔루션으로 행동 패턴 기반 탐지까지 같이 하는 식으로 말이다. 동시에 취약점을 주기적으로 점검하고 패치하는 관리 시스템도 조직적으로 갖춰야 한다. 여러 겹으로 데이터와 디지털 자산을 보호하는 게 필요하다.

준비 운동 3 : 총체적 데이터 보호
인적 교육도 이뤄지고 있고, 기술적 보호 장치도 갖춰지고 있다면, 전사적 데이터 보호 전략을 갖춰야 한다. 최신 공격 트렌드에 관한 정보를 입수하고, 이를 조직에 상황에 맞춰 적용하는 것부터 시작해야 한다. 조금 더 간단하게 말하자면, 최근 공격자들이 많이 활용하는 취약점이 무엇인지 파악하고, 그것이 조직 내에 있는지 미리 확인해 패치를 해야 한다는 것이다. 그러려면 지속적인 모니터링 활동도 필요하고, 이중 인증 시스템을 도입해야 할 수도 있다. 위기 상황에 대한 ‘재난 복구 시나리오’를 미리 갖추는 것도 중요하다. 이에 대해서는 뒤이어 설명을 이어가겠다.

사이버 공격 후 복구를 위한 네 가지 절차
준비 운동을 아무리 잘 해도 어느 순간 반드시 사고는 터지게 되어 있다. 그러니 사고가 터진 후의 상황을 미리 대비해두는 것이 현명하다. 대비를 잘 하고 있으니 아무 일도 일어나지 않을 거라고 확신하는 건 자기모순이다. 공격이 실제로 일어났을 때, 그래서 피해가 발생하기 시작했을 때 조직이 취할 수 있는 절차에 대해 다음과 같이 정리해 보았다.

1단계 : IT 팀이나 관제 대행 업체에 알린다
조직 내에서 ‘뭔가 이상하다’거나 ‘공격이 시작됐다’는 걸 제일 먼저 탐지하는 사람은 일단 내부 IT 팀이나 보안 서비스 업체에 알려야 한다. 이게 가장 중요하다. 고객들에게 제공되는 서비스나 조직의 일부 기능이 마비되는 시간이 길어질수록 손해가 크기 때문이다. 이 손해는 공격자들이 협박하면서 요구하는 금액보다 평균 23배 높다고 한다.

2단계 : 감염된 부분을 파악하고 격리시킨다
이제 보안 전문가들이 상황에 대해 인지하고 있다. 모든 것이 그들의 손으로 넘어갔다. 보안 팀 혹은 IT 팀에서 제일 먼저 해야 할 일은 감염된 시스템들을 최대한 빨리 파악해 네트워크로부터 분리하는 것이다. 만약 분리가 힘든 시스템이 여기에 포함되어 있다면 꼭 필요한 포트만 빼놓고 모두 닫아두어야 한다. 이 과정에서 멀웨어의 종류를 파악하는 것도 중요하다. 그렇게 해야 이후 대처법이 가장 정확하게 강구될 수 있다.

3단계 : 감염의 시작점을 파악하라
필요한 시스템을 격리시켜 감염의 속도를 늦췄다면, 본격적이 조사를 시작할 때다. 어디서부터 감염이 시작되었는지를 알아야 한다. 특정 직원 계정의 이메일을 통해 랜섬웨어가 들어왔는가? 몇 번 포트를 통해 침투했는가? 도난당한 크리덴셜이 문제의 근원이었나? 웹 브라우징을 통해 모든 일이 시작됐나? 이러한 질문에 대한 답을 찾아야 한다는 것이다. 그렇게 해야 멀웨어를 완벽하게 지워내는 등 보다 말끔한 후속조치를 할 수 있고, 같은 문제가 또 발생할 가능성을 낮출 수 있다.

4단계 : 모든 가능성을 염두에 둔다
3단계까지 차질 없이 진행을 했다면, 사실 마지막 단계는 그리 어렵지 않다. 상황이 전부 파악된 상황에서 조직이 해야 할 일을 선택하는 건데, 이는 주로 다음과 같은 질문에 대한 답을 구하는 것으로 이뤄진다. 보험사와 후속 처리를 공동으로 진행할 것인가? 범인이 요구한 금액을 낸다면 조직에 어떤 영향이 있을 것인가? 내지 않겠다고 한다면, 후폭풍을 감당할 수 있는가? 벌금을 내야 할 상황인가? 충분히 할 일을 다 했고, 불가항력적인 공격이었다고 변호할 수 있는가?

필자는 여기서 다시 한 번 강조하고 싶은 게 있다. 바로 “공격은 반드시 일어나고, 어느 조직이나 어떤 시점에서는 반드시 피해를 입기 마련이다”라는 사실이다. 이는 ‘우린 괜찮을 거야’라든가 ‘지금 정도면 충분히 방어가 될 거야’와 같은 사고방식과 정면으로 대치되는 것이다. 그러므로 모든 방어책은 구체적이어야 하고, 유형성을 가지고 있어야 한다. 사이버 공격을 ‘실제 상황’으로 인식하는 순간, 보안을 강화하려는 모든 조직들의 새해 결심은 성공적으로 이뤄질 가능성이 높아진다.

글 : 라이언 윅스(Ryan Weeks), Datto
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)