이 정도면 충분하지 않을까? 미온적인 태도를 버릴 때가 되었다는 의미이다. 보안 대책을 제대로 실천하지 않는 것이 문제를 초래하고 있다. 사이버 범죄를 크게 줄일 우수한 컴퓨터 보안 솔루션들이 존재한다. 이를 인식해 적용하고 활용하면 된다.
수십 년 전부터 그랬어야 했다. 그러나 인터넷이 중요해지고 IoT 시대가 열리면서 과거 어느 때보다 더 시급하게 더 강력한 해결책이 요구되고 있다. 필자가 최근 출간한 <해커 해킹(Hacking the Hacker)>이라는 책을 인용하면, 브루스 슈나이어는 IoT가 보안에 구조적인 변화를 가져온다고 주장한다.
스프레드시트의 취약점, 크래시, 감염으로 발생하는 문제와 자동차에서 발생하는 문제는 차원이 다르다. 자동차의 취약한 컴퓨터 보안은 사람들의 생명을 위협한다.
모든 것이 바뀌는 것이다! 필자는 지난 달 미국 국회에서 이를 주제로 증언했다. 이제 진지해질 때다. 한가하게 놀던 시간은 끝났고 규제가 필요하다. 사람의 목숨이 달린 일이기 때문이다. 과거처럼 버그가 가득한 형편없는 소프트웨어를 수용할 수 없다.
그러나 산업계는 아직 제대로 준비가 되어 있지 않다. 제대로 준비해야 한다. 지금까지 해커와 취약점을 해결하지 못했다. 이런 상황에서 어떻게 자동차를 더 안전하게 만들 수 있을까? 바뀌어야 한다. 바뀔 것이다.
한편으로는 더 중요한 행동을 기다리고 있는 중이다. 예를 들어, 트럼프 대통령의 사이버보안 행정 명령은 방향이 올바른 것으로 판단된다. 하지만 여전히 과거 이니셔티브를 망쳤던 것과 동일한 개념, 지나치게 넓은 초점이 가득하다. 전술적인 요구 사항과 책임을 명확히 규정해야 변화를 달성할 수 있다. 지금도 신경써야 할 프레임워크와 정책들이 충분히 많다.
컴퓨터 범죄 위험을 크게 경감하기 위해 할 수 있는 일은 무엇일까? 수월한 목표부터 시작하자.
1. 보안에 진지하게 접근한다.
모두 사이버 보안에 진지하게 접근한다고 주장하지만, 대부분의 기업에서 이는 사실이 아니다. 항상 운영 측면의 고려가 앞서고, 보안은 필수적이지만, 효과가 없는 값비싼 '악'으로 간주하는 것이 현실이다. 컴퓨터 보안이 기능을 못하는 것이 아니다. 기능을 하고, 효과가 있다. 성과를 일궈내고 싶다면 지금 하고 있는 일이 효과가 없음을 수용하고, 이유를 찾고, 옳은 일에 초점을 맞추기 시작해야 한다.
2. 데이터를 방어의 원동력으로 활용한다.
소셜 엔지니어링, 패치를 적용하지 않은 소프트웨어, 악성코드 등 회사의 보안 침해 유형을 파악한다. 통상 단기적으로는 예측이 가능한 부분이다. 사고 발생 횟수는 물론 피해, 영향을 고려해야 한다. 예를 들어, 수많은 악성코드를 탐지했지만, 소셜 엔지니어링으로 큰 손실이 발생할 수도 있다.
악당들이 기업 환경에 침입할 때, 가장 많이 사용하는 에이전트를 찾아, 이를 출발점으로 활용한다. 데이터가 개인의 판단과 상반되는, 더 나아가 대부분이 진짜 컴퓨터 보안 솔루션이라고 믿는 것과 다른 결과를 제시하는 때가 많을 것이다.
3. 화이트리스트를 사용한다.
모든 기업이 엄격하게 애플리케이션에 화이트리스트를 적용해야 한다. 사전에 규정한, 그리고 무결성을 확인한 애플리케이션만 실행되도록 만들어야 한다. 애플리케이션 제어(감독 및 통제)은 쉽지 않다. 시간과 테스트, 리소스가 필요하다. 그러나 이는 하기 싫어도 피할 수 없는 일, 반드시 해야 하는 일이다.
필자는 가까운 장래에 애플리케이션 화이트리스트가 일반화될 것으로 확신한다. 화이트리스트 관리를 미룰수록 컴퓨터 보안에 대한 진지한 접근이 늦어지는 것이다. 다행히 마이크로소프트의 앱락커(AppLocker), 디바이스 가드(Device Guard) 등 애플리케이션 제어 애플리케이션을 묶음으로 제공하는 운영체제 업체들이 많다. 기타 루멘션(Lumension), 맥아피(McAfee), 카본 블랙(Carbon Black) 등 애플리케이션 제어 프로그램이 많다.
애플리케이션 제어만으로 저지할 수 없는 해킹도 있다. 그러나 이는 악성 해커의 공격 성공 위험을 크게 경감할 수 있는 방법 가운데 하나다.
4. 제대로 패치를 한다.
지금까지 필자는 완벽하게 패치되어 있는 컴퓨터를 단 한 대도 보지 못했다. 항상 중요한 패치 몇 개가 누락되어 있다.
30년 동안 해커나 악성코드가 가장 많이 또는 두 번째로 많이 침입하는 경로가 패치를 적용하지 않은 소프트웨어 취약점이었다. 이에 대해 더 나은 일을 하지 않는 것이 놀라울 정도다. 혹자는 제대로 패치을 하고 있다고 생각할지 모르겠다. 그러나 아마 그러지 않을 확률이 높다. 완벽해야 한다. 그리고 데이터로 보완을 할 수 있어야 한다.
5. 더 많은, 그리고 더 나은 소셜 엔지니어링 트레이닝을 실시한다.
피싱 이메일과 가짜 웹페이지 등을 이용한 소셜 엔지니어링, 악성 해킹의 경로를 제공하는 소프트웨어 취약점이 만연해 있다. 중대한 해킹에는 항상 일정 수준의 소셜 엔지니어링이 수반된다. 가장 큰 위험이다. 그러니 가장 큰 위험으로 다뤄야 한다.
6. 비밀번호를 없앤다.
마지막으로 비밀번호를 없애고, 이중 인증으로 대체하면 소셜 엔지니어링과 피싱 공격의 성공 확률을 크게 낮출 수 있다. 최소한 로그인 비밀번호를 훔쳐 악용하는 범죄를 막을 수 있다. 길고 복잡한 비밀번호를 자주 바꿔 사용하는 방법은 생각만큼 안전하지 못할 수도 있다는 점을 명심하기 바란다. editor@itworld.co.kr
Roger A. Grimes editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
