해커들이 우리 네트워크를 바라보는 시선 네 가지

사람은 거의 모든 경우 가장 약한 부분...감정 건드리면 큰 변수로 작용
실수를 찾는 자동화 기술...보안 인력 모자라 모든 공격 분석하기 불가능

[보안뉴스 문가용 기자] 조직들은 IT 보안을 힘들게 배운다. 사소한 것 하나 무시했을 때 큰 대가를 치룰 수 있다는 걸 깨달을 때까지 시간이 오래 걸리거나 돈이 많이 든다. 네트워크의 강력함이란 가장 약한 부분에 의해 결정되는데, 그렇기 때문에 해커들은 보안이 아무리 강력해도 그리 무서워하지 않는다. 구멍 하나만 찾아내는 데 집중하면 어디도 뚫어낼 수 있는 게 요즘 해커들이다.

[이미지 = iclickart]

이런 맥락에서, 해커들이 기업들을 공략하는 원칙을 크게 네 가지로 정리할 수 있다. 이는 방어를 하려는 기업들이 염두에 두어야 할 부분이기도 하다.

1. 많은 경우, 가장 약한 고리는 사람이다
해커들이 네트워크에 침투 시도할 때 가장 약한 부분을 찾아내는 데 집중한다고 하는데, 그게 대부분은 사용자들이다. 작년 버라이즌 데이터 유출 보고서(VDBI)에 따르면 해킹에 의한 유출 사고의 81%가 사람의 실수로부터 시작됐다. 특히 비밀번호를 쉽게 설정하거나 누군가에게 아무렇지 않게 알려주는 경우가 많았다고 한다. 이는 보안에 있어 사람 다루는 것이 가장 큰 난제라는 것이다. 사람들은 완벽하지 않고, 감정적이며, 그러므로 변수가 가득한 존재다. 보안 교육을 꾸준히 해도 이 변수가 사라지지 않는다.

게다가 오늘날의 사이버 환경이라는 것이, 사람들을 더욱 감정적으로 변하게 만든다. 초연결사회라고 하고, SNS로 소통하는 시대, 우리는 감정을 거리낌 없이 서로에게 표현하고, 거기에 반응한다. 또한 이런 연결성 덕분에 사람과, 그 사람에 대한 정보를 찾는 게 그 어느 때보다도 쉬워졌다. 해커들은 누군가를 표적으로 삼고, 그 사람을 감정적으로 들었다 놨다 할 수 있는 정보를 만들 수 있다. 그 정보를 주입해 표적이 감정적인 반응을 일으키면, 비정상적인 행동이 나타나고, 이는 해킹으로 이어진다. 기업의 보안 담당자 입장에서는, 개인적인 통신 플랫폼과 전문가들 사이의 플랫폼 간 경계가 허물어지고 있다는 것도 주목해야 할 필요가 있다. 그래서 보안 교육을 할 때 이런 현상에 대해서도 언급해야 한다.

2. 고쳐지지 않는 오류들이 존재한다
보안 솔루션을 만드는 회사들이라고 해서 목표가 다 같은 것이 아니고, 만드는 솔루션들의 기능이 다 같은 것도 아니다. 전문가들이 보는 ‘취약점’의 관점도 제각각이다. 그 틈바구니 사이로 보안 사고가 일어난다. 예를 들면 어떤 소프트웨어의 문제를 두고 한 전문가는 반드시 고쳐야 할 취약점이라고 생각하고, 소프트웨어 업체는 크게 떠들어 댈 일이 아니라고 생각하는 경우가 많다. 누군가는 A라는 취약점을 모두에게 알려야 한다고 판단하고, 누군가는 은밀하게 고쳐서 픽스를 배포해야 한다고 생각한다. 이렇게 상반된 입장 차이를 보이며 합의점을 찾는 시간 동안 공격자들의 익스플로잇이 이뤄지기도 한다.

또 이런 경우도 있다. 소프트웨어 업데이트를 책임져야 하는 회사이지만 해당 소프트웨어 코드의 소유권을 가지고 있지 않을 때, 오류가 있음을 알고도 오랜 기간 고치지 못할 수도 있다. 예를 들어 안드로이드 스마트폰 공급 업체지만, 픽스를 배포하려면 구글이 먼저 안드로이드 코드에 손을 대야만 한다. 그러므로 업데이트가 오래 걸릴 수도 있다. 이렇게 관계성이나 유통망에서의 절차적인 부분 때문에 생기는 오류는 늘 우리 곁에 있을 것이다. 해커들도 이 사실을 잘 알고 있다.

3. 실수? 누군가는 반드시 찾아낸다
디지털 변혁의 핵심은 자동화 기술이다. 당분간은 자동화 기술을 도입하려는 여러 조직들의 시행착오가 반복될 텐데, 자동화 기술 때문에 이득을 보는 건 우리만이 아니다. 공격자들 역시 이 기술을 한껏 이용한다. 이런 자동화 기술이 일찍부터 도입된 곳 중 하나가 인터넷 검색 기술이다. 그래서 지금은 누구나 인터넷 검색을 통해 각종 사물인터넷 기기는 물론 네트워크에 연결된 다양한 장비와 클라우드 인스턴스 등에 있는 설정 오류를 찾아낼 수 있다.

인간은 늘 실수하기 마련이라, 누구나 설정에 오류를 낼 수 있다. 실수는 발견해서 고치면 된다. 그런데 자동화 기술 때문에 이 실수들을 다른 사람이 먼저 찾아내기 쉬워졌다는 것이 문제다. 이는 2017년 한 해 동안 반복적으로 증명됐다. 아마존 웹 서비스(AWS)의 S3에서 발생한 각종 유출 사고들이 바로 그것이다. 설정 오류로 모든 사람들에게 노출된 클라우드 인스턴스의 경우, 아무나 접근할 수 있었을 뿐만 아니라 쓰기 권한도 모두에게 주어졌다. 이러한 상황을 이용해 공격자들은 중간자 공격을 하거나 악성 내부자로 둔갑하기도 했다.

4. 보안 인력이 모자라다
정보 보안 비영리 단체인 ISACA에 의하면 2019년 전 세계적으로 약 200만 명의 보안 전문 인력이 모자랄 것이라고 한다. 사람이 모자라다는 건 수많은 공격에 대응하는 게 물리적으로 불가능하다는 뜻도 되지만, 그나마 남아있는 보안 전문가들에게 불가능한 미션이 떨어진다는 뜻이기도 하다. 하루에 수백 번에서 수천 번 발생하는 경보를 전부 분석해내라는 것부터도 이미 ‘미션 임파서블’이다. 공격자가 공격을 많이 퍼부으면 어느 순간 담당자의 눈을 피해갈 수 있게 된다.

경보의 형태로 접수된 사건 하나하나를 분석하려면 긴 시간이 소요된다. 단순히 멀웨어를 분석하는 것만이 아니라 각종 내부 툴과 외부 툴을 사용하고, 실질적인 관계자들과의 면담 등을 통하여서 맥락적 정보까지도 취합해야 한다. 그래서 공격의 큰 그림을 그려나가야 하는데, 이걸 하루에 수백~수천 건 처리해야 한다는 건 정말 불가능한 일이다. 보안 전문가들은 하루하루 지쳐갈 수밖에 없는 구조다.

5. 이 모든 걸 취합하면 무슨 뜻이 되는가?
위 네 가지 사안은 해커들의 마음 속에 늘 있는 것들이다. 당신이 단단히 방어막을 쳐놓은 네트워크를 앞에 놓고, 해커들은 ‘사람은 약하기 마련’이고, ‘누군가는 실수를 했을 것’이며, ‘고쳐지지 않는 오류들이 최소 한 가지 이상은 있을 것’이고 ‘담당자도 어차피 모자랄 것’이라고 생각한다는 것이다. 쉽게 말하면, 당신의 네트워크는 지금 무시당하고 있다.

보안 담당자 입장에서도 이러한 시각을 가지고 네트워크를 바라봐야 한다. 약한 고리를 해커처럼 찾아서 보강해야 하고, 환경 설정 오류도 주기적으로 검색함으로써 누구보다 빨리 찾아 고쳐야 한다. 이해관계 속에서 고쳐지지 않는 오류가 있다면 해당 시스템을 잠시 네트워크에서 분리시키는 일시적인 조치도 취할 수 있어야 하고, 보안 인력이 모자란 만큼 ‘번아웃’ 현상까지도 고려해야 한다.

글 : 데이비드 피어슨(David Pearson), Awake Security
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)