Home > 전체기사
[주말판] 보안 담당자를 망연자실하게 만드는 행동 8
  |  입력 : 2020-02-22 08:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가장 사소한 행위가 가장 위험한 행위 될 수 있어...위험은 늘 우리 곁에
조금 더 느리게 결정하고 아무 것도 믿지 않는 태도가 보안 지식보다 더 중요


[보안뉴스 문가용 기자] 사용자들이 조금만 협조해주면 정보 보안은 굉장히 쉬워질 수 있다. 한 단계 더 나아가, 사용자들이 모바일이나 컴퓨터를 사용하겠다고 고집을 부리지 않으면 정보 보안은 더더욱 쉽고 간단한 일이 될 수 있다. 물론 이 두 가지 가정은 의미가 없다. 보안 담당자들은 어디로 튈지 모르는 사용자들의 위험천만한 행위를 늘 가정하고 있어야 한다.

[이미지 = iclickart]


다행인 건, 사용자들이 일부러 위험한 행동을 골라서 하지는 않는다는 것이다. 그 위험한 행동이라는 것도 여러 가지가 있어 사용자의 모든 클릭이 조직의 멸망으로 이어지지는 않는다. 게다가 그 위험한 행동 모두가 사용자들만의 잘못으로 인한 것도 아니다. 업무 프로세스 상 혹은 앱 설계 상 실수가 있을 수밖에 없는 경우도 분명히 존재한다. 그러니 사용자에게만 책임을 묻기 힘들다는 것이다.

보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 “결국 중요한 건 어떤 리스크가 유발되었고, 어떤 데이터가 노출되었느냐, 가 중요한 문제”라고 말한다. “책임을 돌리는 것만으로는 충분한 조치를 취한 게 아닙니다. 그러나 끊임없이 알려주고 가르쳐 줌으로써 개선할 수 있는 위험한 행동 요소들도 존재합니다. 그런 행동들을 꼽아서 책임을 지게 하는 건 의미가 있을 수 있습니다.” 그래서 꼽아 보았다.

1. 소프트웨어 업데이트를 자꾸만 미루거나 하지 않는다
아주 이해가 안 가는 건 아니다. 소프트웨어 업데이트라는 게 대단한 고통을 동반할 때가 있다는 걸 안다. 자동 업데이트로 설정을 해두었더니 중요한 프레젠테이션 중간에 업데이트가 시작돼 낭패를 봤다는 경험담들, 충분히 들었다. 업데이트 시작한 컴퓨터가 오전 내내 업데이트만 진행하는 통에 야근을 해야만 했다는 사람들도 얼마나 많은가. 그럼에도 업데이트는 반드시 필요한 일이다. 특히 진짜 보안 사고가 터졌을 때, 그 원인이 소프트웨어 업데이트 미비로 인한 것이었다면 모든 책임이 그리로 돌아간다.

“랜섬에어 공격을 가장 많이 유발하는 건 소셜 엔지니어링 이메일 공격입니다. 그리고 그 바로 뒤를 ‘소프트웨어 패치 간과’가 따르고 있습니다. 소프트웨어를 안 하는 게 겉으로 보기에 대단히 위험한 행위는 아니지만, 대단히 파괴적인 결과를 낳습니다. 그 점은 에퀴팩스 해킹 사건으로 잘 드러난 바 있기도 하고요.” 보안 업체 노비포(KnowBe4)의 보안 전문가 로저 그라임즈(Roger Grimes)의 설명이다.

이런 맥락에서 SaaS의 가장 큰 강점 중 하나는 애플리케이션 패치와 업데이트에 대한 책임이 서비스 제공자에게 있다는 것을 고려해봄직 하다.

2. 생체 인증을 사용하긴 하는데, 단독으로...
요즘 생체 인식 기술이 비밀번호를 대체할 차세대 이증 수단으로 떠오르고 있다. 그러나 그것은 ‘다중 인증’ 시스템 안에서 활용될 때의 얘기다. 이를 테면 비밀번호를 활용한 후 생체 정보를 입력하는 식으로 시스템을 구성해야 공격자들의 불법적인 접근이 훨씬 어려워진다. 생체 정보를 활용한 인증 방식이 비밀번호보다 훨씬 강력하다는 걸 이해하기 시작한 것까지는 좋은데, 그걸 비밀번호 대체용으로, 그것도 단독으로 사용하면 문제가 될 수 있다.

생체 인증은, 강력하긴 하지만 완전무결한 것은 아니다. 이미 연구실에서나 실제 상황에서 갖가지 생체 인증이 뚫려오고 있다. 지문, 얼굴, 목소리, 심지어 정맥까지 말이다. 그러니 생체 정보 딱 하나만으로 인증 시스템을 구축하는 건 위험한 일이다. 업무용 모바일에 지문 인식 기능만 설정하는 건 큰 도움이 안 된다는 것이다. 게다가 ‘강력한 걸로 설정했으니 보안은 완벽히 해결됐어’라는 생각이 자동으로 자리 잡는 경향이 있는데, 이 생각이 보안의 관점에서는 가장 위험한 것이기도 하다.

3. 단축 URL이나 모바일 환경에서의 URL을 거리낌없이 누른다
단축 URL의 필요성과 편리함은 굳이 따로 설명을 하지 않아도 될 것이다. 그러나 그 단축 URL의 위험성은 널리 알려져 있지 않다. 그라임즈의 말을 빌리자면 “가장 무서운 감염은, 가장 일상적인 요소로부터 들어온다”고 하는데, 이는 단축 URL에도 충분히 적용이 되는 말이다. “너무 하찮고 일반적으로 보이는 것이, 가장 위험한 요소일 때가 많습니다.”

단축 URL은 너무나 길어서 소통에 방해가 되는 URL을 아주 짧게 줄여주는 기술이다. 통신 효율을 높이는 데 이롭다. 하지만 공격자들은 긴 주소 대신 악성 주소를 짧게 줄이는 방식으로 이 이로운 서비스를 해롭게 바꿨다. 그랬더니 대단히 조심스러운 사용자들조차 별 다른 고민 없이 이 단축 URL들을 누르기 시작했다.

다행히 URL 단축 서비스와 정 반대되는, URL 확장 서비스라는 것도 존재한다. 단축 URL의 원래 주소를 알려주는 서비스다. 물론 URL 단축 서비스만큼 인기가 높지는 않지만, 단축 URL을 공격에 활용하는 자들에 대항하기에는 손색이 없다. 이걸 보안 담당자들이 기술적으로 도입할 수 있지만, 한계가 있다. URL을 누르고 싶어 하는 개개인들이 잠깐 충동을 멈추고 URL을 확장해보는 것이 가장 효과적이고 정확하다.

4. 무차별 클릭
“모든 조직에는 호기심이 왕성하고 활달한 사람들이 존재합니다. 너무 호기심이 많아서 모든 이메일과 메시지를 열어 봐야 직성이 풀리는 사람들이죠. 이 사람들 눈에는 모든 이메일이 두 가지로 분류됩니다. 열린 이메일과 안 열린 이메일. 모든 메일이 평등하죠. 이런 사람을 잡아내지 못하면 모든 보안 장치들이 무용지물이 될 수 있습니다.” 그라임즈의 설명이다.

그렇다면 이런 사람을 어떻게 억제해야 할까? “첨부파일을 다운로드 받고 열 때 반드시 특정 경로를 거치도록 기술적으로 구성하는 게 가능합니다. 궁금하다고 막 열어 보는 사람이라도 여러 가지 절차를 거치게 하면 귀찮아서 그렇게 못합니다. 여기에 더해 주기적인 교육도 꼭 있어야 하겠죠. 한두 번이 아니라 여러 번 말이죠. 또한 문서 애플리케이션의 매크로 사용을 전면 금지시키는 것도 좋은 방법입니다. 첨부파일을 통한 공격은 보통 악성 매크로와 관련이 있으니까요.” 보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 엔지니어인 찰스 래글런드(Charles Ragland)의 설명이다.

5. 피싱 공격에 당해주기
마이크로소프트가 어느 날 당신에게 메일을 보냈다. 이런 저런 이유로 계정을 잠갔다는 내용이다. 풀려면 다시 한 번 로그인을 해서 실제 계정 주인임을 인증하란다. 이런 상황이 말이 된다고 생각하는가? 혹은 파트너사 혹은 외주 업체에서 은행 계좌를 바꾸겠다는 내용의 요청 메일을 보낸다면? 이 역시 충분히 일어날 수 있는 일인가? 그럴 수도 있고 아닐 수도 있다. 그래서 피싱 공격에 사람들이 자꾸만 당하는 것이다.

최근 몇 년 동안 발생한 대규모 크리덴셜 및 개인정보 유출 사고의 진정한 위험은, 공격자들에게 위와 같은 상황을 아주 그럴 듯하게 연출할 재료가 주어졌다는 것이다. 공격자들은 이런 재료들을 가지고 있다가 연말정산 시즌이라든가, 연휴 기간에 일상적인듯 아닌듯한 평범한 메일을 만들어 피해자들에게 보낸다. 기술적으로 뛰어나지 않더라도 사람들이 속는다. 이런 피싱 공격은 기술적으로 막는 데에 한계가 분명하다. 오히려 기본기를 발휘해야 하는데, 그 기본기라는 것은 다음과 같다.

“아주 간단합니다. 서두르지 않고, 모든 걸 의심하는 겁니다. 그런 태도가 아니면 피싱 공격을 하는 공격자들의 창의력을 당해낼 수 없습니다.” 보안 업체 잉크스크린(Inkscreen)의 창립자인 조시 볼즈(Josh Bohls)의 설명이다. “모든 사람이 피싱 공격을 100% 방어할 수는 없어요. 보안 전문가든, 일반 사용자든 말이죠. 조금 더 천천히 결정하고, 아무 것도 믿지 않는 것만이 방어 확률을 확실하게 높일 수 있습니다.”

6. 위험한 공공 와이파이에 연결한다
공공 와이파이에 연결하는 건 위험한 일이다. 여기에는 논란의 여지가 없다. 하지만 공공 와이파이가 가지고 있는 ‘무료’라는 특성이 그 모든 걸 덮는다. 그래서 사용자들은 100이면 100, 공짜로 와이파이를 사용할 수 있는 기회를 놓치지 않는다. 커피샵에서도, 지하철에서도, 공항에서도, 언제나 편리하게 공짜로 연결성을 누리기 위해 그들은 자동 연결 설정까지도 마다하지 않는다.

그러나 래글런드는 “이제는 공공 와이파이 연결이 그리 큰 문제가 아니”라는 의견을 제시한다. “TLS가 상당히 널리 보급됐죠. 민감한 데이터만이 아니라 모든 데이터에 적용하는 분위기가 형성되어 있고, 수많은 사이트들이 HTTPS로 변경되어 있습니다. 그렇기 때문에 공공 와이파이를 사용해도 예전만큼 위험하지는 않습니다.”

카슨은 다른 의견이다. “가짜 클라이언트나 가짜 접근점(AP), 가짜 기지국을 만드는 공격 기법도 존재합니다. 이는 데이터 전송에 암호화를 적용해도 여전히 사용자들을 위험에 빠트릴 수 있는 기법들이죠. 물론 어려운 공격 기술입니다만, 요즘 다크웹에서는 고난이도 공격을 위한 키트가 저렴하게 거래되고 있어 공격자들이 상향평준화 되고 있습니다. 공공 와이파이 망에 접속할 때는, 여전히 조심해야 합니다.”

기업들은 공공 와이파이 접속을 교육만으로 막을 수 없다는 걸 알고 VPN 활용 규정을 마련하거나 외부 근무자들이 사용할 수 있는 독립 망(에그 등)을 마련하는 등의 노력을 기울이고 있다.

7. 이름만으로 모든 걸 판단한다
거리에서 마주친 낯선 타인이 비싸 보이는 종이로 포장된 소포를 건넨다면, 당신은 기뻐하며 받을 것인가? 대부분은 그렇지 않을 것이다. 그런데 사이버 공간에서는 이런 일이 자주 일어난다. ‘귀여운 고양이’, ‘주문서’, ‘정부 공문’, ‘프로젝트용 참고 목록’과 같은 이름을 보면 의심하지 않고 클릭한다. 그리고는 랜섬웨어의 파괴력을 실감하게 된다.

“이메일을 통한 소셜 엔지니어링 공격은 지난 30년 동안 우리를 끊임없이 위협하고 있습니다. 그 위험성은 물론, 유효성도 30년 동안 변하지 않고 있죠.” 그라임즈의 설명이다. “어떤 정보를 요구하는 식의 피싱 메일도 있지만, 대부분은 간단한 클릭 한두 번만을 요청합니다. 하지만 그 한두 번만으로 각종 공격을 할 수 있는 게 요즘 공격자들입니다.”

‘이름만 보고 믿어버리는’ 사람들의 습관이나 갑작스런 행동을 억제하려면 교육, 이메일 필터 장치, 웹으로부터 다운로드 및 파일 열기 제한 정책이 모두 필요하다. 카슨은 “이상한 메일이 최대한 사용자에게 오지 않도록 막고, 사용자가 자기도 모르게 클릭하는 것 또한 방지해야 한다”며, “인사 조치와 같은 협박성 방안 한 개 가지고는 사람의 예측불가능성에 대처할 수 없다”고 말한다.

8. 비밀번호의 남용
비밀번호는 가장 기본적인 보안 수단이면서 동시에 가장 위험한 요소이기도 하다. 비밀번호 자체의 문제라기보다, 비밀번호를 관리하지 않아서 생기는 문제다. 매년 보안 업계는 ‘최악의 비밀번호’를 뽑는데, 상위에 위치한 것들은 매년 똑같이 상위를 차지한다. 수많은 침해 사고가 바로 이 지점에서부터 일어난다.

비밀번호가 꾸준한 문제로서 지적되는 건, 거의 모든 사람들이 ‘기억’에 의존해 관리하기 때문이다. 사람의 기억력에는 분명한 한계가 존재하고, 따라서 길고 어렵게 만들어야 강력해지는 비밀번호는, 이 한계 때문에 강력함을 발휘할 기회를 얻지 못한다. “세상에 같은 비밀번호를 두번 이상 쓰지 않는 사람은 한 사람도 없을 걸요? 그러니 비밀번호는 공략을 당할 수밖에 없습니다.” 래글런드의 설명이다.

“그래서 가장 좋은 건 대신 기억해줄 무언가를 사용하는 겁니다. 그건 비밀번호 관리 프로그램이죠. 사용자는 아주 어려운 비밀번호를 딱 하나만 기억하면 됩니다. 그 딱 하나로 관리 프로그램에 로그인하면, 그 관리 프로그램이 나머지 모든 비밀번호 문제를 해결해줍니다. 만들고 기억하는 것까지요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)