Article
지금도 유효한 구시대적 보안 원칙 10가지
본문
IT 인프라를 업데이트하기 위해 고생하고 있다면, 보안에 있어서는 새로운 패치, 새로운 암호화 기법과, 새로운 하드웨어 등 새로운 것이 더 좋다고 생각할지 모른다. 하지만 '기본'은 변하지 않는다. 예를 들어, 콘트라스트 시큐리티(Contrast Security) 공동 창업자이자 CTO 제프 윌리엄스는 "살처 앤 슈레더(Saltzer & Schroeder)의 1975년 논문 <컴퓨터 시스템의 정보 보호(The Protection of Information in Computer Systems)>에 수록된 디자인(설계) 원칙은 지금도 아주 유용하지만, 무시되는 경우가 많다"고 말했다.
윌리엄스는 '최저 권한(Least privilege)', '메카니즘 경제(Economy of mechanism)' 등 다소 추상적인 부분들이 있지만, 다시 숙독할 가치가 있는 원칙들이라고 강조했다. 본지는 보안 분야에서 수년 간 경력을 쌓은 IT 보안 종사자와 전문가들에게 시스템을 안전하게 유지할 수 있는, 영구적이면서 실용적인 보안 방법과 팁이 무엇인지 물었다. 취약점은 항상 새로운 게 등장하지만, 기본은 바뀌지 않기 때문이다.
1. 물리적 보안
컴퓨터를 보호하기 앞서, 건물과 장비, 시설을 보호해야 한다. 이는 '컴퓨터 시대'에도 바뀌지 않은 부분이다. 미국 댈러스 소재 IT 컨설팅업체 대표인 마리오 디맥카란토니오는 출입문 잠금 장치, 케이블 잠금 장치, 카메라(녹화된 비디오를 로컬 및 클라우드 환경에 모두 저장)를 사용할 것을 권장했다.
또 다른 컨설팅 업체인 그레이콘 IT 사업 개발 담당 책임자 개리 스미스는 이의 중요성을 알려주는 사례를 소개했다. 스미스는 "한 고객사가 직원들이 점심을 먹는 장소에 서버를 설치해 운영하고 있었다. 어느 날, 모든 워크스테이션과 비즈니스 애플리케이션의 연결이 끊어지는 문제가 발생했다. 담당자가 오류가 있는지 확인하기 위해 서버가 위치한 장소로 갔다. 그런데 한 남자가 서버를 외부로 가져나가려 하고 있었다. 그런데 선반과 서버를 연결한 케이블 잠금 장치 때문에 방해를 받았다. 물론 더 나은 방법으로 서버 도난을 방지할 수도 있다. 하지만 케이블 잠금 장치가 도둑질을 방해, 도망가기 전에 도둑을 잡을 수 있었다는 점도 중요하다"고 설명했다.
2. 시스템 패치
원격 브라우저 개발업체 오센틱8(Authentic8) 공동 창업자이자 CEO 스콧 페트리는 "'기본 중의 기본'은 패치 설치"라고 강조했다. 대부분의 대형 익스플로잇 공격이 패치 하지 않은 리소스를 이용한 것으로 알려져 있다. IT의 패치 속도가 느리면, 악당들이 이를 악용한다.
코어OS(CoreOS) 수석 아키텍트 브라이언 레드비어드 해링톤은 이와 관련해, "모든 기업에는 에퀴팩스(Equifax)가 2달 간 무시했던 아파치 스트러츠(Apache Struts) 취약점인 CVE-2017-5638 같은 취약점 수백 개가 있다"고 말했다.
비욘드트러스트(BeyondTrust) 기술 부사장 모레이 하버는 이와 관련해 주의해야 할 한 가지를 지적했다. 하버는 "항상 '최신' 버전을 적용하는 것이 좋다. 최신 보안 업데이트는 최신 취약점을 해결하는 장점이 있을 수 있지만, 동시에 호환성 문제와 성능 문제 등 수많은 문제를 초래할 수도 있다. 조기 도입자가 패치나 릴리스가 안전한지 검사한 후 도입하는 것이 좋다. 눈 앞에 위협이 있는 경우에만 서둘러 적용해야 한다"고 설명했다.
3. 안티바이러스 활용
안티바이러스 도구는 이제 구시대적인 것으로 생각할 수도 있는 기술이다. 그러나 여전히 중요한 역할을 갖고 있다. 또한 그렇게 나쁜 평판을 받을 이유와 근거도 없다.
주니퍼 네트웍스(Junifer Networks) 글로벌 보안 전략 책임자 로렌스 피트는 "최신 도구들은 클라우드로 정보를 보내는 방법으로 최고의 보안 기능을 유지하고 제공한다. 새로운 위협이 발견되는 즉시 보호를 받을 수 있다. 첨단 기능을 끄지 않아야 한다. 안티바이러스가 컴퓨터를 느리게 만든다는 불평을 귀담아 들을 필요가 없다. 소프트웨어가 지금처럼 효율적이지 못했던 1990년대에나 해당되는 이야기이기 때문이다. 지금은 컴퓨터 성능이 높고, 소프트웨어도 효율적이어서 성능에 미치는 영향이 2% 이하에 불과하다"고 설명했다.
4. 경계선 방어
현재 경계선은 뚫릴 수밖에 없기 때문에 지속적인 다계층 방어(defense in depth)가 '필수'라는 주장에 가장 큰 힘이 실려 있다. 틀린 주장은 아니지만, 그렇다고 방화벽 보호에 태만해도 된다는 의미는 아니다.
젠엣지(Zenedge) 수석 조사 및 인텔리전스 애널리스트 스테판 게이츠는 "적절하게 상태 패킷을 검사할 수 있도록 구성된 방화벽은 과거나 지금이나 건재한 보안 통제책이다. 그런데 인바운드 및 아웃바운드 방화벽 정책을 적절히 구성하는 것을 경시하는 사례가 많다. 실수로 인터넷에 노출시키지 말아야 할 자산에 대한 인바운드 '구멍'을 방치할 수 있다. 또한 모든 아웃바운드 포트를 활짝 열어, 해커가 쉽게 네트워크 백도어를 유지하도록 만드는 실수를 저지를 수도 있다. 불필요한 인바운드 포트를 모두 닫고, 허용되는 아웃바운드 포트의 수를 제한해야 한다. 또한 방화벽을 통과해 도달하는 대상과 소스를 계속 모니터링 해야 한다"고 강조했다.
5. 이메일을 주의
스팸 메일이나 피싱 링크 바이러스가 케케묵은 소리로 들릴지 모르겠지만, 과거나 지금이나 사용자가 zip이나 doc 파일을 열어보거나, 가짜 비밀번호 재설정 링크를 클릭하는 일이 없도록 만전을 기해야 한다.
매니지드 IT 서비스 공급업체인 RCE IT 리소스(RCE IT Resource) 사이버 보안 애널리스트이자 선임 팀 리더 아담 스베타는 "'모르는 것을 열지 마라!'라는 격언은 지금이나 과거나 기본적으로 지켜야 할 행동에 해당된다. 예상하지 못한 상황에서 비밀번호가 잠겼다거나, 이메일 공간이 부족하다거나, 은행 계좌가 잠겼다는 이메일을 받는 경우, 가짜 이메일로 판단해야 한다. 은행에서 로그인을 요청하는 이메일을 받았다면, 이메일을 닫고 브라우저에 은행 웹사이트 주소를 입력해 접속하라"고 말했다.
시티즌 랩(The Citizen Lab)의 선임 연구원인 존 스콧-레일톤은 자신이 함께 일한 적이 있으며, 자주 APT(Advanced Persistent Threat)의 표적이 된 티벳 불교 커뮤니티에서 만든 캐치프레이즈를 소개했다. "집착에서 벗어나라! 그리고 첨부 파일에서 벗어나라!(Detach from attachments)"라는 캐치프레이즈다.
6. 신뢰하고 있는 네트워크를 경계
현재 주변 곳곳에 와이파이가 보급된 세상에 살고 있다. 그러나 '자신이 통제하지 않는 네트워크를 경계하라!'는 격언은 예나 지금이나 '금과옥조'다. 아무 네트워크에 접속해서는 안된다. 동네 커피숍의 내부 와이파이를 이용하는 경우에도 주의를 기울여야 한다. 피쉬랩스(PhishLabs) 수석 마케팅 책임자 린지 해븐스는 "가장 오래됐지만 유효한 원칙 가운데 하나는 컴퓨터 데이터를 안전하게 보호하려면 디지털 정보를 외부나 안전하지 않은 네트워크로 가져가지 않는 것이다. 퍼블릭 와이파이 네트워크나 모르는 컴퓨터에서는 가능한 한 접속하는 데이터의 양을 제한하는 것이 좋다"고 말했다.
7. 모든 것을 백업하라
컴퓨터 시대가 시작되었을 때에도 데이터 백업은 베스트 프랙티스 가운데 하나였다. 그러나 보안과 연결해 이를 권장하는 사례는 많지 않았다. 하지만 지금은 보안 측면에서 아주 중요한 원칙이다. PC 매틱(PC Matic) 사이버보안 부사장 도디 글렌은 "랜섬웨어가 증가하면서 이제는 감염 '여부'가 아닌 '시간' 문제가 되었다. 그런데 정기적으로 백업하면 사이버 몸값(랜섬)을 지불하는 불상사를 피할 수 있다. 10년 전과 비교했을 때 백업을 해야 한다는 자체는 변하지 않았다. 백업 매체만 테이프 드라이브에서 하드 드라이브, 클라우드로 바뀌었을 뿐이다"고 설명했다.
8. 사용자 권한을 확인
클라우드 협업 소프트웨어 공급업체인 스마트시트(Smartsheet) 위험 및 컴플라이언스 부사장 이그나시오 마르티네즈는 서두에 언급한 살처 앤 슈레더 논문에 나온 최저 권한(Least privilege) 개념이 아주 중요하다고 말했다.
마르티네즈는 "무단 접속과 보안 침해 시 접속할 수 있는 데이터를 제한해 위험을 줄이면 보안 침해 사고 방지 및 탐지에 도움이 된다. 최저 권한이란 사람과 시스템 모두 해야 할 일을 하는 데 필요한 최소한의 권한만 승인하는 것이다. 불필요한 액세스 권한을 없애면, 침해 사고가 발생했을 때에도 침해가 확산, 확대되는 범위를 줄일 수 있다"고 설명했다.
9. 보호 대상을 인식
소포스(Sophos)의 수석 연구 과학자인 체트 위즈니브스키는 '기본 중의 기본'인 보안 원칙을 강조했다. "갖고 있는지 모르는 것은 보호할 수는 없다"는 원칙이다. 위즈니브스키는 "1990년 대부터 지금까지 거의 모든 보안 침해 사고에서 보호하지 않고 있던 데이터가 표적이 되었다. 그런 데이터가 어디에 있는지 알고 있는 사람이 없어 보호하지 못했던 데이터다. 인수나 합병, 실수나 부주의가 원인일 수 있다. 어찌됐든 제대로 관리를 하지 않는 데이터나 장치가 악당들의 수중으로 들어간다"고 말했다.
위즈니브스키는 "직장 생활을 하면서 기술 획득을 목적으로 중소기업을 인수하는 기업에서 일을 했었다. 인수 전에 '실사'는 항상 획득하려는 기술에 초점이 맞춰졌다. 그런데 인수 후 IT가 감사를 하는 과정에 데이터 관리 정책이 미흡하다는 사실을 발견하곤 했다. 신용카드 정보를 암호화하지 않는 전자상거래 서버를 예로 들 수 있다"고 설명했다.
10. 반복되는 흐름
마크 트웨인은 "역사는 그대로 반복되지 않지만, 그 흐름은 반복된다"고 말했다. 이는 새로운 기술에도 적용된다. 과거의 보안 취약점이 반복해 발생하는 사례가 많기 때문이다. 폭스 테크놀로지스(Fox Technologies) 부사장 데이빗 딩월에 따르면, 최신 애플리케이션 컨테이너 기술에 1980년대 미니컴퓨터에서 실행됐던 멀티프로세스 유닉스(UNIX) 시스템에서 적용되었던 원칙 가운데 상당수가 동일하게 적용되어 있다.
딩월은 "당시 관리자와 감사 담당자는 수개월간 업타임이 유지되는 호스트 서버 운영 시스템이 큰 공격 표면(표적)이 되고, 호스팅 한 애플리케이션의 손쉬운 침입 경로가 될 수 있다는 점을 분명히 인식하고 있었다. 그런데 지금 운영을 담당하는 사람들은 이를 인식하고 있는지 불확실한 실정이다"고 말했다. 미래의 보안을 구상할 때 과거의 지혜를 되새기는 것도 나쁘지 않다. editor@itworld.co.kr
출처 : IT WORLD(http://www.itworld.co.kr/insight/108118#csidx2d328fd2b009434910be30c8f006d7d)