한 가지 보안 방법론으로 모두 해결될 수는 없다!
최근 대형 보안 사고가 발생하면서 보안에 대한 전반적인 관심이 높아진 반면, 반대로 ‘보안 종결론’이 등장하기도 했다. 안랩(대표 김홍선 www.ahnlab.com)은 ‘보안 바로알기 캠페인’의 일환으로 지난 ‘백신 바로알기’, ‘APT 바로알기’에 이어 ‘보안 종결론 바로알기’에 대한 아래의 정보를 안랩의 블로그 및 SNS를 통해 배포했다. 아래와 같은 내용이다.
보안 종결론은 그야말로 “이것만 하면, 혹은 이것만 했었다면 보안은 모두 다 해결 된다”는 주장이다. 현대의 보안은 다양한 측면을 가지고 있다. 집을 예시로 들자면, 현관뿐만 아니라 창문, 담벼락, 지붕과 마당 등 수많은 보안 포인트가 있다. 보안 종결론은 이 수많은 포인트 중 하나만 지키면 절대 도둑이 들지 않는다는 주장과 다를 바가 없다. 특히, 최근의 보안사고의 피해를 감안할 때 이는 매우 위험한 주장이라 할 수 있다.
◇특정 솔루션 종결론
“특정 솔루션 혹은 방법론만 도입하면 보안에 대한 걱정은 안하셔도 됩니다!” 최근 잇따른 보안사고와 관련해 이와 같은 주장이나 늬앙스를 풍기는 주장이 많이 있다. 하지만 보안에 왕도 혹은 100% 보안은 존재하지 않는다.
최근 대형보안 사고가 생긴 이후, 다양한 국내외 보안업체에서 공격적인 마케팅 메시지를 전파했고, 그 중에는 자사의 특정 제품이나 방법론을 도입하면 모두 해결 된다고 오해할 만한 소지가 있는 내용도 있었다.
예를 들어, 최근 핫 이슈로 떠오르고 있는 망분리라는 방법론이 있다. 이는 외부 인터넷망과 내부 업무용 망을 분리해서 인터넷을 타고 들어오는 악성코드가 내부 시스템에 침입하는 위협을 줄인다는 아이디어다. 쉽게 말하자면 인터넷 전용 PC와 업무용 프로그램 전용PC, 두 대를 사용한다고 생각하면 된다. 실제로 두 대를 쓰는 경우도 있고, 한 PC에서 두 대처럼 사용하는 방법도 있다. 이런 분리방식은 분명 보안 위협을 많이 줄일 수 있다.
이와 관련해 안랩의 망분리 솔루션의 기획자는 “망분리가 완료된 영역에 대해서는 지속적인 관리를 하고, 각기 다른 기업 IT 환경에 의해 망분리가 불가능한 영역에 대해서는 집중적으로 방어책을 보완한다면 조직 내 보안 위협을 획기적으로 감소시킬 수 있다”고 말한다.
하지만 ‘도입만 해 놓으면 별다른 노력 없이 모든 보안 공격을 다 막을 수 있다’는 생각은 금물이다. 이는 마치 훌륭한 방패를 사서 유지관리 없이 계속 전쟁에 사용하는 것과 같다. 지속적인 관리노력이 없다면 방패는 언젠가 깨져버릴 수 있다.
백신 종결론도 이와 같은 맥락으로 볼 수 있다. 보안 바로알기 캠페인 첫 번째 시간에 백신만으로는 충분하지 않다는 내용을 이미 말씀 드린 바 있지만, 아직까지도 “나는 백신 설치하고 자동 업데이트를 해놨으니까 괜찮아”라고 생각하시는 분들이 대단히 많다.
다시 한번 정리하자면, 백신은 알려지지 않은 악성코드에 대한 선제적 예방 솔루션이 아닌 ‘알려진 악성코드’에 대한 대응적 방어책이다. 백신의 대응은 새로운 악성코드 수집에서 분석, 엔진 업데이트까지 시간차가 발생할 수 밖에 없다. 따라서 백신 설치로만 모든 악성코드와 보안 위협을 모두 막을 수 있다는 생각은 금물이다.
이와는 반대로, 백신이 아무 소용 없다는 ‘백신 무용론’도 등장하고 있다. 이는 몇 번 도둑을 맞았다고 현관의 자물쇠를 없애버리는 것과 같은 것이다. 최근의 APT 공격과 같은 보안 위협은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있어, 백신은 기본 옵션으로 생각해야 한다.
◇진정한 보안 종결자는…
진정한 보안 종결자는 매일매일 PC를 사용하고 있는 개인이다. 이는 보안사고의 책임이 개인에게 있다는 말이 아니라, 기관과 기업, 개인이 모두 보안위협과 하루하루 맞서서 보안에 대한 노력을 꾸준히 기울여야 한다는 뜻이다.
최근 보안위협의 경향은 상대적으로 보안이 약한 개인 사용자를 노리거나, 표적 기업에 종사하는 개인의 PC를 감염시킨 후, 권한 상승을 통해 내부 시스템에 접근하는 방식이다. 최근 모 시사방송에서 해킹시연에서도 은행 보안 시스템이 아닌 개인 PC를 해킹해 정보를 탈취하고, 이를 바탕으로 은행 계좌 이체를 성공하는 장면이 등장하기도 했다.
기업이나 정부 관련 부처의 경우, 진정으로 보안을 종결짓기 위해서는 먼저 진화하고 있는 보안위협을 충분히 이해하고 이에 대한 최적화된 방어책 및 제도를 수립하는 것이 필요하다. 여기에 그치지 않고 주기적인 보안교육, 실제와 같은 보안 훈련 및 상황 체크 등을 실시해 보안 위협을 줄여나가는 것이 필요하다. 이 과정에서 보안 책임자에 대한 권한과 책임 부여도 매우 중요한 부분이다.
개인의 경우, 자신의 작은 행동이 조직이나 사회 전체에 대한 보안 위협의 시작이 될 수 있음을 인식하고 보안과 사용자 편의성을 조금 교환하는 자세가 필요하다. 이런 인식과 함께 송신자가 불분명한 수상한 메일의 첨부파일 및 링크 클릭을 자제하거나 소프트웨어 업체가 제공하는 보안패치 설치, 백신 업데이트 최신 버전 유지, 사내에서 개인적인 인터넷 사용 자제 등 기본적인 보안 수칙만 지켜도 대부분의 보안 위협은 막을 수 있다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
[출처] 데일리시큐 (http://www.dailysecu.com/)