최악의 기업 보안 대처법「베스트 5」

현재 기업들은 그 규모와 상관없이 모두 동일한 보안 문제에 직면해 있다. 바로 어떻게 해야 침입자들이 조직 내부 정보에 접근하지 못하도록 하는가이다.그러나 많은 기업들이 같은 실수를 저지르는 경향을 보이고 있다. 크고 작은 기업들이 범하는 가장 나쁜 보안 사례 다섯가지에 대해 알아보자.워크스테이션 한 대를 사용하는 개인 사업자, 케이블 모뎀을 이용해 인터넷에 PC 두세 대를 연결해 사용하는 소호, 기업 네트워크 보안을 책임지는 IT 부서 등. 이들은 조직의 규모와 상관없이 모두 동일한 보안 문제를 껴안고 있다. 침입자들이 조직 내부 정보에 접근하지 못하도록 하는 것이다.안타깝지만 보안 관련 일을 하는 사람들은 거의 모두 기본적인 사항에서 실수를 범하고 있다. 이번 글을 통해 크고 작은 기업이 범하는 가장 좋지 못한 보안 사례 다섯 가지를 꼽아볼까 한다.1. 정책 집행 실패첫 번째로 다룰 내용은 보안 정책을 적절히 수립하지 못하는 것이다. 즉 컴퓨터를 이용하는 사람들을 대상으로 교육을 게을리하며, 특히 세워놓은 정책을 집행하지 않는다는 것이다.정당한 댓가를 바라고, 금지하는 것은 하지 말아야 하는 것은 당연한 부분이다. 보안이 잘 이뤄지길 바란다면 조직 내에서 반드시 지켜야 할 정책을 세워야 한다. 수상한 이메일은 절대로 열지 말아라, 멋대로 아무 사이트나 돌아다니지 말아라, 인터넷으로 파일을 다운로드하지 말아라 등과 같은 기본적인 사용 규칙을 정해야 한다.하지만 보안 전문가들은 수년 동안 말해왔다. “그런데 왜 안되는 걸까?”라고 말이다. 정답은 간단하다. 정책이 있다한들 규칙을 어겨도 조치가 내려지는 적이 없으며 규칙을 어기지 않는다고 그에 대한 보상을 주지도 않았기 때문이다.하버드 매디컬 스쿨(HMS)이나 베스 이스라엘 디코니스 메디컬 센터(BIDMC)에서는 보안 위반이 단 한 차례라도 적발되면 지위고하를 막론하고 해고 사유가 된다. 하지만 이런 사례는 극히 드물고 그렇게 하는 조직도 많지 않다. 있다면 성실히 규칙을 따른 사람들에게 혜택을 주는 포인트 시스템을 두곤 한다.보안 조치를 가장 잘 이행한 직원들에게 의미있는 보상을 제공했을 때 가져올 파급 효과를 생각해보라. 예를 들어 모든 사람들이 100포인트를 갖고 시작해 보안 정책을 어겼을 시 1포인트를 깎는 걸 생각해 보자. 물론 이 상황에서 직원들에게 실제로 불이익이 돌아가거나 하지는 않는다.정책 관련 문서 더미만 잔뜩 쌓아두지 말고 정책에 대해 직원들에게 인센티브를 제공하는 보안 정책을 세운다면 조직의 보안 정책을 개선시키는 데 도움이 될 것이다.2. 새로 발견된 취약성 무시두 번째는 새 취약점이 발견됐을 때 적절한 행동을 취하지 못하는 것이다.대다수 보안 관리자들은 새로 나오는 패치에 대해 자동 알림 메시지를 받고 있으며 적어도 보안 웹사이트 하나쯤은 수시로 살펴볼 것이다. 보안 뉴스레터는 정말 엄청나게 많은 사람들이 구독하고 있는데 이런 뉴스레터는 지엽적인 문제는 걸러내고 중대하고 심각한 문제에 초점을 맞추고 있다.그렇다 해도 뉴스레터에는 너무 많은 정보가 담기게 마련이다. 따라서 많은 사람들이 경고 내용을 애써 읽으려 하지조차 않는다. 극히 소수만이 뉴스레터의 정보를 이용해 실제로 정책을 조율하고 문제를 고치기 위해 업데이트를 수행한다.3. 지나친 기술 의존또다른 큰 실수는 기술적인 수정에 과도하게 의존하는 대신 실제 사용에 너무 무심한 것이다.예를 들어 보자. 상사에게 가장 좋은 안티바이러스 소프트웨어를 깔았다거나 방화벽 시장에서 최고의 평가를 받는 제품을 설치했다고 얘기한다면, 상사들은 여러분이 할 일을 다 했다고 생각할 것이다. 그러나 방화벽을 신경써서 설정하지 않았거나 안티바이러스 소프트웨어를 제대로 관리하지 않으면 정말로 안하느니만 못하다.방화벽을 적절하게 설정해주는 것은 과학적인 것만큼이나 예술적인 일이라 할 수 있다. 안티바이러스 소프트웨어를 설치하는 것만으로 모든 맬웨어(malware)에 대한 근심을 날려버릴 수 있는, 이른바 ‘설치하고 잊어버리면 그만’인 문제는 절대 아니다. 새로운 요구 조건에 맞게끔 방화벽을 계속 조정해야 하며 가끔은 새로 등장한 포트 스캐닝을 피해가기 위해 몇 주 동안 모든 포트를 막아놓아야 할 때도 있다.여기서 두 번째 문제로 되돌아가보자. 연관되는 부분으로, 새로 나온 보안 업데이트와 보안 업데이트로 수정되는 취약성이 무엇인지 항상 신경써야 한다는 얘기다. 예를 들어 공격자들이 자주 목표로 삼는 열 가지 포트가 무엇인지 언제든 알 수 있도록 이 내용이 게재된 SANS 웹페이지를 즐겨찾기에 등록하라. 안티바이러스 프로그램의 경우 바이러스 정의 파일을 업데이트하는 것뿐 아니라 안티바이러스 소프트웨어 그 자체에 새롭게 불거진 취약성을 수정하기 위해 어떤 패치가 필요한지도 살펴봐야 한다.안티 스파이웨어 소프트웨어는 안티바이러스 프로그램에 비해 덜 복잡한 편이다. 따라서 패치가 거의 필요없다. 하지만 안티바이러스 프로그램처럼 최신 데이터베이스 정보를 다운로드하는 데 많은 주의를 기울일 필요가 있다.마지막으로 여기서 다룬 보안 유틸리티들은 보안 보고서를 무시한다면 무용지물이라는 점을 잊지 말기 바란다.4. 입사 희망자를 제대로 조사하지 않는 문제네 번째는 범죄 기록을 가졌거나 재무 의사 결정 능력이 떨어지는 입사 희망자를 적절히 막지 못하는 것이다. 특히 IT 부서가 아닌 사람들의 경우가 그렇다.미국인들은 개인 사생활 보호가 가장 중요한 기본적 인간의 권리 중 하나라고 느끼며 프라이버시에 대한 타인의 바램을 존중하는 경향이 있다. 그래서 가끔은 입사 희망자의 뒷조사를 꺼리기도 한다. 사실 최근 테크리퍼블릿의 보안 섹션인 IT 락스미스에서는 기업들이 믿을만한 사람인지 결정하는 데 개인의 금융 기록을 사용하는 것이 온당한지에 대해 토론이 벌어진 바 있다.토론에 참가한 많은 독자들은 기업 입장에서 사람을 고용할 때 단순히 두 가지 이유를 본다는 사실에도 불구하고 이런 관행에 대해 의문을 제기했다. 무엇보다 자신의 금융 관리를 소홀히 하는데 다른 사람의 금융 관리를 제대로 해줄까? 그리고 개인이 재정상 압박에 빠진다면 기업 내부의 보안을 무너뜨리는 행위를 하도록 유혹하는 외부 공세에 아무래도 응하기 쉽다.제대로 계획하지 않았든, 충동을 제어하지 못했든, 단순히 부주의했든지 간에 최근 벌어진 개인 재정 파산은 온당한 이유가 있지 않는 한 항상 경계 대상이다. 슬프게 들릴지도 모르며 운이 없다고 느낄지도 모르겠지만 일반적인 기준에서는 경계할 수밖에 없다.5. 기술 숙련도에 대한 과도한 기대다섯 번째는 내가 항상 접하는 일이기도 하지만, IT 직원들의 보안 계획 숙련도에 대해 제대로 된 믿음을 갖지 못하는 것이다.보안 부문을 맡기기 위해 누군가를 선택해야 할 때 대다수 관리자들은 다른 점은 다 빼놓고 네트워크와 소프트웨어가 엄청나게 복잡하다는 것만 생각해 기술적 숙련도가 가장 뛰어난 사람이 적임자라고 생각한다. 그러나 기술 지식이 필수적이라 해도 IT 팀원들이 하드웨어/소프트웨어 보안에 대한 기술 지식과 능력을 제공하고, 보안을 책임지는 사람은 보안에 대한 직감과 더불어 제대로 된 해결책을 내놓는 것이 훨씬 더 중요하다.대학 보안 부서와 수사 기관에서 장기간 일한 경험을 토대로, 나는 가끔 기업에 방문해 열 몇 개 되는 심각한 보안 오류를 끄집어낼 수 있다. 이런 오류들 때문에 보안을 유지하기 위해 좋은 소프트웨어를 사용한다는 건 완전히 무용지물이 된다.내가 어떤 기업 IT 보안을 망칠 생각이 있다면 흠잡을 데 없는 어떤 회사에 직장을 잡거나 UPS나 페덱스(FedEX) 직원인 척 하면 된다. 큰 박스를 하나 들고 들어가서 내가 원하는 걸 담아 그냥 걸어나올 수도 있다. 생각해 보라. 당신 회사도 그렇지 않은가?결론나는 지난번에 캘리포니아에서 발생한 보안 결점 몇 가지를 거론한 바 있다. 그 후 거의 비슷한 형태의 또다른 정보 절도 사건이 벌어졌다. 이 사고는 경찰서에는 도둑이 안 든다는 구닥다리 사고방식이 얼마나 만연해 있는지 보여주는 사례다.지난 3월 11일 누군가 UC 버클리 사무실에 걸어들어가 9만 8000명이 넘는 사람들의 개인 정보가 담긴 노트북을 들고 나갔다. 여기에는 사회 보장 번호도 포함돼 있었다. 이 도둑은 간단하고 기본적인 물리적 보안에 대한 필요성을 강조할 뿐 아니라 기술에 대한 잘못된 신뢰에도 경종을 울렸다.UC 버클리 대학은 명백히 제도적으로 암호화 기술을 이용해 데이터를 암호화하도록 하고 있었다. 하지만 노트북에 암호화를 할 예정이었다고 이야기한들 도둑맞을 당시에는 아무도 노트북 HDD를 암호화하지 않은 상태였다.이번 절도 사건은 지난 번 얘기했던 캘리포니아 대학의 다른 데이터 절도 사건과 마찬가지로, 이달 열린 제3회 연례 정보 기술 보안 컨퍼런스를 이 대학이 주최했다는 점에서 훨씬 더 인상깊은 사건이었다.아니러니한 건 더 많다. 특히 이 인용구를 보면 그렇다. “캘리포니아 주립 대학의 후원으로 정보 보안을 둘러싼 문제를 이해하고 접근하려는 수준 높은 교육 커뮤니티의 참가를 이끌어냈다...” 나도 참석할 의향이 있었지만 온라인으로 정보를 등록해야 한다는 생각에 참가 신청을 포기했다. @