원본 기사

www.boannews.com/media/view.asp?idx=96071

 

[황민주의 보안에세이] ‘양치기 소년과 늑대’ 이야기의 교훈, 거짓말하면 안 된다?

보안은 ‘취약성’과의 싸움이다. 전쟁의 양상과 비슷하다. 상대의 취약한 점을 찾기 위해 벌어지는 치열한 ‘정보전’이 전쟁의 시작이다. 상대의 약점을 알고 나면 승리의 7부 능선을 넘어섰

www.boannews.com

 

이 기사를 보면서 새로운 인사이트를 가질 수 있었다. 단순히 양치기 소년의 거짓말이 문제였던 게 아니라, 결국 문제점을 파악하지 못하고 상황에 안일해졌던 주민들도 문제는 아니었을까? 기사에서 말하듯이, 오탐이 발생했으면 이후에는 같은 일이 발생하지 않도록 방법을 강구해야 했다. 실질적인 조치가 필요하다는 것이다. 또한 늑대에 대한 경보의 가치에 대해 생각했어야 하는데, 경보의 가치가 마을 주민들 모두에게 위험이 될 수 있는 문제였다면, 주민들도 한번 더 고려했을 것이라고 말한다.

기업에서의 보안도 결국 이와 비슷하게 생각할 수 있다. 각종 위험이 존재하고, 경제적 손실이 있지만, 보안에 대한 중요성은 잠시만 부각될 뿐, 실질적인 방법을 강구하지는 않고 있다. 단순히 현재의 경제적 손실에만 집중하고, 보안에 대한 투자로 인한 추후의 손실 방지에는 깊은 고려를 하지 않는 것이다. 위의 사례에서도, 결국 귀찮아진(단순한 손해가 발생) 마을 주민(실질적 관리자)들은 인해 양치기 소년(보안 대책)에게 더이상 투자를 더 하지 않았고, 이는 결국 마을 전체로 보았을 때 큰 손해로 다가오게 되었다.

이때 마을 주민들이 지켜야 할 것이 무엇인지, 그리고 이 가치가 어느 정도인지를 먼저 파악했다면 상황이 조금 더 달라지지 않았을까? 그리고 이를 지킬만한 충분한 안전장치가 되어 있는지 다시 점검했다면, 즉 양치기 소년에게 자신의 임무에 대해 잘 인식시켜 주고, 손해가 발생했더라도 지속적으로 문제를 해결해 왔다면 큰 문제가 발생하지는 않았을 것이다. 이는 결국 기업의 보안 문화와 직접적으로 비유될 수 있다. 사소한 문제, 사소한 손해일지라도, 그 문제점을 지속적으로 해결해 왔는지는 추후 큰 문제를 막을 수 있는 발판이 된다. 이러한 당연한 것들을 지키는 사회가 보안 강국을 만들지 않을까 싶다.

반응형

원본 기사

www.boannews.com/media/view.asp?idx=95751

 

중고나라 안전결제 사기도 랜섬웨어도... SaaS 방식 사이버 범죄 판친다

최근 클라우드에서 가장 각광받는 서비스 형태가 바로 SaaS(Software as a Service)다. 말 그대로 서비스 형태의 소프트웨어, 즉 돈을 받고 대여해주는 방식인 SaaS는 기존 기업들이 서버와 스토리지부터

www.boannews.com

 

최근 클라우드가 각광받으면서 각종 서비스 또한 클라우드에 넣어 있는 형식인 SaaS(Software as a Service)가 많이 사용되고 있다. 이는 기존에 기업이 인프라 또는 플랫폼으로 클라우드를 사용했던 것과 달리, 소프트웨어를 빌려 주는 형식으로 제공하는 것을 의미한다. 기사에서는 SaaS 방식의 운영을 "인터넷으로 쇼핑몰을 만들어 운영하고 싶은데, 관련 지식과 운영인력이 없다면, 쇼핑몰 구축부터 서버나 네트워크 등은 물론 관리까지 모두 서비스 형태(구입하는 것이 아닌 사용료를 내고 빌리는 형식)으로 사용하는 것" 이라고 말하고 있다.

이처럼 SaaS 방식의 확대는 기술이나 인력 등에 한계가 있는 중소기업에서 환영받고 있으며, 이는 보안 분야에도 역시 사용되고 있다. 안랩은 '안랩 오피스 시큐리티'라는 보안관리 솔루션을 SaaS 형식으로 출시하였고, 모비젠은 클라우드 기반 빅데이터 솔루션인 "IRIS SaaS"를 선보였으며, 포티넷과 아톤 역시 SaaS 형식의 서비스를 확장해나가고 있다. 단순히 클라우드에서의 SaaS뿐만 아니라, 소프트웨어 자체를 제공하는 형식으로 발전해나가는 것이다.

그러나 기사에서도 말했듯이, SaaS 방식을 통해 손쉽게 서비스를 사용할 수 있다는 것은, 범죄자들 역시 SaaS 방식을 이용하여 범죄를 저지를 수 있다는 점이다. 대표적인 것으로는 기사에서 언급한 RaaS(Ransomeware as a Service)가 있는데, 범죄조직이 랜섬웨어를 만든 뒤 이를 다른 범죄자들에게 대여하는 방식이다. 이 대표적인 것으로는 갠드크랩 랜섬웨어가 있다고 언급하고 있는데, 이후에도 소디노키비나 포보스, 다르마 등의 서비스형 랜섬웨어들이 존재했다.

이러한 서비스형 소프트웨어들의 발전은, 결국 추상화가 관건이다. 기사에서는 상용화된 소프트웨어들이 사용자가 더 쉽고 편리하게 사용할 수 있도록 성장해 나가면서 범죄도 같은 길을 걷는다고 언급하고 있지만, 이는 결국 추상화된 외부 구조만을 통해 범죄자가 사용하는 것이고, 내부 구조까지는 파악하기 어렵다는 것을 의미한다. 하지만 내부 구조를 파악할 수 있다면, 그리고 그 업무를 수행할 수 있는 인력이 보안 업계에 존재한다면, 유사한 소프트웨어 서비스들은 모두 파훼할 수 있다는 점과 일맥상통한다.

결국 이에 대한 대책 마련에 있어서, 범죄가 쉬워진 만큼, 더 쉽게 검거가 가능해져야 한다는 의미이다. 하지만 국내는 개발과 보안의 비대칭성으로 인해 대책을 빠르게 찾아낼 수 있을지에 대한 의문이 든다. 기사에서 언급한 것과 같이, 중고나라 안전결제 사기를 검색하면 상당한 숫자의 관련 글들을 확인할 수 있다. 그리고 기사에서 언급한 제보에 따르면, 가짜 안전거래 사이트를 만들어 호스팅하는 업체도 있다고 언급하고 있다. 이러한 상황에서, 보안에 대한 약간의 투자만 이루어진다면 이러한 사이트를 찾아내는 것은 어렵지 않을 것으로 보인다.

추가적인 문제로, 기사에서 언급한 것처럼 이를 이용한 범죄가 늘더라도 범죄를 위해 소프트웨어를 만든 이들은 잡기가 어려워진다는 문제가 존재한다. 또한 우리나라의 경우 악성코드의 유포 행위만 처벌하고 있고, 제작 행위는 별도로 정보통신망법에서 다루고 있지 않다. 1차적으로 잡는 것도 문제일 뿐더러, 잡은 뒤에 어떤 범죄로 처벌할지도 미지수라는 것이다. 따라서 이러한 서비스형 사이버범죄에 대한 전문적인 수사와 함께 처벌을 강화해야 할 필요가 있다.

반응형

 

원본 기사

www.boannews.com/media/view.asp?idx=95646

 

현대·기아차 내부정보 다크웹 공개 파장... “돈 줄 수도 없고” 기업들 고민 커져

최근 국내 대기업의 내부정보가 해킹되어 다크웹 등에 노출되는 사건이 연이어 발생하면서 기업들의 고민이 커지고 있다. 2021년 2월에는 현대자동차그룹과 기아자동차의 미국 및 아랍에미리트(

www.boannews.com

 

2021년 2월 현대자동차와 기아자동차의 미국 및 아랍에미리트 법인 기업정보로 추정되는 자료들이 다크웹에 공개되는 사건이 있었다. 해커조직들이 이렇게 노출한 자료들은 매우 중요한 기업정보로, 회사들은 정보 유출 사실을 감추려 하였으나, 가격협상 불발 등의 이유로 인해 정보를 공유한다며 자료를 올렸다. 해커조직들은 SQL 인젝션 공격으로 해킹했다고 알렸으며, 해당 자료의 일부를 트위터에 공개하기도 하였다.

이렇듯 해커조직들은 기업을 공격한 뒤 얻은 정보를 이용하여 금전적 이득을 보고자 한다. 그러나 일부 기업들은 협상에 응하지 않고, 결국 해커조직에서 해킹으로 유출한 정보를 다크웹에 공개하는 상황이 발생하게 된다.

기본적으로 해커조직과의 협상에는 응하지 않는 것이 원칙이지만, 주요 내부 정보가 유출될 시 입는 피해도 막대하고 한번 노출된 정보는 수습할 수 없기 때문에 기업들의 고민이 많아지게 된다.

기사에서는 발빠른 대처를 통해 추가적인 피해를 막아야 하고, 애초에 보안사고가 발생하지 않도록 보안을 강화하는 한편, 기업의 보안문화가 정착되어야 한다고 하고 있다. 특히 해외 법인과 협력업체 등을 통해 본사 자료가 유출되는 경우도 많기 때문에, 해외법인이나 협력사에 대한 보안 관리와 보안 교육이 강화되어야 한다는 말도 언급하고 있다.

만약 해당 정보들이 기업의 핵심 정보였으면 어땠을까? 기업은 울며 겨자먹기로 해킹범과 협상을 해야 했을 것이고, 결국 과거 인터넷나야나 랜섬웨어 감염 사태와 같이 해킹범에게 어마어마한 금전적 이득을 가져다 주었을 것이다. 오히려 기업 입장에서는 공격당한 정보가 어떤 정보인지 파악하고, 해킹범들이 제시한 금액만큼의 효용이 없다고 판단했을지도 모른다.

이러한 관점에서 보았을 때, 보안은 결국 경영의 핵심이 되어야 하고, 리스크 관리 측면에서 봐야 한다. 완벽하다고 생각하더라도 허점이 있을 수밖에 없고, 그러한 허점들 중 기업에 큰 리스크가 될 수 있는 문제점들은 빠르게 파악해서 고쳐나가야 한다. 이를 통해 리스크를 해소하고, 추후 발생할 수 있는 금전적인 문제들을 사전에 예방하여 결국 ROI를 극대화하는 것이 중요한 것이다. 그것이 기업이 해야 할 목표이긴 하다. 결국 100% 보안이란 불가능하고, 위험을 감수할 수 있는 범위까지 최소화하고 이익을 극대화하는 것이 최고의 보안 전략이다.

하지만 기사에서도 볼 수 있듯이 아직은 주로 형식적인 보안, 법으로 강제된 보안을 통해 이루어지는 경향이 크다고 언급하고 있다. 이처럼 보안을 일종의 규제로만 생각하고, 수익을 창출하는 컨텐츠가 아니라고 생각하기 때문에 보안에 대한 관심이 미비할 수 밖에 없다. 하지만 소를 잃고 외양간을 고치는 것은 결국 소가 사라진 후일 뿐이다. 외부에서 소를 탐내는 도둑들이 많다고 판단되면, 그 소를 지키기 위해 외양간에 투자해야 하는 것이다.

소를 잃어버리면 다시 사면 되지 않느냐, 겨우 소를 위해 외양간에 이만큼 투자해야 하느냐 라는 의문이 있을 수도 있다. 하지만, 디지털 공간으로 돌아와 보면 "겨우 소 한마리" 가 아니다. 오늘날은 데이터 경제 사회에서 살고 있다. 데이터의 양은 점점 더 방대해지고 있고, 데이터의 양이 결국 경제적 가치가 되는 것이다. 소로 비유하자면, 외양간 안에 소가 계속해서 추가되고 있는 상황인 것이다. 이런 상황에서 외양간이 부서지고, 소를 도둑맞는다면 당연히 손해가 막심할 것이고, 이러한 손해를 다시 보지 않기 위해 외양간을 고칠 것이다.

이럴 거면 미리 외양간을 고쳐 놓자는 것이다. 내 외양간은 안 부서지겠지, 그런 안일함 때문에 수많은 기업들이 손해를 본 뒤 유출 지점을 확인하고 있다. 사전에 대비하고, 위험에 대비한다면 그 손해를 없던 것으로 만들거나, 최소화할 수 있을 것이다.

 

 

반응형

+ Recent posts