관심뉴스

간과하기 쉬운 10대 보안 이슈

이즈카피 2008. 5. 14. 15:19
간과하기 쉬운 10대 보안 이슈
“방심은 금물”, 기업에서 소홀하기 쉬운 보안 관련 이슈 집중 분석
2007-01-30 15:09:12
휴일날 집에서 안락한 시간을 보내며 회사일을 잊고 쉬고 있을 당신에게, 만일 당신이 보안 담당자라면 이렇게 묻고 싶다: 무언가 잊은 것은 없는가?

서버실에 감시 카메라를 설치해두었는가? 중요한 데이터들을 깨끗하게 지워버리지 않고 혹시 휴지통에만 버려둔 것은 아닌가? 데이터베이스 관리자들에게 충분한 주의사항을 전달했는가?

이러한 질문을 받고는 편히 쉬지 못할 것이다. 하지만 당신만 그러한 것이 아니다. 대부분의 기업들은 보안 문제에 있어서 결코 자유롭지 못하다. 따라서 여기에서는 기업들이 간과하기 쉬운 IT 보안과 관련된 10대 이슈에 대해 살펴본다.



1. 물리적인 보안

IT 보안 아키텍처를 검토할 경우, 회사의 물리적인 보안을 고려하지 않는 경우가 많다. 하지만 이는 치명적인 과오로 이어질 수 있다.

시큐어 네트워크 테크놀로지스(Secure Network Technologies)의 부사장인 스티브 스타시우코니스는 “상당수 기업들이 감시 기술을 잘못된 곳에 배치하고 있다”고 말했다. 침입자들이 액세스 권한을 얻을 수 있는 곳은 다름 아닌 흡연자들이 담배를 피우는 비상구나 화물 출입구 등인데 이곳에는 감시 카메라가 설치되어 있지 않은 경우가 많다.

물리적으로 접근이 가능한 공간을 열어두는 것은 네트워크 공격이나 기타 침해 가능성을 보다 쉽게 만들어준다는 점에서 간과해서는 안 된다. 스타시우코니스는 자사 고객의 보안 수준이 어떠한지 확인하기 위해 복사기 수리 직원인 것처럼 위장하고 고객의 빌딩에 들어가봤다.

그는 “복사기 회사의 티셔치를 입고 회사 내부로 들어가 고객의 컴퓨터에도 접근할 수 있었다. 또한 비밀번호와 로그인 방법도 알아내 추후 외부에서도 침입이 가능할 정도”라고 말했다.



2. 적절한 폐기조치

기업들은 매일 수십만 톤의 쓰레기를 버리고 있다. 하지만 쓰레기 처리방법에 대해 강력한 정책을 보유하고 있지 않을 경우 해커들이 쓰레기 더미 속에서 비밀번호나 고객 정보 및 기타 중요한 데이터를 찾아낼 수도 있어 쓰레기가 오히려 ‘보물 창고’가 될 수도 있다.

가장 자주 간과되는 이러한 보물 창고 중의 하나는 폐기된 하드 드라이브이다. 기업들의 경우 하드 드라이브를 재활용 센터로 보내거나 또는 자선단체에 기부하고 있으며, 그렇지 않은 경우 그냥 폐기해버리는데 이 과정에서 데이터를 완벽하게 삭제하는 경우는 매우 드물다. 최근 영국의 글래모건 대학과 호주의 에디스 코원 대학이 경매와 컴퓨터 행사를 통해 300개 이상의 하드 드라이브를 구매한 적이 있었다. 놀랍게도 하드 드라이브에는 판매되거나 기증되기 전에 지워졌어야 할 데이터들이 그대로 남아있었다. 이들 데이터에는 급여 정보와 직원들의 이름, 사진과 IP 주소, 네트워크 정보, 휴대폰 번호, 견적서, 은행 계좌 및 신용카드 계좌 등 금융 정보가 포함되어 있었다.

또한 기업들은 서류를 휴지통에 버림으로써 데이터를 잃어버린 예전의 모습을 간과해서는 안 된다. 모의 해킹 업체인 TraceSecurity의 짐 스티클리 CTO는 사용자의 ID와 비밀 번호 등 중요한 정보들이 아무렇지도 않게 휴지통에 버려지고 있다고 경고했다.



3. 백그라운드 체크

직원을 고용할 때 그의 성격이나 경력을 간과하기가 쉽다. 하지만 IT의 전략적인 중요성과 가치가 높아짐에 따라 회사 내부에서 발생하는 침입이나 도난을 가볍게 여겨서는 결코 안 된다.

Background Information Services의 제이슨 모리스 사장은 “회사가 직원들 모두를 비호하는 것은 일반적인 추세이지만 직원이 되려는 즉, 입사를 앞둔 후보자들의 과거 경력 등을 면밀히 검토해야 한다”고 말했다. 시스코 라우터의 인증이 필요한가? 그렇다면 인증을 받은 사람들을 채용하라. 그는 “운전 면허와 관련된 정보는 신용 정보만큼 효과적인 측정 방법이 될 수도 있다”고 말했다.

그렇다면 백그라운드 체크에 어느 정도나 투자해야 할까? 모리스는 “고용하고자 하는 사람의 월급을 한 달로 나누어 계산한 하루치 급여 정도가 적당하다”고 언급했다.



4. 재택 근무자들에 대한 보안 강화

많은 IT 조직들은 사무실에서의 직원들의 행동을 주의 깊게 관찰하는 반면에 직원들이 집에서 PC에 어떤 하드웨어를 연결하고 소프트웨어를 설치하는지는 모니터링할 수 없다.

StreamShield의 제품 마케팅 이사인 제오프 베넷은 “가정에서 일하는 직원들과 관련된 문제는 인터넷이 수많은 원격지로 확장됨으로써 보안의 경계가 허물어지고 있다는 점”이라면서 “이러한 경계 지점이 약해짐에 따라 취약점의 노출 가능성이 높아지고 있다”고 말했다.

역설적이게도, 최고 경영진들이 가정 사용자 고리를 연결하는데 있어 가장 취약한 부분에 속한다. 모의 해킹을 시도하고 있는 기술 컨설턴트인 Consilium1의 숀 켈리는 “CEO와 CFO는 자신들의 노트북에 중요한 정보를 저장해두길 원하는데, 이들은 VPN에 대한 접속과 관련된 걱정으로부터 벗어나길 원하기 때문”이라고 말했다.

엔더를 그룹(Enderle Group)의 롭 엔더를 수석 연구원은 “일례로, CEO의 아이가 노트북을 열고 중요한 재무 파일의 이름을 바꿔놓은 경우도 있다”면서, “그 결과 이 회사의 CEO는 주주들과의 회의에서 파일을 찾을 수가 없었다”고 말했다.

가정 사용자들이 피싱(phishing) 공격과 봇넷(botnet) 공격의 목표가 됨에 따라, VPN으로 연결된 기업의 노트북과 사용자의 가정용 PC는 공격자들에게 진입 창구 역할을 하게 되었다. 엔더를은 “사용자의 PC가 좀비 형태로 전환되어 VPN을 통해 기업 네트워크로 침입하는 사례가 빈번해지고 있다”고 지적했다.

가정 사용자들에 대한 보안 강화를 위해서는 VPN 액세스 허용을 차단하고 생체 인식이나 다중 인증 방식을 채택하는 것이 효과적이다. 또한 가정 보안 감사 정책도 수립함과 동시에 사용자의 컴퓨터와 기업 네트워크를 보호할 수 있는 최적 실행 방안에 대한 교육도 병행해야 한다.



5. 내장된 보안 기능의 활용

최근 보안이 기업들에게 최우선 과제로 등장하면서 하드웨어 벤더들도 이를 인식하고 있다. 그 결과, 상당수 하드웨어 벤더들이 자사 장비에 보안 기능을 구현하기 시작했다.

대표적인 사례는 TCG(Trusted Computing Group)의 TPM(Trusted Platform Module) 1.2로, 벤더들이 PC에 ‘보안 칩’ 마이크로프로세서를 탑재할 수 있도록 규정한 스펙이다.

웨이브 시스템즈(Wave Systems)의 사장이자 CEO인 스티븐 스프라그는 비록 대부분의 신규 PC가 TPM을 구현하고 있지만 많은 기업들은 여전히 이러한 기능을 제대로 활용하지 못하고 있다고 말했다. 그는 “기업들은 이러한 기술을 적극 활용함으로써 보안 수준을 높여야 한다”면서, “TPM은 엔드 유저의 보안을 강화할 수 있는 효과적인 솔루션이 될 수 있다”고 밝혔다.



6. 보안 로그 파일의 동향 분석

로그 파일에 대한 분석이 미흡하다는 지적이 제기되고 있다. 대부분의 IT와 보안 전문가들은 로드 데이터를 지나쳐버리거나 무시하는 경향이 높은 것으로 조사되고 있다. 하지만 로그 파일은 공격을 탐지하는 중요한 역할을 제공할 수 있다. 외부 공격자들은 일반적으로 로그 동향으로 파악될 수 있는 방법을 사용한다. 내부 공격자들의 경우 추적이나 노출될 소지가 많은 로그 파일을 활용하는 경우가 많다.

로그 파일을 철저히 분석하는 방법이 중요하다. IT 담당자들은 로그 파일 분석기나 보안 정보 관리 툴, 탐지 제품 등을 결합해 사용할 경우 공격에 대한 방어 수준을 강화할 수 있게 된다.

많은 IT 분석가들이 자신들의 로그를 분석하고 있지만 데이터를 일반화하지는 못하고 있다고 netForensics의 보안 분석가인 앤톤 슈바킨이 지적했다. 로그 데이터의 가치를 실현하기 위해서는 로그 마이닝의 다음 단계로 이동해야 한다는 것이다.



7. 교육

일부 최악의 보안 문제들은 열어봐서는 안 되는 첨부 파일을 열어본다든가 이동 중에 아무런 생각 없이 Wi-Fi 네트워크에 접속하는 등 최종 사용자들의 부주의에서 비롯된다. 따라서 사용자에 대한 교육이 중요하지만 보안 전략에서 간과되고 있는 경우가 많다.

1년에 1시간짜리 보안 교육 세션은 너무나 포괄적이어서 사용자들에게 효과적일 수가 없다. United Government Services의 토드 피츠제럴드 시스템 보안 책임자는 “이러한 보안 교육은 사용자들이 받아들이기에는 너무 광범위하며 별로 기억에 남지도 않는다”면서, “최종 사용자들이 충분히 이해할 수 있을 정도로 세분화된 교육 과정이 필요하다”고 지적했다.

포스터나 컴퓨터 기반의 교육, 규제 추적, 일대일 교육 등 대면적이고 실질적인 교육이 이루어져야 한다는 의견이다.



8. 보안 기능의 아웃소싱

일부 보안 전문가들은 자사의 IT를 외주 업체로 이관할 경우 보안 침해 우려가 높아질 수도 있다고 생각한다. 하지만 오히려 보안 서비스의 아웃소싱을 통해 보안 기능을 강화하고 비용을 절감할 수 있다는 것이 전문가들의 일반적인 시각이다.

외주 업체에 보안 서비스를 아웃소싱하는 것에 대해 회의적인 견해를 보여왔던 가트너는 지난 2005년부터 이러한 견해에서 벗어나, 일부 선택적인 분야에서 아웃소싱을 진행할 것을 기업들에게 권고하고 있다.

전문가들은 방화벽 업그레이드나 유지 보수, 로그 파일 분석 등 노동력이 비교적 많이 투입되는 분야에서 아웃소싱이 활발하게 이루어지고 있다고 말했다. 이러한 접근 방법은 관련 업무에서의 비용을 줄이고 전반적인 효율성을 강화할 수 있다. 안티바이러스나 안티스파이웨어, 침입 탐지 기능 등을 제공하는 관리형 보안 서비스도 중소 기업에서 확산되고 있지만 아직 대기업으로는 확대되지 않고 있다.



9. 암호화

암호화가 확산되지 않는 이유는 도입 우선 순위에서 밀렸다기 보다는 관리하기가 어렵기 때문이다. 암호화 키 운용 방법과 암호화된 아카이브의 검색 방법, 구축 방안 등에 대한 해결책이 풍부하지 않다. 하지만 상당수 IT 부서들이 데이터 프라이버시 등의 규제 준수가 의무 사항으로 적용됨에 따라 암호화 도입도 가속화될 것으로 예상된다.

전문가들은 기업 전사적으로 암호화를 도입할 필요는 없다고 말한다. 많은 IT 조직들은 노트북과 백업 테이프에 암호화를 먼저 구현하는 것이 효과적이며 데이터의 이동이 잦고 위험에 노출되어 있는 분야에 우선적으로 도입해야 한다는 설명이다. 또한 이메일이나 급여 등 비즈니스 프로세스에 관련된 특정 애플리케이션에 대한 암호화도 요구된다.

Strategic Advisory Services International의 존 로치포드 이사는 “분실이나 도난당할 우려가 높은 곳에 암호화를 도입하는 것이 합리적”이라면서, “노트북의 경우 제일 먼저 도입해야 하며 스토리지 장비 등은 분실이나 도난의 우려가 낮기 때문에 데이터센터 전체를 암호화하는 것은 필요하지 않다”고 말했다.

또한 기업들은 암호화에 지능도 부여해야 한다. IT는 사용 중이거나 사용되지 않거나 모든 정보에 대한 암호화된 데이터를 관리할 수 있어야 한다. Enterprise Strategy Group의 보안 분석가인 에릭 오그렌은 “또한 암호화된 데이터는 쉽게 검색이 가능해야 하며 직원들이 암호화로 인해 데이터 이용에 번거로움을 느껴서는 안 된다”고 지적했다.



10. 소프트웨어 개발과 보안의 통합

소프트웨어 개발자들은 소프트웨어에 보안 기능을 구현하라는 압박에 시달리고 있다.

소프트웨어의 사소한 코드 에러조차도 보안에 엄청난 피해를 입힐 수 있기 때문이다. 내부 프로그래머들과 써드 파티 소프트웨어 업체의 개발자 모두가 운영 체제나 애플리케이션, 네트워크 장비 소프트웨어를 보안 기능과 적절하게 코드화하지 못해왔다.

개발자들이 코드 문제를 규명하고 보안의 취약점으로 이어질 수 있는 버그 문제를 적절히 해결해준다면 취약점과 공격을 상당 부분 차단할 수 있다는 것이 전문가들의 의견이다.

Consilium1의 켈리는 “벤더들의 경우 코드를 안전하게 개발하라는 압박은 거의 받고 있지 않으며 고객들도 벤더들에게 이를 요구하는 경우가 거의 없다”면서, “기업들이 보안을 개발 프로세스와 통합 및 연동시키지 않는 한 여러 규제에도 불구하고 실질적인 변화는 일어나지 않을 것”이라고 말했다.

마이크로소프트의 경우 프로그램 코드에 보안 기능을 강화하고 있는 대표적인 벤더로, 윈도우 비스타에 Trustworthy Computing 기능을 탑재하고 있는 것으로 알려졌다.

CERT의 시코드는 “마이크로소프트가 플랫폼 개발 업체로서 소프트웨어 제품 시장을 이끌고 있기 때문에 광범위한 보안 프로그램을 구현하는 것은 당연하다”고 말했다. 또한 마이크로소프트는 프로그래밍 언어 C를 위한 ISO/IEC WG14 워킹 그룹에 참여해 일반적인 프로그래밍 오류를 해결하기 위해 마이크로소프트 라이브러리를 토대로 한 표준을 개발하고 있다.

한편, 기업들은 자사에 필요한 기능과 보안 위험을 적절히 유지해야 한다고 시코드가 말했다. 그는 “공격자들은 일반적으로 가장 손쉬운 경로를 택해 공격을 시도하고 있다. 다른 비즈니스 요구 사항으로 인해 이미 잘 알려진 공격 방향을 충분히 차단하지도 못하면서 리소스를 확대할 것이라고 말하는 것은 어불성설”이라고 주장했다.

시코드는 코드의 보안을 강화하는 것은 전적으로 개발자에게 달려있다고 덧붙였다. IT와 구매 담당자들이 구매 결정이나 설계 결정에 있어 보안을 최우선 사항으로 고려해야 함은 물론이다.