이 블로그 검색

2012년 7월 23일 월요일

[펌]기고 | 직원 대상 보안 의식 교육이 필요 없는 이유


펌 - http://www.ciokorea.com/news/13367

적절한 네트워크 환경 구성의 중요함을 보여 주는 글

교육이 능사는 아니다.. 복합적인 방안의 필요



데이브 에이텔은 인식 제고 교육에 투자하는 비용이 낭비라고 주장하고 있다.

정보 보안과 관련해 변하지 않는 진리 하나가 있다. 직원들에게 정기적으로 보안 교육을 제공하면 보안을 크게 개선할 수 있다는 것이다.

-> 효과적인 보안 교육을 위한 10계명

당연히 이유가 있다. RSA는 내장된 플래시 취약성을 갖고 있는 워드 문서 때문에 해킹당했다. 그리고 며칠 뒤, 공격자가 시스템을 관장하는 프라이빗 키를 확보한 후, 관련이 없는 회사 전체의 시큐어ID(SecureID)가 위험에 처했다.

그러나 RSA 같은 피싱 공격이 직원 교육의 정당성을 입증하는 사례일까? 아니면 반대일까? RSA, 구글, 이베이, 어도비, 페이스북, 오크릿지 국립 연구소(Oak Ridge National Laboratory), 기타 첨단 기술 기관 및 회사에 근무하는 임직원들도 피싱을 당할 수 있다는 것은 아주 똑똑하고 잘 훈련된 사람들도 해킹 공격의 피해자가 될 수 있다는 의미가 아닐까?

보안 교육의 한계를 보여주는 대표적인 사례가 하나 있다. 지난 2004년 웨스트포인트(West Point)에서 실시된, 이른바 '캐로네이드(Carronade)'라는 피싱 관련 실험이다. 사관 후보생들의 보안 인식을 테스트하기 위해 피싱 이메일을 발송한 실험이다. 이메일을 발송하기 앞서 4시간 동안 컴퓨터 보안 교육을 했지만, 사관 후보생들은 이메일에 적힌 링크를 클릭했다.

기본적으로 IT 담당자들이 사용자를 대상으로 보안 교육 프로그램을 요청하는 것은 '이건 우리 잘못이 아니다'는 점을 강조하기 위해서다. 그러나 이는 잘못됐다. 사용자는 네트워크에서 발생하는 일에 대한 책임이 없다. 또 첨단 정보 보안 위협을 인지하거나, 이로부터 스스로를 보호할 수 있는 능력이 없다. 은행에서 창구 출납 직원에게 은행을 지키라고 요구하는 것이나 다름없다. 다시 말해, 일개 직원이 오퍼레이션 새디(Operation Shady RAT), 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon) 같은 공격에 대처할 수 있을까? 따라서 사용자 때문에 보안 침해가 늘어나고 있다고 탓을 해서는 안 된다. 특히 최근 많은 공격들은 아주 정교하다.

불행히도 필자의 주장을 뒷받침할만한 통계 증거는 없다. 보안 회사들은 보안 교육이 기업 보안에 미치는 영향에 대한 데이터를 공개하지 않고 있기 때문이다. 그러나 필자의 회사가 담당했던 과거의 컨설팅 업무가 이 문제를 일부 설명해주고 있다.

우리는 금융 산업과 제조업의 대기업을 중심으로 보안 컨설팅 서비스를 제공하고 있다. 대부분 고객사들에서, 직원들의 보안 인식은 아주 높다. 또 보안 교육 프로그램을 운영하고 있다. 그러나 클라이언트를 대상으로 한 공격에서 CTR(클릭률)은 여전히 5~10% 수준을 유지하고 있다.

우리는 헬프데스크 등 고객 담당자를 대상으로 한 소셜 엔지니어링 공격(social engineering attacks)을 종종 조사한다. 이들 보안에 아주 중요한 역할을 맡고 있는 직원들은 많은 보안 교육을 받았으며, 소셜 엔지니어링 공격에 대해서도 경고를 받았다. 그러나 유일하게 테스터들을 멈추게 한 것이 있었는데 기술적인 대책이었다. 다른 말로 설명하면, 헬프데스크 담당자가 당신 어머니의 결혼하기 전 성(姓) 등에 대한 정보 없이도 비밀번호를 기술적으로 변경할 수 있다면, 필자가 대표로 있는 이뮤니티(Immunity) 같은 회사는 그렇게 하도록 그들을 설득 할 것이다.

우리는 또 많은 고객들이 사용하고 있는 보안 교육 소프트웨어에서 SQL, 크로스 사이트 스크립팅, 인증 등 취약점을 발견했다. 이는 위험하다기보다는 우스운 일이다. 취약점이 있는 보안 교육 소프트웨어에 시간을 낭비하는 것은 아이러니기 때문이다.


기업들은 직원들의 보안 인식 제고를 위한 교육에 시간, 돈, 인적 자원을 투자하는 대신, 환경 보안과 네트워크 분리에 초점을 맞춰야 한다. IT는 직원들이 링크를 클릭하거나, 첨부 파일을 열어봐도 기업에 피해가 없도록 한다는 사고방식을 가져야 한다. 어찌됐든 이런 일이 발생할 것이기 때문이다. 따라서 이에 대한 대책을 마련하는 것이 중요하다. CSO와 CISO, IT 보안 담당자는 보안 위협이 직원들에게 도달하기 전에 이를 멈춰야 한다. 이런 대책이 실패한다면, 감염이 확산되지 않도록 네트워크를 적절히 분리해야 한다.

다음은 직원들을 대상으로 한 보안 교육 대신 중점을 둬야 하는 내용들이다.

환경을 감사한다: 내부 보안 담당자는 물론 외부 모의해킹 테스터가 웹사이트, 백엔드 데이터베이스, 서버, 네트워크의 취약성, msDash를 정기적으로 감사해야 한다. 현재는 물론 앞으로 발생하지도 모를 공격 상황을 모두 감안해야 한다. 시티그룹(Citigroup)이 웹 애플리케이션의 취약점 테스트를 했다면, 2011년 6월 20만 고객 계정을 대상으로 한 공격을 피할 수 있었을 것이다. 이는 가장 저렴하면서도 쉬운 보안 대책 방법이다.

경계 방어/감시: 경계를 탄탄하게 방어하고, 정기적으로 테스트를 해야 한다. 침입과 데이터 유출로부터 네트워크를 보호해야 한다 또 지속적으로 데이터가 유출되는지 감시를 해야 한다.

중요한 데이터를 분리하고 보호: 온라인 데이터베이스에 기업에 중요한 정보를 보관하고 있는가? 기밀 데이터는 CSO/CISO가 직접 챙겨야 한다. CSO/CISO는 온라인에 저장해둔 정보를 철저하게 조사하고, 정말 중요한 데이터는 오프라인으로 이동시키거나, 엄격하게 네트워크에서 분리해야 한다.

네트워크를 분리: 네트워크와 정보를 분리해, 사이버 공격이 성공하더라도 전사적인 파급이 없도록 해야 한다. RSA가 네트워크와 정보를 분리했다면, 시큐어ID 토큰 도난을 방지할 수 있었을 것이다. 즉 특정 직원의 PC가 감염되었다 하더라도, 전체 시스템에 확산이 되지 않도록 해야 한다.

액세스 크립: 각 직원들이 네트워크와 중요한 데이터에 접근하는 권한 수준은 어떠한가? 얼마나 잘 감시를 하고 있는가? 효과적인 보안을 위해서는 불필요한 접근을 제한해야 한다.

사고 대응: 중요한 루트킷을 사전에 조사해야 한다. 놀랄만한 사실을 발견할 수도 있다. 그리고 이는 'APT(Advanced Persistent Threats)'에 대한 방어체계에 있어 첫 걸음이 된다.

보안 리더십: CSO/CISO를 임명하는 것만으로는 불충분하다. 보안 책임자에게 그만한 권한을 줘야 한다. 보안 책임자는 보안에 실패한 프로젝트에 대한 결정을 내릴 수 있는 권한을 가져야 하고, 보안 예산과 관련해 의견을 개진할 수 있어야 한다. 보안 프로그램에는 마케팅 예산과 유사한 수준의 예산을 배정해야 한다.

직원 보안 교육 프로그램에 많은 투자를 하고 있다. 그러나 CSO/CISO는 이보다는 네트워크 위협 방지와 잠재적 위협 경감에 초점을 맞추는 것이 낫다. 직원들이 회사를 안전하게 보호할 것이라고 기대하기는 힘들다. 사실 정반대이다. 보안 교육은 혼란만을 초래할 수 있다.

기업들은 공격적인 보안 프로그램을 통해 네트워크와 직원을 보호할 수 있다.

*Dave Aitel은 이뮤니티(Immunity Inc.,)의 CEO이자 전직 미국국가안전보장국(National Security Agency)의 컴퓨터 과학자다. ciokr@idg.co.kr

댓글 없음:

댓글 쓰기