[넋두리 4] 12. 보안아, 열쇠를 지켜라
해커와의 보물 찾기에서 승리하라
현재 기업들은 작게는 수 개의, 많게는 수십 개의 설루션을 도입한 상태이다. 그 이유는 단순하게도 다양하게 이루어지는 해킹 공격을 각각의 경계에서 방어하기 위해서다. 즉, 기업의 여기저기 다양한 분야(PC, 네트워크, 서버영역, 전산센터, 복합공간, 고객센터 등)에 각각의 목적을 가진 설루션들이 도입되어 IT침해를 방어하고 있는 것이다.
하지만 이러한 노력이 무색하게도 해커에 의한 IT침해의 기본 목적은 오직 하나 돈이다. 정보를 유출해 가는 것도 돈이 되니까, 랜섬웨어를 개발해 퍼트리는 것도 돈이 되니까, 메일이나 문자를 이용한 피싱공격의 목적도 궁극적으로는 돈이 되니까이다. 너무 해킹의 기술에만 집착하다 보면 종종 잊어버리곤 하는 사실 하나. 그렇다. 해커는 돈을 벌려고 해킹을 한다.
그러면 한 가지 질문을 할 수 있다. 해커가 힘들게 공격했는데 그 결과가 돈으로 보상받지 못하면 어떻게 되는 것인가 하는 질문. 답은 하나다. 돈이 되지 않는다면 공격 자체를 하지 않는다는 것이다. 회사가 직원에게 월급을 주지 않는다면 직원이 일하지 않는 것과 같은 이치다.
해커의 공격 결과가 돈으로 보상받지 못하게 하기 위한 다양한 방법이 있을 수 있다. 그리고 그중 상당수는 개인이 아닌 국가와 단체가 나서야 하는 경우다. 많은 경우 국가 간 협력이 필요하기도 하므로 기업의 보안조직이나 개인이 하기에는 무리다. 따라서 우리에게는 기업의 보안조직이 할 수 있는 방법이 무엇이냐가 중요하다. 그래서 인증에 주목할 필요가 있다.
해커에게 돈이 되어 주는 중요한 정보에 접근하기 위해서 해커에게 가장 필요하고 절실한 것이 권한 있는 인증정보이다. 고객정보에 접근 가능한 권한이 있는 인증정보, 중요 문서에 접근 가능한 권한이 있는 인증 정보, 외부 유출이 가능한 권한이 있는 인증 정보 등. 인터넷을 통하든, 직원 PC를 통하든, 홈페이지를 통하든, 그 어떤 경로를 통해 내부로 1차 침입을 하였든 간에 그 이상의 추가적인 작업을 위해서 해커에게 필요한 것은 권한이 있는 인증정보이다. 인증정보가 추가 침입을 위한 문을 열어주는 열쇠가 되기 때문이다.
보안조직은 인증체계에 주목할 필요가 있다. 해커가 그 어떤 수단방법을 통해 기업 내부로의 1차 침입에 성공했다고 해도 추가적인 인증정보(권한이자 열쇠) 획득을 통한 2차 공격에 실패하게 되면 돈으로 보상받지 못하게 되기 때문이다. 돈으로의 보상이 힘든 기업이라고 인식될 수 있다면 해커의 침해공격에서 자유로울 수 있다는 의미이기도 하다.
그래서 생각의 전환이 필요하다.
아무리 기업의 외부 경계선(공격표면이라고 한다)을 각종 보안설루션으로 포장해 놓아도 해커의 침입의지를 막기는 어렵다. 외부와의 소통과 연결을 위해 존재하는 외곽 성(업무공간)의 특성상 어딘가에는 허점이 존재할 수밖에 없다. 결국은 갖은 수단과 방법을 동원해 기업의 외곽 성문 안으로 침입해 들어온다. 여기까지는 직원의 인증정보(열쇠)가 없어도 되기 때문이다.
진짜 해커와의 싸움은 여기서부터다. 어느 정도 공개되어 있어 취약한 기업의 외곽 성문을 뚫고 들어온 것과는 별개로 정작 보물과 재화들이 있는 내부 성곽 열쇠와 보물 창고 열쇠를 두고 벌어지는 해커와 보안조직 간의 보물찾기 싸움. 이 싸움의 승자가 진짜 승자가 된다.
해커가 내부로 들어오지 못하도록 열쇠를 꼭꼭 잘 숨길 수 있는 방법. 권한 있는 직원의 인증정보가 해커의 열쇠가 되지 못하도록 하기 위한 방법. 혹여 직원들이 실수를 하더라도 해커에게 열쇠를 빼앗기지 않을 수 있는 방법. 기업의 외곽을 수 개의 보안설루션으로 둘러싸는 것보다 열쇠를 잘 숨겨서 지킬 수 있는 하나의 방법. 그 하나의 방법이 우리에게는 더 절실하다.
