방호벽을 쌓고, 제발 적이 나타나지 않기를 빌어도 적은 나타납니다. 사이버 보안에서 중요한 것은 어떤 공격자도 못 들어오게 막는 것이 아니라 얼마나 빨리 손상된 시스템을 회복할 수 있는가(resillience)에 달렸습니다.
지난해 3.20 사이버 테러 이후 온 나라가 보안 위협에 노출됐다. 카드사 신용카드 정보 유출은 물론, POS단말기 해킹, 스미싱 등이 끊이지 않고 있다. 그래서인지 보안 위협에 대한 국내의 대응은 뚫려서는 안 된다는 것에 초점이 맞춰져 있다. 거의 강박관념 수준이다.
보안담당자들이 아무리 방호벽을 더 높이 쌓고, 경비병들을 배치하더라도 결국 사고는 발생한다. 이에 마이크로소프트(MS)는 해킹을 피할 수 없다는 사실을 먼저 인지하고, 회복력을 높이기 위한 프로세스를 갖춰 사고에 유연하게 대처해야 한다는 역발상을 제시했다.
24일 서울 삼성동 코엑스에서 열린 제20회 정보통신망 정보보호컨퍼런스에서 기조연설자로 나선 피에르 노엘 MS 아시아 담당 최고보안책임자(CSO)는 22년 간 보안업무를 담당해 온 경험을 토대로 MS의 보안전략을 소개했다.
노엘 CSO는 자신이 CSO라고 불리는 것을 좋아하지 않는다는 말로 강연을 시작했다. 보안을 유지하는 것 만큼 회복력이 중요하다는 메시지가 제대로 전달되지 않는다는 이유 때문이다. 이에 그는 CSO보다는 'CRO(chief resillience executive)'로 불러달라고 주문했다.
MS가 운영체제(OS)에 대한 보안성에 주목하기 시작한 것은 약 12년 전이다. 당시 빌게이츠 MS 전 회장은 '트러스트워디 컴퓨팅(Trustworthy computing)'을 핵심 화두로 던졌다.
2001년 7월 MS 윈도NT, 윈도2000 기반 웹서버를 통해 전파된 인터넷 웜 '코드레드'의 악몽을 반영한 조치였다. 코드레드는 미국 백악관은 물론 이틀 간 전 세계 약 30만대 시스템에 피해를 입혔다. 국내서도 최소 3만대 이상 피해를 입은 것으로 추정된다.
트러스트워디 컴퓨팅을 내세웠던 MS는 10여년이 지난 지금도 여전히 수많은 악성코드와 취약점에 시달리고 있다.
노엘 CSO에 따르면 이 과정에서 MS가 주목한 것은 공격에 대한 보안을 최대한을 높이는 것이 아니다. 최근 지능형지속가능위협(APT) 공격, 스피어피싱 등으로 인해 공격을 완벽하게 피한다는 것 자체가 사실상 어렵다는 점을 인지하고, 피해가 발생했을 때 이를 최소화하면서도 빠른 회복력을 유지할 수 있는 방안을 마련해야 한다는 것이다.
국내 보안 환경에서는 보안사고를 무조건 막아야한다는 생각으로 경비를 강화하다가 한번 무너지면 오랫동안 후유증에서 벗어나지 못하는 기업, 기관들을 숱하게 보게 된다. 사회 전반에 피해를 주는데도 불구하고, '회복력'은 좋지 못하다는 지적이다.
모든 분야에 적용될 수는 없겠지만 적어도 국가, 국민 전체를 공격에 노출시킨 3.20, 6.25 사이버테러, 최근 카드사 신용카드 정보 유출 등 대형 사고에 한해서는 참고할 만 한 부분들이 눈에 띈다.
회복력을 위해 필요한 것은 정교한 프로세스다. 노엘 CSO는 MS와 호주 정부의 협력사례를 소개했다. 호주 정부는 2년 전 국가차원에서 사이버 보안 프로세스를 구축하기 위해 MS의 도움을 받았다.
이를 통해 정리한 항목은 총 35개 내용이다. 시스템 인프라스트럭처, 네트워크에 대한 모니터링, 이메일, 엔드포인트(클라이언트)에 대한 보호, 웹게이트웨이에 대한 보호, 웹 및 서버 애플리케이션 보호, 강력한 인증, 사용자 교육 등이 내용이 포함된다. 얼핏 보면 IBM이 제시하고 있는 시큐리티 프레임워크와 비슷하다.
노엘은 호주 정부가 35개 항목에 대해 우선순위를 두고 가장 위험한 것부터 순서대로 대응해 회복력을 높일 수 있도록 했다고 설명했다.
그렇다고 MS가 내부 시스템에 대한 보안을 높일 수 있는 방안이 없는 것은 아니다. 그는 'KISS(Keep in the simple system)' 관점에서 자사가 적용하고 있는 정책을 소개했다. 보안을 위해 필요한 단계를 최소화 하고, 이를 위한 설치시간도 최소화하라는 주문이다.
스마트폰, 태블릿 등 스마트 기기를 사내 업무에 활용하기 시작하면서 보안관점에서는 관리해야 할 포인트들이 늘어났다.
이를 해결하기 위해 MS는 크게 4가지 관점에서 위험도를 파악해 자사 시스템에 접속권한을 줄지를 결정한다고 설명했다.
먼저 아이덴티티, 즉 신원확인이다. 사용자가 만약 페이스북 계정과 연동해 MS 시스템에 접속했다면 권한을 적게 주고, 라이브ID를 활용했다고 하면 권한을 많이 부여하는 식이다.
두번째는 기기다. 내부에 사용이 허가된 기기를 통해 시스템에 접속했을 때 더 많은 권한을 주도록 했으며, 스마트폰, 태블릿 등의 경우에도 회사에서 지급한 것들이 아니라 개인용 기기라면 권한을 축소시켰다.
세번째로 위치 정보도 어느 정도 수준으로 접속권한을 얼마나 줄지 알려주는 중요한 요소다. 미국에서 시스템에 접속하면 일반적인 권한을 주지만 러시아에서 접속할 경우 이보다 축소된 권한을 부여하는 식이다.
관련기사
- 애플도 '하트블리드' 영향권2014.04.25
- 정부 보안인증이 완벽 보장은 아니라고?2014.04.25
- 윈도XP 보안 제품 버그 발견, MS 긴급 업데이트2014.04.25
- 서버·네트워크 업계, 하트블리드 대응에 분주2014.04.25
마지막은 데이터/애플리케이션을 비즈니스 영향도에 따라 상중하로 나눠 더 높은 권한을 가진 사람들만 중요도 분류상 상위에 해당하는 데이터에 접근할 수 있도록 한 것이다
이러한 요소들을 종합하면 MS는 자사에서 지급한 노트북으로 자사 ID, 비밀번호를 입력하고 본사가 위치한 미국 레드몬드에서 접속한다면 비즈니스 영향도가 높은 데이터를 볼 수 있는 권한을 부여한다. 만약 사용자 개인 기기로 자사 ID, 비밀번호로 접속했으며, 위치가 러시아라고 하면 앞서와 같은 비즈니스 영향도가 높은 데이터는 볼 수가 없다.
