'보안'에 해당되는 글 61건

  1. 2019.12.09 “보안은 자율에만 맡겨서는 안 된다”
posted by 알짜 정보 岳岩 2019. 12. 9. 07:39

보안 도구인가 해킹 도구인가? 안전 장치인가 사생활 침해 장치인가?
첩보의 새 개념, “행동하지 않으면 낭비되고 썩어가는 것”


[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 12월 첫째 주 동안 일어났던 사건들의 본질을 꿰뚫는 전문가와 종사자들의 말을 간략하게 모아 정리했다.

[이미지 = iclickart]


보안 도구들의 양면성
“에뮬레이터를 통해 보안 전문가들은 보다 쉽게 애플의 장비들을 연구할 수 있을 것이고, 따라서 iOS 플랫폼은 더 단단해질 수 있을 것입니다. iOS 환경에서의 취약점 발굴과 보완 작업이 더 활발해질 수 있을 것으로 기대합니다.”
-HCL 앱 스캔(HCL App Scan)의 연구 팀장, 조나단 아펙(Jonathan Afek)-

“결국 이 기능이 있다는 건 링이 범죄자나 용의자를 자동으로 인식할 수 있다는 뜻이며 이런 데이터베이스의 근간이 무엇인지 명확히 밝혀내야 할 필요가 있습니다.”
-더 인터셉트-

“크랙큐를 통해 조직 내 비밀번호 설정 문화가 얼마나 건강한지 점검할 수 있습니다.” -트러스트웨이브의 수석 보안 컨설턴트인 댄 터너(Dan Turner)-

“어베스트 온라인 시큐리티 플러그인은 보안 툴로서, 사용자들이 감염된 웹사이트에 접속하거나 피싱 공격에 걸려드는 걸 방지해주는 역할을 합니다만 그러려면 URL 히스토리 정보를 파악하고 있어야만 합니다.”
-어베스트-

“사이버 범죄자들은 놀라울 정도로 일관적인 사업가 마인드를 보여주고 있었습니다.”
-체코키술대학의 세바스찬 가르시아(Sebastian Garcia)-

보안 연구는 ‘해킹’과 유사한 행위를 동반할 때가 많다. 보안 연구를 위해 정상적, 합법적으로 만들어진 도구들이 해킹 범죄에 사용되는 사례도 많다. 이번 주 등장한 iOS 에뮬레이터와 비밀번호 크래커는 보안 연구에도 유용하겠지만, 범죄에도 얼마든지 활용이 가능하지 않을까 염려된다. 수상한 사람들이 지나가면 자동으로 알려준다는 아마존의 ‘링’은 아직 그 작동 원리가 명확히 밝혀지지 않아, 프라이버시 침해와 결부되지 않을 수 없다. 어베스트의 브라우저 플러그인은 사용자를 보다 확실히 보호하기 위해 각종 정보를 수집했다고 한다. 이렇게 범죄와 연구의 경계가 희미한 분야이기 때문에 보안에서는 윤리가 강조된다. 자기가 하는 일이 나쁜 일이라는 자각이 없을 때, 정보 보호 기술을 가진 자들은 다크웹에서 사업가가 되기 십상이다.

모호한 이상보다는 잔인한 구체성
“자율성에 맡기기만 해서는 안 됩니다. 이런 도구(비밀번호 크래커)를 통해 점검하고 그 결과를 눈으로 보여줘야 하죠.”
-트러스트웨이브의 수석 보안 컨설턴트인 댄 터너(Dan Turner)-

“이렇게 전담 인력이 정해지면 업체로서는 보다 ‘전문적으로’ 일을 처리하고, 개인정보 보호를 위한 환경을 조성할 수 있게 된다. 뿐만 아니라 DPO는 위험 평가, 침투 테스트, 보안 정책 등을 일괄적으로 추진 및 정리할 수 있다.”
-토니 앤스콤(Tony Anscombe), ESET-

5~6년 전만 해도 ‘자율 보안’(정확한 용어가 기억이 나지는 않지만, 대강 보안을 자율에 맡긴다는 뜻)이라는 말이 각광을 받았었다. 물론 그러한 개념을 주장하는 사람들이 다 사라진 건 아니지만, 이제 거의 대부분은 알고 있다. 자율에 맡긴 보안은 존재하지 않는다는 것을. 데이터와 프라이버시 보호라는 개념도 마찬가지다. 기업 전체의 책임이라는 홍보용 문구에서만 그치지 않고, 전담할 사람을 뽑는 것부터 실천해야 한다. 모호해서는 아무 것도 이뤄지지 않고, 4차 산업혁명이 급박하게 이뤄지는 때에 보안은 더군다나 그렇다.

미국의 움직임
“보안 전문가들의 협조를 최대한으로 끌어내려면 그들이 자신의 발견에 대한 결과를 명확히 알도록 해야 합니다.”
-미국 국토안보부 산하 CISA-

“온라인으로 공유한 적이 없는 영상도 모조리 가져갔고, 그걸 중국에 있는 서버로 옮겼습니다.
-미스티 홍(Misty Hong), 대학생-

보안을 강화하기 위한 미국 내 분위기가 심상치 않다. 미국 정부는 보안 전문가들이 취약점 연구를 활발히 할 수 있도록 보장하기 위한 제도를 공표했다. 아직은 청사진만 그려놓은 상태이지만 방향은 굳어졌다. 이제 보안 전문가들이 취약점을 발견하고 고소당할 일이 없어질 것으로 보인다. 또한 화웨이를 견제하던 것에서 ‘틱톡’으로 차례가 넘어간 분위기도 느껴진다. 미국 의원들 사이에서 틱톡에 대한 이야기가 조금씩 나오는가 싶더니, 한 대학생이 개인정보를 가져갔다며 틱톡을 고소하기도 했다.

보안의 기본 개념들
“행동하지 않으면 첩보가 낭비된다.”
-안톤 추바킨(Anton Chuvakin), Chronicle-
“보안은 항상 기술과 교육의 합작품입니다.”
-엑스포스의 리모 케셈(Limor Kessem)과 이트직 치미노(Itzik Chimino)-

“다크웹 정도로 큰 경제 규모라면 ‘풀타임 사이버 범죄자’들만으로 구성되어 있다고 보기 힘듭니다. 파트타임 참여자들도 나타나기 시작하는 게 자연스러운 현상입니다.”
-카본 블랙(Carbon Black)의 수석 전략가인 톰 켈러만(Tom Kellermann)-

“세상 거의 모든 나라들이 적대적 국가를 두고 있습니다. 또한 사이버 공격은 나라와 지역마다 조금씩 다르긴 하지만 큰 흐름을 유행처럼 타기도 합니다. 따라서 모든 지역의 모든 나라들이 삭제형 멀웨어에 대한 방어 대책을 강구해야 합니다.”
-IBM의 보안 고문인 리모 케셈(Limor Kessem)-

보안의 기본 개념을 정리해주는 말들이 이번 주 꽤나 나왔다. 추바킨은 첩보에 대하여, ‘많이 확보하고 잘 활용하는 게 중요하다’는 게 아니라 “행동함으로써 낭비하지 않는 게 중요하다”고 재정립했다. 케셈과 치미노는 “보안 = 기술 + 교육”이라는 공식을 다시 한 번 언급했고, 켈러만은 “다크웹은 하나의 독립된 경졔 구조”라며, 새로운 시각과 접근법을 촉구했다. 또한 케셈은 “적대국 없는 나라 없다”는 현대 국제 사회의 뼈저린 현실을 짚어내며 “먼 나라에서 일어난 일은 우리 나라에서도 일어날 수 있다”고 강조했다. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요