Security Watch10가지 불변의 보안 법칙 돌아보기, 3부

Jesper M. Johansson

"10가지 불변의 보안 법칙"에 대해 알고 계실 것입니다. 보안에 관한 이 칼럼은 약 8년 전에 발표된 이래 지금까지 그 중요성을 인정 받으며 인기를 누리고 있습니다. 그러나 지난 8년간 많은 것이 바뀐 만큼 필자는 이 법칙을 다시 검토하면서 그 유효성 여부를 확인하는 데 착수했습니다. 앞의 두 호에 실린 Security Watch 칼럼에서는 처음 9가지 법칙을 살펴봤습니다.

최근 몇 년간 보안 및 연결성 측면에서 기념비적인 발전이 있었지만 아직 이 법칙들은 매우 유효합니다. 이 법칙 중 일부는 오늘날 약간 다르게 해석되고 있으며, 한두 가지는 부분적으로 더 이상 적용되지 않을 수도 있으나 여전히 법칙으로 받아들일 만합니다. 정보의 틀이 되는 보안 전략 그리고 환경과 함께 발전하는 보편적인 법 제도 측면에서 아직도 매우 유익한 법칙인 것입니다.

이번 호에서는 마지막 세 가지 법칙에 대해 설명하고, 그간 환경이 어떻게 변화하여 이 법칙이 더 이상 채울 수 없는 틈새가 생겨났는지 심층적으로 살펴보면서 마무리하겠습니다. 아직 칼럼 원전을 아직 읽지 않았다면 TechNet에서 구할 수 있습니다.

제8 법칙: 오래된 바이러스 검사 프로그램은 없는 것보다 약간 나을 뿐이다.

모든 법칙 중에서 가장 고전인 법칙입니다. 더 이상 바이러스가 존재하지 않는 것은 아닙니다. 오히려 그 정반대입니다. 오늘날 바이러스 백신 공급업체들은 매년 수만 개의 바이러스가 새로 생겨나고 있다고 주장합니다. 그리고 2008년 4월에 발행된 "Symantec 글로벌 인터넷 보안 위협 보고서"에서 Symantec은 이제 각종 보안 위협이 1백만 개가 넘는 수준에 다다랐다고 밝혔습니다.

제8 법칙은 바이러스 검사 프로그램을 규정하는 부분에 적용되는 고전 법칙입니다. 1990년대 후반, 바이러스는 정말 염려해야 할 대상이었습니다. 그러나 Microsoft Word 매크로 바이러스가 우리가 맞닥뜨릴 최악의 상황이던 시절은 이미 오래 전에 지나갔습니다. 요즘에는 바이러스, 웜, 스파이웨어, 애드웨어, 키 입력 로거, 루트킷, 피싱 웹 사이트 그리고 봇과 싸워야 합니다. 이 정도만으로 경계를 강화할 수 없다면 위조 맬웨어 방지 소프트웨어까지 조심해야 합니다.

오늘날 우리가 맞서야 하는 다른 모든 악성 공격에 비하면 바이러스는 예스러운 멋까지 느껴지는 기술이 되었습니다. 그렇다면 가진 거라고는 바이러스를 검사하는 프로그램뿐인데, 이 바이러스 백신 소프트웨어가 오래된 버전이라는 것이 정말 문제가 됩니까? 물론입니다. 사실 요즘 공급되는 맬웨어 방지 소프트웨어 중에서 바이러스만 검사하는 제품은 없습니다. 그러나 이 법칙은 바이러스 검사 프로그램을 강조한 데에서 낡음을 드러냅니다. 약간이라도 더 쓸모 있으려면 맬웨어 방지 솔루션이 바이러스뿐 아니라 더 많은 것을 찾아내야 합니다.

3부작 시리즈 "암호와 신용카드" 마지막 회에서 다루었듯이 현재는 다양한 보안 소프트웨어 공급업체들이 검사 항목의 수를 기준으로 경쟁하는 검사 항목 경쟁 시대라고 할 수 있습니다. 검사 항목 경쟁에서 이기는 방법 중 하나는 각기 다른 온갖 유형의 맬웨어를 잡는 것입니다.

대부분의 맬웨어 방지 소프트웨어는 제품군 형태로만 보급되므로 맬웨어 방지 이상의 기능을 수행하며 모든 기능을 관리하는 콘솔도 갖추고 있습니다. 그림 1은 Microsoft Windows Live OneCare에서 제공하는 콘솔입니다. 이 제품은 바이러스 백신, 스파이웨어 방지 및 백업 기능을 갖추었으며 Internet Explorer에서 기본 제공 피싱 필터를 추적합니다. 또한 Windows에 구현된 방화벽을 기반으로 하지 않는 별도의 방화벽(보안 제품군에서 통상적으로 제공하는 중복 기능)도 있습니다. 오늘날의 바이러스 백신 소프트웨어는 사실상 추가 기능을 두루 갖춘 맬웨어 방지 소프트웨어라 할 수 있습니다.

그림 1 Live OneCare 콘솔은 오늘날의 보안 제품군에서 흔히 제공하는 콘솔입니다.(더 크게 보려면 이미지를 클릭하십시오.)

과거 어느 때보다도 많은 맬웨어가 성행하고 있는데 이는 맬웨어를 만들면서 이를 합법적인 소프트웨어로 위장하는 기술이 갈수록 발전하고 있기 때문입니다. 실제로 트로이 목마 소프트웨어와 다른 맬웨어가 결합한 형태로 등장하기 시작했습니다.

보통 사용자들은 합법적인 소프트웨어와 악성 소프트웨어를 제대로 구별하기가 쉽지 않습니다. 그리고 상당수의 맬웨어는 합법적이거나 과거에는 합법적이었던 웹 사이트에서 광고의 형태로 제공됩니다. 심지어 사이트 방문 외에 어떤 사용자 상호 작용도 없는 상태에서 악의적인 목표를 자동으로 수행해 내는 경우도 있습니다.

맬웨어 방지 소프트웨어는 이러한 악성 소프트웨어 중 일부를 찾아내는 데 도움이 됩니다. 이러한 범죄의 흐름을 가장 효과적으로 단속하는 방법은 맬웨어 방지 소프트웨어와 현명한 컴퓨터 사용 습관을 함께 활용하는 것입니다. 현명한 사용 습관만으로도 충분하다는 주장도 있으나, 이는 올바른 판단과 상식을 전제로 하며 안타깝게도 그러한 경우는 매우 드문 편입니다.

또한 어린이들이 컴퓨터를 사용하는 경우를 생각해 보십시오. 어린 사용자들은 스스로 기준을 세울만한 경험이 없습니다. 컴퓨터 보안의 중요성을 자녀들에게 인식시킬 만큼 부모가 보안에 대해 잘 알지 못하는 경우도 많고, 자녀들이 컴퓨터를 사용하는 시간 내내 감시하는 것은 거의 불가능한 일입니다.

그러한 상황에서 맬웨어 방지 소프트웨어는 적어도 부분적인 안전망 역할을 합니다. 범죄자들은 이를 뚫기 위해 꾸준히 실력을 향상시키려 하며 이는 맬웨어가 더욱 지능화되는 악순환을 야기할 수 있습니다. 물론 그 중 일부는 제 목표를 달성하지 못할 것입니다.

맬웨어 방지 소프트웨어는 적어도 기본적인 수준의 맬웨어를 에코시스템에서 차단하여 보안 전문가들이 더 수준 높은 공격에 관심을 기울이게 할 수 있습니다. 맬웨어 방지 소프트웨어가 에코시스템에서 완전히 사라진다면 초보적인 맬웨어로도 초토화될 수 있습니다. 지금보다 몇 배나 더 심각한 상황이 벌어질 수 있습니다.

그러나 이러한 점이 문제의 질문, "제8 법칙은 여전히 유효한가?"에 대한 답이 되지는 않습니다. 물론 해석에 따라 다를 것입니다. 원칙론적 관점에서 보면, 이 법칙은 최신 버전이 아닌 바이러스 백신은 바이러스 백신이 전혀 없는 것보다 조금 더 낫다고 말합니다. 그러나 지금처럼 맬웨어가 빠른 속도로 변화하고 있는 상황에서는 최신 버전이 아닌 바이러스 백신 소프트웨어는 무용지물이라는 주장도 쉽게 들을 수도 있습니다. 약간 과장된 면이 있으나 전혀 터무니 없는 주장은 아닙니다.

제8 법칙을 보다 현실적으로 조명하는 방법은 현재의 환경에 맞게 재해석하는 것입니다. 따라서 저는 "맬웨어 방지 소프트웨어를 반드시 사용하고 최신 버전을 유지해야 한다"고 고쳐 말하겠습니다. 제8 법칙을 보다 실용적인 관점에서 바라볼 경우 이 법칙은 분명 유효합니다. 결국 맬웨어 방지 소프트웨어를 정반대하는 사람이라도 이를 보안 에코시스템에서 완전히 배제해야 한다고 주장할 수는 없을 것입니다.

개인적으로는 훨씬 해석적인 관점에서 제8 법칙이 여전히 유효하다고 말하고 싶습니다. 그러나 맬웨어는 점점 빠른 속도로 변화하고 있는 만큼 맬웨어 방지 소프트웨어를 항상 최신 버전으로 유지하는 것이 절대적으로 중요하다고 덧붙이겠습니다.

제9 법칙: 절대적인 익명성은 실제 생활이나 웹에서 실용적이지 않다.

이 법칙에 대해 생각하자니 정부와 대기업들이 우리의 익명성을 최소화하는 데 얼마나 공헌하고 있는가에 대해 허무한 생각이 들 정도입니다. 미국 정부와 TJX 계열사들은 미국민 절반의 개인 정보를 지하 범죄 조직의 수중에 내줬습니다. 현실적으로 익명성이라는 것이 유지되기를 바라고 있으나 사실 오늘날에는 완전히 세상과 인연을 끊고 은행 계정도 포기한 다음 레이더로도 찾아낼 수 없는 사막으로 뒤덮인 섬으로 들어가지 않는 한 익명성은 존재하지 않습니다.

방대한 양의 개인 정보가 사용자 스스로에 의해 배포되거나 사용자와의 상호 작용을 통해 흘러나오고 있습니다. 커뮤니티 사이트들 덕분에 인터넷을 사용하는 대부분의 성인들 그리고 상당수의 어린이들이 수많은 개인 정보를 대중에게 공개했습니다. 그 중에는 굳이 다른 사람에게 알리고 싶지 않은 정보도 많습니다. 본인이나 다른 사람이 당혹하게 하는 정보도 있습니다. 여러분이 범죄 혐의를 받을 만한 사진을 미래의 고용주가 볼 수도 있습니다.

한편 확실하게 피해를 줄 수 있는 정보도 있습니다. 전화번호, 주소, 재정 상태 및 기타 모든 종류의 개인 정보는 중요하게 취급되어야 합니다. 한 번은 어떤 사용자가 자신이 금융 거래, 신용카드 관리 등에 이용하는 모든 인터넷 사이트를 매우 효과적으로 추적할 수 있는 방법을 개발했습니다. 그는 필요한 모든 링크가 들어 있는 사용자 지정 홈 페이지를 작성했습니다. 필요한 정보를 모두 쉽게 기억할 수 있도록 그는 은행 계정 번호가 출력된 수표, 신용카드(앞면과 뒷면), 운전면허증, 여권, 주민등록증을 비롯한 중요한 모든 문서도 스캔했습니다.

그가 그 웹 페이지를 안전한 곳에 두었다면 유익하게 쓰였을 것입니다. 안타깝게도 ISP에서 호스팅되던 그의 개인 홈 페이지는 비공개가 아니었습니다. 그가 자신의 페이지에서 클릭한 모든 페이지의 참조자 문자열에 URL이 나타난 것입니다. 그 URL을 따라가자 범죄 시장에서 수천 달러의 가치가 있는 개인 정보가 드러났습니다. 이는 극단적인 경우이지만, 온라인으로 제공하는 개인 정보를 신중하게 관리하는 것이 얼마나 중요한가를 여실히 보여주는 예입니다.

일반적으로 커뮤니티 사이트에서는 고급 개인 정보 보호 옵션을 제공하지만, 이 옵션이 기본적으로 설정되지 않은 경우가 많습니다. 그림 2는 Facebook의 개인 정보 보호 컨트롤을 보여 주는데, 다만 이는 기본 설정이 아닙니다. 요점은 절대적인 익명성을 기대할 수는 없지만 주의한다면 어느 정도의 익명성 장치를 유지할 수 있다는 것입니다.

그림 2 Facebook에서 기본 설정을 변경한다면 개인 정보 보호 설정을 제한할 수 있습니다.(더 크게 보려면 이미지를 클릭하십시오.)

현실에서처럼 인터넷에서의 개인 정보 보호는 어떻게 관리하느냐에 따라 크게 좌우됩니다. 정부 기관이나 기업이 여러분의 개인 정보를 잘못 다룰 때는 어쩔 도리가 없으나, 그러한 상황에서 피해를 줄이고자 노력할 수 있습니다. 그리고 절대적으로 필요하지 않다면 너무 많은 정보를 넘겨주지 않도록 하십시오.

개인 정보를 통제하는 효과적인 방법 중 하나는 대표적인 신용정보 기관에 사기 경고(fraud alert)를 설정하는 것입니다. 안타깝게도 신용정보 기관의 끈질기고 성공적인 로비 활동으로 인해 이러한 사기 경고를 설정하기가 매우 번거로워졌습니다. 기관마다 3개월당 $6 - $12의 요금을 내야 하며, 수동으로 갱신해야 하는 경우가 일반적입니다. 더 나은 방법은 사기 경고를 대신 설정해 주는 Debix(debix.com)와 같은 제3의 서비스를 이용하는 것입니다.

여신 거래가 필요하지 않은 경우 신용조회 차단(credit freeze)을 설정하여 누구든지 여러분의 신용 보고서를 입수하지 못하게 할 수 있습니다. 그러나 대부분의 주에서는 신용정보 기관들이 신용조회 차단을 불법화했으며, 다른 주에서도 이미 개인 정보를 도용 당한 적이 있는 사람만 가능한 경우가 많습니다. 또한 신용조회 차단에는 많은 비용 부담이 발생하며, 주로 등기우편을 통해 신청해야 합니다. 희한하게도 전화 한 통이면 그 차단이 해제됩니다.

개인 정보를 관리하는 또 다른 방법은 정보를 얻는 사람을 제한하는 것입니다. 그 정보가 필요 없는 조직에게 정보를 주지 마십시오. 신뢰할 수 있는 곳에만 제공하고, 과거에 정보 보호를 소홀히 한 적이 있는 곳에는 인심을 베풀지 마십시오. 여러분이 계정을 설정하고 기본 정보를 얻기 위해 자격 증명을 제공할 이유는 없습니다. 어떤 제품의 설명서를 얻는 데 웹 사이트 등록이 필요한 경우 그 제품을 사용하지 말거나 가짜 정보로 등록하십시오. 등록에 전자 메일 주소가 필요한 경우 임시 가짜 계정을 설정할 수 있는 무료 웹 메일 서비스를 이용하십시오.

이러한 내용은 모두 제9 법칙이 분명 아직도 유효함을 입증합니다. 웹과 실제 생활에서 비공개 정보를 보호하는 것이 최근 몇 년간 나아지지 않았습니다. 오히려 상황은 꽤 나빠졌습니다. 이 법칙들이 처음 발표된 후 사실상 모든 것이 온라인화되었으며 이제 인터넷은 여러분의 정보를 사용하면서 방대한 규모의 비즈니스가 이루어지는 통로가 되었습니다.

따라서 자신의 개인 정보를 추적하고 보호하는 것이 과거 어느 때보다도 중요합니다. 제가 제9 법칙을 수정한다면, "웹에서는 절대적인 익명성이 불가능하지만, 얼마나 익명성에 가까워질 수 있는가는 본인이 제어할 수 있다"고 고쳐 쓰겠습니다.

제10 법칙: 기술은 만병 통치약이 아니다.

제10 법칙은 다양하게 해석될 수 있습니다. 커다란 파란색 만능 "보안" 단추는 없다, 적어도 작동하는 단추는 없음을 강조한다고 볼 수 있습니다. 기술만으로는 보안에 관한 염려를 잠재울 수 없습니다. 이는 매우 심각한 문제 중 하나입니다. 보안 업계 종사자 중 상당수는 사실상 기술이 만병 통치약이라는 확신을 심어주기 위해 애써 왔기 때문입니다. 적합한 보안 제품군의 최신 버전만 있으면 다른 건 걱정하지 않아도 된다는 메시지가 반복되고 있습니다.

Scott Culp가 제10 법칙을 처음 정의했을 때와는 상황이 달라졌으나, 모든 위대한 법칙이 그러하듯 이 법칙 또한 시대와 함께 진화하고 발전해 왔습니다. 원래의 의도는 기술 그 자체가 완벽해질 수는 없으며 설령 완벽하더라도 공격자들은 다른 곳을 공략할 것임을 강조하는 데 있었습니다. 이 법칙이 만들어진 시절에는 기술적 보안 기록이 형편없는 수준이었습니다. Microsoft는 포위 공격을 받고 있었고, 어떤 측면에서 제10 법칙은 Microsoft가 보안 기록을 설명하기 위한 방편 중 하나였습니다.

그러나 제10 법칙은 여러 가지 면에서 선견지명을 보여주기도 했습니다. 더 많은 비용을 투자하여 보안 기술에 대한 공격을 어렵게 한다면 못된 자들은 기술이 아닌 사용자에게 초점을 이동하여 대응할 것이라는 주장이 이 설명에 포함되어 있습니다.

그리고 이 주장은 정확하게 실현되었습니다. 기술은 무너뜨리기가 매우 어렵지만, 사람은 그렇지 않습니다. 따라서 범죄자들은 다양한 사회공학 및 피싱 기법을 구사하면서 사람들을 공략하고 있습니다. 보안 부재를 이용해 부를 누릴 수도 있는 세상에서 이는 자연스러운 진화라 할 수 있습니다.

제10 법칙은 유효할 뿐 아니라 시대를 크게 앞선 주장이기도 합니다. 너무 앞선 나머지 이 법칙은 오늘날에도 유효하지만 그 설명은 다소 시대에 뒤진 듯합니다. 아마도 이 법칙이 처음 만들어졌던 시절에는 그저 다른 의미를 내포했을 것입니다. 오늘날에도 여전히 유효하지만, 그 의미는 바뀌었으며 그에 대한 해석은 더 발전할 필요가 있습니다. 기술의 범위 밖을 조명하면서 보안의 프로세스 부분 그리고 등식을 구성하는 인적 측면을 다뤄야 합니다. 에코시스템의 이 구성 요소를 어떻게 보호할 것인지 모색해야 성공을 거둘 수 있습니다.

이제 무엇을 해야 할까요?

이 법칙들은 여전히 놀라울 만큼 현실에 들어맞는다는 것이 입증되었습니다. 8년이 지난 지금까지도 모두 유효합니다. 특히 제10 법칙을 비롯한 일부 법칙은 시대의 흐름과 함께 발전한 듯하며 마치 어제 만들어진 것 같습니다. 모든 현실적인 측면에서 다양한 해석을 가능하게 하는 이 마지막 법칙은 환상을 바라보며 쓰여진 듯했습니다. 적어도 그러한 방향을 나타냈습니다. 건강한 에코시스템에 그토록 중요한 소프트 보안이라는 새로운 분야를 예지한 것 같습니다.

진정 기술은 만병 통치약이 아닙니다. 이 사실을 이해하는 것만으로도 이 법칙들을 최우선으로 여길 만했습니다. 기술이 틀릴 수 있다는 사실을 받아들인다면 나머지 법칙을 제대로 이해할 수 있습니다. 실제로 제1 법칙부터 제9 법칙까지 살펴보면 어떤 지점에서는 모두 소프트 보안 및 프로세스로 귀결됩니다. 근본적으로 이 법칙들은 잘못된 구성, 패치 누락, 사람에 의해 유입된 취약성 또는 그 밖에 시스템이나 시스템에서 보호하는 데이터를 잘못 취급하는 형태를 지적합니다.

제가 이 삼부작 시리즈에 착수했을 때만 해도 직접 몇 개의 법칙을 추가하겠다는 의욕에 불타 있었습니다. 그러나 이 법칙들을 분석하는 과정에서 그건 쓸모 없는 짓임을 깨달았습니다. 제10 법칙은 다른 모든 법칙을 요약할 뿐 아니라 제가 추가하려고 했던 모든 내용을 포괄합니다. 사실 추가하기 보다는 그저 제10 법칙을 "기술은 만병 통치약이 아니다. 그리고 기술이 만병 통치약이라는 잘못된 생각에서 벗어나는 것이 보안에 가장 중요한 조건이다"라고 고쳐 말하겠습니다.

이 법칙들은 IT 환경이 Y2K 사고 방식에서 감사 전문가의 시대로 변화하던 무렵에 만들어진 것임을 기억하십시오. 이제 보안은 우리 모두의 뇌리에서 떠나지 않는 주제가 되었습니다.

이유가 무엇일까요? 가장 큰 이유는 범죄 집단(criminal enterprise)이 폭발적으로 증가했기 때문입니다. 이 범죄자들 중 상당수는 시민을 보호할 법 제도가 없는 국가에서 공공연하게 활동하고 있으며, 이들은 부실한 컴퓨터 보안으로부터 잇속을 챙길 수 있다는 사실을 깨달았습니다. 이는 마약 밀매, 구 동구권의 마피아, 테러 단체 등과도 관련 있습니다.

오늘날 컴퓨터 범죄는 세 가지 요인인 욕심, 이데올로기, 국가 패권주의에 바탕을 두고 저질러집니다. 이 새로운 공격에 대처하기 위해서는 불변의 법칙을 정하고 그 안에서 움직여야 합니다. 또한 힘든 이율배반적 판단도 내려야 하는데, 이 주제에 관해서는 나중에 다른 칼럼에서 다루겠습니다.

Jesper M. Johansson은 한 유명한 Fortune 200대 기업의 대표 보안 설계자이며 TechNet Magazine의 객원 편집자이기도 합니다. 또한 정보 관리 시스템 분야 박사 학위와 20여 년 이상의 보안 관련 경력을 보유한 엔터프라이즈 보안 영역의 Microsoft MVP(Most Valuable Professional)입니다. 그의 최근 저서로는 Windows Server 2008 Security Resource Kit가 있습니다.