컨티뉴이티 센트럴
경험 많은 IT 보안 전문가는 IT 시스템과 데이터를 보안하는 전통적인 방법이 갖는 단점 덕분에 생계를 유지한다. 흔히들 사용하는 IT 보안 제품과 기술은 광고처럼 그렇게 완벽하지 않다. 이로 인해 생각보다 많이 악성 코드에 노출되곤 하며 전통적인 IT 보안 기술은 한 가지 문제를 해결하면 다른 문제가 튀어나올 수밖에 없다. 
<위기관리경영 - 편집부>

보호가 취약한 방화벽

대부분의 사람은 네트워크에서, 데스크톱에서, 필터링 애플리케이션 등 여러 겹의 방화벽으로 보호받고 있다. 그러나 호스트 포트를 분리하더라도 방어를 잘할 것이라는 보장이 없다. 여전히 취약성이 존재한다. 많은 세월동안 보안과 관련해 가장 많이 듣는 조언은 완벽하게 패치를 하라는 것이었다. 모든 소프트웨어는 여러 취약점을 갖고 있다. 따라서 패치를 해야 한다. 완벽하게 업데이트를 해준다는 십여 개의 패치 관리 시스템이 있다. 그러나 어떤 이유에서든 완벽하지는 않다.

많은 경우 패치 관리 소프트웨어의 문제가 아니다. 관리자의 문제다. 일부는 패치를 한다. 그러나 정작 가장 자주 공격 대상이 되는 자바, 어도비 리더, 플래시 등은 패치를 아예 하지 않는다. 또는 정기적으로 패치를 하지 않는다. 일정 비율로 가장 최근 설치한 패치가 기능을 하지 못하는 경우도 있다. 그러나 이유를 모른다. 이런 식으로 사용자에게 취약한 부분이 없었던 적은 없다. 이 밖에도 패치를 대중에게 배포하는데 며칠에서 몇 주가 걸리곤 하는 적도 있다. 반면 멜웨어가 인터넷에 퍼지는 기간은 몇 분에서 몇 시간이면 충분하다.

더 나쁜 것은 사회 공학적 트로이의 목마에 신경쓰지 않는 경우다. 최근 연구 결과에 따르면, 소프트웨어에 취약점이 없다면 이런 공격은 10~20%는 줄어들 것이다. 또한 패치할 필요도 없다. 패치하지 않은 소프트웨어를 타깃으로 하는 공격을 무력화시킬 수 있다면, 해커들은 다른 방법을 선택할 것이다. 결국 사회 공학적 공격 증가 등으로 실제 사이버 범죄는 증가할 수밖에 없다는 의미다.
 
비밀번호만으로는 불충분
보안과 관련해 종종 듣게 되는 격언이 있다. 길고 복잡한 탄탄한 비밀번호를 사용하고, 주기적으로 이를 변경하라는 것이다. 사용자는 여러 웹사이트나 보안 로그인에 동일한 비밀번호를 사용하곤 한다. 그리고 해커는 가짜 로그인 화면이나 이메일을 통해 사용자를 속여 비밀번호를 빼낸다. 더 나아가 적지 않은 사람들이 작은 대가를 받고 모르는 사람에게 비밀번호를 넘겨줄 수도 있다(여러 국가에서 실시된 설문조사를 통해 밝혀진 놀라운 결과다). 많은 최종 사용자는 여러분만큼 비밀번호에 비중을 두지 않는다.더 큰 문제는 대부분의 해커도 그렇다는 것이다. 해커들은 최종 사용자가 트로이의 목마 프로그램을 실행하도록 속이고, 비밀번호 해쉬를 심어 이를 재활용한다. 탄탄한 비밀번호나 취약한 비밀번호나 다를 바가 없다.
 
의도와 목표를 판단할 수 없는 침입 탐지 시스템
일반적으로 사람들은 침입 탐지 시스템을 믿고 싶어 한다. 먼저 여러 공격 특징을 규정한다. 그러면 침입 탐지 시스템은 네트워크 트래픽에서 스트링이나 행동을 탐지해, 혹시라도 있을 공격에 대해 사전에 경고한다. 그러나 여기에서 소개한 다른 보안 기술 및 기법과 마찬가지로 기대만큼의 보안 효과를 보장하지 못한다. 무엇보다 기업 시스템에 만연한 악성 공격을 설명하는데 충분할 정도로 공격 특징을 규정해 집어넣을 방법이 없다. 아주 우수한 침입 탐지 시스템이라면 수백 개의 특징을 갖고 있을 수 있다. 그렇다 하더라도 시스템을 공격할 악성 공격은 수만 개에 달한다. 그렇다고 침입 탐지 시스템에 이 만큼의 특징을 추가하면 감시하고 있는 트래픽 속도가 느려진다.

그럴 이유가 없는 셈이다. 게다가 IDS에는 방화벽 로그 등으로 판단해 무시하는 공격 신호들이 있다. 실제 IDS가 제 기능을 못하는 이유는 대부분의 해커들은 적법한 접근 방법을 이용하기 때문이다. CFO가 재무 데이터베이스를 이용하고 있는 것인지, 아니면 해커가 CFO 컴퓨터를 통해 이런 행동을 하는 것인지 판단할 수 있는 침입 탐지 시스템은 없다. 네트워크 스트림이 경고를 생성해야 하는지, 아니면 정상적인 운영으로 판단해 통과시켜야 하는지 판단할 수 있는 방법이 없다는 의미다.     
       
 글/ Taylor Armerding