[DT광장] 사이버 보안, `해커`처럼 생각하라

  •  
  • 입력: 2015-07-19 18:59
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[DT광장] 사이버 보안, `해커`처럼 생각하라
앨런 케슬러 보메트릭 최고경영자


미국 주요 국가기관에서 대규모 데이터 유출 사고가 잇달아 발생하며 사회적으로 큰 파장을 불러일으키고 있다. 최근 미국 인사관리처(OPM)에 대한 해킹 공격으로 약 1800만 명의 전·현직 공무원의 신상정보가 유출됐다. 그에 앞선 5월 말에는 미국 연방 국세청(IRS) 웹사이트가 해킹 당해 납세자 10만여 명의 정보가 유출되고, 554억 원에 이르는 허위 세금 환급이 이뤄지는 피해가 발생했다.

주민등록번호 및 금융 정보 등 민감한 개인정보 유출은 한 번의 사고에서 그치지 않고 일명 암시장에서 비싼 가격으로 거래되며 연쇄적인 정보 유출과 금전적인 피해로 이어질 수 있어 문제는 더욱 심각하다. 특히 IRS 사례의 경우, 해커는 해당 웹사이트 접근하기 위해 과거에 훔쳐낸 개인정보를 이용했다. 즉, 유출된 개인정보는 또 다른 정부기관 및 은행 사이트의 보안 사고를 유발하는 불씨와 같다.

그 어떤 변명으로도 데이터 유출사고의 당사자인 OPM과 IRS는 이러한 책임을 피해가기 어렵다. 만약 두 기관에서 파일 및 애플리케이션 기반의 암호화, 토큰화 기술, 접근 통제 및 데이터 접근 모니터링 등 널리 통용되고 있고, 성능이 검증된 보안책을 마련해 두었더라면 해커들이 정보를 훔쳐내기는 훨씬 더 힘들었을 것이다.

컴퓨터월드(Computer World)에 따르면 IRS의 사이버보안에 대한 투자 비용은 2011년 1억8천 달러에서 2015년 1억4천 달러로 20%이상 감소했다. 단순히 투자 비용 절감을 사고의 원인으로 돌릴 수는 없지만 IRS의 책임을 더욱 무겁게 하는 명백한 수치적 증거임에는 틀림 없다.

이번 데이터 유출 사건 수습을 위해 두 기관 모두 보안에 대한 투자를 늘릴 것이라는 사실은 의심하지 않는다. 중요한 것은 그 비용을 어디에 쓰냐는 것이다. 사고 발생 후, 두 기관의 책임자들은 빠른 시간 내에 정보보호 체계를 강화하기 위한 대책을 마련하겠다고 발표했다. 그러나 단기간의 보안 대책으로는 충분하지 않다. 보안에 대한 투자라고 하면 많은 조직 및 기업들이 관련 법규 및 규정을 준수하는데 집중한다. 이로써 정부의 벌금 부과 대상에서는 제외될 수 있을지 모르나 진정한 보안 대책을 마련했다고 말하기에는 무리가 있다. 규정 준수는 최소한의 방어책일 뿐이다.

스스로 해커가 되어 생각한다면 보다 효과적인 방어 체계를 구축할 수 있다. 해커가 노리는 것은 무엇인가, 해커라면 자신의 애플리케이션을 어떻게 차별화시켜 설계할 것인가 또는 신원 관리 프로세스를 어떻게 강화할 수 있을까 고민해보자.

고객의 소중한 개인정보를 보관하고 있는 기업들은 이를 안전하게 보호해야 할 책임이 막중하다. 지금 자사의 개인정보를 노리는 적이 바로 뒤에서 공격을 준비하고 있다고 가정하고 보안 체계를 정비해야 한다. 해커들이 노리는 공격의 대상은 네트워크가 아니라 데이터다. 따라서 '데이터 중심 보안' 전략이 필요하며, 하루라도 빨리 모든 중요 데이터를 암호화해야 한다. 특히 오늘날과 같이 복잡한 IT 환경에서는 모든 유형의, 모든 저장 위치에 있는 데이터를 포괄할 수 있는 암호화 솔루션이 필수적이다. 만약 틈을 보인다면, 해커는 언제든지 돌아올 수 있음을 명심해야 할 것이다.

앨런 케슬러 보메트릭 최고경영자

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사