Security

보안 시스템에 대한 맹신보다는 운영하는, 그리고 사용하는 사람들의 인식 변화가 훨씬 더 중요한 시점이...

학주니 2017. 4. 16. 22:28
반응형

이제 개인의 접속 이력을 더 이상 보호해주지 않는 시대가 왔다


미국 국회가 지난 3월말에 인터넷 프라이버시 보호 규정 중 사용자들의 웹브라우저 사용 이력을 사업자가 거래할 수 없게 만드는 규정을 폐지했다는 뉴스가 올라왔다. ZDNet Korea가 ZDNet 뉴스를 번역한 기사인데 발번역으로 욕을 먹었는데 이 글을 쓸 때 다시 보니 번역을 다시 수정했는지 좀 읽을만한 글이 되었다. 글의 내용은 VPN에 관련된 내용이지만 전반적인 내용은 VPN 서비스만 마냥 믿어서는 안된다는 얘기이며 내가 이 포스팅에서 얘기하고자 하는 내용은 시스템에만 전적으로 의지하지 말고 운영자, 사용자들의 인식 변화가 우선되어야 한다는 것이다.


일단 뉴스의 내용부터 잠깐 살펴보면 사업자는 자사의 서버에 기록된 사용자들의 웹브라우저 사용 이력, 즉 자사의 서비스에 접근해서 이용했던 경로, 주소 등의 이력들을 타 업체에 팔 수도 있고 거꾸로 살 수도 있게 되었다는 것이다. 업체 입장에서는 사용자들이 자주 사용하는 서비스의 형태를 파악하여 서비스의 방향을 정할 수 있고 또 타게팅된 광고를 만들 수도 있기 때문에 꽤나 중요한 자료로 생각한다.


하지만 해당 서비스를 이용하는 개인 입장에서는 자신의 행적이 자신의 동의 없이 다른 곳에 팔린다는 것이 기분나쁠 수 있다. 말 그대로 프라이버시 문제가 나온다는 것이다. 특히나 불법은 아니지만 오픈하기 꺼림직한 서비스(예를 들어 포르노 사이트나 도박 사이트 등)에 접속한 이력이 다른 서비스에 팔린다면 좀 그럴 수 있지 않을까 싶다. 어찌되었던 이런 데이터의 사업자들 사이의 거래가 이제는 불법이 아니라는 얘기다.

VPN이 기업 뿐만이 아니라 개인들 사이에도 뜨고 있다


이러면서 자연스럽게 사용자들이 자신의 사용 이력을 보호하는 VPN 서비스로 눈을 돌리고 있다는 얘기를 했다. VPN은 Virtual Private Network의 약자로 가상 개인망이라는 뜻인데 사용자의 PC나 스마트폰 등과 같은 단말기와 서비스 서버 사이에 가상의 전용 구간을 만들어 통신하는 서비스를 얘기한다. 일반적으로 사설망, 전용망이라 불리는 내부망은 외부에서의 접근이 불가능하고(외부에서의 접속이 불가능하다는 전제조건 하에) 데이터가 외부로 유출될 가능성이 이론상으로는 없기 때문에 기업에서 본사와 지사와의 연동에서 많이 쓰이고 기업 안에서의 업무 네트워크로 많이 쓴다.


그런데 이통사의 무선 네트워크나 유선 네트워크, 우리가 얘기하는 초고속 인터넷망 등 이른바 공중망이라 불리는 네트워크는 불특정 다수가 사용하는 네트워크이기 때문에 네트워크 안에서 일어나는 일들을 쉽게 알 수 있고 가로채서 변조할 수도 있다. 그래서 이런 공중망에 가상으로 전용망, 사설망을 구축하는 방식으로 패킷 암호화와 터널링 방식 등을 조합한 VPN 기술을 이용해서 많이 사용한다. 암호화를 했기 때문에 중간에 가로챈다고 하더라도 암호화 키를 모르면 내용을 알 수 없으며 터널링 방식을 이용하기 때문에 공중망에서도 일정한 경로로 서로 연결이 가능하고 실제 데이터를 건드리지 않고 통신할 수 있다(VPN에 대한 자세한 내용은 나중에 따로 언급하도록 한다).


그리고 요즘은 기업 뿐만이 아니라 개인들도 VPN 서비스를 많이 이용하는데 개인들이 이용하는 경우는 국내에서 접속할 수 없는 서비스(국내에서 접속하면 warning.or.kr로 접속하는 ^^)나 해외에서 막힌 국내 서비스를 사용하기 위해 많이 사용하기도 한다.



어찌되었던 이제는 기업 뿐만이 아니라 개인도 VPN 서비스를 많이 이용하기 때문에 다양한 VPN 서비스들이 전세계적으로 제공되고 있으며 사용되어지고 있다. 오픈소스로 된 VPN 서버를 가져와서 개인이나 기업이 직접 구축하기도 하지만 VPN 서비스를 제공해주는 기업의 서비스를 이용하기도 한다. 그리고 VPN 서비스는 대부분 프록시(Proxy) 서비스를 이용해서 작업을 많이 하기 때문에 원래의 클라이언트, 즉 접속자의 정보를 감출 수 있는 장점이 있어서 그런 용도로도 많이 이용하기도 한다.


허술한 VPN 서비스로 인해 프라이버시 보호가 안될 수 있다


그런데 앞서 ZDNet Korea의 기사 제목을 보면 알 수 있듯 VPN이 프라이버시를 지켜주지 않는다는 제목의 글이다. 물론 글 서두에는 미국의 내용을 적었지만 글의 전체적인 내용은 VPN 서비스를 이용하여 자신의 접속 정보를 보호하려는 사람들의 의도와 달리 몇몇 VPN 서비스(혹은 다수의 VPN 서비스)들은 앞서 VPN 서비스의 또하나의 장점인 접속자의 정보를 감추는 기능을 제대로 제공해주지 않는다는 것이다. 즉, VPN 서비스를 이용하기 때문에 사용자들은 자신의 접속 정보를 서비스가 알아서 보호해줄 것으로 생각하겠지만 실제로 서비스는 사용자들의 의도와 달리 제대로 된 VPN 서비스를 제공해주지 않는 경우가 더 많다는 것이다.


글에서는 함량미달의 VPN 서비스들이 많이 존재한다고 되어 있는데 VPN 서비스를 이용할 때 지속적으로 서비스에 대한 품질을 체크해서 자신들이 원하는 기능을 제공하지 않는다면 제공하도록 요청을 하거나 아니면 기능을 제공하는 서비스로 갈아타던지, 직접 구축해야 할 것이다. 즉, VPN 서비스에 가입하고 사용한다고 해서 그것이 끝이 아니라 지속적으로 자신들이 원하는 기능 및 성능을 제공하는지를 체크해야 한다는 것이다.


뭐 비단 VPN 서비스에 한하여 이러는 것은 아니다. 이 포스팅의 타이틀을 보면 알 수 있듯 보안 시스템 전반적인 부분에 있어서 가장 큰 문제점은 시스템 자체를 너무 맹신한 나머지 시스템이 다 문제를 해결해 줄 것이라고 생각하고 사용자나 운영자는 아무것도 안하는 것은 문제가 있다는 얘기를 하려고 하는 것이다.


기업에 많이 사용하는 보안 시스템들


기업에서 가장 많이 사용하는 보안 시스템이라고 한다면 아마도 DRM이나 DLP 등의 문서 보안에 관련된 보안 시스템일 것이다. DRM이나 DLP의 목적은 기업 안에서 만든 문서를 외부로 유출할 수 없게 사전에 방어해주는 시스템이다. DRM은 인가된 사용자에 한하여 문서를 열람할 수 있게 하는 것이며 DLP는 문서가 외부로 나갈 때 문서에 보안을 걸어서 인가된 사용자 외에 다른 사람들이 문서를 확보해도 열람할 수 없게 만드는 보안 시스템이다. DRM이나 DLP나 비슷한 성격이다(물론 내부에 동작하는 방식은 차이가 있다).


앞서 언급한 VPN 역시 기업에서 많이 사용하는 솔루션인데 물리적으로 서로 떨어져있는 사무실 간에 인터넷 공용망을 마치 전용선처럼 통신할 수 있는 환경을 구축해주는 시스템이 VPN으로 인터넷 공용망을 사용하기 때문에 공용망 어디에서든지 패킷을 가로챈다던지 해서 문서 유출이나 통신 내용 유출이 나올 수 있는 상황을 암호화하여 통신하게 함으로 막는다는 것이 VPN의 기본 개념이며 암호화, 보안 통신을 이용한다는 것으로 볼 때 위에서 언급한 DRM, DLP와 비슷한 목적을 갖는다고 할 수 있다.


그 외에도 NAC(접근 제어 시스템)이나 문서 중앙화 시스템 등 다양한 보안 시스템을 기업에서는 많이 도입하고 운영한다. 이유는 간단하다. 기업 안에서 만든 문서에 대해서 해당 기업 안에서 그것도 권한이 있는 사람만 열람할 수 있게 하겠다는 것이 그 이유다. 기업 안에서 만들어진 문서는 상황에 따라서 기업의 사활이 걸려있을 수 있기 때문에 기업은 이런 문서에 대해 보안에 민감할 수 밖에 없고 그래서 이렇게 다양한 보안 시스템을 도입하여 보호하려고 하는 것이다.


외부의 침입보다는 내부의 상처가 더 심각하다


그런데 지속적으로 기업의 기밀 유출 사건들은 일어난다. 해킹을 통해 기업의 기밀 데이터들이 유출되기도 하지만 가장 많이 일어나는 경우는 그 기업의 내부자들의 관리 소홀, 혹은 의도적인 행위로 인한 데이터 유출이 상당수를 차지한다. 해킹에 의해 데이터 유출이 일어나는 경우보다 내부자의 소행으로 인해 데이터 유출이 더 많이 일어난다는 얘기다. 이 얘기는 결국 외부에서의 침입보다 내부에서의 상처가 더 큰 문제를 만들어낸다는 것을 의미한다는 것이다.


보안 컨설팅을 하는 사람들은 기본적으로 2가지를 항상 얘기한다. 기업의 보안 정책에 맞는 보안 시스템 도입, 그리고 그 보안 시스템을 잘 활용하도록 기업 안의 보안 시스템 관리자 및 사용자들의 교육의 필요성, 이 2가지를 꼭 얘기한다. 물론 많은 컨설턴트들은 자사의 솔루션을 팔기 위해 전자를 더 강조하며 얘기하지만 실제로 중요한 것은 후자, 즉 그 시스템을 운영하는 사람들과 그 시스템을 사용하는 사람들이 제대로 된 보안 개념 및 인식을 갖고 있는가를 파악하고 그것에 대해 집중적으로 교육을 해야 할 필요가 있다. 아무리 보안 시스템이 훌륭하다고 하더라도 시스템이 모든 것들을 100% 다 막아줄 수 없다. 그 안의 운영하고 사용하는 사람들이 제대로 못한다면 무용지물이 될 것이기 때문이다.


지금까지 언론을 통해서 나온 다양한 해킹 사고들을 보면 대부분 내부 직원들의, 혹은 협력업체로 내부 시스템에 들어와서 작업한 사람들이 제대로 시스템 보안에 대해서 중요하게 생각하지 않고 허술하게 관리하다가 뚫려서 해킹을 당하는 경우가 상당수였다. 회사 안에서 토랜트를 돌리다가, 혹은 이상한 메일을 열어보다가 악성코드나 랜섬웨어에 감염되어 회사 시스템 전체를 먹통으로 만든다던지 하는 경우가 다수 존재한다는 것이다. 이는 시스템 문제가 아니라 사람의 인식 그 자체의 문제라고 보여진다.


많은 보안 업체들이 다양한 보안 솔루션들을 만들어 광고하고 있으며 영업을 통해 필요성을 강조하고 있다. 보안 솔루션이 필요한 것은 사실이다. 하지만 보안 솔루션 만큼이나 운영자와 사용자들에게 보안에 대한 개념과 인식에 대해서 교육을 더 강조해야 할 시기가 아닌가 하는 생각이 든다. 앞서 언급했듯 암만 보안 시스템이 우수하다고 하더라도 내부에서 맘먹고 파괴하겠다고 한다면 그 우수한 보안 시스템도 무용지물이 될 수 있기 때문에 말이다. 물론 문제가 된 이후에 추적을 통해 문제점을 색출하기는 하지만 이미 피해를 다 본 상황에서 그 복구 비용은 상당할 것이라 생각이 든다.

반응형