사이버 보안은 (여전히) 공동 책임입니다

Timo Sachse

이 포스트는 3년 전 제가 작성한 블로그 게시글의 업데이트 버전입니다. 그 중 많은 부분은 오늘날에도 여전히 유의미하다는 것은 사이버 보안은 목적지가 아니라 끝나지 않는 여정이라는 증거입니다.

지난 몇 년간 사이버 보안에 대해 제 동료들이 작성한 블로그 게시글의 수 또한 사이버 범죄자들이 사용하는 ‘공격 벡터’의 지속적인 발전과 그에 대응할 수 있는 방법을 보여줍니다.

사람이 만든 어떤 것도 100% 안전하지는 않습니다. 의도적으로 만든 백도어는 잘못된 설계이며 사이버적으로 안전한 세상의 기본에 대한 이해가 상당히 부족하다는 것을 보여줍니다. 프로그램 상의 실수도 완전히 피할 수는 없습니다.

사이버 보안은 책임을 공유하며, 시장의 이해관계자들 중 누구도 사이버 범죄와 홀로 싸울 수 없습니다. 우리 모두가 함께 협력해서 사이버 게임에서 앞서 나가야 합니다.

(가장 약한 고리만큼만 강한) 사이버 보안 ‘체인’에 관련된 각각의 이해관계자들의 서로 다른 책임에 대해 살펴보겠습니다:

사용자

사용자(솔루션을 운영을 담당하는 사람)의 주된 책임은 사이버 보안에 대한 적절한 투자를 하는 것입니다. 이 작업은 “DIY” 방식 – 즉 IT 부서에서 자체적으로 수정 사항을 적용하거나, 통합업체/설치업체에게 비용을 지불하여 유지 관리를 맡길 수 있습니다. 시스템의 수명은 쉽게 10~15년 정도도 보면 됩니다. 시스템을 좋은 상태로 유지하기 위해 아무 것도 할 필요가 없다고 가정하는 것은 매우 근시안적인 생각입니다.

통합업체/설치업체

이 이해관계자는 사이버 게임에서 매우 중요한 역할을 합니다. 통합업체/설치업체는 자신의 모든 장치, 랩톱, 모바일 기기 등의 OS를 최신의 업데이트로 패치하고 정교한 바이러스 스캐너를 실행시켜야 합니다.

선택한 패스워드는 충분히 복잡하고 최소한 고객별 및 사이트 별로 개별적이어야 합니다. 장치의 서비스를 더 쉽게 하기 위해 한 개의 마스터 패스워드를 사용하는 일반적인 습관은 피해야 합니다. 설치 환경에 대한 원격 액세스는 제한되어야 하고, 고객의 시스템에 연결되는 모든 장치는 어떤 종류의 바이러스에도 감염되지 않도록 세심하게 체크되어야 합니다.

영상 보안 소프트웨어 및 연결된 하드웨어를 유지 관리하는 일은 여전히 매두 드물거나 간헐적으로 수행됩니다. 이러한 시스템을 한 번 설치한 후에는 일반적으로 더 많은 장치가 추가되거나 사용자가 추가 기능을 요청하는 경우에만 업데이트됩니다.

유지 관리가 없으면 사이버 보안은 시간이 지남에 따라 보안성이 감소할 가능성이 높습니다. 시스템 컨텍스트, 즉 OS, 소프트웨어 또는 하드웨어에서 취약성이 발견될 가능성은 거의 100%입니다. 위험이 낮아 보일지라도, 알려진 모든 취약성은 수정되어야 합니다. 대부분의 경우 수정을 즉시 적용할 필요는 없지만, 2년마다 시스템 전반적인 업데이트를 시행하는 것을 강력하게 권장합니다.

통합업체는 자신의 고객에게 (IT 마인드를 갖추지 않은 보안 업계에서는 그 중요성에 대해 여전히 잘 알려져 있지 않은) 이러한 절차를 알려 줄 책임이 있습니다.

컨설턴트

또 다른 중요한 요소 중의 하나는, 보안 시스템의 구성 요소를 지정하는 컨설턴트와의 작업입니다.

이들은 올바른 제품 특징 및 특성을 지정할 뿐만 아니라 시스템 수명 동안 유지 관리 작업을 특정해야 할 책임도 있습니다. 이렇게 함으로써 시스템을 업데이트된 상태로 유지하는 것의 핵심적인 중요성을 강조할 수 있으며, 이에 필요한 잠재적 비용에 대해서도 투명하게 할 수 있습니다.

그러나 OEM/ODM 장치가 설치되고 있는 상황에서 이러한 유지 관리 측면을 보장하기가 매우 어려우며, 대부분의 고객들은 유지 보수가 운에 좌우되는 시스템을 구입하하려 하지 것입니다.

디스트리뷰터/유통업체

단순 유통업체의 경우, 사이버 보안의 주제는 매우 간단합니다. 이들은 그저 물류를 처리하고 있을 뿐, 제품 자체는 손대지 않습니다. 그러나 가치부가형 디스트리뷰터는 통합업체나 설치업체가 고려하는 것과 동일한 측면을 고려해야 합니다(위 통합업체/설치업체 부분 참조).

소위 OEM/ODM 장치를 재판매하는, 즉 제조업체로부터 장치를 구입해서 다른(또는 자체) 브랜드로 라벨링하여 재판매하는 디스트리뷰터의 경우, 완전히 다른 규칙이 적용됩니다.

무엇보다도 투명성이 중요합니다. 디스트리뷰터는 자사의 고객들이 무엇을 구입하고 있는지를 고객들에게 알려야 합니다. 이러한 투명성이 없다면, 일반적으로 고객의 구매 결정에 가장 큰 영향을 미치는 것은 가격이 됩니다.

또한 디스트리뷰터는 자사의 원 공급업체 제품에 취약성이 있을 경우 펌웨어 업그레이드를 제공하도록 보장해야 합니다. 업계 관행으로는, 원 공급업체의 장치에서 감지된 취약성이 그들의 많은 OEM 파트너의 장치에서 수정되지 않는 것을 일반적으로 볼 수 있습니다.

제조업체

제조업체의 사이버 보안 책임은 비교적 이해하기 쉽습니다:

  • 백도어, 하드 코드된 패스워드 등 의도적인 요인들을 포함하지 말 것
  • 많은 장치들의 사이버 관리를 가능한 한 단순하고 합리적인 비용으로 할 수 있도록 적절한 툴을 공급할 것
  • 위험과 이를 피할 수 있는 방법에 대해 대내외적으로 교육할 것
  • 보안 강화 가이드 또는 기타 문서에 관련 측면을 기록할 것
  • 장치를 가능한 한 안전하게 만드는 표준 매커니즘을 사용할 것
  • 취약성 및 이용가능한 패치에 대해 파트너와 채널에 알릴 것

연구원

취약성은 해커가 아닌 연구원에 의해 발견될 때가 많습니다. 취약성의 유형에 따라, 이들 연구원들은 취해야 할 다음 단계를 결정합니다. 해당 취약성이 의도적인 것이 아니라면, 제조업체를 컨택하여 이 내용을 게시하기 전까지 취약성을 해결할 수 있는 일정 시간을 줍니다. 그러나 백도어처럼 의도를 가진 중대한 취약성이 있다면, 즉시 이를 공개하여 해당 제품의 사용자들 사이에 인식을 높입니다.

소비자

우리 자신의 행동들 또한 사이버적으로 성숙한 사고 방식의 핵심적인 측면입니다. 라우터 암호를 얼마나 자주 변경합니까? 비밀번호는 얼마나 복잡합니까? 대부분의 애플리케이션에서 서로 다른 암호를 사용하고 있습니까, 아니면 하나의 “마스터” 암호를 사용하고 있습니까? 게으른 사용자 행동은 여전히 해커들에게 가장 큰 이득 중 하나입니다. 추측하기 쉽고 모든 로그인에 함께 사용되는 패스워드는 소비자들로 하여금 그들의 계정이 해킹될 위험에 처하게 합니다.

한 이해관계자가 홀로 시스템을 사이버적으로 안전하게 만들고 유지하는 임부를 수행할 수 없습니다. 모든 이해관계자들이 데이터를 안전하게 보호하는 책임을 수행하는 것만이 사이버 범죄에 성공적으로 대응할 있을 것입니다.

 

사이버 보안에 대한 보다 폭넓은 인사이트와 영감을 확보하시려면 Axis 사이버 보안 eMagazine을 읽어 보세요.

Axis 사이버 보안 e매거진