Q. 공격자가 노릴 만한 틈새를 강조했는데, 구체적으로 어떤 의미인가.

한국의 기업들은 성벽(방화벽)을 높게 쌓아 내부를 지키는 데 집중한다. 하지만 공격자들은 정문을 두드리지 않는다. 관리자가 잊고 지낸 뒷문을 노리죠. 방치된 외주사의 서버나 개발자가 테스트하고 지우지 않은 도메인 같은 부분이다. 올해 한국에서 발생한 대규모 침해 사고들은 제로데이(Zero-day) 같은 ‘첨단 기술’이 아니라, ‘평범한 구멍’에서 시작됐다.

이는 공격자의 관점에서, 내부에서 밖을 보는 것이 아닌 인터넷이라는 광범위한 공간에서 기업이 잃어버리거나 망각한 ‘디지털 발자국’을 해커의 시선으로 추적하는 것을 말한다. 울트라 레드는 고객사에 아무것도 설치하지 않고, 외부 인터넷망에서 해커와 똑같은 방식으로 취약점을 찾아낸다.

Q. 기존 점검 방식의 한계를 지적한 같은데, CTEM와 차이가 있다면?
쉽게 비유해 본다면, 기존 보안 점검이 ‘1년 주기 건강검진’이라면, CTEM은 ‘스마트워치 건강 체크’와 비슷하다. 침해 위협은 365일 24시간 지속되는데, 우리는 1년에 한두 차례 점검으로 ‘안전하다’고 생각한다. 이 차이에서 사고가 난다. 울트라 레드의 CTEM은 ‘탐지-검증-우선순위-조치’에 이르는 4단계를 순환하는 구조다. 네트워크에 퍼져있는 자산을 파악해 실제 공격 시나리오를 가동해 검증하고, 이 중에서 당장 막아야 할 진짜 위협만을 남겨 즉시 수정할 수 있는 가이드를 제공해 복구 시간을 단축한다. 이를 매일 진행해 보완성을 제고하는 방식이다.

Q. 최근 국내 기업들의 보안 사고를 어떻게 보는지?
단순 사고가 아니라, 한국이 새로운 사이버전의 표적이 됐다는 신호다. 5년 전 도쿄올림픽 직전의 일본과 비슷하다. 일본은 4억5000만건 이상의 공격 시도를 확인하고 법을 만들었다. 안타까운 부분은 세계적 최고 수준의 한국의 IT 인프라 수준과 달리 보안 운영 모델은 ‘사후 탐지’ 중심이라는 것이다. 공격자 침투 이후 이를 인지하는데, 평균 2~300시간의 격차가 발생하는데, 이를 줄이지 못하면 사고는 반복될 수밖에 없다.

Q. 또 다른 부분이 있을지, 데이터적 특성이 있다면?
한국 기업들은 글로벌 기업 대비 ‘악용 가능한 노출’(Verified Vulnerability)이 평균 20% 더 많다. 기술력이 부족하기 때문이 아니다. ‘완벽주의’라는 문화 때문, 한국의 보안 문화는 모든 것을 다 막으려다 정작 중요한 알림을 놓친다. 또 다른 하나는 ‘단절된 공급망’이다. 본사는 철저하지만, 이와 연결된 협력사나 해외 지사는 무방비 상태인 경우가 많다. 종합해보면 한국은 IT 인프라는 최고인데, 뒷문이 열려있는 맛집이다.

(중략) 

Q. 마지막으로 국내 독자를 위해 전하고 싶은 메시지가 있다면 부탁한다
해커는 혼자 움직이지만, 방어는 함께할 때 강해진다. 한국은 이미 훌륭한 기술력을 갖췄다. 이제 필요한 것은 ‘대응 속도’와 ‘지속적 관리’다. 공격자가 움직이기 전에, 먼저 움직여야 한다. 이 시스템을 갖춘다면 한국은 1년 안에 사이버 위협을 절반 이하로 줄일 수 있다고 본다. 지금이 한국 보안 체계를 바꿀 ‘골든타임’으로 본다.

또, 보안은 특정 부서의 업무가 아닌 기업의 생존을 결정하는 의사 결정 수단이다. 사고가 터졌을때 담당자를 찾고 문책하기보다는 재발을 막을 시스템 구축을 묻는 리더십이 필요하다고 본다.


출처: https://www.boannews.com/media/view.asp?idx=140448&kind=3&search=title&find=%C0%CC%BD%BA%B6%F3%BF%A4
====================================================================================================
이스라엘 정보국 산하 엘리트 사이버 부대 ‘유닛 8200’(Unit 8200) 출신인 에란 슈타우버(Eran Shtauber)가 한국 보안업계에 남긴 조언
제목이 자극적이긴 한데 한국 IT 보안의 문제에 대해 건설적인 조언이 많아서 가져와봤습니다.

1) 보안의 성벽을 높이 쌓는데 치중해서 뒷문이 열려있거나 성벽 개구멍이 생긴 걸 탐지하는 데는 취약하다

2) 보안시스템이 사후 탐지 중심이라 순간적인 대응이 약하다

3) 모든 것을 막으려는 완벽주의적 보안 문화가 도리어 중요한 결함을 놓치게 한다

4) 본사의 보안은 철저하지만 협력사나 해외 지사의 보안은 취약하다

한 2-3주 전이라 쿠팡 해킹 이야기 전에 한 인터뷰인데, 지금 읽어도 많이 유용합니다.

이 사람이 지적한 한국 IT기업들의 보안 문제는 이번 쿠팡 해킹 사태에서도 반복되는 느낌. 

1) 해킹 몇 달 뒤에야 해킹 사실을 인지함 2) 내부자의 퇴사 후 인증서를 무효화하지 않아서 허점이 생겼고 그것이 악용됨