Transform with Google Cloud

리더가 면피성 보안 조치를 중단해 위험을 완화하는 방법

2023년 10월 18일

https://storage.googleapis.com/gweb-cloudblog-publish/images/GettyImages-108175150.max-2600x2600.jpg

Taylor Lehmann

Director, Office of the CISO, Google Cloud

Seth Rosenblatt

Security Editor, Google Cloud

면피성 클라우드 보안이 문제인 이유와 이를 중단하기 위해 취할 수 있는 조치를 알아봅니다.

Why Google Cloud?

Get unmatched cloud technology built on Google’s infrastructure.

Learn more

*본 아티클의 원문은 2023년 9월 23일 Google Cloud 블로그(영문)에 게재되었습니다.

비밀번호 입력과 접종 전 알콜 솜으로의 피부 소독은 공통점이 있는데, 우리가 이 두 가지 행동으로 감염 위험을 낮추고 데이터 액세스를 노리는 사이버 범죄를 막을 수 있다고 믿고 있다는 것입니다. 재미있는 부분은 의료 연구에 따르면 오히려 소독하지 않은 부위의 감염 가능성이 매우 낮다는 것입니다. 사이버 보안 전문가에 따르면 ID 인증을 비밀번호에만 의지하는 것은 위험하다고 합니다.

비밀번호에만 의존하는 ID 인증 방법은 수십 년 전부터 취약하고 크래킹하기 쉬운 것으로 알려져 있습니다. 중요한 점은 보안 침해가 발생한 조직에서 여전히 이러한 비밀번호 사용이 만연하다는 것입니다.

4월에 발행된 위협 범위 보고서에서는 “클라우드 인스턴스를 포함하여 네트워크를 손상시키는 데 사용되는 가장 흔한 방법은 계정의 사용자 인증 정보를 직접 탈취하는 것입니다. 일부 기본 구성과 같이 비밀번호가 없거나 사용자 인증 정보가 유출 또는 재활용되었거나 일반적으로 추측할 수 있을 정도로 너무 취약하기 때문입니다.”라고 결론을 내렸습니다.

Google Cloud 연구원들은 2022년부터 검토한 보안 침해 중 41%가 취약한 비밀번호로 인해 발생했다는 사실을 발견했습니다. Mandiant 연구원 역시 M-Trends 2023년 보고서에서 동일한 결론을 내렸습니다. 2022년에 실시한 사이버 보안 이슈 조사 연구에서는 비밀번호가 조직과 데이터를 보호하지 못한다고 지적했습니다.

이 연구에서는 “초기 감염 벡터를 식별한 조사에서 공격자가 탈취한 사용자 인증 정보를 활용하는 빈도가 늘어났는데 2021년의 9%에서 2022년에는 14%로 증가했습니다.”라고 기록했습니다. “조사 결과에 따르면 대부분의 경우 사용자 인증 정보가 조직 환경 외부에서 도난당한 후 조직을 공격하는 데 사용되었을 가능성이 높은 것으로 나타났습니다. 이는 재사용된 비밀번호 또는 회사 기기에서 개인 계정 사용으로 인해 발생할 수 있습니다.”

스스로 만족했다고 해서 더 효과적인 보안이나 위험 감소를 보장하지는 못합니다.

이렇게 ID 인증을 비밀번호에만 의존하는 것은 전형적인 면피성 보안의 한 형태입니다. 너무나 안일하며 보안에 좋지 않기로 악명 높은 방법입니다. Security Theater, 즉 면피성 보안이란 '실제로 보안을 강화하기 위한 조치를 취하지 않고도 사람들이 더욱 안전하다고 느끼게 만드는 보안 조치'를 말합니다. 실용적이지 않은 면피성 보안 조치를 실행하면 득보다 실이 더 많을 것입니다.

조직에서 면피성 보안 조치를 감지하는 방법

보안팀은 원격 탐구 기반 공급업체 감사를 완료했거나 비밀번호 최소 길이를 6자에서 7자로 늘렸다고 말하며 기뻐할 수는 있지만, 스스로 만족했다고 해서 더 효과적인 보안이나 위험 감소를 보장하지는 못합니다.

디지털 혁신과 클라우드 마이그레이션이 면피성 보안 조치에서 벗어날 수 있는 좋은 기회임에도 불구하고 조직에서 이를 활용하지 못하는 경우가 너무 많습니다. 사람들의 삶과 생계 역시 보안에 관한 잘못된 인식을 영구화하는 방식에 의존하고 있습니다.

면피성으로 보안 조치를 흉내내는 것이 아니라 실질적인 보안을 '수행'하는 데는 약간의 용기가 필요할 수 있습니다. 면피성 보안 조치에 안주할 때 대부분은 논리적으로 타당하지 않은 이유를 댑니다. 많은 조직이 실용적이지 않은 형식적인 보안에 머물고 있다고 해서 귀사 역시 이를 따를 이유는 없습니다.

이해관계자들의 반응이 두려워서 면피성 보안 조치만 실행한다는 이유도 타당하지 않습니다. 취약하다고 알려진 보안 활동이나 도구를 계속 사용하고, 조직의 위험 노출 감소에 실질적으로 도움이 되지 않는 규정 준수 활동만 반복하는 일 역시 마찬가지입니다.

면피성 보안 조치에는 보통 소모적이고 반복적인 업무가 동반됩니다. 많은 서드 파티 보안 평가 프로그램에서 사용되는 보안 설문지를 예로 들면 설계하는 데 몇 시간, 관리하는 데 몇 시간, 응답하는 데 몇 시간이 소요됩니다. 이 모든 과정은 이메일 계정과 스프레드시트 이곳저곳을 오가는 디지털 서류 작업으로 남을 뿐, 공들인 노력에 비해 보여줄 가치가 거의 없습니다. 결국 어느 쪽이 더 안전할까요?

면피성 보안 조치에 대해 좋은 소식은 일단 문제점이 꽤 분명하다는 것입니다. 귀사의 보안 활동이 실제로 가치를 창출하고 있는지 여부를 조사할 때 적용할 수 있는 적절한 진단법은 다음 5가지 특성 중 해당하는 것이 있는지 자문해 보는 것입니다.

보안 활동이 현재 주시 중인 관련 위협을 실제로 완화한다고 쉽게 입증할 수 있나요?
적은 리소스로 보안을 손쉽게 우회할 수 있고, 그 우회가 발견될 가능성을 낮출 수 있나요?
보안을 실행하는 데 사람의 전체적인 개입이 필요한가요?
공격자가 취약점을 찾지 못할 것이란 이 믿음만으로 제어가 효과적이라고 간주해도 될까요?
장기적으로 귀사의 보안 수준의 적절성을 주장하고 '규정 준수 요구사항을 따랐으니까 괜찮아'라고 말할 수 있나요?

보안의 마지노선인 기본 수준을 설정해 주는 수많은 규정 준수 프로그램이 존재합니다. 보안 수준이 절대로 그 아래로 떨어져서는 안 되죠. 그러나 보안 제어가 단지 규정 준수를 위해 존재한다고 말한다면 이는 조직이 요구사항의 존재 이유를 제대로 적용하지 못하고 있음을 의미하며, 이런 상황은 면밀히 평가되어야 합니다. 또한 가까운 고객이나 수익, 복원력과 관련한 이점 없이 순전히 규정 준수만을 위해 무언가를 수행한다면 이것이야말로 조직의 위험을 증가시킬 수 있는 전형적인 면피성 보안 조치입니다.

면피성 보안 조치는 특히 이를 바꿔야 한다는 증거가 없을 때 더욱 늘어나게 됩니다. 제어를 통해 가치를 제공하고 위험을 측정 가능한 방식으로 줄여야 합니다. (이렇게 하는 한 가지 방법은 레드팀을 이용하는 것입니다.) 그 다음 위험 및 제어 평가나 감사에 위의 질문을 추가하는 것을 고려해 보세요. 그러면 보안 위험을 줄이고 면피성 보안 조치에서 벗어나는 방향으로 나아가게 될 것입니다.

면피성 보안 조치와 대조적인 실용적인 보안 수용

점점 인기를 얻고 있는 '비밀번호 없는' 보안 대체 방법으로 Google의 Titan 키 및 패스키와 같은 하드웨어 보안 키 사용 등 2단계 인증과 같은 도구를 사용하면 비밀번호 공간에서 면피성 보안 조치에 머무는 것을 피할 수 있습니다.

보다 효과적인 보안으로의 전환

면피성 보안 조치 및 이에 따른 위험 증가와 관련해 다행인 점은 이러한 보안이 특정 영역에서는 구식의 기술로 간주되고 있다는 것입니다. 따라서 최신 클라우드 중심 보안에 투자하는 조직이 많을수록 면피성 클라우드 보안 조치를 더 많이 중단할 수 있습니다.

우리는 현재의 IT 현대화 시대에 이러한 현상을 아직도 마주합니다. 디지털 혁신을 진행 중인 조직들은 보안 기능을 아예 기본으로 제공하고 기본적으로 안전하게 설계된 클라우드 중심 서비스로 기술을 업그레이드하고 있습니다.

클라우드 기반, 소프트웨어 정의 인프라 기반의 기술로 전환하는 조직은 지속적인 보안 업데이트와 광범위한 클라우드 보안 생태계를 활용합니다. Google에서 수십 년 동안 우선순위로 삼아왔던 더 강력한 보안을 갖추도록 특화되어 구축된 시스템을 채택한다는 것은 곧 면피성 보안 조치보다는 실질적인 보안이 더 실용적임을 증명하는 것입니다.

게시 위치