비영리 단체는 해커들이 잘 공격하지 않는다. 그래서 조용한 편이다. 하지만 그렇다고 해서 보안에 대한 관심을 아예 끊는 건 좋지 않다. 결국은 해커들의 눈이 향할 것이 분명하기 때문이다.
랜섬웨어 공격자들이 먹이를 찾아 헤맬 때, 비영리 단체는 보통 제외 대상이 되는 것 같은 분위기입니다. 비영리 단체가 랜섬웨어에 당해 마비됐다고 대대적으로 알리는 매체를 본 적이 있습니까? 대단히 덩치가 크고 영향력이 지대한 곳이 아니라면 비영리 단체는 지금의 혼란스러운 사이버 공격 지형도에 덜 섞여드는 감이 없지 않습니다.
하지만 보안 업계에서 누누이 말하는, “그 누구도 예외가 될 수 없다”는 법칙은 여전히 유효합니다. 공격자들은 항상 대기업만 노리고 부유한 사람들만 공략하지 않습니다. 오히려 ‘쉬운 상대’를 찾는 게 이들의 습성입니다. 비영리 단체는 대기업보다는 덜 부유할지 몰라도 공략하기 쉬운 상대임이 분명합니다. 따라서 대비를 해야 합니다. 보안기술기관(IST) 역시 최근 보고서를 통해 “정부가 보안 첩보를 비영리 단체와도 공유해야 한다”고 강조했습니다.
[이미지 = freepik]
IST에 따르면 비영리 단체를 취약한 상태 그대로 놔두는 것은 현명하지 못한 국가 운영 방식이라고 합니다. 왜냐면 비영리 단체들에도 민감한 정보와 금융 정보가 존재하며, 이런 정보들 역시 여느 기업의 민감 정보 및 금융 정보 만큼이나 높은 가치를 가지고 있기 때문입니다. 유명인과 사회적 영향력이 지대한 인물들이 비영리 단체 활동을 하는 경우도 상당하다는 걸 생각하면 비영리 단체의 민감 정보도 꽤나 중요함을 깨달을 수 있을 것입니다.
물론 비영리 단체들 대부분 재정이나 규모라는 측면에서 열악하기 때문에 강력한 보안 규제를 적용하기 힘들다는 점은 충분히 이해합니다. 기술 분야 비영리 조직인 엔텐(NTEN)의 CEO 에이미 워드(Amy Ward)는 “미국의 비영리 단체 92%가 연간 재정 100만 달러 미만으로 활동한다”고 말합니다. “하지만 영리 단체가 작다고 해서 그냥 넘어가지 않죠. 소기업들이라고 보안에 아예 손 놓고 있는 것도 아니고요. 비영리 단체도 마찬가지입니다.”
사이버 보안 비용, 처음부터 책정하라
워드는 “규모와 재정이 여의치 않은 곳이라면 더더욱 연초 예산 계획을 잡을 때 보안과 관련된 요소들을 포함시켜야 한다”고 강조합니다. “예를 들어 중요 파일들에 접근하려 할 때 이중 인증 시스템을 통과하도록 하면 네트워크 내에 침투한 공격자들을 좀 더 곤란하게 만들 수 있지요. 이렇게 매일 매일 이뤄지는 업무의 흐름 속에 보안이 자연스럽게 녹아들도록 하는 게 좋습니다.”
도움을 요청하라
비영리 단체들을 방문해 보면 IT 기능이 매우 기초적인 수준에 머물러 있는 곳이 꽤 많음을 알 수 있습니다. 그러니 사이버 공격에 대한 예방도 어렵고, 대응도 어렵습니다. 이런 곳의 관리자들은 IT 소식은 물론 보안 사고 소식에도 그리 관심을 갖지 않는 편입니다. 관리자들이 그런 경우 조직 전체적으로 보안과 아주 거리가 먼 생활을 하고 있을 가능성이 대단히 높습니다.
보안 전문가 크레이그 뉴마크(Craig Newmark)는 “자기 하는 일과 분야에만 관심을 갖게 되니 어쩔 수 없는 일이지만, 사실 지금은 나라 전체가 사이버 공격에 당하고 있는 때라 아주 조금만 시선을 돌려도 보안 상황이 심상치 않음을 알 수 있다”고 강조합니다. 전쟁터 한 가운데 있으면서 ‘나는 내가 좋아하는 것만 하고 내가 보고 싶은 것만 볼 거야’라고 고집할 수 없다는 것입니다. “전쟁터 한 가운데 있는데 전투 능력이 없다면 뭘 할 수 있을까요? 바로 도움을 요청하는 것이죠. 보안 기능이 좀 부족한 조직이라면 외부 상담이라도 받는 게 모두를 위해 좋은 일입니다.”
하지만 보안 상담이라는 것에도 돈이 들어가고, 예산이 빠듯한 비영리 단체라면 이 역시 망설여지는 일이 됩니다. 뉴마크는 “비영리 단체를 도우려는 이니셔티브나 사업들이 존재한다”며 “IT 업계의 전문가들은 대체적으로 자신이 가지고 있는 지식이나 기술을 즐겨 공유하는 사람들”임을 강조했습니다.
“물론 공짜로 모든 아키텍처를 설계해 달라고 하는 건 무리입니다. 하지만 비영리 단체임을 감안해 할인을 해 주거나 무료 상담을 몇 시간 해 주는 컨설턴트는 찾을 수 있을 겁니다. 무료 도구들로 조직을 잘 보호하는 방법을 알려주는 전문가들도 있고요.”
[이미지 = freepik]
데이터를 최소화 하라
뉴마크는 비영리 단체들이 스스로 할 수 있는 보안 강화법 중 최고는 내부에 저장되는 데이터를 최소화하라는 것이라고 강조합니다. 데이터를 줄이면 줄일수록 공격의 경로와 동기가 줄어들기 때문입니다. 뉴마크는 “비영리 단체와 실제로 상담을 할 때 데이터도 줄이고, 데이터 관련 아키텍처와 업무 프로세스를 최대한 간소화 하라고 조언한다”고 말합니다. “구조가 간단하면 할수록 가시성도 높아지고 보호 작업이 쉬워집니다. 공격 경로도 줄어들고요.”
여태까지 안전했다고 안주하면 안 된다
국립비영리단체위원회(NCN)의 COO인 릭 코헨(Rick Cohen)은 “확실히 비영리 단체는 사이버 보안 업계나 해커들과 거리가 어느 정도 떨어진 상황을 유지하고 있었다”고 설명한다. “해커들 입장에서 대기업이나 국가 기관들보다 가치가 낮게 보이는 게 사실입니다. 그래서 비영리 단체들에서는 사고도 잘 안 났죠. 하지만 해커들은 항상 새로운 피해자를 물색하는 자들입니다. 언젠가 공격할 만한 사람을 다 공격했다고 여기면, 비영리 단체로 눈길을 돌릴 겁니다.”
코헨은 “결국 비영리 단체의 임직원들 한 사람 한 사람이 보안 인지 수준을 높여야 할 것”이라고 말합니다. “조금은 의심스러운 눈으로 내게 들어온 메시지나 메일, 정보들을 열람할 수 있는 시선을 키워야 합니다. 그것이 아예 없는 것과 있는 것은 데이터 보호에 있어 커다란 차이를 냅니다. 지금 비영리 단체들이 비교적 평화로울 때 보안을 미리 준비한다면 나중에 든할 겁니다.”
글 : 캣 프리드리히(Kat Friedrich), IT 칼럼니스트
출처 : 보안뉴스정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단